Skip to content
log management IT consultant
Network Security

Log management: cos'è e a cosa serve

Per garantire all’intera organizzazione sicurezza della rete, opportunità di monitoraggio e compliance serve implementare un processo di log management, ecco le sue potenzialità. 

Il log management consiste nell’insieme di attività inerenti alla raccolta e all’analisi dei dati generati dai sistemi informativi e dalle varie applicazioni nello svolgimento delle loro attività. Tali dati si chiamano, per l’appunto, log di sistema e forniscono una panoramica completa di quel che succede nel contesto di tutti i sistemi informatici, compresa la rete aziendale. 

L’analisi dei log è quindi molto importante perché consente di delineare come si stanno svolgendo i processi. A tal proposito, si possono immediatamente individuare anomalie, ma anche minacce alla sicurezza. 

Tutto questo consente di evitare ritardi, sprechi di risorse eccetera e rimediare tempestivamente a problemi tecnici, da un lato, e il verificarsi di cyber attack, dall’altro. Proprio per questo motivo, il log management è importante per rendere compliant le aziende alle normative, offrendo la possibilità di dimostrare di aver soddisfatti i requisiti richiesti. 


Che cos'è il log? 

Con log si intendono le registrazioni cronologiche di attività ed eventi si verificano in dispositivi e applicazioni. È il caso, per esempio, dell’apertura di un applicativo così come della modifica di un file. 

Queste azioni generano log che contengono le informazioni sulla data, l’ora, la persona che l’ha effettuata e la natura dell’azione stessa. Tutto ciò che avviene nei sistemi IT è documentato dai log che dunque rappresentano strumenti preziosi per l’analisi delle prestazioni e la risoluzione di eventuali problemi.  

Essi possono essere colli di bottiglia o errori che rendono inefficienti i sistemi. D’altra parte, i log di sistema sono utili per individuare accessi non autorizzati e, in generale, per tenere traccia di tutte le operazioni aziendali e sono fondamentali per rilevare e poi studiare tentativi di attacchi alla cybersecurity.  

Più nello specifico, per esempio, un file log di un server contiene: l’orario di un evento, l’host di provenienza, l’utente coinvolto, la tipologia di evento. Nel caso di un firewall, sono registrati: orario e tipologia dell’evento e indirizzo IP o host sorgente e indirizzo IP o host di destinazione. 

 

Cosa vuol dire controllare il log? 

Fare l’analisi dei file di log significa rintracciare e studiare i vari eventi per capire errori o attività sospette e comportamenti insoliti. Si traduce cioè nell’esaminare tutto ciò che può compromettere l’efficienza operativa (inclusi guasti hardware software) e/o la sicurezza informatica. 

Controllare i file di log si traduce nel verificare anche ciò che accade, per esempio, durante i periodi non lavorativi, per esempio transazioni fallite, tentativo di penetrare nelle reti eccetera. 

È importante ricordare che, data la delicatezza dei dati trattati, l’accesso ai file di log è regolamentato. Devono essere stabiliti i profili che hanno accesso ai log, tipicamente in base al principio “need to know”.  

E, inoltre, le autorizzazioni assegnate devono garantire la possibilità di svolgere le attività coerenti con i ruoli svolti. 

 

Log management: perché è importante? 

I vantaggi che derivano da un accurato e performante log management sono così riassumibili: 

  • Ottimizzazione delle performance delle applicazioni e dei sistemi nel loro complesso. Da ciò deriva anche la possibilità di ottimizzare i processi che si servono di tali sistemi sia in termini di aumentata produttività che di riduzione dei costi. 
  • Identificazione di eventuali minacce. L’analisi dei log è uno strumento efficace per capire immediatamente se vi sono tentativi di compromissione di dati da parte di hacker, se le reti stanno subendo anomalie (si pensi, per esempio a un inizio di attacco DDoS) eccetera. 
  • Le aziende sono tenute per legge a tenere traccia di alcune operazioni. È il caso del trattamento dei dati per il GDPR. L’analisi dei log consente di preparare la documentazione necessaria per dimostrare la conformità al Regolamento ed è indispensabile per salvaguardare la reputazione aziendale. In qualsiasi momento è infatti possibile dimostrare quali azioni sono state effettivamente compiute dagli utenti, dove c’è stata compromissione e la velocità di risposta alla minaccia.  

 

Le piccole e medie imprese italiane sono sotto attacco: scopri i più recenti dati sulla network security

SCARICA IL REPORT

 

Come funziona il log management? 

Il processo di log management si compone dei seguenti passaggi: 

  • raccogliere i vari log da differenti fonti (dai server ai dispositivi di rete) in modo da poter, in un secondo momento, correlare le informazioni e interpretarle; 
  • indicizzare e archiviare in un sistema centralizzato i log, questo serve per renderli velocemente recuperabili e consultabili, oltre che per metterli al sicuro e creare un database unico e coerente; 
  • fare analisi dei log, si sfruttano solitamente software ad hoc capaci, in automatico, di controllare rapidamente una vasta mole di file facendo emergere quasi in tempo reale criticità che altrimenti si sarebbero scoperte in seguito alle loro conseguenze malevole. 

Gli esperti consigliano di impostare regole per stilare report periodici e non ricorrere alla loro preparazione solo in caso di problemi o di richieste da parte delle autorità. 

 

Che caratteristiche devono avere i log delle attività degli amministratori di sistema? 

Per essere davvero utili agli amministratori di sistema e cioè preziosi per le loro analisi, i file log devono avere le seguenti caratteristiche: 

  • completezza, ogni evento deve essere corredato da tutte le informazioni dettagliate, che lo contraddistinguono e lo rendono rilevante; 
  • integrità e immutabilità, si deve avere la certezza che una volta registrati nessuno sopraggiunga a alterarli; 
  • accessibilità, come anticipato, ogni file deve essere archiviato in modo strutturato, facilmente localizzabile. 

 

Best practice per una gestione efficace dei log 

Un processo di log management davvero proficuo è, naturalmente, quello che conduce all’identificazione di problemi. Tra i principali suggerimenti utili a cui fare riferimento perché questo avvenga vi sono: 

  • adottare software che consentano l’analisi dei log in automatico, che sappiano cioè recuperare le informazioni, centralizzarle analizzarle in tempo reale; 
  • le soluzioni appena citate vanno configurate adeguatamente in modo da impostare notifiche e alert che segnalino quando e dove è necessario intervenire, la gravità della problematica e così via; 
  • fissare revisioni regolari in modo da mantenere controllo costante sui sistemi e opzioni di miglioramento del processo di log management stesso. 

 

Conclusioni 

Il monitoraggio dei log fa parte di una strategia di cybersecurity davvero completa.  

DigitelNET aiuta le organizzazioni a implementare piani di sicurezza a 360 gradi. Essi integrano tutte le tecnologie necessarie a ostacolare le minacce (dagli antivirus, alle soluzioni per IoT ed email security), presuppongono tutte le analisi dei rischi, includendo i servizi di vulnerability assessment e pentesting. 

Gli esperti di DigitelNET sono però consapevoli del fatto che anche il log management non può essere trascurato. Consulenti esperti sono quindi a disposizione per impostare tutte le policy utili a impostare quanto occorre per centralizzare i file di log e ad analizzarli per rispondere agli specifici bisogni degli utenti finali. 

 

Le piccole e medie imprese italiane sono sotto attacco

Lo dicono i più recenti dati sulla sicurezza informatica delle aziende italiane. Scopri di più nel nostro report.

 
SCARICA IL REPORT
#cybersecurity

Leggi i nostri ultimi articoli

VAI AL BLOG
soc - security operation center

SOC: cos'è e come può aiutare la tua impresa

L’Italia, in particolare, è caratterizzata da un’elevata attività del cybercrime nel settore manifatturiero, con un incremento ...
Leggi di più
information security

Information security: soluzioni per proteggersi sul web

La partecipazione all’economia digitale a cui imprese di qualunque settore e dimensione devono partecipare per poter prosperare, ...
Leggi di più
cloud security cos'è

Cloud security: le migliori strategie per proteggere i dati aziendali

La protezione dei dati nel cloud non è soltanto una questione di conformità, ma anche un elemento fondamentale per mantenere la ...
Leggi di più
ISMS

ISMS: perché implementarlo e quali sono i benefici per l'azienda

A tal proposito, la ISO/IEC 27001 delinea il quadro di policy e tecnologie riconosciute a livello internazionale che può essere ...
Leggi di più
protezione dei dati e sicurezza informatica

Privacy e sicurezza dei dati aziendali: scopri come proteggerli

In questo scenario, diventa essenziale comprendere e implementare strategie efficaci per proteggere i dati sensibili, mantenendo ...
Leggi di più
spoofing

Cos'è lo spoofing e cosa fare in caso di attacco

Lo spoofing è una tipologia di cyber attack subdolo, studiato per ingannare i destinatari di comunicazioni digitali e manipolarli ...
Leggi di più