Non è possibile fermare ciò che non può essere rilevato in ogni fase di un attacco.
È dunque essenziale definire una buona politica di centralizzazione dei log, ovvero raccogliere e archiviare i log dei server, delle postazioni di lavoro, dei dispositivi (e altro) in uno o più luoghi in maniera centralizzata e protetta. Può trattarsi di una memorizzazione locale, presso un fornitore di prestazioni esterno o in un servizio cloud.
L’obiettivo è quello di poter accedere facilmente a queste informazioni anche in caso di attacco o compromissione.
Se l’impresa dispone dei mezzi necessari, è possibile implementare un monitoraggio dei log in un SIEM e impostare delle notifiche nonché creare un SOC per avere una panoramica globale e centralizzata di ciò che accade in un’infrastruttura IT.
Si tratta in genere dell’ultima fase di un percorso di sicurezza, poiché l’introduzione di questi strumenti non è né semplice né economica.
SIEM
I SIEM («security information and event management») sono soluzioni per rilevare e rispondere a eventi o incidenti all’interno di un ambiente IT. Raccolgono e aggregano i log di tutta l’infrastruttura IT ed eseguono analisi per tracciare e rilevare le anomalie in tempo reale.
SOC
Un SOC («security operations center») è un centro di controllo informatico centrale che monitora e gestisce i sistemi e le reti di un’impresa. Si tratta di una piattaforma che consente di sorvegliare le prestazioni dei sistemi, individuare e risolvere i problemi in tempo reale e garantire la continuità delle attività.
È importante ricordare che i SOC e i SIEM sono utili se qualcuno segue e reagisce agli avvisi generati da questi strumenti.
—
Log (diminutivo di «logging»): file su cui sono memorizzate le registrazioni delle operazioni automatizzate che concernono un sistema o un software. Consente di analizzare l’attività interna di un processo.
