Audit Using EventLog Analyzer

Audit Using EventLog AnalyzerPrivileged User Monitoring and Audit Using EventLog Analyzer
Amministratori di rete, amministratori di sistema, e amministratori di database hanno accesso illimitato a tutti i server, applicazioni e database di un’azienda. Hanno il potere di creare, rimuovere e gestire i profili di accesso degli utenti. Il loro ruolo è fondamentale per dare continuità all’operatività dell’azienda e richiede quindi accesso con poche restrizioni ai vari sistemi.

Minacce esterne
Attraverso quelli che si usa definire backdoor entry program, una volta che una risorsa di rete è compromessa, gli hacker possono accedere alle credenziali dell’amministratore di rete quindi, un furto di identità. Ciò consente loro di accedere ai sistemi aziendali critici, leggere i dati sensibili, e, infine, causare enormi danni al business dell’azienda.

C’è un detto in latino “Quis custodiet custodes ipsos?” che tradotto letteralmente significa “Chi sorveglia i sorveglianti stessi?”. Ed è questo motto, associato agli amministratori di sistema, quello sfruttato dagli hacker per avere accesso alle reti senza lasciare traccia.

Minacce interne
Il caso Wikileaks, sottolinea le principali sfide che i governi e le organizzazioni devono affrontare a causa delle minacce dall’interno. Secondo l’indagine 2011 CyberSecurity Watch SurveyGli attacchi dall’interno stanno diventando sempre più sofisticati, con una percentuale che è passata dal 9% nel 2010 all’attuale 22% anche a causa della facilità con cui strumenti di hackeraggio sono reperibili. Il danno alla reputazione dell’azienda, l’interruzione di servizi business critical e la diffusione di importanti informazioni riservate, sono le conseguenze più gravi delle minacce alla sicurezza informatica intera”

La frase “da(?) grandi poteri derivano grandi responsabilità” è molto significativa per gli amministratori di sistema. Nel mondo reale, davanti a situazioni di lavoro impegnative, l’amministratore di sistema non considerando le proprie responsabilità, tende a prendere delle “scorciatoie” come ad esempio condividere le credenziali di accesso ai sistemi con i propri collaboratori. La concessione di questi permessi a persone non autorizzate, viola le policy di sicurezza del settore IT.

La sfida
Senza un controllo, queste violazioni da parte degli amministratori di sistema, possono causare danni molto seri alla credibilità dell’azienda. La sfida che un’azienda si trova ad affrontare è: le attività degli amministratori di sistema passano “inosservate”. È difficile immaginare le conseguenze di una violazione sulle policy di sicurezza da parte di coloro che invece dovrebbero applicarle.

Tenuto conto della gravità del problema, le normative (egli auditor)richiedono che venga monitorata l’attività degli amministratori di sistema per prevenire episodi di furti di identità e ottenere una visione a 360 gradi delle attività degli utenti. La sfida è avere un sistema di monitoraggio e audit affidabile.

La soluzione
In un’era in cui persone e dispositivi comunicano tramite flussi di bit e bytes, si ha la necessità di raccogliere, archiviare, analizzare, tutte le attività svolte dai sistemi informativi. Nei log dei vari sistemi (es. EventLog e syslog) vengono tracciate informazioni dettagliate che pemettono di sapere chi, cosa, quando, dove, e perché si è verificato un determinato problema. Gli accessi eseguiti dagli amministratori di rete su qualunque sistema o applicazione, vengono registrati. L’utilizzo di una soluzione come Eventlog Analyzer di ManageEngine, permette di monitorare, analizzare e creare una reportistica dettagliata su tutte le attività degli amministratori di sistema.

 ManageEngine EventLog Analyzer
Eventlog Analyzer, è una soluzione software agentless (è disponibile anche un agent da installare), web based, che permette di fare il monitoraggio e l’analisi degli eventlog e degli application log. È utilizzato da aziende di tutto il mondo per generare in automatico report sulla sicurezza e compliance alla normative come: PCI-DSS, HIPAA, FISMA, SOX, GLBA e per altre compliance specifiche.

In particolare permette di ottemperare perfettamente al provvedimento del Garante Privacy relativo alla gestione degli Access Log degli Amministratori di Sistema.

Privileged User Monitoring and Audit Reporting with EventLog Analyzer
Nel giro di pochi minuti dal deploy , EventLog Analyzer, inizia a raccogliere e archiviare i log di tutti i server e dispositivi di rete. I logs vengono poi analizzati e viene generato un report dettagliato. I report di Eventlog Analyzer sono in base agli utenti e alle attività.

User Based Reports
Questi report mostrano gli eventi di uno specifico utente o gruppo di utenti. È possibile fare un filtro in base a utente, evento o host selezionato. I seguenti eventi vengono visualizzati graficamente nel report: User Logons, User Logoff, Failed Logons, Successful User Account Validation, Failed User Account Validation, Audit Logs Cleared, Audit Policy Changes, Objects Accessed, User Account Changes and User Group Change.

User Activity Overview
Questi report, invece, offrono una panoramica delle attività degli utenti in base a uno specifico host o gruppo di hosts. I seguenti eventi vengono visualizzati graficamente nel report: User Logons, User Logoff, Failed Logons, Successful User Account Validation, Failed User Account Validation, Audit Logs Cleared, Audit Policy Changes, Objects Accessed, User Account Changes and User Group Change.

Articolo originale in inglese: Audit Using EventLog Analyzer

Nessun commento

Commenta