Uno dei mezzi migliori per rilevare le intrusioni consiste nel sorvegliare i log degli eventi (detto anche Log d'attività o in inglese logs). In effetti, in maniera generale, i server immagazzinano in dei file una traccia delle loro attività e in particolare degli errori riscontrati. Ora, quando si verifica un attacco informatico, è raro che il pirata riesca a compromettere un sistema al primo colpo: agirà per tentativi, provando differenti richieste.
Così la sorveglianza dei log permette di rilevare un'attività sospetta. È molto importante sorvegliare i log d'attività dei dispositivi di protezione dato che, anche se ben configurati, possono essere bersagli di un attacco.
In realtà non è evidente distinguere le allerte reali dagli attacchi automatici effettuati dagli worms di rete, i virus e gli strumenti come gli analizzatori di vulnerabilità. Così, la maggior parte degli attacchi subiti da un server sono degli attacchi ne non possono in alcun caso compromettere il sistema (ad esempio gli attacchi dei server web Microsoft IIS contro dei server su Linux con Apache). Ne risultano tuttavia delle allerte inutili, che provocano quello che viene chiamato rumore, impedendo di concentrarsi sulle vere allerte.
Articolo redatto il 22 luglio 2005 da Jean-François PILLOU.
Foto: © Martial Red – Shutterstock.com