Monitoraggio del sistema e sviluppo di strategie di Intrusion Detection

	Sign In Sign-Up

Next: Requisiti di controllo in Up: Analisi dei server di Previous: Controllo degli accessi completo Indice

Monitoraggio del sistema e sviluppo di strategie di Intrusion Detection

L'uso di strumenti di IDS è caldamente consigliato così come un'accurata documentazione su come e perchè le informazioni vengono loggate su ogni macchina.

Quando i server vengono messi in produzione è bene creare una completa affidabile e accurata caratterizzazione dei sistemi, vedere come si evolvono e stabilire uno stato di corretto funzionamento da comparare col sistema corrente al fine di trovare dei malfunzionamenti.

Bisogna sapere dove sono situati tutti i beni e che tipo di informazione si deve trovare in ogni luogo. Bisogna essere capaci di conoscere il corretto o presunto stato di ogni bene. Senza queste informazioni non è possibile determinare se qualcosa è stato aggiunto, cancellato, modificato, perso o rubato.

I log e l'IDS dovrebbero includere meccanismi di:
$\begin{dinglist}{87} \item Monitoraggio e ispezione dell'uso delle risorse del s... ...m Riduzione, controllo, monitoraggio e ispezione dei file di log. \end{dinglist}$

Inoltre i sistemi di IDS devono:

Allertare l'amministratore di attività sospette che richiedono ulteriori investigazioni.
Determinare l'estensione dell'attività di un intruso.
Aiutare a ripristinare il sistema.
Fornire informazioni per i procedimenti legali.

É importante bilanciare la memorizzazione di dati relativi al sistema, alla rete, all'attività degli utenti con le risorse di memorizzazione disponibili, i processi, e la loro sicurezza. Alcune utili considerazioni da tenere a mente per scegliere i dati utili sono:
$\begin{dinglist}{92} \item Quale è la priorità di questo bene (hardware, softwar... ...colti al fine di ottenere informazioni utili quando è necessario? \end{dinglist}$
Si ricorda che i log devono essere letti, esaminati e analizzati periodicamente altrimenti non servono a nulla.

L'autore del PP/ST deve elencare specificatamente quali eventi devono essere monitorati dal TSF per essere analizzati e deve altresì specificare quali altre informazioni relative all'evento sono determinanti per stabilirne l'importanza.

Si raccomanda di eseguire le raccomandazioni della Classe FAU (security audit) dei Common Criteria Ver. 2.1 Parte 2. Il controllo della sicurezza coinvolge il riconoscimento, la registrazione, il salvataggio e l'analisi delle informazioni relative ad importanti attività di sicurezza (come ad esempio le attività controllare dal TSP). Le registrazioni derivanti dal controllo devono essere esaminate per determinare quali attività relative alla sicurezza sono state attivate e chi (quale utente) ne è responsabile.

Subsections

Requisiti di controllo in un ambiente distribuito

Next: Requisiti di controllo in Up: Analisi dei server di Previous: Controllo degli accessi completo Indice

Gian Fabio Palmerini 2001-10-31