No results found
di Daniele Trazzi
GFI Events Manager è un software di monitoraggio delle attività e dei meccanismi ed applicazioni di sicurezza di una rete aziendale, riguardante tutti i computer che ne fanno parte; il prodotto permette di gestire i dati di registro degli eventi ai fini dell’affidabilità, della sicurezza e della conformità a normative come il GDPR.
In questo tutorial analizzeremo le funzionalità di GFI Events Manager orientate alla compliance con il GDPR, ovvero il regolamento europeo sulla gestione e tutela dei dati sensibili.
Prima di entrare nel merito verrà comunque fatta una rapida panoramica sul prodotto, propedeutica alla comprensione dei concetti che poi applicheremo al GDPR.
Partiamo dallo spiegare quali sono le funzioni di GFI Events Manager: ebbene, prima di tutto permette di avere una visione in real-time completa di tutti i log e di quello che sta accadendo nella nostra infrastruttura; tramite un'interfaccia utente molto intuitiva ci permette il totale monitoraggio degli eventi di rete.
GFI Events Manager è di fatto un contenitore unico dove posizionare e salvare i log degli eventi, che può essere un’area del computer o della rete protetta, quindi non accessibile a persone estranee.
Inoltre ci consente di visualizzare i log in un modo più funzionale di quello dei log di Windows e permette di avere una visione più organica attraverso regole predefinite.
Il prodotto permette il totale controllo degli eventi che interessano le reti aziendali che avviene previa verifica dello stato ottenibile lanciando una scansione del sistema; tale scansione può essere avviata sia inizialmente dopo l’installazione, sia in ogni momento.
GFI Events Manager offre sostanzialmente:
Determinante, per l’installazione e l’utilizzo di GFI Events Manager è la dotazione hardware e software del sistema dove verrà eseguito.
Sul piano del’hardware i requisiti sono i seguenti:
Più articolata è la dotazione software richiesta, che sul piano dei sistemi operativi supportati è la seguente:
Inolte GFI Events Manager richiede componenti aggiuntivi come NET 4 Microsoft Data Access Components (MDAC) 2.8 o versioni successive.
Compliance GDPR
Per affrontare il tema della rispondenza di GFI Events Manager al GDPR è opportuno richiamare innanzitutto l’Articolo 32 - Sicurezza del trattamento dei Dati – il cui testo è il seguente.
1) Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2) Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3) L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4) Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
Ugualmente importante è il testo dell’Articolo 33 - Notifica di una violazione dei dati personali all'autorità di controllo che impone di.
1. descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
2. comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
3. descrivere le probabili conseguenze della violazione dei dati personali;
4. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Stabilito ciò, la compliance GDPR di GFI Events Manager è soddisfatta perché con il prodotto possiamo tracciare e salvare log di accessi al sistema non autorizzati, allo scopo di prevenire la divulgazione dei dati sensibili. Ciò viene ottenuto monitorando:
Possiamo inoltre tenere traccia dei Logon degli Amministratori di Sistema e conservare il Log Eventi per un periodo di almeno 6 mesi, come prescritto dal regolamento.
Inoltre, come richiesto dal GDPR, il prodotto permette di archiviare non solo i log degli accessi degli utenti, ma anche i dati che riguardano l’attività degli amministratori sistema e quindi di tutte le persone che sono autorizzate a lavorare su i dati sensibili degli utenti, come amministratori, sistemisti eccetera
Vediamo adesso come si impostano le varie sezioni di GFI Events Manager per rendere l’installazione conforme alle disposizioni del GDPR. Partiamo dalla configurazione, da eseguire subito dopo aver installato il prodotto.
All’avvio di GFI EventsManager appare la Quick Launch Console, mostrata nell’immagine seguente, dalla quale è possibile raggiungere le principali funzionalità del prodotto.
Più esattamente consente di utilizzare tutti gli strumenti accessibili dalla barra dei menu e dalla console è possibile accedere alla Dashboard; dalla console disponiamo dei collegamenti alle principali funzionalità ed abbiamo una visione generica di GFI Events Manager, mentre dalla Dashboard otteniamo una visione di insieme della nostra rete locale, vediamo tutti i PC connessi, quanti utenti sono connessi al momento, i tentativi di login non riusciti e via di seguito. Da qui possiamo lanciare la scansione per vedere i vari PC della rete, eventualmente filtrandola per dominio, indirizzo IP ecc.
Vediamo quindi come impostare il prodotto partendo dala Dashboard, la quale è composta da tab che sono Status, Configuration, Events Browser, Reporting e General. Nella prima tab, ossia Status, vediamo tre sezioni, ossia General (immagine seguente) Job Activity e Statistics, che sono una sorta di monitor generale della situazione della rete.
Per prima cosa bisogna andare nella tab Configurazione (Configuration) e qui andremo a definire gli utenti: allo scopo, nella struttura ad albero a sinistra della schermata facciamo clic su Users and Groups, quindi qui clicchiamo su Users ed apriamo la finestra proposta nell’immagine seguente.
Qui vediamo, nel riquadro omonimo, un unico utente, che è quello creato per impostazione predefinita a seguito dell’installazione di GFI Events Manager (se ce ne fossero altri vedremmo anche quelli); clicchiamo con il pulsante destro del mouse nell’area corrispondente e quindi sull’icona Create User che vi appare. In questo modo apriamo la finestra di gestione utenti proposta dall’immagine seguente, la quale ha una serie di tab.
Qui impostiamo o modifichiamo le proprietà degli utenti ma possiamo anche eliminare l’utente. Tra le impostazioni possibili abbiamo gli alert, il tipo di utente (amministratore, per esempio) e i privilegi concessi, oltre alla possibilità di gestire i gruppi. Per l’esattezza, il tab Generale riporta le informazioni principali come il nome utente, il contatto di posta elettronica e il numero di cellulare (da inserire se si desidera avere notifiche anche da SMS), mentre:
Torniamo adesso alla finestra principale e alla struttura ad albero che vi si trova a sinistra, soffermandoci sulla voce Audit Options: l’audit è una funzione che corrisponde ad “ascoltare” l’attività degli utenti, nel senso che consente di vedere (o meglio, registrare) che cosa fanno gli utenti definiti in GFI Events Manager, quando visionano i log e quali log vedono, se modificano degli eventi ecc., in modo da avere il pieno controllo, da parte dell’amministratore di sistema o del responsabile della compliance GDPR, su chi può avere accesso a informazioni sensibili.
Altra impostazione da eseguire all’inizio è quella che permette di configurare lo storage: si effettua dalla tab Configurations cliccando su Options, da cui è possibile settare i vari parametri principali di funzionamento di EventsManager, come ad esempio la posizione dello storage e quindi dove salvare i log generati. Nella struttura ad albero a sinistra, dobbiamo cliccare sulla voce File Storage, ottenendo quanto appare nell’immagine seguente.
Qui, per definire l’unità si clicca su Configure File Storage, accedendo così alla finestra di dialogo mostrata nell’immagine seguente; qui definiamo sia il nome assegnato allo storage, sia il percorso (Path) per raggiungerlo (può essere un disco rigido locale o altro, ovvero una partizione e via di seguito).
Eventualmente possiamo crittografare i dati rendendoli accessibile solo a chi sarà in possesso della password di accesso, da definire nella casella Password dopo aver posto il segno di spunta sulla casella Encrypt data using the following password.
Volendo, dalla tab Rotation è possibile impostare una rotazione del database, con i relativi parametri (immagine seguente) spuntando per prima cosa la casella Enable database rotation.
La rotazione determina la retention dei dati, la quale a sua volta è condizionata dallo spazio di storage assegnato nella finestra di dialogo, perciò se vogliamo una retention lunga dobbiamo adeguare lo spazio.
Possiamo quindi definire una rotazione del database a piacimento, comunque se vogliamo restare nella compliance GDPR potremmo mettere 6 mesi, ovvero indicare al prodotto che ogni mese deve effettuare la rotazione del database.
Tra le configurazioni abbiamo anche Event Sources (immagine seguente) che offre una visione generale delle origini degli eventi e permette la personalizzazione dei gruppi; le origini possono essere visualizzate nel riquadro Groups, dove appaiono distinte sia per categorie rilevate dalla scansione della rete (vengono peraltro memorizzate, quindi restano anche in caso di cambiamenti e quelle non più esistenti devono essere rimosse manualmente).
La personalizzazione dei gruppi si effettua cliccando con il pulsante destro del mouse sul nome di un gruppo (nel riquadro Groups) e si possono impostare tutti i parametri corrispondenti, mediante l’accesso alla finestra di dialogo mostrata nell’immagine seguente.
In essa abbiamo varie tab con cui fare tutte le specifiche impostazioni: per esempio in Monitoring possiamo specificare se archiviare semplicemente i log oppure elaborarli secondo le regole definite prima di procedere all’archiviazione; in Operational Time stabiliamo l’orario di lavorativo per il gruppo, in modo che tutte le attività compiute dopo all'orario definito (per esempio logon) vengano contrassegnate come critiche e generino degli alert. Anche qui è possibile impostare il prodotto in modo che il suo funzionamento soddisfi i requisiti del GDPR.
In Licensing Type specifichiamo che tipo di licenza adoperare: a riguardo va precisato che se stiamo impostando una workstation possiamo anche utilizzare Active monitoring, che è una licenza limitata ma per le workstation va benissimo, nel senso che ci interessa ricevere soltanto i log degli eventi.
Va notato che per alcune categorie sono già predefinite delle impostazioni caratteristiche: è il caso. ad esempio, di Cisco PIX & ASA Devices o Linux Hosts.
Rimanendo sulla struttura ad albero a sinistra, vediamo che cliccando su Performance Option accediamo a una finestra di dialogo nella quale definire ad esempio la frequenza con cui eseguire le scansioni (immagine seguente).
Possiamo specificare quante scansioni deve fare nell’unità di tempo (in questo caso sono stati impostati 100 eventi per secondo, quindi GFI Events Manager riceve 100 eventi ogni secondo); notate che non si possono aumentare gli eventi a dismisura, perché più si alza la loro frequenza, più verranno condizionate le prestazioni della CPU.
Naturalmente, più frequenti saranno le scansioni, più certezza si avrà di intercettare eventi come accessi non autorizzati, ma non bisogna esagerare.
La finestra Event Processing Rules contiene la gestione delle regole per la generazione di categorie di eventi personalizzate (immagine seguente). Qui possiamo definire delle regole oltre quelle preimpostate, quindi, ad esempio se vogliamo ignorare l'acquisizione di determinati log Windows, se ci sono dei log con un determinato ID event che vogliamo rifiutare, da qui andiamo a indicare al prodotto che quegli ID event che stiamo ricevendo da determinati computer della nostra azienda non ci interessano, allorché GFI Events Manager li ignora e di conseguenza non li archivia.
Dalla stessa finestra possiamo anche aumentare la criticità, ossia impostare determinate azioni al verificarsi di determinati eventi, come ad esempio farci inviare una e-mail se si presenta un determinato errore.
Importante, ai fini del GDPR, è la sezione Security, accessibile cliccando sulla voce omonima nella tree di sinistra, nella quale possiamo andare a impostare, sotto Monitoring and Attack Detection, la voce Logon failure, relativa ai tentativi di accesso falliti perché effettuati con username o password sbagliati, o anche fuori dall’orario di lavoro impostato in Operational Time (come spiegato qualche paragrafo indietro).
Notate che cliccando con il pulsante destro del mouse su questa regola, come su qualsiasi altra, è possibile stabilire che GFI Events Manager si comporti diversamente, ovvero consideri il fatto come più rilevante o meno rilevante, fino a ignorarlo se si imposta Noise event. Ricordate che più un evento è impostato come critico, più impegnativo sarà il compito del prodotto, il che si riflette sulle risorse computazionali e di storage richieste.
Restando in tema, dalla struttura ad albero della tab Configuration si possono impostare le opzioni di alert: basta cliccare sulla voce Alerting Options e, nella finestra che si apre, sulla voce Edit alerting options così da accedere all’omonima finestra di dialogo mostrata nell’immagine di seguito.
Qui si possono impostare tutti i parametri relativi agli alert e quindi i server di posta da utilizzare (nella tab Email), le impostazioni di rete per accedervi (tab network), gli eventuali numeri e le modalità se desideriamo notifiche via SMS (nella tab omonima) i parametri del server di posta in uscita e i parametri per gli alert SNMP.
Torniamo ora alle voci di menu per analizzare Events Browser, cliccando sulla quale accediamo a una sezione tramite la quale possiamo visualizzare tutti gli eventi archiviati dalle varie sorgenti e per ciascuna categoria. Quindi è possibile vedere i dettagli di ciascuna voce (immagine seguente).
Da questa finestra otteniamo informazioni molto utili per il monitoraggio ai fini del GDPR perché intanto possiamo filtrare gli eventi per computer, tipo di logo oppure per orario: quest’ultima opzione ci permette di verificare quali si sono verificati nell’orario di lavoro degli utenti corrispondenti e quali fuori orario, il che farebbe presupporre un accesso fraudolento o quantomeno non autorizzato.
Concludiamo con la sezione Reporting, accessibile cliccando sull’omonima voce di menu (immagine seguente); in essa, un pop-up ci permette di completare e o di generare nuovi report.
La sezione Reporting ci permette anche di gestire l'invio di report personalizzati o anche pianificati, volendo, in base a determinate compliance scelte tra quelle nell’elenco riportato nel riquadro Reports.