garante, privacy e amministratori di sistema

[mikyolivero]

il garante della privacy ha imposto nuove regole per gli amministratori di sys a garanzia del loro "indiscriminato" accesso ai famosi dati sensibili o comunque ai dati aziendali in genere...
impone tra l'altro che ci si metta in regola entro giugno!
qualcuno ne sa qualcosa su come fare, adempimenti vari e soprattutto strumenti che possano semplicemente metterci in regola? edin particolare qualcuno sa suggerirmi un buon sw per la registrazione degli accessi sui server?

grazie a tutti,
Miky

[garibalditi]

ciao,
prova a guardare questo
http://www.petri.co.il/record-audit-...t-overview.htm

e anche la versione "gratis"
http://www.petri.co.il/observeit-express.htm

ciao

[mikyolivero]

ho visto la demo e sembra interessante, in questi giorni proverò il trial che ho scaricato, poi ti farò sapere,
grazie,
Miky

il malefico SCOM ?

[GattoFrancoSimpatico]

Senza dubbio i due prodotti proposti sono molto interessanti. Personalmente non conosco il prezzo commerciale dell'ObserveIT però ho paura che il prezzo non sia trascurabile.
Mi chiedevo se qualcuno di voi conosce delle alternative di tipo gratuito e poi mi chiedevo, sempre in risposta alle richieste del garante della privacy, come si può conservare la lista degli accessi in modo tale che non venga modificata? Io pensavo con la firma digitale, ma mi chiedevo se esistono delle soluzioni integrate.

[tapper]

mmm... devo trovare questa normativa.....

Normativa "formale":
http://www.garanteprivacy.it/garante/doc.jsp?ID=1577499

Normativa "spiegata":
http://punto-informatico.it/2636419/...uchi-neri.aspx

Cosa fare per adempiere alla normativa senza andare a tirare in ballo i soliti software "ad hoc" che altro non sono che una GUI dei log di Windows/Linux:
http://www.comunecampagnano.it/gnu/m..._minihowto.pdf

[samu76]

ho dato un occhio al pdf...

il programma proposto non credo sia valido, o meglio, per quello che fa tanto vale usare l'event log di windows, filtrare i dati per l'amministratore, esportare i dati e creare un file crittato con GPG

ma chi fa questo lavoro di esportazione? l'amministratore stesso? in questo caso, una volta che ha il file txt può modificarlo senza problemi, ed impostare i log di sistema ad un mese massimo di stoccaggio

o forse sbaglio ragionamento?

[alghouti]

Riprendo questo thread perchè la fatidica data del 15/12 si avvicina e non si parla + di ulteriori propoghe...

In questi mesi saltuariamente ho cercato qualche soluzione, ce ne sono parecchie (anche se trovarne una che vada bene con Win, Linux e BSD e non costi un botto è arduo), ma il problema di fondo (per me) è l'interpretazione del provvedimento...

Per esempio:
Quali tipi di servizi dovrei monitorare? sembrerebbe mail server, web server e dbms...
Gli accessi di chi?! un web designer che accede al DB del portale che sta realizzando rientra nella definizione di Amministratore di sistema?
Idem... un operatore di call center che accede con le sue credenziali al DB tramite interfaccia web? non credo rientri nell'accesso tramite applicazione?!


Come vi state (o vi siete) muovendo? che soluzioni avete adottato voi?

[enzy]

Anch'io mi trovo nella situazione di dover valutare una soluzione per la registrazione degli accessi.... Potreste indicare qui di seguito che cosa avete trovato/attuato dai vari Amm. di sistema?
Io avrei trovato una soluzione della nextlog.... pero' mi piacerebbe sapere cosa altro puo' esserci prima di decidere....
Forza postate qualche consiglio....

[kapteo]

ciao a tutti
io sto proprio lavorando nell'ambito.
di open source non ho ancora trovato nulla.
il piu valido credo sia "SA Monitor", completamente basato su oracle ma con licenze al tiro di oracle (spropositate)
in alternativa la soluzione NetIQ che ha licenze piu abbordabili...ma è piu invasivo sui sistemi..anche se molto usabile

[mproietti]

Non so se può interessare, ma io sto attuando il provvedimento con una soluzione "realizzata in casa" a costo zero che si basa su rsyslog e snare for windows:
http://blog.maurizio.proietti.name/2...ri-di-sistema/
Spero possa esservi utile.
Saluti
M.

[citus]

Quote:

Originariamente inviato da mproietti

Non so se può interessare, ma io sto attuando il provvedimento con una soluzione "realizzata in casa" a costo zero che si basa su rsyslog e snare for windows:
http://blog.maurizio.proietti.name/2...ri-di-sistema/
Spero possa esservi utile.
Saluti
M.

Ciao a tutti,
ci smanetto anche io da un paio di settimane per vedere come fare con tutti i server che abbiamo quì. Ci sono ottimi sw commerciali che ho valutato (come InTrust della Quest e una soluzioen di nextlog) ma le licenze costano... e comunque sono software nati per fare tutt'altro, monitoraggio dei log di rete, ed ora approfittano della normativa per venderli (ovviamente )

La soluzioen proposta da mproietti è interessante, solo che sarebbe l'ideale trovare un modo di accedere ai log di Windows SENZA dover installare nulla localmente sugli host da monitorare! Ad esempio, stavo valutando anche il sw della Manage Engine che si chiama Event log Analizer, che è ottimo e non ha un gran costo ma non è molto customizzabile, nel senso che mi logga tutto mentre io vorrei filtrare solo quanto chiesto dalla normativa.
Sto cercando dei plugin appositi per Nagios, del resto se lo fa Log Analizer non vedo perchè (sempre tramite un account con privilegi sufficienti) non si possa fare da altre suite

Se trovo qualcosa lo posto


piccola nota a margine.
Concordo sul fatto che questa normativa, così fatta, sia totalmente inutile ai fini della sicurezza. Concordo che sia una macchina per far soldi e beato chi riesce ad approfittarne.
Però volendo non essere sempre disfattisti, può essere un primo piccolo passo verso una sensibilizzazione sull'argomento sicurezza. Anche se non confido troppo che sia così... vedremo negli anni a seguire se ci saranno integrazioni e campagne a proposito

[citus]

Peccato vi sia poco interesse, comunque scrivo lo stesso

Ho scaricato e sto provando i seguenti sw e virtual appliance:
- zenoss
- groundwork
- splunk
- snare

In particolare i primi due li sto installando sotto vmware e servono prettamente per il monitoraggio di rete (groundwork include Nagios). Voglio vedere se riesco tramire loro a portar via in tempo reale i log di sistema di windows.
Mi sto preoccupando solo di windows semplicemente perchè per host linux il problema non si pone minimamente...

[sk8ne]

Mi aggrego a questa discussione.

In azienda si sono accorti adesso che manca poco al 15 dicembre e bisogna fare tutto di fretta, come al solito.

Abbiamo 10 PC tra di loro in Workgroup. C'è solo un server AS400 Un casino esagerato.

Mi sa che non è possibile con la situazione attuale avere un log che sia "affidabile" ...

[fran77]

Quote:

Originariamente inviato da citus

Peccato vi sia poco interesse, comunque scrivo lo stesso

Ho scaricato e sto provando i seguenti sw e virtual appliance:
- zenoss
- groundwork
- splunk
- snare

Zenoss lo avevo provato tempo fà, ma non avevo pensato alla faccenda dei LOG e del tracciamento delle attività admin.

In effetti.... è un ottima idea! Piuttosto che spendere un sacco di money per applicativi come quelli che pubblicizza Symantec...

[citus]

Quote:

Originariamente inviato da sk8ne

Mi aggrego a questa discussione.

In azienda si sono accorti adesso che manca poco al 15 dicembre e bisogna fare tutto di fretta, come al solito.

Abbiamo 10 PC tra di loro in Workgroup. C'è solo un server AS400 Un casino esagerato.

Mi sa che non è possibile con la situazione attuale avere un log che sia "affidabile" ...

Per pc windows non ho avuto problemi, durante i test con Event Log Analizer e con InTrust (tutte soluzioni commerciali) a catturare i log.
Per altri sistemi devi sfruttare o il syslog o farti degli script che in qualche modo sputino i log da qualche parte, e poi te li prendi.

Quote:

Originariamente inviato da fran77

Zenoss lo avevo provato tempo fà, ma non avevo pensato alla faccenda dei LOG e del tracciamento delle attività admin.

In effetti.... è un ottima idea! Piuttosto che spendere un sacco di money per applicativi come quelli che pubblicizza Symantec...

Riguardo Zenoss l'ho installato ma non ci ho smanettato più di tanto, anche perchè in azienda hanno deciso di vendere InTrust e Event Log Analizer. Io comunque continuo a studiarmi i sistemi sia Nagios che Zenoss, sperando di adottarli per soluzioni low cost (oltre che per cultura personale). Se hai aggiornamenti butta un urlo

Da sottolineare che con Event Log Analizer penso sia possibile filtrare solo i log che ci interessano, il che evita di memorizzare nel db una mole di dati che non ci servono. Ovviamente questo non serve se uno adotta questa soluzione anche per il monitoraggio dei server.

C'è un piccolo aggiornamento, hanno provato a restringere il campo ma non è che ci siano riusciti tanto...
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218

Praticamente saranno ben poche le aziende che rientrano in questa "semplificazione"

[sk8ne]

Quote:

Originariamente inviato da citus

Per pc windows non ho avuto problemi, durante i test con Event Log Analizer e con InTrust (tutte soluzioni commerciali) a catturare i log.

Ma come fai ad analizzare quello che fa un amministratore in rete senza che esista un identificativo dell'admin? Lo devi configurare ed installare per ogni macchina? ma poi ogni utente su ogni macchina è amministratore della stessa, che si fa, si logga tutto?

[::::Dani83::::]

Io aspetterei una normativa più chiara...

[sk8ne]

Sì, ok, ma allora che faccio per il 15? Sono due o tre anni che c'è sta normativa che gira ...