Sursum Log: Introduzione a OSSEC e Splunk

Ovvero, quando un server bucato può aumentare la sicurezza dei servizi informatici gestiti.

Il principio secondo il quale ad ogni azione corrisponde una reazione uguale e contraria vale anche in caso di incidente di sicurezza? E questo deve necessariamente essere un evento esclusivamente negativo? Dopotutto, proprio per il fatto di mettere in evidenza i limiti del proprio sistema di difesa e delle misure operative che lo governano, non può rivelarsi anche una preziosa occasione per migliorarlo?

A qualche tempo di distanza da alcune compromissioni di servizi informatici ospitati al CNAF, si mettono in risalto le contromisure adottate, le strategie messe in campo e il cambiamento nelle abitudini consolidate che ne è derivato: dall'introduzione di OSSEC, un sistema di rilevamento delle intrusioni a livello host, al suo adattamento ai servizi monitorati, passando per la raccolta dei log, la loro analisi e correlazione attraverso Splunk, uno dei sistemi più promettenti e in voga in fatto di gestione intelligente dei log.

Nel seminario vengono descritti i due sistemi OSSEC e Splunk, le loro principali caratteristiche e l'uso che se ne sta facendo per la gestione dei servizi Grid ospitati al CNAF e considerati più esposti.