Negli ultimi anni i sistemi di sicurezza sono cambiati radicalmente: quelle che un tempo erano soluzioni isolate, chiuse e incentrate sull'hardware, oggi sono diventate sistemi IT altamente connessi e basati sul software. I sistemi di videosorveglianza, il controllo degli accessi e la protezione perimetrale sono parte integrante dell'infrastruttura IT e sono quindi esposti alle stesse minacce dei sistemi IT tradizionali.
Con questo sviluppo, l'importanza degli audit log* aumenta notevolmente. Gli audit log documentano le attività rilevanti per la sicurezza, gli eventi di sistema e le azioni degli utenti in ordine cronologico e a prova di manomissione. Sono quindi uno strumento centrale per garantire trasparenza, tracciabilità e controllo in architetture di sicurezza sempre più complesse.
Nuovi vettori di attacco: nuove esigenze di rilevamento e controllo
Oltre alle classiche minacce esterne, come malware, ransomware, APT o attacchi DDoS, i rischi interni sono sempre più in primo piano. In particolare utenti autorizzati rappresentano un rischio maggiore. Gli amministratori, il personale addetto alla manutenzione o i fornitori di servizi esterni, ad esempio, dispongono di una profonda conoscenza tecnica dettagliata e di ampi diritti di accesso. Le manipolazioni possono essere intenzionali o non intenzionali e spesso rimangono non rilevate senza adeguati meccanismi di tracciamento.
Proprio qui entrano in gioco gli audit log, colmando questa lacuna. Ad esempio, documentano le modifiche alle configurazioni e ai parametri, gli accessi ai dati video in diretta o archiviati, ma anche le modifiche agli utenti e ai ruoli, nonché gli eventi di sistema e gli interventi software. Così, da una potenziale manipolazione invisibile si passa a un processo tracciabile che, a seconda dell'entità della modifica, può anche attivare una segnalazione proattiva.
Soprattutto in caso di aggressori interni o di attacchi indiretti, ad esempio tramite credenziali compromesse, gli audit log sono spesso l'unico elemento di prova affidabile e probatorio. Gli audit log costituiscono quindi la base per il rilevamento delle minacce tramite scenari di manomissione tipici lungo l'intera catena video, dalla telecamera alla trasmissione dei dati, all'archiviazione e alla visualizzazione.
Audit log nel contesto della Security-by-Design
Axis adotta sempre in modo coerente l'approccio Security-by-Design. Le funzionalità di audit trail sono parte integrante dell'ecosistema Axis, sia a livello di dispositivo che nel software di gestione video. In combinazione con:
- Gestione utenti e ruoli
- Autenticazione basata su certificato (ad es. IEEE 802.1X)
- Crittografia (TLS)
- Con il monitoraggio del software e della configurazione
Si delinea un concetto di sicurezza che rende più difficili gli attacchi e soprattutto rende visibili le manipolazioni.
Infine gli audit log possono infine essere letti tramite diverse interfacce, ad esempio attraverso flussi di eventi verso sistemi VMS, via HTTP/HTTPS tramite l'API VAPIX Audit Log o tramite Syslog remoto verso piattaforme IT e SIEM centralizzate.
Audit log e monitoraggio software: due lati di una medaglia
Le moderne architetture di sicurezza si basano sempre più sul monitoraggio del software (sigillatura del software), per rilevare le manipolazioni da parte di utenti autorizzati.
Gli audit log ne costituiscono la base operativa:
- Rilevamento delle modifiche alla configurazione
- Rottura dei sigilli
- Integrare le modifiche in processi di approvazione e workflow chiaramente definiti
Senza l'audit log, ogni monitoraggio software rimane incompleto, poiché le modifiche non possono essere assegnate in modo univoco.
Requisiti normativi: KRITIS, NIS2, ISO 27001
Gli audit log non sono più un dettaglio tecnico, ma un elemento strategico delle moderne architetture di sicurezza. Svolgono un ruolo fondamentale nelle architetture aperte e connesse, dove il monitoraggio e il tracciamento delle attività sono essenziali per rilevare e prevenire tempestivamente gli incidenti di sicurezza. Inoltre, sono essenziali per soddisfare i crescenti requisiti normativi, come quelli stabiliti da KRITIS, NIS2 e ISO 27001.
Queste normative richiedono una documentazione completa e il monitoraggio delle attività del sistema per garantire la conformità e colmare potenziali lacune di sicurezza. Inoltre, gli audit log sono molto importanti quando si tratta di utenti interni e privilegiati. Aiutano a identificare e prevenire gli abusi e gli accessi non autorizzati, rafforzando così in modo sostenibile la sicurezza interna e l'integrità dei sistemi.
Di seguito tre esempi di applicazione:
- Esempio n. 1:
- Esempio n. 2:
- Esempio 3:
I dispositivi Axis offrono opzioni versatili e flessibili per l'utilizzo degli audit log, dal monitoraggio in tempo reale all'analisi della sicurezza a lungo termine. Gli eventi di audit possono essere integrati in tempo reale nei sistemi di gestione video e dei dispositivi per rispondere direttamente alle attività di sicurezza. Inoltre, l'interfaccia web integrata e l'API VAPIX Audit Log consentono l'accesso diretto ai log per verifiche amministrative e query mirate.
Inoltre, gli audit log possono essere trasferiti in modo crittografato alle piattaforme centralizzate SIEM e di monitoraggio tramite syslog remoto per una valutazione scalabile e a prova di revisione. Qui possono essere memorizzati a lungo termine, correlati e utilizzati in modo efficace per il rilevamento degli incidenti.
* Gli audit log sono registrazioni cronologiche immutabili delle azioni nei sistemi IT che registrano chi ha fatto qualcosa, quando, dove e con quale effetto. Sono utilizzati per la tracciabilità, la sicurezza, la conformità e l'analisi forense.
