Ciao Stefano >>>>> >>> >> Il garante non parla mai di supporti worm, l'immodificabilita' del >>>>> >>> >> dato e' in realta' una "garanzia che il dato non sia stato alterato", >>>>> >>> >> e in questo caso, visto che ogni dato indicizzato e archiviato da >>>>> >>> >> splunk viene marcato con un hash, direi che soddisfa in pieno i >>>>> >>> >> requisiti del dps. >>> >> > >>> >> > Ciao, >>> >> > vorrei segnalare che esistono prodotti di mercato (evito di fare >>> >> > pubblicità visto che la mia società ne fornisce uno) in grado di >>> >> > conservare i log messages in database cifrati proprietari. > > > > La security through obscurity non e' proprio il massimo della vita... > > Non si parla di quello, è un db che utilizza certificati x.509, la cifratura è asimmetrica ed è largamente utilizzata.
>>> >> > Se la "macchina" contenente il db venisse violata resterebbe ancora da >>> >> > violare il db per alterare i dati. > > > > Se la macchina e' violata, il DB e' violato. > > No fino a quando non viene ottenuto il certificato con la chiave privata che non è conservato sulla macchina. Poi qui si potrebbe parlare una vita, posso darti ragione ma direi che è un buon livello di sicurezza. >>> >> > Ovviamente da admin del server che >>> >> > raccoglie i log si potrebbe cancellare il db ma per questo motivo ci >>> >> > devono essere policy di disaster recovery che archiviano il db in altri >>> >> > siti. > > > > Allora quelle policy, da sole e senza il prodotto in questione, sono > > efficaci tanto quanto il prodotto in questione. > > Parlavo solo di policy di disaster recovery, le policy di backup all'interno si riferiscono sempre al db cifrato. >>> >> > Concordo che un hash di un archivio salvato tra l'altro nella stessa >>> >> > posizione dell'archivio non da nessuna garanzia di inalterabilità. > > > > Ne' la cifratura con una chiave che sta nella memoria della macchina > > violata. Non credo che stia in memoria, poi lascio la palla alla mia ignoranza Sono comunque bene accetti altri suggerimenti. Per quello che è la mia conoscenza del prodotto e delle soluzioni che si trovano in giro direi che è una buona soluzione. Avete visto altro sul Log Management in relazione alla disposizione del garante? +------------------------------+ | Ing. Piergiorgio Venuti, CCSP| | 0x15521C4E | +------------------------------+
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
