Cybersecurity: data monitoring tramite Zabbix
A fine degli anni ’90 il programmatore Alexei Vladishev crea uno strumento proprietario atto a tracciare lo stato dei server e i servizi di rete collegati per un istituto bancario. Dopo circa 3 anni il software fu rilasciato in versione open source per la comunità informatica. Tuttavia la prima versione stabile verrà presentata alla community solo nel 2004 con il nome di Zabbix 1.0. Da quel momento ad oggi si sono susseguite molteplici versioni, perfezionando la base applicativa e implementando, versione dopo versione, nuove integrazioni a livello di servizi offerti e sicurezza nella raccolta dati. Ad oggi il software offre un servizio completo ed efficace, rivolto a una pluralità di settori e tipologie aziendali, dalle banche alle industrie, permettendo il monitoraggio di diversi milioni di asset aziendali; è quindi oggi un fondamentale alleato per la gestione della cybersecurity costituendo un ottimo strumento di individuazione di eventuali anomalie.
Gli utilizzi del software
Il software consente di raccogliere automaticamente una serie di metriche permettendo il monitoraggio dell’infrastruttura informatica sottostante. Tra le aree di operatività dell’applicativo vi sono le banche dati, i dispositivi di rete, i servizi cloeud e le macchine virtuali, i log files e il monitoraggio a livello di sistema operativo. Tramite l’installazione di un Agent nel device/asset da sottoporre a monitoraggio si avrà la possibile di rilevare i problemi di prestazione, le anomalie e le criticità legate alla rete o al dispositivo, classificarle in diversi livelli a seconda del grado di severity associato ad ogni segnalazione/criticità rilevata, e gestirli.
Al momento è possibile utilizzare Zabbix facendolo interfacciare con strutture di archiviazione dati su base PostgreSQL, MySQL, Oracle o IBM D2B. Questo permetterà, mediante la raccolta dati, di creare un database che possa racchiudere tutte le informazioni storiche associate al monitoraggio delle attività, al fine di poter elaborare e contestualizzare i dati, anche tramite applicativi di Business Intelligence come Quicksight o PowerBI, rendendo di fatto i dati grezzi informazioni importanti per l’efficientamento aziendale e la sua sicurezza informatica.
Inutile dire che abbiamo proceduto all’integrazione con il nostro software OneCompliance al fine di un adeguato censimento degli asset (adempimento fondamentale sia ai fini privacy che ISO 27001) e alla compilazione automatica dei controlli di 1° e 2° livello (ove possibile) che abbiamo gestito all’interno di appositi progetti nel nostro software.
I nostri Report
Di seguito, a solo scopo esemplificativo, alcuni indicatori che stiamo monitorando.
Tramite i nostri consulenti informatici stiliamo un report mensile sulla base delle segnalazioni registrate, andando ad indicare le segnalazioni sulla base del Host (asset), riuscendo così ad evidenziare quali sono i soggetti con più avvisi all’attivo, in modo tale da poter mappare le criticità e risolverle, soggetto per soggetto.
Sono due le classi di dati che elaboriamo in informazioni: dati legati alle segnalazioni di Rete/Applicazioni e dati legati allo stress dell’Hardware per singolo asset.
Di seguito vengono riportate delle pagine di esempio dei nostri report.
Segnalazioni Host
Queste due pagine riprendono il numero di segnalazioni avvenute nel periodo di riferimento, con un dettaglio sulla tipologia di errore riscontrato e un commento dal nostro consulente informatico specializzato.
Severity
In queste pagine si evidenziano i livelli di severity e i dettagli in drill down per i diversi livelli di gravità associati agli errori. In questo modo risulta semplice avere una panoramica della situazione aziendale attraverso il livello medio di gravità delle segnalazioni e individuando conseguentemente le maggiori vulnerabilità. I diversi livelli vengono poi analizzati e le soluzioni vengono proposte al management e al responsabile IT aziendale.
Stress Test
I seguenti report evidenziano le medie di utilizzo della Ram e della memoria sul disco, portando in risalto all’interno del commento gli outsider che stressano i propri Asset in maniera molto maggiore rispetto ai propri collaboratori. Lo stesso processo viene effettuato con i dati relativi al consumo di rete, in entrata e in uscita, al fine di capire se vi possano essere rallentamenti dovuti a intrusi o mala gestione della banda.
In Conclusione
Tramite queste informazioni l’azienda può efficientare la propria produttività andando a conferire asset informatici con hardware adeguati in base al lavoro svolto. Lato nostro siamo in continua implementazione degli indicatori di anomalia al fine di tutelare i dati nostri e soprattutto i dati dei nostri clienti, in piena conformità con gli standard ISO 27001 e con i requisiti del GDPR.