La maggior parte delle violazioni di sicurezza non avviene in modo istantaneo. Gli attaccanti moderni entrano, si muovono lentamente, raccolgono informazioni e si preparano per settimane prima di eseguire l'azione finale — che sia il furto di dati, il deploy di ransomware o la defacement del sito. In questo intervallo di tempo, i segnali dell'intrusione sono spesso presenti nei log — ma nessuno li sta guardando.
Il logging sistematico e il monitoraggio attivo della sicurezza sono le componenti che trasformano la sicurezza da reattiva (si risponde dopo il danno) a proattiva (si rileva e si blocca durante l'attacco).
Cosa loggare in un sito web e in un'applicazione
| Categoria | Cosa registrare | Perché è utile |
|---|---|---|
| Accessi | Login riusciti e falliti, IP, timestamp, user agent | Rilevare brute force, accessi anomali, credenziali compromesse |
| Errori applicativi | Eccezioni, errori 500, query fallite | Identificare tentativi di SQL injection, LFI, altri attacchi |
| Modifiche ai dati | Creazione/modifica/cancellazione di record critici | Rilevare esfiltrazione, alterazione dati, attività non autorizzate |
| Accessi admin | Tutte le azioni nel pannello di amministrazione | Audit trail, rilevare accessi non autorizzati |
| File system | Creazione/modifica di file PHP, JS, config | Rilevare upload di webshell, backdoor, malware |
| Traffico HTTP | Access log con URL, metodo, status code, dimensione risposta | Identificare scanning, fuzzing, attacchi automatizzati |
Le regole fondamentali del logging sicuro
- Centralizzazione: i log devono essere inviati a un sistema di raccolta separato (SIEM o semplice log aggregator), non solo conservati sul server che potrebbero essere cancellati dall'attaccante dopo la compromissione.
- Integrità: i log non devono essere modificabili dopo la scrittura (log immutabili). Un attaccante che riesce ad accedere al sistema e cancella i log rende molto difficile la forensic analysis.
- Retention adeguata: conservare i log per almeno 90 giorni (meglio 12 mesi) per poter analizzare retrospettivamente attacchi che si sviluppano nel tempo. Il GDPR impone attenzione alla minimizzazione dei dati nei log.
- No dati sensibili nei log: mai loggare password, numeri di carta, token di sessione completi o altri dati personali sensibili. Offusca o tronca i dati sensibili prima della scrittura.
Alerting: dai log alle notifiche in tempo reale
I log sono utili solo se qualcuno li legge — o se un sistema li analizza automaticamente alla ricerca di pattern anomali. L'alerting trasforma i log in notifiche proattive:
- Più di X tentativi di login falliti per IP in Y minuti ? alert + blocco automatico IP
- Login riuscito da un paese da cui l'utente non si è mai connesso ? alert + richiesta di verifica 2FA
- Creazione di nuovo file PHP in una directory che non dovrebbe contenerne ? alert immediato
- Volume di traffico anomalo su specifici endpoint ? possibile attacco DDoS L7 o scraping
Uptime monitoring e sicurezza
Il monitoraggio della disponibilità (uptime monitoring) è un layer distinto dal logging applicativo ma ugualmente importante: un sito che va offline improvvisamente potrebbe essere sotto attacco DDoS o aver subito un defacement. Strumenti di uptime monitoring con notifiche immediate permettono di reagire entro minuti invece di ore.
NEO WEB include monitoraggio proattivo della sicurezza nei piani di manutenzione siti web, con logging centralizzato, alerting configurato e risposta rapida agli incidenti. Contattaci per valutare la copertura di monitoraggio attuale del tuo sito.
