Per avere un registro di controllo sicuro, pensa a integrità e disponibilità , due caratteristiche di sicurezza per la triade della CIA di sicurezza.
- Integrità del log di controllo
Tutti i dati scritti nel registro, una volta scritti dovrebbero essere Sola lettura. . I dati NON dovrebbero poter essere modificati da qualsiasi utente se il log deve essere considerato attendibile per scopi forensi. L'accesso ai registri di controllo deve essere rigorosamente controllato sulla base della necessità di conoscere, secondo la regola di sicurezza del privilegio minimo. Idealmente, il registro di controllo è archiviato in un luogo sicuro come un server di registrazione dedicato. L'accesso in scrittura deve essere limitato solo al numero minimo di utenti, ad esempio solo gli utenti in un determinato gruppo di Active Directory. L'accesso in lettura dovrebbe essere limitato in modo simile.
Per rilevare le modifiche in un registro, è possibile applicare una funzione di hash crittografica alle voci di registro precedenti, in modo che eventuali manomissioni alterino l'hash e impediscano il rilevamento di manomissioni impossibili.
- Disponibilità del log di controllo
I dati del registro di controllo devono essere conservati per un determinato periodo di tempo, in base alla classificazione di sensibilità dei dati della sorgente sottostante da cui vengono generati i registri. I backup dei log dovrebbero idealmente essere archiviati offsite, in modo che, in caso di disastro, anche i backup di tali log non vengano distrutti.
Se i registri sono archiviati centralmente su un server di registrazione, è possibile utilizzare strumenti come la limitazione della frequenza client, il filtraggio dei pacchetti per attenuare gli attacchi DOS o DDOS.