Cos'è Audit Log?
Un audit log è una registrazione cronologica e a prova di manomissione di eventi e attività all'interno di un sistema — incluse le azioni degli utenti, i tentativi di accesso, le modifiche alla configurazione e gli eventi di sicurezza — mantenuta per accountability, conformità normativa e analisi forense.
Noto anche come: audit trail, security log, activity log
Gli audit log rispondono alle domande fondamentali di un'indagine di sicurezza: chi ha fatto cosa, su quale risorsa, quando e da dove. Registrano eventi come login degli utenti, accessi ai dati, modifiche ai permessi, chiamate API, azioni amministrative e tentativi di autenticazione falliti. In un incidente di sicurezza, gli audit log sono spesso la principale fonte di prove per comprendere la portata di una violazione e le azioni dell'attaccante.
Un audit log efficace richiede diverse proprietà: completezza (tutti gli eventi rilevanti per la sicurezza vengono registrati), immutabilità (i log non possono essere alterati o eliminati dagli attori sottoposti ad audit), timestamp da una fonte affidabile, dettaglio sufficiente (inclusi identità, azione, risorsa target e risultato) e archiviazione sicura separata dai sistemi monitorati. Molti framework di conformità — SOC 2, HIPAA, PCI-DSS, GDPR — impongono requisiti specifici per gli audit log.
La sfida con gli audit log è bilanciare completezza, privacy e costi di archiviazione. Registrare troppo poco lascia lacune nelle capacità forensi. Registrare troppo può creare problemi di privacy (specialmente con il principio di minimizzazione dei dati del GDPR), generare enormi costi di archiviazione e paradossalmente rendere più difficile trovare gli eventi rilevanti nel rumore. Le organizzazioni devono definire cosa costituisce un evento rilevante per la sicurezza e assicurarsi che tali eventi vengano registrati senza raccogliere dati sensibili in eccesso.
Come Vaulted usa Audit Log
L'architettura zero-knowledge di Vaulted pone limiti deliberati su cosa può essere verificato. Il server registra metadati operativi — come i timestamp di creazione dei segreti, i conteggi delle visualizzazioni e gli eventi di scadenza — ma non registra mai il contenuto cifrato o le chiavi di cifratura, perché non li possiede mai. Questo approccio si allinea ai principi di minimizzazione dei dati: l'audit log cattura abbastanza per monitorare la salute del sistema e rilevare schemi di abuso, senza creare un archivio che potrebbe esporre dati sensibili se i log stessi venissero compromessi.