Log WORM: Come Funzionano e Perché NIS2 Li Richiede
Cosa sono i log WORM, come la tecnologia Write Once Read Many garantisce l'immutabilità dei log e perché è requisito essenziale per NIS2.
Tra i nuovi requisiti tecnici introdotti dalla Direttiva NIS2 (art. 21), la "sicurezza delle reti e dei sistemi informativi" occupa un posto centrale. Ma se c'è un dettaglio che sta togliendo il sonno ai responsabili IT delle PMI italiane, è la richiesta implicita di tracciabilità forense degli incidenti.
Non basta più "avere i log". Se un attaccante ottiene i privilegi di amministratore (root) sulla tua rete, la prima cosa che farà sarà cancellare le proprie tracce dai log di sistema. In uno scenario del genere, come puoi dimostrare all'autorità competente (ACN) cosa è successo?
La risposta è una sola: log immutabili su storage WORM.
Cos'è la Tecnologia WORM?
WORM è l'acronimo di Write Once, Read Many (Scrivi una volta, Leggi molte volte). È una tecnologia di archiviazione dati che impedisce fisicamente o logicamente la modifica e la cancellazione dei dati una volta scritti, per un periodo di tempo predeterminato (Retention Period).
In termini pratici, immagina di scrivere un file su un CD-R: una volta masterizzato, non puoi più cambiare quei bit. Il principio è lo stesso applicato ai cloud storage moderni, ma con la scala e la flessibilità del cloud.
| Caratteristica | Log Standard | Log WORM |
|---|---|---|
| Modificabilità | Sì, da chiunque abbia accesso in scrittura | No, impossibile per definizione |
| Cancellazione | Possibile (anche accidentale o da ransomware) | Bloccata fino a scadenza retention |
| Valore Legale | Basso (potrebbero essere stati alterati) | Alto (garanzia crittografica di integrità) |
| Protezione Ransomware | Vulnerabile (vengono cifrati o cancellati) | Immune (non sovrascrivibili) |
Perché la NIS2 Richiede Log Immutabili
L'articolo 21, paragrafo 2, della Direttiva NIS2 impone "la gestione degli incidenti" e la capacità di ricostruzione forense. In caso di data breach, l'azienda ha l'onere della prova.
"Non basta dire 'siamo stati attaccati'. Bisogna ricostruire la timeline dell'attacco: quando sono entrati, da dove, e cosa hanno toccato. Senza log integri, questa ricostruzione è impossibile e si rischia la sanzione massima per negligenza."
Se i tuoi log sono salvati sullo stesso server del firewall o su un NAS di rete accessibile via SMB, sono vulnerabili. Un ransomware evoluto cercherà e cripterà anche i backup e i log. Solo uno storage WORM garantisce la Forensic Readiness richiesta dalla normativa.
La retention minima raccomandata dall'ACN è di 12 mesi per gli eventi di sicurezza rilevanti.
Tecnologie per l'Implementazione WORM
Esistono diverse strade per ottenere l'immutabilità, con costi e complessità variabili.
Cloud Object Storage con S3 Object Lock
Questa è la soluzione standard de facto per le PMI nel 2025-2026. I bucket compatibili S3 (AWS, Wasabi, Backblaze B2, Cloudflare R2) supportano la funzionalità Object Lock in due modalità:
- Governance Mode: Utenti privilegiati (root account) possono ancora cancellare i file. Utile per ambienti di test.
- Compliance Mode: Nessuno — nemmeno l'utente root o il supporto tecnico del provider cloud — può cancellare o sovrascrivere il file prima della scadenza del periodo di retention. Questa è la modalità richiesta per la massima sicurezza e il valore legale pieno.
Nastri LTO Hardware
I nastri LTO (Linear Tape-Open) sono nativamente WORM se configurati come tali. Tuttavia, la gestione fisica dei nastri è complessa, richiede personale dedicato e ha un Recovery Time Objective (RTO) elevato — inadatto alle esigenze di analisi rapida dei log durante un incidente attivo.
Architettura di Logging Sicuro: Flusso Pratico
L'obiettivo è spostare i log dal dispositivo (firewall/server) allo storage sicuro nel minor tempo possibile, prima che un attaccante possa eliminarli.
Step 1 — Generazione e invio (Syslog): Configurare tutti i dispositivi critici (firewall OPNsense, switch core, server Linux/Windows) per inviare i log via Syslog su TCP con TLS verso un collettore centrale. Non conservare i log solo localmente.
Step 2 — Aggregazione: Il collettore centrale (un server Linux con Fluentd, Logstash o syslog-ng) riceve, normalizza e arricchisce i log con metadati (timestamp verificati, hostname, categoria evento).
Step 3 — Archiviazione WORM: Il collettore scrive i log in batch (ogni 5-15 minuti) su un bucket S3 con Object Lock in Compliance Mode. Esempio di policy IAM che nega esplicitamente la cancellazione come layer di difesa aggiuntivo:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:DeleteObject",
"Resource": "arn:aws:s3:::secbox-worm-logs/*"
}
]
}
Costi Reali per una PMI
Quanto costa mantenere log immutabili per 12 mesi? Meno di quanto si pensi, grazie alle classi di storage archivio.
Analisi per una PMI media (100 GB di log/anno):
| Classe di Storage | Costo (€/GB/mese) | Costo Annuo Totale |
|---|---|---|
| S3 Standard | ~€0,023 | ~€27,60 |
| S3 Standard-IA | ~€0,013 | ~€15,00 |
| S3 Glacier Deep Archive | ~€0,001 | ~€1,20 |
L'argomento "il logging costa troppo" è tecnicamente falso nel 2026. I costi dominanti sono le richieste di scrittura (PUT) e il software di gestione, non lo storage.
Come SecBox Implementa i Log WORM
Configurare bucket S3 con le policy IAM corrette, gestire la rotazione dei log con syslog-ng e gli script di upload può essere oneroso per un team IT ridotto.
SecBox Shield include nativamente:
- Streaming cifrato in tempo reale dei log verso la nostra infrastruttura cloud (TLS 1.3, certificati per cliente)
- Storage su bucket WORM Compliance Mode isolati per cliente — nemmeno i nostri tecnici possono eliminare i tuoi log
- Retention garantita 12 mesi (estendibile a 24 o 36 su richiesta)
- Segregazione dei ruoli: Voi gestite la rete, noi custodiamo i log. Anche se un attaccante compromette il vostro firewall, non può toccare lo storico archiviato
Checklist di Verifica
Prima di considerarti conforme NIS2 sul fronte logging, verifica:
- I log sono centralizzati fuori dai dispositivi che li generano?
- Esiste una retention policy di almeno 12 mesi applicata automaticamente?
- È attiva l'immutabilità WORM lato storage?
- Hai provato a eliminare un file di log vecchio e il sistema te lo ha impedito? (Prova del nove)
- I dati sono cifrati a riposo (Encryption at Rest)?
- Esiste un processo di alerting che notifica anomalie in tempo reale?
Conclusione
I log immutabili WORM non sono un tecnicismo burocratico: sono la differenza tra poter ricostruire un attacco e presentarsi all'ACN a mani vuote dopo un breach. Con i costi del cloud storage attuali, non implementarli è una scelta difficile da giustificare sia tecnicamente che economicamente.