Centro Assistenza ACSIA

Ricerca

Cos'è il "log file cleared"?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert ACSIA chiamato "log file cleared".

Spiegazione del log file cleared

"Log file cleared" si riferisce all'azione deliberata di eliminare o cancellare i record di attività ed eventi che sono stati registrati da un sistema informatico. Questi file di registro memorizzano informazioni importanti sulle operazioni di sistema, le azioni degli utenti, gli eventi di sicurezza e le potenziali minacce. La cancellazione dei file di registro può essere un tentativo da parte di un malintenzionato di coprire le proprie tracce e nascondere qualsiasi prova di accesso non autorizzato, attività dannose o violazioni della sicurezza che potrebbero essersi verificate sul sistema o sulla rete.

Esempio di attacco "log file cleared":

Immagina un'azienda di medie dimensioni con una rete interna utilizzata dai suoi dipendenti per accedere a varie risorse e dati sensibili. Il team IT dell'azienda ha implementato misure di sicurezza, inclusa la registrazione di tutte le attività degli utenti e degli eventi di sicurezza sulla rete.

Un utente malintenzionato prende di mira questa azienda, cercando di ottenere l'accesso a preziose informazioni finanziarie archiviate sulla rete. L'aggressore riesce a sfruttare una vulnerabilità nel sistema di accesso remoto obsoleto dell'azienda e ottiene l'accesso non autorizzato alla rete.

Una volta all'interno della rete, l'aggressore inizia ad accedere ai database finanziari e a copiare file sensibili. Ogni azione intrapresa, come la visualizzazione o il download di file, genera voci di registro che vengono registrate nei file di registro del sistema.

Tuttavia, l'attaccante sa che questi file di registro potrebbero esporre la sua presenza e le sue attività. Per evitare il rilevamento, lancia un attacco "log file cleared". In questo modo, cancella ogni traccia delle sue attività non autorizzate.

Cancellando i file di registro, l'aggressore copre le proprie tracce e rende difficile per il team IT dell'azienda identificare la violazione della sicurezza o determinare l'entità della violazione dei dati.

ACSIA ti avvisa quando viene eseguito un attacco con file di registro cancellato sulla tua infrastruttura.