CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cyber Security
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Origini
OSSEC — Open Source Security — viene avviato nel 2004 da Daniel B. Cid, sviluppatore brasiliano, come progetto personale di Host-based Intrusion Detection System. Il progetto cresce rapidamente nella community open source come soluzione leggera per il monitoraggio di server Unix e Windows.
Il 27 ottobre 2008 viene rilasciata OSSEC 2.0, versione che consolida l’architettura agent/manager e introduce miglioramenti sul rule engine. Nel 2009 Third Brigade (che gestiva lo sviluppo commerciale di OSSEC) viene acquisita da Trend Micro, portando OSSEC sotto il controllo del vendor giapponese.
La licenza rimane GPLv2 e il codice resta pubblico, ma lo sviluppo rallenta negli anni successivi, situazione che porterà nel 2015 al fork Wazuh da parte di Santiago Bassett.
Componenti
OSSEC è un HIDS agent-based con architettura centralizzata:
- OSSEC manager — server centrale che riceve eventi dagli agent, li analizza e genera alert
- OSSEC agent — componente installato su endpoint Linux, Windows, BSD, Solaris, AIX, HP-UX, macOS
- Agentless monitoring — per apparati di rete e sistemi dove non è possibile installare agent
Funzionalità principali
- Log analysis (analogd) — parsing e correlazione di log da syslog, Apache, IIS, Windows Event Log, sshd, sudo
- File Integrity Monitoring (syscheck) — hash MD5/SHA di file critici e controllo di modifiche
- Rootcheck — rilevamento di rootkit, file nascosti, processi anomali, policy di hardening
- Active response — esecuzione di script in risposta ad alert (blocco IP, disabilitazione utente)
- Rule e decoder XML — regole espresse in XML strutturato, con decoder per normalizzare log eterogenei
Adozione storica
OSSEC è stato per anni il riferimento HIDS nel mondo open source:
- Amministrazioni pubbliche — monitoring di server perimetrali
- ISP e hosting provider — rilevamento di compromissioni server
- Conformità PCI-DSS — requisito 10 (log) e 11.5 (FIM) coperti nativamente
- Integrazioni con Splunk, ELK — invio alert in formato syslog o JSON
Eredità
OSSEC ha introdotto un modello HIDS leggero, modulare e estensibile che ha influenzato generazioni successive di strumenti. Il fork Wazuh — avviato nel 2015 — mantiene la compatibilità con decoder e rule OSSEC, aggiungendo moduli moderni (OpenSearch, dashboard, MITRE ATT&CK, vulnerability detection).
Stato attuale
Il progetto OSSEC originale è tuttora attivo sul sito ossec.net, con release periodiche, ma la maggior parte dell’ecosistema si è spostata verso Wazuh per la disponibilità di feature moderne. OSSEC rimane rilevante in ambienti conservativi, su sistemi legacy o dove è richiesto un agent minimale senza dipendenze esterne.
Nel contesto italiano
OSSEC è stato adottato da PA locali, università, aziende industriali come primo HIDS open source, soprattutto nel decennio 2008-2018. Oggi molte di queste installazioni sono migrate a Wazuh, ma in diversi contesti OSSEC continua a essere utilizzato per server dedicati con profilo di rischio stabile e requisiti di footprint ridotto.
Riferimenti: OSSEC 2.0 (27 ottobre 2008). Fondato da Daniel B. Cid nel 2004. Acquisizione Third Brigade → Trend Micro (2009). Licenza GPLv2. Moduli: log analysis, syscheck (FIM), rootcheck, active response. Fork Wazuh avviato nel 2015. Sito: https://www.ossec.net