EN Contattaci

OSSEC: HIDS Open Source, padre di Wazuh

OSSEC, Host-based Intrusion Detection System fondato da Daniel Cid nel 2004: log analysis, file integrity monitoring, rootcheck, active response, rule/decoder XML. Versione 2.0 rilasciata il 27 ottobre 2008, licenza GPLv2.

CybersecurityOpen Source
CybersecurityOpen Source OSSECHIDSLog AnalysisFIMCybersecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan → Cybersecurity

Cybersecurity

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Origini

OSSEC — Open Source Security — viene avviato nel 2004 da Daniel B. Cid, sviluppatore brasiliano, come progetto personale di Host-based Intrusion Detection System. Il progetto cresce rapidamente nella community Open Source come soluzione leggera per il monitoraggio di server Unix e Windows.

Il 27 ottobre 2008 viene rilasciata OSSEC 2.0, versione che consolida l’architettura agent/manager e introduce miglioramenti sul rule engine. Lo sviluppo commerciale è gestito da Third Brigade. Licenza GPLv2, codice pubblico.

Componenti

OSSEC è un HIDS agent-based con architettura centralizzata:

  • OSSEC manager — server centrale che riceve eventi dagli agent, li analizza e genera alert
  • OSSEC agent — componente installato su endpoint Linux, Windows, BSD, Solaris, AIX, HP-UX, macOS
  • Agentless monitoring — per apparati di rete e sistemi dove non è possibile installare agent

Funzionalità principali

  • Log analysis (analogd) — parsing e correlazione di log da syslog, Apache, IIS, Windows Event Log, sshd, sudo
  • File Integrity Monitoring (syscheck) — hash MD5/SHA di file critici e controllo di modifiche
  • Rootcheck — rilevamento di rootkit, file nascosti, processi anomali, policy di hardening
  • Active response — esecuzione di script in risposta ad alert (blocco IP, disabilitazione utente)
  • Rule e decoder XML — regole espresse in XML strutturato, con decoder per normalizzare log eterogenei

Adozione storica

OSSEC è stato per anni il riferimento HIDS nel mondo Open Source:

  • Amministrazioni pubbliche — monitoring di server perimetrali
  • ISP e hosting provider — rilevamento di compromissioni server
  • Conformità PCI-DSS — requisito 10 (log) e 11.5 (FIM) coperti nativamente
  • Integrazioni con Splunk, ELK — invio alert in formato syslog o JSON

Eredità

OSSEC introduce un modello HIDS leggero, modulare e estensibile che sta influenzando lo sviluppo di strumenti simili. La combinazione di log analysis, FIM, rootcheck e active response in un singolo agent è diventata un riferimento per il settore.

Nel contesto italiano

OSSEC è adottato da PA locali, università, aziende industriali come primo HIDS Open Source, con installazioni che coprono server perimetrali e sistemi critici con footprint contenuto.

Riferimenti: OSSEC 2.0 (27 ottobre 2008). Fondato da Daniel B. Cid nel 2004. Third Brigade sponsor commerciale. Licenza GPLv2. Moduli: log analysis, syscheck (FIM), rootcheck, active response. Sito: https://www.ossec.net

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi