Cos'è il SIEM?

I sistemi SIEM aiutano i team di sicurezza aziendali a rilevare le anomalie del comportamento degli utenti e utilizzano l'intelligenza artificiale (AI) per automatizzare molti dei processi manuali connessi al rilevamento delle minacce e alla risposta agli incidenti.

Le piattaforme SIEM originali erano strumenti di gestione dei log, che combinavano la gestione delle informazioni di sicurezza (SIM) e la gestione degli eventi di sicurezza (SEM) per consentire il monitoraggio e l’analisi in tempo reale di eventi legati alla sicurezza, nonché il tracciamento e la registrazione dei dati di sicurezza a fini di conformità o controllo.

Gartner ha coniato il termine SIEM per la combinazione di tecnologie SIM e SEM nel 2005.

Nel corso degli anni, il software SIEM si è evoluto fino a integrare l’analytics del comportamento degli utenti e delle entità (UEBA), nonché altre capacità avanzate di analytics della sicurezza, AI e machine learning per individuare comportamenti anomali e indicatori di minacce avanzate.

Oggi SIEM è diventato un punto fermo nei moderni centri operativi di sicurezza (SOC) per i casi d’uso di monitoraggio della sicurezza e gestione della conformità.

Al livello più elementare, tutte le soluzioni SIEM eseguono un certo numero di funzioni di aggregazione, consolidamento e ordinamento dei dati al fine di individuare le minacce e aderire ai requisiti di conformità delle informazioni.

Sebbene alcune soluzioni siano diverse in termini di capacità, la maggior parte di esse offre lo stesso set di funzioni fondamentali:

SIEM acquisisce i dati degli eventi da un'ampia gamma di fonti nell'intera infrastruttura IT di un'organizzazione, compresi gli ambienti on-premise e cloud.

I dati dei log degli eventi di utenti, endpoint, applicazioni, origini dei dati, workload cloud e reti, nonché i dati provenienti da hardware e software di sicurezza quali firewall o software antivirus, vengono raccolti, correlati e analizzati in tempo reale.

Alcune soluzioni SIEM integrano anche feed di threat intelligence di terze parti al fine di correlare i dati di sicurezza interni con firme e profili di minacce precedentemente riconosciuti. L'integrazione in tempo reale con i feed di threat intelligence consente ai team di bloccare o rilevare nuove tipologie di firme utilizzate negli attacchi.

La correlazione eventi è un momento fondamentale di una soluzione SIEM. Utilizzando strumenti di analytics avanzata per individuare e comprendere modelli dati complessi, la correlazione eventi fornisce insight utili a individuare e mitigare rapidamente le potenziali minacce alla sicurezza aziendale.

Le soluzioni SIEM migliorano notevolmente il tempo medio di rilevazione (MTTD) e il tempo medio di risposta (MTTR) dei team di sicurezza IT, scaricando i workflow manuali associati all'analisi approfondita degli eventi di sicurezza.

SIEM consolida la sua analisi in un'unica dashboard centrale in cui i team di sicurezza monitorano l'attività, assegnano priorità agli avvisi, identificano le minacce e avviano la risposta o la correzione.

La maggior parte delle dashboard SIEM include anche visualizzazioni di dati in tempo reale che aiutano gli analisti della sicurezza a individuare picchi o tendenze in attività sospette. Utilizzando regole di correlazione predefinite e personalizzabili, gli amministratori possono essere avvisati immediatamente e adottare le azioni necessarie per mitigare le minacce prima che si trasformino in un problema di sicurezza più significativo.

Le soluzioni SIEM sono una scelta popolare tra le aziende soggette a diverse forme di conformità normativa. Grazie alla raccolta e all’analisi automatizzata dei dati, SIEM è uno strumento prezioso per raccogliere e verificare i dati di conformità in i tutta l’infrastruttura di business.

Le soluzioni SIEM possono generare report di conformità in tempo reale per PCI-DSS, GDPR, HIPPA, SOX e altri standard di conformità, riducendo l’onere della gestione della sicurezza e rilevando tempestivamente potenziali violazioni in modo da poterle affrontare.

Molte delle soluzioni SIEM sono dotate di componenti aggiuntivi pre-integrati e pronti all’uso in grado di generare report automatici progettati per soddisfare i requisiti di conformità.

Indipendentemente dalle dimensioni di un'organizzazione, è essenziale adottare misure proattive di monitoraggio e mitigazione dei rischi di sicurezza IT. Le soluzioni SIEM offrono alle aziende numerosi vantaggi e rappresentano un componente significativo nella razionalizzazione dei flussi di lavoro relativi alla sicurezza.

Le soluzioni SIEM consentono verifiche e reporting di conformità centralizzati per l'intera infrastruttura aziendale. L'automazione avanzata razionalizza la raccolta e l'analisi dei log di sistema e degli eventi di sicurezza per ridurre l'utilizzo delle risorse interne e, al contempo, soddisfare i rigorosi standard relativi al reporting di conformità.

Le soluzioni SIEM di nuova generazione si integrano attualmente con potenti sistemi di security orchestration, automation and response (SOAR), consentendo di risparmiare tempo e risorse ai team IT che gestiscono la sicurezza aziendale.

Utilizzando un machine learning profondo che apprende automaticamente dal comportamento della rete, queste soluzioni possono gestire complessi protocolli di identificazione delle minacce e di risposta agli incidenti in un tempo inferiore rispetto ai team fisici.

Determinando maggiore visibilità degli ambienti IT, le soluzioni SIEM possono costituire un driver essenziale per aumentare l'efficienza tra i diversi dipartimenti aziendali.

Una dashboard centrale fornisce una visione unificata dei dati, degli avvisi e delle notifiche di sistema, consentendo ai team di comunicare e collaborare in modo efficiente quando rispondono a minacce e incidenti di sicurezza.

Data la velocità con cui cambia il panorama della cybersecurity, le organizzazioni devono poter contare su soluzioni in grado di rilevare e rispondere sia alle minacce alla sicurezza note che a quelle sconosciute.

Grazie ai feed di threat intelligence integrati e alla tecnologia AI, le soluzioni SIEM possono aiutare i team di sicurezza a rispondere in modo più efficace a una vasta gamma di attacchi informatici, tra cui:

• Minacce interne: vulnerabilità della sicurezza o attacchi provenienti da individui con accesso autorizzato alle reti aziendali e agli asset digitali.

• Phishing: messaggi che sembrano inviati da un mittente attendibile, spesso utilizzati per rubare dati degli utenti, credenziali di accesso, informazioni finanziarie o altre informazioni aziendali sensibili.

• Ransomware:  malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto.

• Attacchi distributed denial-of-service (DDoS): attacchi che bombardano le reti e i sistemi con livelli di traffico non gestibili da una rete distribuita di dispositivi violati (botnet), degradando le prestazioni di siti web e server fino a quando non sono inutilizzabili.

• Esfiltrazione dei dati: furto di dati da un computer o altro dispositivo, condotto manualmente o automaticamente utilizzando malware.

Le soluzioni SIEM sono ideali per condurre indagini forensi informatiche quando si verifica un incidente di sicurezza. Permettono alle organizzazioni di raccogliere e analizzare in un unico posto e in maniera efficiente i dati di log relativi a tutti gli asset digitali.

Ciò offre loro la possibilità di ricreare gli incidenti passati o di analizzare quelli più recenti per indagare su attività sospette e implementare processi di sicurezza più efficaci.

Per molte organizzazioni, la verifica e il reporting di conformità rappresentano attività necessarie ma impegnative. Le soluzioni SIEM riducono notevolmente le spese relative alle risorse necessarie per la gestione di tali processi fornendo, quando necessario, verifiche in tempo reale e produzione di report on-demand sulla conformità normativa.

Con l'aumentare del lavoro da remoto, delle applicazioni SaaS e delle policy BYOD (bring your own device), le organizzazioni necessitano del livello di visibilità necessario per ridurre i rischi provenienti dall'esterno del tradizionale perimetro della rete.

Le soluzioni SIEM tracciano le attività di rete di tutti gli utenti, dispositivi e applicazioni, migliorando notevolmente la trasparenza dell'intera infrastruttura e rilevando le minacce indipendentemente dal punto in cui si accede agli asset e ai servizi digitali.

Ecco alcune procedure migliori di implementazione SIEM da seguire prima o dopo aver investito in una nuova soluzione:

1. Inizia comprendendo appieno lo scopo della tua implementazione. Definisci in che modo la tua azienda trarrà vantaggio dalla distribuzione della soluzione e imposta i casi d’uso di sicurezza più appropriati.
   
   
2. Progetta e applica regole di correlazione dei dati predefinite su tutti i sistemi e le reti, comprese eventuali distribuzioni cloud.
   
   
3. Identifica tutti i requisiti di conformità aziendale e garantisci che la tua soluzione SIEM sia configurata per verificare e segnalare questi standard in tempo reale, in modo da poter comprendere meglio la tua postura di rischio.
   
   
4. Cataloga e classifica tutti gli asset digitali nell’infrastruttura IT della tua organizzazione. Questo è essenziale quando si gestisce la raccolta dei dati di log, il rilevamento degli abusi di accesso e il monitoraggio dell’attività della rete.
   
   
5. Stabilisci politiche BYOD, configurazioni IT e restrizioni che possono essere monitorate durante l’integrazione della tua soluzione SIEM.
   
   
6. Regola periodicamente le configurazioni SIEM, assicurandoti di ridurre i falsi positivi nei tuoi avvertimenti di sicurezza.
   
   
7. Documenta e metti in pratica tutti i piani di risposta agli incidenti e i workflow per garantire ai team di essere in grado di rispondere rapidamente a qualsiasi incidente di sicurezza che richieda un intervento.
   
   
8. Automatizza dove possibile utilizzando l’intelligenza artificiale e le tecnologie di sicurezza come SOAR.
   
   
9. Valuta la possibilità di investire in un provider di servizi di sicurezza gestiti (MSSP) per la gestione delle implementazioni SIEM. A seconda delle esigenze specifiche della tua azienda, gli MSSP possono essere attrezzati al meglio per affrontare le complessità dell’implementazione SIEM, nonché gestire e mantenere regolarmente le sue funzioni continue.

L’AI diventerà sempre più importante nel futuro della tecnologia SIEM, in quanto le capacità cognitive migliorano i processi decisionali del sistema. Inoltre, l’intelligenza artificiale consentirà ai sistemi di adattarsi e crescere via via che il numero di endpoint aumenta.

Poiché l’IoT, il cloud computing, i dispositivi mobili e altre tecnologie aumentano la quantità di dati che uno strumento SIEM deve consumare, l’AI offre il potenziale per una soluzione che supporta più tipi di dati e una comprensione complessa del panorama delle minacce in continua evoluzione.