Guida per principianti: Security Information and Event Management (SIEM)

In generale, l’operatività dei criminali informatici non subisce rallentamenti e gli attacchi online possono essere implacabili. Se ti interessano dati in tempo reale sulle minacce online degli ultimi 10 minuti, fai riferimento al panorama globale delle minacce di Avira Labs qui. Un approccio proattivo alla protezione online è più che mai essenziale e, se lavori nel campo della sicurezza aziendale, avrai sentito parlare di “Security Information and Event Management”, o più brevemente SIEM. Ma a cosa si riferiscono esattamente queste quattro lettere e di cosa si compone SIEM? Inoltre, in che modo SIEM aiuta a mitigare gli attacchi? Questo articolo fornisce un’introduzione a SIEM ed è un ottimo punto di partenza se stai valutando di alzare il livello della tua sicurezza.  

Cos’è una soluzione Security Information and Event Management o SIEM? 

Security Information and Event Management non è una soluzione unica, ma combina prodotti e servizi software di gestione delle informazioni di sicurezza (SIM) e di gestione degli eventi di sicurezza (SEM). Questi componenti collaborano per raccogliere e memorizzare le attività di molte risorse nell’intera infrastruttura IT, tra cui dispositivi di rete, server, controller di dominio e altro ancora. Forniscono inoltre un’analisi in tempo reale degli avvisi di sicurezza generati dalle applicazioni e dall’hardware di rete, dando al personale IT una visione cruciale delle tendenze e aiutandolo a rilevare e mitigare le minacce informatiche. In caso di allarme, è possibile avviare rapidamente un’indagine.  

Il nome di questa soluzione integrata e il suo acronimo sono stati creati nel 2005 da Mark Nicolett e Amrit Williams di Gartner. Se ti interessa, questa è la definizione ufficiale del National Institute of Standards and Technology: “Un’applicazione che offre la possibilità di raccogliere dati sulla sicurezza dai componenti del sistema informatico e di presentarli come informazioni utilizzabili tramite un’unica interfaccia.” La parola chiave qui è “utilizzabili”. L’utilizzabilità è proprio ciò che serve in quanto gli attacchi informatici diventano sempre più diffusi e complessi e le organizzazioni devono soddisfare rigorosi meccanismi di conformità e di regolamentazione che impongono loro di registrare i controlli di sicurezza.  

Se stai pensando “ma qual è la differenza tra un sistema SIEM e un firewall?”, la domanda è pertinente. Entrambi offrono sicurezza, ma svolgono funzioni diverse. SIEM è uno strumento di rilevamento delle minacce informatiche e di raccolta dei dati. Un firewall aiuta a bloccare l’ingresso di contenuti dannosi nella rete. Si tratta quindi di uno strumento di prevenzione delle minacce informatiche, mentre SIEM raccoglie e analizza i dati del registro del firewall (e di altre soluzioni di sicurezza di rete). I firewall sono una prima linea di difesa fondamentale della rete, ma nessuna protezione è efficace al 100%. SIEM invia un avviso ogni volta che si verifica un’attività di rete sospetta, fornendo così una panoramica più completa delle operazioni di rete. In poche parole, si tratta di un approccio alla sicurezza “a più livelli”.   

Quanto costa questa sicurezza più completa e facile da usare? La risposta a questa domanda è più difficile perché il costo preciso varia in base a fattori quali le dimensioni dell’azienda e il volume di dati da monitorare. Secondo molte stime approssimative, il prezzo di una soluzione SIEM gestita si aggira tra i 5.000 e i 10.000 dollari al mese. Alcuni fornitori offrono soluzioni autogestite, mentre altri prevedono elevati costi di consulenza e assistenza. Va ricordato che le licenze devono essere rinnovate ogni anno ed essere estese per coprire volumi di dati crescenti.  

Informazioni azionabili: come funziona un sistema di gestione della sicurezza SIEM? 

SIEM è un aggregatore di dati e un sistema di ricerca, reporting e sicurezza. Può risiedere in sede o nel cloud e segue un processo articolato in quattro fasi:  

FASE 1: raccolta di dati da varie fonti  

FASE 2: aggregazione dei dati 

FASE 3: analisi dei dati per individuare potenziali minacce informatiche 

FASE 4: identificazione delle violazioni della sicurezza e inviare avvisi generati da un’analisi basata su un set di regole definito  

SIEM raccoglie grandi volumi di dati dall’intero ambiente di rete (applicazioni, dispositivi di sicurezza, filtri antivirus e firewall), li consolida e li registra. Inoltre, classifica i dati per renderli accessibili e contribuire a fornire una visione d’insieme dell’ambiente IT.  

L’analisi in tempo reale degli enormi volumi di dati generati da tutti i dispositivi in rete andrebbe oltre le capacità di un qualsiasi essere umano. Le soluzioni SIEM esaminano tutti i dati e utilizzano regole e correlazioni statistiche per ordinare le attività delle minacce informatiche in base al loro livello di rischio. Questo aiuta i centri operativi di sicurezza (SOC) a identificare eventuali malintenzionati e a mitigare gli attacchi informatici. Inoltre, possono ricreare incidenti avvenuti in passato e trarne insegnamento o analizzarne di nuovi in tempo reale per implementare processi di sicurezza più efficaci. 

Quali sono i vantaggi e gli svantaggi di SIEM? 

Il vantaggio principale di SIEM è la protezione dalle minacce virtuali. I firewall e i sistemi antivirus sono fondamentali ma non sempre sufficienti per proteggere un’intera rete, soprattutto contro gli attacchi zero-day. SIEM può essere efficace perché ogni utente lascia una traccia virtuale nei dati di registro di una rete, e lo stesso vale per ogni tracker o hacker. SIEM valuta l’attività rispetto al comportamento passato nella rete, aiutando a distinguere tra utilizzo legittimo e attacco dannoso.  

In secondo luogo, la sicurezza SIEM aiuta le aziende a rispettare le normative informatiche del settore. La gestione dei registri è lo standard di settore per l’audit delle attività nelle reti IT, ma la loro conservazione richiede un notevole dispendio di risorse per i team di sicurezza. SIEM può aiutare a garantire la conformità automatica alle normative sulla sicurezza dei dati e fornisce persino report su richiesta già predisposti per l’audit. Un grande vantaggio. 

Ti interessa? Prima di iniziare l’implementazione di un sistema SIEM, però, ci sono alcuni svantaggi da considerare. Non basta semplicemente acquistare e installare uno strumento SIEM. Il buon funzionamento del sistema SIEM dipende da come viene installato, configurato e monitorato. La mera registrazione di informazioni prive di contesto è inutile. Inoltre, l’analisi e la configurazione dei report SIEM richiedono competenze tecniche, altrimenti ci si ritrova con una mole di dati che non dicono nulla. Tempo e competenze tecniche costano, quindi i sistemi SIEM possono essere onerosi. Occorre considerare l’implementazione, il supporto annuale ed eventualmente l’assunzione di personale aggiuntivo…  

Inoltre, non va assolutamente trascurato il fatto che una configurazione non corretta del sistema SIEM può generare migliaia di falsi positivi al giorno. In poche parole, nelle mani sbagliate, SIEM può risultare complesso, costoso e fuorviante. 

 Esploriamo i principali strumenti SIEM 

Gartner identifica le seguenti tre funzionalità critiche per i sistemi SIEM: rilevamento delle minacce, indagine e tempo di risposta. I fornitori di soluzioni SIEM offrono spesso altre caratteristiche e funzionalità, tra cui: 

• Monitoraggio della sicurezza di base 
• Rilevamento avanzato delle minacce 
• Analisi scientifica e risposta agli incidenti 
• Raccolta dei registri 
• Normalizzazione 
• Notifiche e avvisi  
• Rilevamento degli incidenti della sicurezza 
• Flusso di lavoro per la risposta alle minacce 

Nella scelta della soluzione SIEM è importante valutare i propri obiettivi. Ad esempio, se l’organizzazione deve soddisfare rigorosi requisiti normativi, la generazione di report sarà una priorità assoluta. Gli attacchi online emergenti costituiscono il principale motivo di preoccupazione? Sono necessari eccellenti strumenti di normalizzazione e ampie funzionalità di notifica definite dall’utente.  

 Come ottenere il massimo dalla rete SIEM e dal sistema SIEM 

Gli ambienti IT e il panorama delle minacce variano tra di loro, quindi ciò che è adatto a un’organizzazione potrebbe non esserlo per un’altra. Quando si utilizza un sistema SIEM, è consigliabile seguire queste pratiche comuni: 

• Garantire una copertura completa: il funzionamento ottimale di SIEM richiede dati che provengano da tutte le fonti pertinenti. La mancanza di una visibilità completa dell’ambiente operativo potrebbe far perdere di vista eventi pericolosi. 
• Raccogliere i dati giusti: i dati non sono tutti uguali e fornire a un sistema SIEM dati non pertinenti comporta uno spreco di risorse. Occorre fare scelte oculate e rivedere periodicamente le regole e i flussi di dati. 
• Automatizzare dove possibile: tutte le analisi che possono essere eseguite automaticamente contribuiscono a ridurre il carico del team, che quindi può dedicare più tempo a indagare gli avvisi in modo più approfondito.  
• Assegnare livelli di allerta: una minaccia al computer portatile di un dipendente non è importante quanto il potenziale arresto di sistemi critici. Il livello di allerta deve essere basato sull’importanza del sistema attaccato.  
• Rimanere aggiornati sulle minacce informatiche: sapere cosa c’è in circolazione aiuterà a prendere decisioni ponderate sulla configurazione del sistema SIEM. Regole e avvisi basati su attacchi con firme note sono strumenti eccellenti per aiutare a prevenire le minacce informatiche esistenti. Ma le regole basate sulle anomalie possono aiutare a identificare anche le minacce informatiche sconosciute. È importante apprendere cosa è “normale” per l’ambiente e predisporre il sistema per identificare eventuali deviazioni.  

Scopriamo alcuni dei principali operatori in ambito SIEM 

Nella scelta della soluzione di sicurezza SIEM e degli strumenti SIEM sono disponibili molte opzioni. Ecco alcuni grandi nomi del settore. 

Splunk: questa soluzione SIEM on-premise è stata nominata leader nel 2022 Magic Quadrant™ di Gartner® per SIEM®. Supporta il monitoraggio della sicurezza e fornisce funzionalità avanzate di rilevamento delle minacce.  

IBM QRadar: questa soluzione SIEM viene implementata come appliance hardware, appliance virtuale o appliance software, a seconda delle esigenze e della capacità dell’organizzazione. 

LogRhythm: è una scelta diffusa per le organizzazioni più piccole e offre funzionalità affidabili di rilevamento e risposta alle minacce.  

Esplora un elenco più completo di fornitori e scoprine le valutazioni sul sito Gartner Security Information and Event Management (SIEM) Reviews and Ratings.  

Qual è il futuro di SIEM? 

Viviamo in un mondo completamente nuovo, caratterizzato da automazione, intelligenza artificiale e infrastrutture cloud. Le aziende chiedono soluzioni altamente efficaci, scalabili e allo stesso tempo convenienti, e i team di analisti che lottano dietro una serie di monitor sono prossimi all’estinzione. Quindi, come potrebbero essere le soluzioni SIEM di nuova generazione? Secondo Forbes, i modelli di prezzo basati sul consumo diventeranno la norma e le aziende pagheranno solo per i dati elaborati su base mensile. I servizi cloud continueranno a ridurre i costi e la complessità dei sistemi SIEM. La semplicità sarà l’elemento chiave per ridurre i tempi di avviamento e rendere più accessibili i sistemi SIEM di nuova generazione. Le aziende di sicurezza realizzeranno strumenti di analisi specifici sulla base di una piattaforma dati SIEM universale. Ciò consentirà loro di concentrarsi su prodotti verticali specifici per produrre un software robusto, di qualità ancora più elevata e scalabile. 

Una sicurezza migliore, più veloce, flessibile, e più conveniente? Il futuro sembra davvero roseo.  

Questo articolo è disponibile anche in: IngleseTedescoFrancese