Che cos’è il SIEM?
Significato SIEM
SIEM è l'acronimo di Security Information and Event Management (gestione delle informazioni e degli eventi di sicurezza) ed è una soluzione per il monitoraggio, la rilevazione e l’indagine nell’ambito della cybersecurity. Raccoglie, gestisce e analizza i registri degli eventi generati da reti e sistemi, contribuendo al rilevamento preventivo degli incidenti di sicurezza e all’immediata risposta. Combinando la gestione delle informazioni di sicurezza (SIM) e la gestione degli eventi di sicurezza (SEM), i sistemi SIEM forniscono una visibilità centralizzata degli eventi di sicurezza e dei dati di registro generati da endpoint, server, applicazioni e dispositivi di rete. Questo approccio consente alle organizzazioni di rilevare, analizzare e rispondere alle potenziali minacce in tempo reale.
Come funziona SIEM?
I sistemi SIEM operano raccogliendo e aggregando i dati di registro, eseguendo l'analisi della correlazione per identificare le anomalie e generando avvisi utilizzabili per i team di sicurezza. Forniscono anche report dettagliati per aiutare con i requisiti di conformità e di auditing. Come pilastro dei moderni Security Operations Center (SOC), SIEM migliora il rilevamento delle minacce, la risposta agli incidenti e lo stato di sicurezza complessivo trasformando i dati di log grezzi in informazioni utilizzabili, garantendo alle organizzazioni la possibilità di mitigare in modo proattivo i rischi.
Raccolta dei registri
I sistemi SIEM raccolgono i dati di registro e di avviso da vari dispositivi e applicazioni nell'infrastruttura IT, inclusi firewall, server, endpoint, database e servizi cloud. Questa aggregazione garantisce che tutte le informazioni relative alla sicurezza siano archiviate in un unico posto, ottimizzando la visibilità ed eliminando i silos. I registri possono includere attività dell'utente, errori di sistema, tentativi di accesso ed eventi specifici dell'applicazione. La capacità di acquisire dati da diverse fonti consente al SIEM di fornire una visione olistica del panorama della sicurezza di un'organizzazione.
Correlazione degli eventi di sicurezza
La correlazione degli eventi di sicurezza comporta l'analisi di modelli e relazioni tra più registri per identificare potenziali minacce o comportamenti sospetti. Ad esempio, un singolo tentativo di accesso non riuscito potrebbe non attivare la preoccupazione, ma più tentativi non riusciti seguiti da un accesso riuscito da una posizione insolita potrebbero indicare un attacco brutale. Applicando regole predefinite, algoritmi di machine learning e analisi consapevoli del contesto, il SIEM identifica questi modelli e assegna la priorità ai potenziali incidenti di sicurezza per l'indagine.
Avvisi e notifiche
Quando viene rilevata un'attività anomala o un potenziale incidente di sicurezza, i sistemi SIEM generano avvisi basati su soglie e regole predefinite. Questi avvisi vengono inviati ai team di sicurezza tramite dashboard, email o strumenti di risposta integrati. Ad esempio, potrebbe essere attivato un avviso per l'accesso non autorizzato a un database critico o picchi di traffico anomali indicativi di un attacco DoS (denial-of-service). Gli avvisi hanno la priorità per aiutare il personale di sicurezza a concentrarsi prima sui problemi più critici, migliorando l'efficienza della risposta.
Generazione di report
Le piattaforme SIEM generano report completi che riassumono gli eventi di sicurezza, le tendenze e le risposte agli incidenti. Questi report sono essenziali per comprendere lo stato di sicurezza dell'organizzazione nel tempo, soddisfare i requisiti di conformità e fornire informazioni utili per migliorare le difese future. Possono anche includere workflow per la gestione degli incidenti, dettagliando le procedure passo-passo per il contenimento, l'eliminazione e il ripristino dopo una violazione. I report spesso fungono da documentazione critica per le revisioni interne e le verifiche esterne.
Strumenti SIEM
Gli strumenti SIEM raccolgono e analizzano grandi volumi di dati dagli endpoint dell'organizzazione in tempo reale e rilevano e bloccano le minacce informatiche collaborando con i team di sicurezza
È necessario definire le regole per aiutare i team e generare avvisi
Gli strumenti SIEM aiutano anche a:
- Registri degli eventi che possono aiutare a consolidare i dati provenienti da numerose fonti
- Aggiunta di informazioni ai dati grezzi ottenuti da una correlazione di eventi provenienti da diversi registri o fonti
- Automazione degli avvisi di sicurezza. La maggior parte delle piattaforme SIEM consente di impostare le notifiche dirette
Gli strumenti SIEM e SOAR sono stati fondamentali per centralizzare i dati degli eventi di sicurezza e automatizzare i flussi di lavoro di risposta. Nonostante la loro utilità, devono affrontare sfide significative:
- Sovraccarico dati: Le piattaforme SIEM spesso generano avvisi eccessivi, sovraccaricando i team SOC e portando a un affaticamento degli avvisi.
- Complessità di integrazione: SOAR si affida fortemente a un'integrazione perfetta con vari strumenti, che possono essere complessi e richiedere tempo.
- Silos operativi: Entrambe le tecnologie richiedono uno sforzo manuale sostanziale per correlare i dati e orchestrare le risposte, creando inefficienze nella risposta agli incidenti.
Anche se questi strumenti rimangono preziosi, il loro approccio frammentato al rilevamento e alla risposta ha creato un'opportunità per XDR di fornire una soluzione più coesa.
XDR vs SIEM
XDR (Extended Detection and Response) è uno strumento per migliorare il livello di sicurezza e l’efficienza simile a SIEM. Differenze tra SIEM e XDR:
Obiettivi della raccolta dati e contestualizzazione
- SIEM: Raccoglie, gestisce e analizza eventi e registri generati da una rete o un sistema. L’analisi riguarda principalmente i dati di registro per rilevare attività anormali e segnali di attacchi.
- XDR: Raccoglie e analizza i dati della telemetria da più fonti, compresi endpoint, reti e cloud. Oltre agli eventi di sicurezza, raccoglie informazioni su processi e file di endpoint, dati del traffico di rete, ecc.
Analisi e rilevamento
- SIEM: Analizza i dati raccolti in base alle regole predefinite e agli algoritmi. Rileva attività insolite o segnali di attacchi, generando segnali di allarme e avvertimenti adeguati. Alcuni prodotti possono effettuare analisi di correlazione tra log meccanici. Per valutare se un evento è un possibile attacco informatico occorre comunque "l’intuito umano" dell’operatore.
- XDR: In base alle informazioni sulle minacce (malware, siti pericolosi, email pericolose, metodi di attacco usati dai pirati informatici, ecc.) possedute dalle aziende che forniscono XDR, si stabiliscono i segnali degli attacchi informatici per la telemetria raccolta. Ad esempio, strumenti legittimi forniti da Microsoft, come PsExec, Cobalt Strike e Mimikatz, sono spesso usati in modo improprio negli attacchi informatici.
Risposta agli incidenti e automazione
- SIEM: Fornisce informazioni di base e procedure utili per rispondere agli incidenti di sicurezza. SIEM è finalizzato principalmente alla generazione dei segnali di allarme e al monitoraggio; possono quindi essere necessari altri prodotti per le effettive procedure di risposta.
- XDR: Fornisce funzionalità di automazione e strumentazione per supportare una rapida risposta agli incidenti di sicurezza. Fornisce in tempo reale analisi delle minacce rilevate e indicazioni sulla risposta.
Dipendenza dalla fonte
- Il valore di una soluzione SIEM è direttamente correlato alle fonti da cui ottiene le informazioni. Se dovessero esserci lacune nella copertura si notano spesso tardi o per nulla.
- Se quindi confrontiamo SIEM e XDR, dobbiamo anche segnalare che nella maggior parte dei casi non è una decisione “o l’uno o l’altro”. Molto spesso occorrono XDR e SIEM, poiché SIEM è maggiormente valorizzata dai registri di rilevamento e risposta. In conclusione:
- A causa della dipendenza di una soluzione SIEM dalla qualità delle informazioni generate da fornitori terzi, accade spesso che si usino entrambe le varianti in parallelo e le soluzioni XDR trasmettano i dati pre-correlati a SIEM.
I vantaggi di SIEM
I registri possono essere gestiti centralmente
Con l'introduzione di SIEM, i log possono essere gestiti centralmente. Ciò elimina la necessità di gestire i registri per ogni dispositivo e riduce gli errori e le omissioni di gestione. Inoltre, SIEM ha la funzione di normalizzare i registri raccolti e visualizza l'intero ambiente IT, consentendo una gestione efficiente e completa.
Rilevamento precoce di incidenti e minacce alla sicurezza
SIEM centralizza la gestione dei log ed esegue l'analisi della correlazione in tempo reale, consentendo il rilevamento precoce di incidenti e minacce. Quando viene scoperto un sintomo o un incidente di una minaccia, è possibile effettuare una risposta rapida, riducendo al minimo la diffusione dei danni.
Prevenzione delle frodi interne
Gli incidenti di sicurezza non sono solo causati da attacchi informatici esterni. Anche la prevenzione delle condotte illecite da parte dei dipendenti della propria organizzazione è un'importante misura di sicurezza per un'organizzazione. Introducendo il SIEM, è possibile rilevare comportamenti sospetti dei dipendenti e accessi non autorizzati. Il SIEM è efficace anche nella prevenzione delle frodi interne.
Eliminazione della carenza di personale addetto alla sicurezza
Utilizzando SIEM, è possibile semplificare le operazioni di sicurezza. Automatizzando una serie di attività come l'aggregazione, la normalizzazione e l'analisi dei log, è possibile ridurre le risorse necessarie per le misure di sicurezza dell'organizzazione. Sebbene sia necessario un certo livello di conoscenza della sicurezza per gestire SIEM, l'introduzione di SIEM consentirà di implementare misure di sicurezza più efficienti rispetto a prima.
Il ruolo del SIEM nel SOC
SIEM si usa soprattutto in un Security Operations Center (SOC), ovvero un’organizzazione che monitora la sicurezza in un’organizzazione e conosce gli attacchi e gli incidenti informatici. SIEM è un importante strumento usato nei seguenti modi dai professionisti della sicurezza per svolgere in modo efficiente la loro attività
Notifica dei segnali di allarme mediante la gestione dei registri integrata
SIEM gestisce vari registri in modo integrato, rileva i segnali di attività anormali o gli attacchi e avvisa il personale addetto alla sicurezza. Ad esempio, oltre a rilevare malware e altri comportamenti non autorizzati, SIEM segnala gli eventi sospetti, come più tentativi di accesso ai server, sui quali sono archiviate informazioni importanti o l’utilizzo dei servizi cloud non autorizzato dall’azienda.
Indagine e risposta agli incidenti
SIEM verifica se gli eventi non autorizzati o sospetti sono attacchi informatici (comportamento normale, errore di accesso, ecc.). Se si tratta di attacco informatico, se ne può tracciare il percorso e la portata, compresa la natura interna o esterna, per ottenere idee a sostegno della relativa risposta. Misure da applicare
- Se si tratta di attacco informatico esterno: Bloccare l’IP della fonte di accesso, modificare il limite di blocco del prodotto di sicurezza, ecc.
- Se il comportamento è stato causato da un dipendente: Se il dipendente sta violando una politica stabilita dall’azienda (ad esempio c’è un accesso all’archivio cloud anche se tale uso è vietato), avvertire il dipendente, ecc.
Report
Da una prospettiva di medio e lungo termine, visualizzare lo stato delle violazioni delle politiche di sicurezza dell’azienda e l’impatto dei cyberattack e creare un report. Visualizzando il genere di attacco informatico cui è stata sottoposta nell’arco di uno/tre/sei mesi o un anno, l’azienda può valutare le misure di sicurezza da adottare.
I principali casi d’uso di SIEM sono elencati sopra, ma il vantaggio più rilevante di SIEM per il personale addetto alla sicurezza è la possibilità di visualizzare rapidamente eventi e informazioni di registro da più prodotti diversi e di collegarli all’azione successiva.
Sfide SIEM
Sebbene SIEM apporti vantaggi ai SOC e ad altre organizzazioni in termini di miglioramento della sicurezza e dell'efficienza operativa, presenta anche le seguenti sfide.
Applicazione e configurazione complesse: SIEM è un sistema complesso per la cui applicazione e configurazione occorrono tempo e competenza. I professionisti della sicurezza devono lavorare costantemente per integrare registri di dispositivi e fonti di dati, configurare regole e mettere a punto i segnali di allarme.
Elaborare grandi quantità di dati di registri
Deve essere elaborata e analizzata una grande quantità di dati di registri. Per elaborare grandi quantità di dati occorrono risorse di archiviazione e hardware appropriati. È inoltre necessario gestire periodi di conservazione dei dati di registro e compressione/riduzione dei dati.
Risposta continua ai falsi positivi e agli overload dei segnali di allarme
SIEM genera segnali di allarme in base a regole predefinite e schemi. Tuttavia, si possono verificare falsi positivi (attività legittima erroneamente rilevata come pericolosa) e falsi negativi (attività pericolosa non rilevata). In base alla configurazione, si può inoltre ricevere un elevato numero di segnali di allarme, a seguito dei quali occorrono una continua messa a punto dei segnali di allarme e un miglioramento delle regole da parte dell’utente.
Risposta dopo il rilevamento dell’incidente
Dopo il rilevamento di un evento in tempo reale, occorre la conferma dell’effettivo incidente e una risposta adeguata. Se non mette a punto i segnali di allarme in anticipo, il personale addetto alla sicurezza dovrà rispondere a segnali di varia portata, con conseguente eventuale riduzione dell’efficienza operativa.
Requisiti delle competenze e delle risorse
Per l’applicazione e il funzionamento di SIEM occorrono competenze di gestione delle analisi di sicurezza e dei registri. Occorre avere inoltre risorse appropriate (personale, hardware e software).
Soluzione SIEM di Trend Micro
Ottimizza i workflow con un ecosistema che comprende SIEM, SOAR, IAM, firewall, threat intelligence, gestione dei servizi IT e altro ancora.
Gli strumenti isolati creano gap nella sicurezza. Trend Vision One offre ai team queste solide funzionalità di prevenzione, rilevamento e risposta:
- Operatività sul cloud: Sicurezza ibrida e multi-cloud con protezione completa delle applicazioni native per il cloud
- Infrastruttura IT: Sicurezza di endpoint, email e rete che tutela le workforces senza confini
- SOC: Rilevamento e risposta alle minacce che si estende a tutti i livelli di sicurezza per accelerare il rilevamento e la risposta