SIEM (Security Information and Event Management) è una soluzione per il monitoraggio, la rilevazione e l’indagine nell’ambito della cybersecurity. Raccoglie, gestisce e analizza i registri degli eventi generati da reti e sistemi, contribuendo al rilevamento preventivo degli incidenti di sicurezza e all’immediata risposta.
SIEM si usa soprattutto in un Security Operations Center (SOC), ovvero un’organizzazione che monitora la sicurezza in un’organizzazione e conosce gli attacchi e gli incidenti informatici. SIEM è un importante strumento usato nei seguenti modi dai professionisti della sicurezza per svolgere in modo efficiente la loro attività
Notifica dei segnali di allarme mediante la gestione dei registri integrata: SIEM gestisce vari registri in modo integrato, rileva i segnali di attività anormali o gli attacchi e avvisa il personale addetto alla sicurezza. Ad esempio, oltre a rilevare malware e altri comportamenti non autorizzati, SIEM segnala gli eventi sospetti, come più tentativi di accesso ai server, sui quali sono archiviate informazioni importanti o l’utilizzo dei servizi cloud non autorizzato dall’azienda.
Indagine e risposta agli incidenti: SIEM verifica se gli eventi non autorizzati o sospetti sono attacchi informatici (comportamento normale, errore di accesso, ecc.). Se si tratta di attacco informatico, se ne può tracciare il percorso e la portata, compresa la natura interna o esterna, per ottenere idee a sostegno della relativa risposta. Misure da applicare
Report: Da una prospettiva di medio e lungo termine, visualizzare lo stato delle violazioni delle politiche di sicurezza dell’azienda e l’impatto dei cyberattack e creare un report. Visualizzando il genere di attacco informatico cui è stata sottoposta nell’arco di uno/tre/sei mesi o un anno, l’azienda può valutare le misure di sicurezza da adottare.
I principali casi d’uso di SIEM sono elencati sopra, ma il vantaggio più rilevante di SIEM per il personale addetto alla sicurezza è la possibilità di visualizzare rapidamente eventi e informazioni di registro da più prodotti diversi e di collegarli all’azione successiva.
SIEM offre vantaggi ai SOC e ad altre organizzazioni in termini di miglioramento della sicurezza ed efficienza di funzionamento, ma presenta le seguenti sfide.
Applicazione e configurazione complesse: SIEM è un sistema complesso per la cui applicazione e configurazione occorrono tempo e competenza. I professionisti della sicurezza devono lavorare costantemente per integrare registri di dispositivi e fonti di dati, configurare regole e mettere a punto i segnali di allarme.
Elaborare grandi quantità di dati di registri: Deve essere elaborata e analizzata una grande quantità di dati di registri. Per elaborare grandi quantità di dati occorrono risorse di archiviazione e hardware appropriati. È inoltre necessario gestire periodi di conservazione dei dati di registro e compressione/riduzione dei dati.
Risposta continua ai falsi positivi e agli overload dei segnali di allarme: SIEM genera segnali di allarme in base a regole predefinite e schemi. Tuttavia, si possono verificare falsi positivi (attività legittima erroneamente rilevata come pericolosa) e falsi negativi (attività pericolosa non rilevata). In base alla configurazione, si può inoltre ricevere un elevato numero di segnali di allarme, a seguito dei quali occorrono una continua messa a punto dei segnali di allarme e un miglioramento delle regole da parte dell’utente.
Risposta dopo il rilevamento dell’incidente: Dopo il rilevamento di un evento in tempo reale, occorre la conferma dell’effettivo incidente e una risposta adeguata. Se non mette a punto i segnali di allarme in anticipo, il personale addetto alla sicurezza dovrà rispondere a segnali di varia portata, con conseguente eventuale riduzione dell’efficienza operativa.
Requisiti delle competenze e delle risorse: Per l’applicazione e il funzionamento di SIEM occorrono competenze di gestione delle analisi di sicurezza e dei registri. Occorre avere inoltre risorse appropriate (personale, hardware e software).
XDR (Extended Detection and Response) è uno strumento per migliorare il livello di sicurezza e l’efficienza simile a SIEM. Differenze tra SIEM e XDR:
Obiettivi della raccolta dati e contestualizzazione
Analisi e rilevamento
Risposta agli incidenti e automazione
Dipendenza dalla fonte