Cos’è SIEM?

SIEM (Security Information and Event Management) è una soluzione per il monitoraggio, la rilevazione e l’indagine nell’ambito della cybersecurity. Raccoglie, gestisce e analizza i registri degli eventi generati da reti e sistemi, contribuendo al rilevamento preventivo degli incidenti di sicurezza e all’immediata risposta.

Panoramica SIEM

Funzioni SIEM

  • Raccolta di registri: Raccoglie segnali di allarme e dati di registro da vari dispositivi e applicazioni.
  • Correlare eventi di sicurezza: Rileva schemi anomali e segnali di attacchi da più eventi e registri correlati.
  • Segnali di allarme e notifiche: Rileva e segnala attività anomale e incidenti di sicurezza in base a regole predefinite.
  • Generazione di report: Fornisce informazioni e procedure per rispondere rapidamente agli incidenti di sicurezza e genera workflows e report per gestire gli incidenti.

Casi d’uso di SIEM in SOC

SIEM si usa soprattutto in un Security Operations Center (SOC), ovvero un’organizzazione che monitora la sicurezza in un’organizzazione e conosce gli attacchi e gli incidenti informatici. SIEM è un importante strumento usato nei seguenti modi dai professionisti della sicurezza per svolgere in modo efficiente la loro attività

Notifica dei segnali di allarme mediante la gestione dei registri integrata: SIEM gestisce vari registri in modo integrato, rileva i segnali di attività anormali o gli attacchi e avvisa il personale addetto alla sicurezza. Ad esempio, oltre a rilevare malware e altri comportamenti non autorizzati, SIEM segnala gli eventi sospetti, come più tentativi di accesso ai server, sui quali sono archiviate informazioni importanti o l’utilizzo dei servizi cloud non autorizzato dall’azienda. 

Indagine e risposta agli incidenti: SIEM verifica se gli eventi non autorizzati o sospetti sono attacchi informatici (comportamento normale, errore di accesso, ecc.). Se si tratta di attacco informatico, se ne può tracciare il percorso e la portata, compresa la natura interna o esterna, per ottenere idee a sostegno della relativa risposta. Misure da applicare

  • Se si tratta di attacco informatico esterno: Bloccare l’IP della fonte di accesso, modificare il limite di blocco del prodotto di sicurezza, ecc.
  • Se il comportamento è stato causato da un dipendente: Se il dipendente sta violando una politica stabilita dall’azienda (ad esempio c’è un accesso all’archivio cloud anche se tale uso è vietato), avvertire il dipendente, ecc.

Report: Da una prospettiva di medio e lungo termine, visualizzare lo stato delle violazioni delle politiche di sicurezza dell’azienda e l’impatto dei cyberattack e creare un report. Visualizzando il genere di attacco informatico cui è stata sottoposta nell’arco di uno/tre/sei mesi o un anno, l’azienda può valutare le misure di sicurezza da adottare.

I principali casi d’uso di SIEM sono elencati sopra, ma il vantaggio più rilevante di SIEM per il personale addetto alla sicurezza è la possibilità di visualizzare rapidamente eventi e informazioni di registro da più prodotti diversi e di collegarli all’azione successiva.

Sfide SIEM

SIEM offre vantaggi ai SOC e ad altre organizzazioni in termini di miglioramento della sicurezza ed efficienza di funzionamento, ma presenta le seguenti sfide.

Applicazione e configurazione complesse: SIEM è un sistema complesso per la cui applicazione e configurazione occorrono tempo e competenza. I professionisti della sicurezza devono lavorare costantemente per integrare registri di dispositivi e fonti di dati, configurare regole e mettere a punto i segnali di allarme.

Elaborare grandi quantità di dati di registri: Deve essere elaborata e analizzata una grande quantità di dati di registri. Per elaborare grandi quantità di dati occorrono risorse di archiviazione e hardware appropriati. È inoltre necessario gestire periodi di conservazione dei dati di registro e compressione/riduzione dei dati. 

Risposta continua ai falsi positivi e agli overload dei segnali di allarme: SIEM genera segnali di allarme in base a regole predefinite e schemi. Tuttavia, si possono verificare falsi positivi (attività legittima erroneamente rilevata come pericolosa) e falsi negativi (attività pericolosa non rilevata). In base alla configurazione, si può inoltre ricevere un elevato numero di segnali di allarme, a seguito dei quali occorrono una continua messa a punto dei segnali di allarme e un miglioramento delle regole da parte dell’utente.

Risposta dopo il rilevamento dell’incidente: Dopo il rilevamento di un evento in tempo reale, occorre la conferma dell’effettivo incidente e una risposta adeguata. Se non mette a punto i segnali di allarme in anticipo, il personale addetto alla sicurezza dovrà rispondere a segnali di varia portata, con conseguente eventuale riduzione dell’efficienza operativa.

Requisiti delle competenze e delle risorse: Per l’applicazione e il funzionamento di SIEM occorrono competenze di gestione delle analisi di sicurezza e dei registri. Occorre avere inoltre risorse appropriate (personale, hardware e software).

Differenze tra SIEM e XDR

XDR (Extended Detection and Response) è uno strumento per migliorare il livello di sicurezza e l’efficienza simile a SIEM. Differenze tra SIEM e XDR:

Obiettivi della raccolta dati e contestualizzazione

  • SIEM: Raccoglie, gestisce e analizza eventi e registri generati da una rete o un sistema. L’analisi riguarda principalmente i dati di registro per rilevare attività anormali e segnali di attacchi.
  • XDR: Raccoglie e analizza i dati della telemetria da più fonti, compresi endpoint, reti e cloud. Oltre agli eventi di sicurezza, raccoglie informazioni su processi e file di endpoint, dati del traffico di rete, ecc.

Analisi e rilevamento

  • SIEM: Analizza i dati raccolti in base alle regole predefinite e agli algoritmi. Rileva attività insolite o segnali di attacchi, generando segnali di allarme e avvertimenti adeguati. Alcuni prodotti possono effettuare analisi di correlazione tra log meccanici. Per valutare se un evento è un possibile attacco informatico occorre comunque "l’intuito umano" dell’operatore.
  • XDR: In base alle informazioni sulle minacce (malware, siti pericolosi, email pericolose, metodi di attacco usati dai pirati informatici, ecc.) possedute dalle aziende che forniscono XDR, si stabiliscono i segnali degli attacchi informatici per la telemetria raccolta. Ad esempio, strumenti legittimi forniti da Microsoft, come PsExec, Cobalt Strike e Mimikatz, sono spesso usati in modo improprio negli attacchi informatici.

Risposta agli incidenti e automazione

  • SIEM: Fornisce informazioni di base e procedure utili per rispondere agli incidenti di sicurezza. SIEM è finalizzato principalmente alla generazione dei segnali di allarme e al monitoraggio; possono quindi essere necessari altri prodotti per le effettive procedure di risposta.
  • XDR: Fornisce funzionalità di automazione e strumentazione per supportare una rapida risposta agli incidenti di sicurezza. Fornisce in tempo reale analisi delle minacce rilevate e indicazioni sulla risposta.

Dipendenza dalla fonte

  • Il valore di una soluzione SIEM è direttamente correlato alle fonti da cui ottiene le informazioni. Se dovessero esserci lacune nella copertura si notano spesso tardi o per nulla.
  • Se quindi confrontiamo SIEM e XDR, dobbiamo anche segnalare che nella maggior parte dei casi non è una decisione “o l’uno o l’altro”. Molto spesso occorrono XDR e SIEM, poiché SIEM è maggiormente valorizzata dai registri di rilevamento e risposta. In conclusione:
  • A causa della dipendenza di una soluzione SIEM dalla qualità delle informazioni generate da fornitori terzi, accade spesso che si usino entrambe le varianti in parallelo e le soluzioni XDR trasmettano i dati pre-correlati a SIEM.

SIEM

Informazioni correlate