- 011.198.23.900
- info@ftsweb.it
SIEM: cos’è e come garantisce la sicurezza delle informazioni
SIEM: soluzioni che hanno come obiettivo la sicurezza aziendale
Ecco un estratto dell’articolo che spiega il funzionamento del SIEM pubblicato da Laura Zanotti su cybersecurity360.it
SIEM deriva da SIM (Security Information Management) e SEM (Security Event Management)
- SIM: sistema di gestione degli eventi che automatizza il processo di raccolta e gestione dei log (no tempo reale). I dati vengono raccolti e spediti a un server centralizzato tramite agent di SW installati sul sistema da monitorare in modo da generare report personalizzati.
- SEM: soluzione SW che tramite una console centralizzata provvede al monitoraggio e alla gestione degli eventi che accadono all’interno della rete e sui vari sistemi di sicurezza in tempo reale.
Il SIEM quindi analizza i registri raccolti per evidenziare eventi o comportamenti di interesse consentendo, ad esempio, di rilevare un accesso amministrativo al di fuori del normale orario di lavoro, quindi informazioni sull’Host, sull’ID e altro ancora. Le informazioni contestuali raccolte rendono i report estremamente più dettagliati e permettono di ottimizzare i flussi di lavoro finalizzati alla risoluzione degli incidenti. Le principali attività riguardano strumenti di sicurezza, dispositivi di rete, apparati, applicazioni.
Sono soluzioni che hanno come obiettivo la raccolta centralizzata dei log e degli eventi generati da applicazioni e sistemi in rete. Tramite il machine learning, le attività di correlazione e monitoraggio sono potenziate, dando vita ad una security intelligence evoluta.
Storia
I sistemi SIEM sono nati ufficialmente nel 1997, con l’obiettivo di ridurre i falsi positivi generati dai NIDS (Network Intrusion Detection System) che quotidianamente generavano un quantitativo inverosimile di alert. Gli strumenti erano complessi da installare e utilizzare e venivano impiegati solo dalle organizzazioni più grandi. La loro prima evoluzione, che risale al 2005, aveva ancora dei grossi limiti nella scala dei dati che questi sistemi avevano a livello di elaborazione e sofisticazione degli avvisi e delle visualizzazioni generati. La terza generazione di SIEM era meglio equipaggiata per gestire i big data, grandi volumi di log storici, potendo correlare i dati di log storici con eventi in tempo reale e dati dei feed di intelligence delle minacce.
SIEM 4.0
Nelle vecchie generazioni si riscontravano diversi limiti per le piattaforme SIEM, nello specifico risultavano complessi, rumorosi, costosi e, con il passare degli anni, poco compatibili con le soluzioni cloud. Con il passaggio alla generazione 4.0, l’AI porta le analisi a un livello di accuratezza superiore: la tecnologia utilizzata, infatti, attraverso un processo evoluto di Security Intelligence applicata alle analitiche, effettua una correlazione automatica di tutti gli eventi rilevati sull’infrastruttura di rete da IPS, IDS, firewall, soluzioni di sicurezza, endpoint (anche non strutturati), così da comprendere realmente che cosa è avvenuto e da parte di chi. Attraverso una serie di algoritmi euristici, che contemplano la probabilità di identificare cyber attacchi di vario tipo, come gli exploit zero-day, gli attacchi DDOS e brute force, i SIEM 4.0 sfruttano una baseline che gli permette di effettuare operazioni di corrispondenza degli schemi (pattern matching) e di aggregare log per innescare analisi avanzate. In questo modo il sistema intercetta e localizza velocemente tutte le attività anomale che avvengono sulla rete, interoperando con le politiche di security stabilite dall’organizzazione per arrivare a determinare quali azioni dovrebbero essere intraprese e quali no. Utilizzando una serie di algoritmi predisposti, il software può avviare anche un’azione di risposta automatica a un attacco quando questo si verifica: ad esempio, può essere in grado di bloccare o rimuovere il traffico potenzialmente malevolo, o capace di ridurre le prestazioni, mantenendo così un’operatività standard dell’infrastruttura IT.
