Security information and event management (SIEM) è un approccio alla gestione della sicurezza che combina le funzioni SIM (gestione delle informazioni di sicurezza) e SEM (gestione degli eventi di sicurezza) in una sola sistema di gestione della sicurezza. L’acronimo SIEM è pronunciato “sim” con una e silenziosa.

I principi alla base di ogni sistema SIEM sono aggregare dati rilevanti da più fonti, identificare deviazioni dalla norma e intraprendere azioni appropriate. Ad esempio, quando viene rilevato un potenziale problema, un sistema SIEM potrebbe registrare informazioni aggiuntive, generare un avviso e istruire altri controlli di sicurezza per interrompere l’avanzamento di un’attività.

Al livello più elementare, un sistema SIEM possono essere basati su regole o utilizzare un motore di correlazione statistica per stabilire relazioni tra le voci del registro eventi. I sistemi SIEM avanzati si sono evoluti per includere l’analisi del comportamento di utenti ed entità (UEBA) e orchestrazione, automazione e risposta della sicurezza (SOAR).

La conformità agli standard PCI DSS (Payment Card Industry Data Security Standard) ha originariamente guidato l’adozione di SIEM nelle grandi imprese, ma le preoccupazioni per le minacce persistenti avanzate (APT) hanno portato le organizzazioni più piccole a considerare i vantaggi che i fornitori di servizi di sicurezza gestiti (MSSP) SIEM possono offrire. Essere in grado di esaminare tutti i dati relativi alla sicurezza da un unico punto di vista rende più facile per le organizzazioni di tutte le dimensioni individuare modelli fuori dal comune.

I sistemi SIEM funzionano distribuendo più ple collection agent in modo gerarchico per raccogliere eventi relativi alla sicurezza da dispositivi degli utenti finali, server e apparecchiature di rete, nonché apparecchiature di sicurezza specializzate, come firewall, antivirus o sistemi di prevenzione delle intrusioni (IPS). I raccoglitori inoltrano gli eventi a una console di gestione centralizzata, dove gli analisti della sicurezza setacciano il rumore, collegando i punti e dando la priorità agli incidenti di sicurezza.

In alcuni sistemi, la preelaborazione può avvenire nei raccoglitori edge , con solo determinati eventi passati a un nodo di gestione centralizzato. In questo modo è possibile ridurre il volume di informazioni comunicate e archiviate. Sebbene i progressi nell’apprendimento automatico stiano aiutando i sistemi a segnalare le anomalie in modo più accurato, gli analisti devono comunque fornire feedback, educando continuamente il sistema sull’ambiente.

Di seguito sono riportate alcune delle caratteristiche più importanti da esaminare durante la valutazione dei prodotti SIEM:

• Integrazione con altri controlli. Il sistema può dare comandi ad altri controlli di sicurezza aziendali per prevenire o fermare gli attacchi in corso?
• Intelligenza artificiale (AI). Il sistema può migliorare la propria precisione tramite l’apprendimento automatico e il deep learning?
• Feed di intelligence sulle minacce. Il sistema può supportare i feed di intelligence sulle minacce scelti dall’organizzazione o è obbligato a utilizzare un feed particolare?
• Report di conformità completo. Il sistema include report integrati per esigenze di conformità comuni e fornisce il organizzazione con la possibilità di personalizzare o creare nuovi rapporti di conformità?
• Funzionalità forensi. Il sistema può acquisire informazioni aggiuntive sugli eventi di sicurezza registrando le intestazioni e i contenuti dei pacchetti di interesse?

Come funziona SIEM?

Gli strumenti SIEM funzionano raccogliendo dati di registro e di eventi creati da sistemi host, applicazioni e dispositivi di sicurezza, come filtri antivirus e firewall, in tutta l’infrastruttura aziendale e portandoli dati insieme su una piattaforma centralizzata. Gli strumenti SIEM identificano e ordinano i dati in categorie come accessi riusciti e non riusciti, attività malware e altre attività potenzialmente dannose.

Il software SIEM genera quindi avvisi di sicurezza quando identifica potenziali problemi di sicurezza. Utilizzando una serie di regole predefinite, le organizzazioni possono impostare questi avvisi come priorità bassa o alta.

Ad esempio, un account utente che genera 25 tentativi di accesso non riusciti in 25 minuti potrebbe essere contrassegnato come sospetto ma essere comunque impostato su una priorità inferiore perché i tentativi di accesso sono stati probabilmente effettuati dall’utente che probabilmente aveva dimenticato le sue informazioni di accesso.

Tuttavia, un account utente che genera 130 tentativi di accesso non riusciti in cinque minuti sarebbe contrassegnato come ad alta priorità evento perché è molto probabile che sia in corso un attacco di forza bruta.

Perché è importante SIEM?

SIEM è importante perché rende più facile per le aziende gestire la sicurezza filtrando massicci quantità di dati di sicurezza e assegnazione della priorità agli avvisi di sicurezza generati dal software.

Il software SIEM consente alle organizzazioni di rilevare incidenti che altrimenti potrebbero non essere rilevati. Il software analizza le voci di registro per identificare i segni di attività dannose.Inoltre, poiché il sistema raccoglie eventi da diverse fonti sulla rete, può ricreare la sequenza temporale di un attacco, consentendo a un’azienda di determinare la natura dell’attacco e il suo impatto sul business.

A SIEM Il sistema può anche aiutare un’organizzazione a soddisfare i requisiti di conformità generando automaticamente report che includono tutti gli eventi di sicurezza registrati tra queste origini. Senza il software SIEM, l’azienda dovrebbe raccogliere i dati di registro e compilare i rapporti manualmente.

Un sistema SIEM migliora anche la gestione degli incidenti consentendo al team di sicurezza dell’azienda di scoprire il percorso intrapreso da un attacco attraverso la rete , identificare le fonti che sono state compromesse e fornire gli strumenti automatizzati per prevenire gli attacchi in corso.

Vantaggi di SIEM

Alcuni dei vantaggi di SIEM includono quanto segue:

• riduce in modo significativo il tempo necessario per identificare le minacce, riducendo al minimo i danni da tali minacce;
• offre una visione olistica dell’ambiente di sicurezza delle informazioni di un’organizzazione, facilitando la raccolta e l’analisi informazioni di sicurezza per mantenere i sistemi al sicuro: tutti i dati di un’organizzazione vengono inseriti in un archivio centralizzato dove sono archiviati e facilmente accessibili;
• possono essere utilizzati dalle aziende per una varietà di casi d’uso che ruotano attorno ai dati o registri, inclusi programmi di sicurezza, audit e report di conformità, egli lp desk e risoluzione dei problemi di rete;
• supporta grandi quantità di dati in modo che le organizzazioni possano continuare a scalare e aumentare i propri dati;
• fornisce rilevamento delle minacce e avvisi di sicurezza; e
• in grado di eseguire analisi forensi dettagliate in caso di gravi violazioni della sicurezza.

Limitazioni di SIEM

Nonostante i suoi vantaggi, ce ne sono ancora alcuni limitazioni di SIEM, inclusi i seguenti:

• Di solito, l’implementazione richiede molto tempo perché richiede supporto per garantire una corretta integrazione con i controlli di sicurezza di un’organizzazione e i numerosi host nella sua infrastruttura. In genere occorrono 90 giorni o più per installare SIEM prima che inizi a funzionare.
• È costoso. L’investimento iniziale in SIEM può essere di centinaia di migliaia di dollari. E anche i costi associati possono sommarsi, inclusi i costi del personale per gestire e monitorare un’implementazione SIEM, supporto annuale e software o agenti per raccogliere dati.
• L’analisi, la configurazione e l’integrazione dei report richiedono il talento di esperti. Ecco perché alcuni sistemi SIEM sono gestiti direttamente all’interno di un Security Operations Center (SOC), un’unità centralizzata composta da un team di sicurezza delle informazioni che si occupa dei problemi di sicurezza di un’organizzazione.
• Gli strumenti SIEM di solito dipendono da regole per analizzare tutti i dati registrati. Il problema è che la rete di un’azienda genera un gran numero di avvisi – di solito 10.000 al giorno – che possono essere positivi o meno. Di conseguenza, è difficile identificare potenziali attacchi a causa del numero di log irrilevanti.
• Uno strumento SIEM configurato in modo errato può perdere importanti eventi di sicurezza, rendendo la gestione del rischio delle informazioni meno efficace.

Strumenti e software SIEM

Alcuni degli strumenti nello spazio SIEM includono quanto segue:

• Splunk. Splunk è un sistema SIEM locale completo. Splunk supporta il monitoraggio della sicurezza e offre funzionalità avanzate di rilevamento delle minacce.
• IBM QRadar. QRadar può essere distribuito come un’appliance hardware, un’appliance virtuale o un’appliance software, a seconda delle esigenze e della capacità di un’azienda. QRadar on Cloud è un servizio cloud fornito da IBM Cloud basato sul prodotto QRadar SIEM.
• LogRhythm. LogRhythm, un buon sistema SIEM per organizzazioni più piccole, unifica SIEM, gestione dei registri, monitoraggio di rete ed endpoint e analisi forense e analisi della sicurezza.
• Exabeam. Il prodotto SIEM di Exabeam offre diverse funzionalità, tra cui UEBA, un data lake, analisi avanzate e un cacciatore di minacce.
• RSA. RSA NetWitness Platform è uno strumento di rilevamento e risposta alle minacce che include acquisizione, inoltro, archiviazione e analisi dei dati. RSA offre anche SOAR.

Come scegliere il prodotto SIEM giusto

La selezione dello strumento SIEM giusto varia in base a una serie di fattori, tra cui il budget di un’organizzazione e posizione di sicurezza.

Tuttavia, le aziende dovrebbero cercare strumenti SIEM che offrano le seguenti funzionalità:

• reporting di conformità;
• risposta agli incidenti e analisi forense;
• monitoraggio dell’accesso a database e server;
• rilevamento delle minacce interne ed esterne;
• monitoraggio, correlazione e analisi delle minacce in tempo reale tra una varietà di applicazioni e sistemi;
• sistema di rilevamento delle intrusioni (IDS), IPS, firewall, registro delle applicazioni degli eventi e altre integrazioni di applicazioni e sistemi;
• intelligence sulle minacce e
• monitoraggio dell’attività degli utenti ( UAM).

Storia di SIEM

La tecnologia SIEM, che esiste dalla metà degli anni 2000, si è evoluta inizialmente dalla disciplina di gestione dei registri, i processi collettivi e le politiche utilizzate per amministrare e facilitare la generazione, la trasmissione, l’analisi, l’archiviazione, l’archiviazione e lo smaltimento finale dei grandi volumi di dati di registro creati all’interno di un sistema informativo.

Gli analisti di Gartner Inc. hanno coniato il termine SIEM nel rapporto Gartner del 2005, “Migliorare Sicurezza IT con gestione delle vulnerabilità “. Nel rapporto, gli analisti hanno proposto un nuovo sistema informativo di sicurezza basato su SIM e SEM.

Costruito su sistemi legacy di gestione della raccolta dei registri, SIM ha introdotto analisi di archiviazione a lungo termine e rapporti sui dati di registro. La SIM ha anche integrato i registri con l’intelligence sulle minacce. SEM ha affrontato l’identificazione, la raccolta, il monitoraggio e la segnalazione di eventi relativi alla sicurezza in software, sistemi o infrastrutture IT.

Quindi, i fornitori hanno creato SIEM combinando SEM, che analizza i dati di registro ed eventi in tempo reale, fornendo il monitoraggio delle minacce , correlazione degli eventi e risposta agli incidenti, con SIM, che raccoglie, analizza e riporta i dati di registro.

Il futuro di SIEM

Le tendenze future di SIEM includono quanto segue:

• Orchestrazione migliorata. Attualmente, SIEM fornisce alle aziende solo l’automazione del flusso di lavoro di base. Tuttavia, poiché le organizzazioni continuano a crescere, SIEM dovrà offrire funzionalità aggiuntive. Ad esempio, a causa della maggiore commercializzazione dell’IA e dell’apprendimento automatico, gli strumenti SIEM dovranno offrire un’orchestrazione più rapida per fornire ai diversi reparti all’interno di un’azienda lo stesso livello di protezione. Inoltre, i protocolli di sicurezza e l’esecuzione di tali protocolli saranno più veloci, oltre che più efficaci ed efficienti.
• Migliore collaborazione con strumenti di rilevamento e risposta gestiti (MDR). Poiché le minacce di hacking e accesso non autorizzato continuano ad aumentare, è importante che le organizzazioni implementino un approccio a due livelli per rilevare e analizzare le minacce alla sicurezza. Il team IT di un’azienda può implementare SIEM internamente, mentre un provider di servizi gestiti (MSP ) può implementare lo strumento MDR.
• Gestione e monitoraggio del cloud migliorati. I fornitori SIEM miglioreranno le capacità di gestione e monitoraggio del cloud dei loro strumenti per soddisfare meglio le esigenze di sicurezza delle organizzazioni che utilizzano il cloud.
• SIEM e SOAR si evolveranno in un unico strumento. Cerca i prodotti SIEM tradizionali per sfruttare i vantaggi di SOAR; tuttavia, i fornitori SOAR probabilmente risponderanno espandendo le capacità dei loro prodotti.