I sistemi di Gestione degli eventi e delle informazioni di sicurezza (SIEM) rappresentano una parte essenziale di qualsiasi moderna cassetta degli attrezzi per la sicurezza informatica che aiuta il Centro Operativo di Sicurezza (SOC) a raccogliere, rilevare, indagare e rispondere alle minacce informatiche interne ed esterne. Questo strumento fondamentale aiuta i team di sicurezza informatica a raccogliere, analizzare ed eseguire operazioni di sicurezza mantenendo e garantendo al contempo una risposta rapida e ottimale agli incidenti. Abbiamo trattato molti argomenti sulla sicurezza del cloud, ma il SIEM è un argomento complesso che merita una pagina a parte. Continua a leggere per saperne di più sui componenti del SIEM, le best practice, i casi d’uso e le tendenze.
Introduzione al SIEM
Il SIEM è uno strumento che raccoglie, aggrega e analizza le informazioni provenienti da altri sistemi relativi alla sicurezza informatica. Agli albori di Internet, gli strumenti SIEM non erano necessari perché c’erano relativamente pochi sistemi connessi a Internet. Un semplice firewall per bloccare le connessioni non autorizzate era sufficiente a proteggere qualsiasi sistema avesse bisogno di essere online. Di solito era lecito presumere che gli utenti autorizzati si sarebbero collegati dall’interno dell’organizzazione, mentre qualsiasi tentativo di accedere alle risorse aziendali da remoto non era autorizzato.
Tuttavia, poiché le persone e le aziende si sono evolute in un ambiente dipendente dal digitale, è diventato più complesso per i team di sicurezza informatica monitorare e proteggersi dalle minacce interne ed esterne. Insieme all’espansione dell’ecosistema digitale, alla carenza di competenze nel settore della sicurezza informatica e all’aumento della superficie di attacco degli attori delle minacce, è più importante che mai fornire ai team di sicurezza informatica gli strumenti e le risorse per affrontare queste minacce in modo rapido ed efficace. Un’organizzazione può avere più server che accettano connessioni su una varietà di porte diverse, da file server e database a chat video, VPN e altro ancora. Via via che sempre più dati vengono archiviati digitalmente, le organizzazioni devono preoccuparsi delle minacce provenienti sia dall’interno che dall’esterno dell’organizzazione.
Il SIEM si è evoluto come un modo per monitorare e gestire l’enorme volume di informazioni con cui i team IT hanno a che fare quotidianamente. Dal rilevamento delle minacce alle analisi forensi e alla risposta agli incidenti, il SIEM semplifica notevolmente la gestione delle minacce informatiche.
Componenti del SIEM
Il SIEM offre un modo per raccogliere, elaborare e analizzare le informazioni su eventi e incidenti relativi alla sicurezza. Un sistema SIEM è composto da molti componenti, che possono essere suddivisi in due ampie categorie:
Gestione delle informazioni di sicurezza (SIM)
Gestione degli eventi di sicurezza (SEM)
SIM si riferisce alla raccolta di file di log e altri dati in un repository centrale in modo che possano essere analizzati in un secondo momento. Potrebbe essere definito in modo meno affascinante come gestione dei log. Al contrario, il SEM si riferisce all’idea di elaborare le informazioni e monitorare eventi e avvisi. Il SIEM combina il SIM e il SEM, con dati presi da una varietà di fonti diverse, alcune in tempo reale e altre no, ed elaborati per identificare e comprendere meglio le minacce o i potenziali problemi. I sistemi SIEM possono combinare dati provenienti da log, sistemi di rilevamento delle intrusioni, sistemi di minacce interne e altre fonti e prendere decisioni informate su quali minacce sono sufficientemente significative da giustificare l’avviso di un amministratore di sistema per una risposta rispetto a quali sono attività più banali che non richiedono un’azione immediata.
Implementazione di soluzioni SIEM
Man mano che i vettori di minaccia e le superfici di attacco aumentano per i team SOC da monitorare e proteggere, le aziende sono fortunate ad avere un’ampia gamma di offerte SIEM per supportare i loro team di sicurezza informatica. Alcuni fornitori SIEM popolari sono:
Quando si sceglie una soluzione SIEM, è importante considerare l’infrastruttura esistente. Alcuni strumenti sono progettati tenendo conto di specifici sistemi operativi, server o ambienti. I punti da prendere in considerazione includono se la soluzione è un servizio in abbonamento basato sul cloud o una soluzione on-premises sul proprio server. Inoltre, il SIEM proposto funziona per applicazioni multi-cloud, ibride e on-premises?
Vale la pena leggere attentamente le licenze. Alcune soluzioni possono addebitare un costo per server o avere degli ulteriori addebiti per aggiungere integrazioni/strumenti di analisi specifici e ciò potrebbe diventare piuttosto costoso se si gestisce un sistema grande/complesso.
Alcune soluzioni SIEM dichiarano di offrire il supporto pronto all’uso per centinaia di applicazioni/server di vari fornitori, e questo può essere prezioso se si desidera configurare rapidamente le proprie soluzioni SIEM. Se stai utilizzando un server relativamente vecchio o oscuro e hai bisogno di analizzare i log in un formato insolito, potresti scoprire che gli strumenti moderni non supportano immediatamente tali log. Fortunatamente, dovresti essere in grado di configurare manualmente l’analisi con la maggior parte degli strumenti.
Alcuni strumenti sono open source o hanno livelli gratuiti che potrebbero essere adatti alle tue esigenze se hai bisogno della libertà di eseguire la soluzione su molti server. Tuttavia, se stai optando per una soluzione gratuita e open source, assicurati di esaminare le opzioni di supporto disponibili. Può valere la pena pagare un pacchetto di supporto premium per garantire che i sistemi di monitoraggio siano configurati correttamente.
Strategie di integrazione per SIEM
La sicurezza è una questione complessa e non esiste un approccio univoco al SIEM. Quando cerchi di integrare gli strumenti di sicurezza esistenti con la tua soluzione SIEM, inizia a considerare i tuoi casi d’uso e le aree non coperte delle informazioni con cui ti trovi a che fare. Poniti le seguenti domande:
Hai individuato i tuoi obiettivi SIEM?
Hai creato un elenco di esigenze da affrontare?
Hai un elenco dei tuoi requisiti in materia di dati?
Quali dati stai già registrando?
Hai un elenco di ciò che non stai registrando ma che dovresti registrare?
Come puoi configurare il tuo strumento SIEM per soddisfare le tue esigenze e fornire una migliore visibilità dei problemi che stai riscontrando attualmente?
Molte soluzioni di sicurezza offrono la reportistica in tempo reale con il protocollo SNMP (Simple Network Management Protocol). Includono API o sistemi di esportazione dei dati che possono aiutarti a ottenere i dati dai tuoi strumenti esistenti nella tua piattaforma SIEM per l’analisi. Se utilizzati correttamente, gli strumenti SIEM possono aiutarti a identificare le anomalie e rispondere alle violazioni della sicurezza in modo rapido ed efficace.
Tuttavia, se stai registrando troppo o non sei sicuro di come elaborare ciò che stai registrando, potresti trovarti sopraffatto dai dati. È fondamentale capire cosa stai guardando e avere un’idea di quale sia la tua “linea di base” in modo da poter individuare i cambiamenti nella normale attività.
Casi d’uso di SIEM
Di seguito sono riportati alcuni esempi comuni di situazioni che le implementazioni SIEM possono rilevare:
Account compromessi: Se un membro dello staff ha effettuato l’accesso in ufficio e poi si connette 20 minuti dopo da 400 miglia di distanza, è probabile che l’account sia compromesso.
Minacce interne: Un amministratore di sistema o un membro del personale con credenziali privilegiate che accede al di fuori dell’orario d’ufficio, da casa, potrebbe tentare di esfiltrare i dati.
Tentativi di forza bruta: i tentativi di hacking tradizionali come quelli a forza bruta, Pass the Hash o Golden Ticket di solito si distinguono abbastanza chiaramente nei registri.
Tentativi di phishing: Il SIEM potrebbe essere utilizzato per determinare chi ha ricevuto un tentativo di phishing e se qualcuno ha fatto clic sul link di phishing, offrendo opportunità di formazione o intraprendendo azioni correttive se un account è stato compromesso.
Rimedio a seguito di una violazione: se si verifica una violazione, anche se non tramite uno dei vettori di cui sopra, il SIEM può avvisare gli amministratori di modifiche alla configurazione di un server o persino di picchi nell’utilizzo della memoria o del processore che non sono previsti. Ciò potrebbe avvisare il team che si è verificata una violazione, dando loro il tempo di bloccare i sistemi, diagnosticare il problema e intraprendere delle azioni correttive.
Malware: Il SIEM potrebbe essere utilizzato per monitorare le modifiche ai file, fungendo da ulteriore linea di difesa dal ransomware lanciando l’allarme se un’infezione da malware inizia a crittografare i file a cui solitamente non si accede.
Il ruolo del SIEM nella conformità
SIEM combina registrazione e analisi, aiutando le aziende a proteggere i loro sistemi e aiutandole a rispettare le normative sulla privacy . Per chiarire, SIEM non è di per sé uno strumento di conformità. Tuttavia, i dashboard SIEM avvisano gli amministratori di minacce e problemi che indicano attività non autorizzate o dannose. La conoscenza è una parte essenziale della sicurezza informatica e SIEM fornisce agli amministratori le conoscenze necessarie per organizzare una solida difesa.
Alcuni dei framework più comuni che le aziende sono tenute a rispettare (a seconda del settore) sono:
HIPAA: Le organizzazioni sanitarie possono incorrere in multe che vanno da 100 $ a 50.000 $ per violazione e una singola violazione di sicurezza potrebbe essere considerata come violazioni multiple.
PCI-DSS: le organizzazioni finanziarie devono rispettare queste normative per il pagamento sicuro e l’elaborazione dei dati. Le multe possono essere comprese tra $5,000 e $100,000 al mese.
GDPR: Le organizzazioni che operano in Europa e che trattano dati personali sono tenute a rispettare il GDPR e le multe possono arrivare fino a 20 milioni di euro o al 4% del fatturato dell’azienda, a seconda di quale dei due è maggiore.
Esistono anche normative statali o locali, come le normative sulla privacy della California e le normative sul trattamento dei dati dell’ICO in Inghilterra. Spetta a ciascuna azienda determinare quali normative sono tenute a rispettare e garantire che operino in conformità con tali normative.
Il SIEM non è in grado da solo di prevenire le intrusioni; Tuttavia, può avvisare un’organizzazione di un’ intrusione, aiutando a prevenire ulteriori danni. Può anche servire come una preziosa forma di due diligence. Si consideri il seguente scenario ipotetico.
Lo strumento SIEM avvisa di un accesso insolito su un server dimenticato da tempo. Gli amministratori di sistema indagano su tale accesso, scoprono che si tratta di una violazione e la correggono verificando che gli aggressori non abbiano ottenuto l’accesso ad alcun dato sensibile, evitando multe significative e cattive relazioni pubbliche. Senza l’avvertimento tempestivo dello strumento SIEM, gli hacker potrebbero aver avuto settimane o mesi per esplorare i sistemi compromessi, trovando potenzialmente altre vulnerabilità ed essendo in grado di fare danni reali accedendo ai dati privilegiati.
Best practice del SIEM
Per ottenere il massimo dal SIEM, è fondamentale personalizzare l’implementazione in base alle proprie esigenze specifiche. Ciò include la determinazione di cosa registrare e come convertire tali dati in un formato adatto alla lettura da parte della dashboard. Inoltre, considera come automatizzare i sistemi per evitare di sovraccaricare il tuo team SOC. Ecco alcune utili best practice da considerare:
Definisci chiaramente i tuoi obiettivi.
Disponi di un data store centralizzato per i tuoi log e di un sistema ottimizzato per consolidare tali dati.
Assicurati di registrare i dati necessari da tutti i tuoi strumenti e applicazioni relativi alla sicurezza.
Definisci chiaramente i criteri di conservazione dei log in modo da disporre di dati che risalgono a un periodo sufficientemente antico per identificare i modelli.
Verifica che la registrazione e l’audit siano sufficienti per tutte le normative che sei tenuto a rispettare.
Ove possibile, automatizza i flussi di lavoro per far risparmiare tempo al personale e ridurre i margini di errore.
Sfrutta le API o altre integrazioni per semplificare la connessione degli strumenti del SIEM all’infrastruttura di sicurezza.
Informa tutti i membri del personale interessati sui tuoi sistemi di risposta agli incidenti.
Rivaluta regolarmente i tuoi sistemi e le tue policy di sicurezza.
Affinché il SIEM funzioni correttamente, deve monitorare le cose giuste e la qualità dei dati che vi transitano deve essere elevata. Se il tuo sistema SIEM genera regolarmente falsi allarmi, i team di sicurezza potrebbero iniziare a ignorarli. L’obiettivo di SIEM è filtrare il rumore e far risparmiare tempo al team SOC. Potrebbe volerci un po’ di tempo per mettere a punto il sistema, ma questo investimento di tempo varrà la pena a lungo termine.
Evoluzione e tendenze future in SIEM
SIEM si evolve così come si evolvono altre parti dell’ecosistema IT. Gli strumenti di intelligenza artificiale e apprendimento automatico stanno contribuendo a migliorare le soluzioni SIEM, in particolare dal punto di vista del rilevamento automatizzato e rapido delle minacce. Man mano che un numero crescente di organizzazioni migra al cloud, i moderni strumenti di sicurezza devono essere in grado di funzionare in modo efficiente in ambienti ibridi e multi-cloud.
Inoltre, man mano che i processori diventano più veloci e lo storage diventa più economico, è più facile elaborare grandi volumi di dati. I data lake in cloud e i sofisticati strumenti di reporting in grado di analizzare grandi volumi di dati non strutturati consentono agli strumenti SIEM di analizzare dati che in precedenza sarebbero stati scartati perché “troppo rumorosi”. Ora, questi grandi volumi di dati possono essere utilizzati per profilare meglio gli utenti e identificare modelli di utilizzo sospetti, facilitando l’identificazione degli account compromessi.
Gli amministratori possono utilizzare il controllo degli accessi basati sui ruoli e i profili utente per limitare i danni che potrebbe causare un account utente compromesso. Gli strumenti SIEM possono essere utilizzati insieme a firewall, rilevamento delle intrusioni, sicurezza degli endpoint e strumenti di monitoraggio delle minacce interne per fornire una soluzione di sicurezza completa. Questo tipo di potenza e flessibilità è essenziale negli ambienti in cui il lavoro in remoto/ibrido è all’ordine del giorno o in cui sono in atto policy BYOD (Bring Your Own Device).
Libera il potenziale di SIEM
SIEM è un concetto potente per il monitoraggio, la valutazione e l’analisi delle minacce alla sicurezza. Gli strumenti SIEM di nuova generazione che sfruttano le tecniche di deep learning migliorano la sicurezza rilevando e identificando automaticamente il comportamento anomalo della rete. Utilizzando dashboard interattive, questi strumenti forniscono informazioni in tempo reale sulle attività dannose, consentendo agli amministratori di intraprendere azioni correttive tempestive.
Il SIEM è uno strumento chiave nel tuo arsenale per rilevare ed eliminare i tentativi dei criminali informatici di compromettere i tuoi sistemi.
Sebbene il SIEM sia una parte essenziale di una difesa proattiva dalle minacce informatiche, è altrettanto importante disporre di un’alternativa nel caso in cui un attacco informatico abbia successo. Per evitare di diventare una vittima, è necessario assicurarsi di conservare e mantenere backup immutabili che siano sicuri e protetti.
Se desideri saperne di più su come Veeam può aiutarti con la protezione dei dati, contattaci oggi stesso per prenotare una consulenza o organizzare una dimostrazione del nostro software.
Contenuti correlati
- Gestione delle vulnerabilità
- Sfruttare il Framework NIST Cybersecurity
- Report sulle tendenze nel ransomware 2023
- Tendenze nella protezione in cloud
