La guida

Siem: cos’è e come migliora la sicurezza informatica delle aziende

Home
Indirizzo copiato

Un Security Information and Event Management (SIEM) è un sistema che migliora la consapevolezza della sicurezza di un ambiente IT, combinando la gestione delle informazioni di sicurezza (SIM – Security Information Management) e la gestione degli eventi di sicurezza (SEM- Security Event Management ). Come funziona e come contribuisce alla sicurezza aziendale

Pubblicato il 11 lug 2023
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA

Infrastruttura di comunicazione: un approccio open source

Le organizzazioni, grazie all’implementazione di un sistema SIEM (Security Information and Event Management), sono in grado di garantire la propria cybersecurity, dato che esso consente il rilevamento avanzato delle minacce informatiche, evidenziando potenziali minacce e vulnerabilità, il monitoraggio degli eventi in tempo reale e la registrazione dei dati di sicurezza per la conformità.

Manifatturiero, come difendersi dal cyber crime: vademecum strategico per PMI

Cosa si intende con SIEM (Security information and event management)

Un Security Information and Event Management (SIEM) è un sistema che migliora la consapevolezza della sicurezza di un ambiente IT, combinando la gestione delle informazioni di sicurezza (SIM – Security Information Management) e la gestione degli eventi di sicurezza (SEM- Security Event Management ).

I principi alla base di ogni sistema SIEM sono l’aggregazione di dati rilevanti provenienti da più fonti, l’identificazione delle deviazioni dalla norma e l’adozione delle azioni appropriate. Pertanto, le soluzioni SIEM migliorano il rilevamento delle minacce, la conformità e la gestione degli incidenti di sicurezza attraverso la raccolta e l’analisi di dati e fonti di eventi di sicurezza storici e in tempo reale.

SIEM nel contesto della sicurezza informatica aziendale: come funziona

Un SIEM è strutturato per offrire una gamma di funzionalità che, se combinate e integrate, offrono una protezione completa delle organizzazioni. Di fatto, un sistema SIEM raccoglie informazioni dai log e dai dati degli eventi generati da un’organizzazione attraverso le applicazioni, i sistemi di sicurezza e l’hardware di un’azienda. I sistemi SIEM, “scrutando” gli eventi con l’aiuto di regole e motori di analisi, riescono a rilevare e analizzare le minacce alla sicurezza in tempo reale. Inoltre, tutte le informazioni vengono indicizzate per la ricerca, allo scopo di semplificare le analisi, la gestione dei log e la generazione dei report da parte dei team di sicurezza. Pertanto, un SIEM fornisce la necessaria sicurezza grazie alla visibilità dell’intera rete di dispositivi e di app dell’organizzazione.

Come un sistema SIEM contribuisce alla protezione dell’infrastruttura IT

Un sistema SIEM consente ai team di sicurezza di ottenere informazioni dettagliate sugli aggressori, come già accennato, in base a regole sulle minacce derivate da informazioni in termini di tattiche, tecniche e procedure (Techniques, Tactics, and Procedures – TTP) e sugli indicatori di compromissione (Indicator of Compromise- IOC) degli aggressori.

Il rilevamento delle minacce può aiutare, altresì, a rilevare le minacce nelle e-mail, nelle risorse cloud, nelle applicazioni, nelle fonti di informazioni sulle minacce esterne e negli endpoint. Pertanto, un sistema SIEM – quando un incidente o un evento viene identificato, analizzato e classificato -lavora per fornire report e notifiche alle parti interessate all’interno dell’organizzazione. Si tratta, ad esempio, di fornire l’analisi del comportamento dell’utente e dell’entità (User and Entity Behavior Analytic- UEBA) che analizza comportamenti e attività in modo da rilevare e monitorare comportamenti anomali che potrebbero indicare una minaccia. Un SIEM può anche rilevare anomalie comportamentali, movimenti laterali e account compromessi. In definitiva si tratta di garantire un’analisi puntuale dei dati e la correlazione degli eventi in tempo reale.

Inoltre, un sistema SIEM può essere basato su regole o utilizzare un motore di correlazione statistica per stabilire connessioni tra le voci del registro eventi. I sistemi SIEM avanzati includono anche l’analisi del comportamento degli utenti e delle entità, nonché l’orchestrazione, l’automazione e la risposta alla sicurezza (i.e. Security Orchestration, Automation and Response – SOAR).

Esempi di minacce rilevabili da un sistema SIEM

  • Accesso non autorizzato – Qualche tentativo di accesso non riuscito è perfettamente normale, ma se il numero aumenta considerevolmente, significa che qualcuno sta tentando un attacco di forza bruta. Il sistema SIEM è in grado di monitorare il comportamento degli utenti e identificare i tentativi di accesso “insoliti”.
  • Minacce interne – Monitorando costantemente il comportamento dei dipendenti, i sistemi SIEM sono in grado di rilevare le minacce interne, sia accidentali che intenzionali. Un SIEM è in grado di rilevare i comportamenti anomali ed eseguire l’escalation del problema a un esperto di sicurezza che possa analizzarlo a fronte di eventi scaturiti, ad esempio, da ex dipendenti a cui non sono ancora stati revocati i privilegi di accesso, da malintenzionati interni che possono tentare di rubare o esfiltrare informazioni sensibili, fino ai cambiamenti accidentali delle condizioni di sicurezza
  • Phishing – Gli attacchi di phishing hanno lo scopo di indurre gli utenti a fornire volontariamente informazioni personali o sensibili a un soggetto che assume l’identità di una persona autorevole e affidabile. L’attacco di phishing più comune è costituito da un messaggio e-mail contenente un allegato o un collegamento dannoso, inviato da una persona che si finge un vendor, un responsabile o un dipendente. Una soluzione SIEM è in grado di rilevare situazioni come l’accesso di un dipendente da un’ubicazione sospetta a un orario insolito, che può essere sintomatico della compromissione del relativo account. In questo caso è possibile bloccare il profilo utente in modo da prevenire qualsiasi danno finché il dipendente interessato non conferma di aver effettuato l’accesso.
  • Attacchi DoS e DDoS – Gli attacchi Denial-of-service (DoS) interrompono i servizi inondando le reti con volumi di traffico tali da sovraccaricare le risorse di sistema e determinare un arresto anomalo. La frequenza di queste minacce è in continuo aumento a causa della facilità con cui i botnet riescono a sfruttare i dispositivi di rete, di utenti ignari, per sferrare gli attacchi Distributed Denial-Of-Service (DDoS). Monitorando i log dei server web, il sistema SIEM riesce a identificare gli eventi di traffico anomali che possono essere sintomatici di un attacco DoS o DDoS. Ne consegue che il team di sicurezza , se questi attacchi vengono intercettati tempestivamente, ha il tempo di organizzare una difesa e pianificare il ripristino dei servizi.
  • Iniezione di codice – Per iniezione di codice si intende l’inserimento di codice dannoso nei canali di input lato client, come i moduli online, per ottenere l’accesso a un sistema o al database di un’applicazione. L’esempio più comune è l’iniezione SQL, in cui i comandi SQL vengono inseriti in input non sanificati, consentendo all’aggressore di modificare o eliminare dati direttamente dal database. Grazie al monitoraggio dell’attività delle applicazioni web è possibile identificare gli eventi anomali e sfruttare la correlazione fra gli eventi per determinare se sono state apportate modifiche al sistema.
  • Ransomware e altri malware – Il ransomware, i virus, i worm, i trojan e gli altri tipi di malware sono programmi software espressamente concepiti per infiltrarsi nei sistemi informatici ed eseguire un codice dannoso. La migliore difesa contro questi attacchi è costituita dalla prevenzione e i sistemi SIEM offrono le funzionalità di monitoraggio necessarie per interpretare i log di sicurezza, identificare i vettori di attacco e riconoscere i comportamenti anomali che fanno presagire un attacco. Il sistema SIEM, quando la compromissione è in atto, può anche aiutare a determinare la portata dei danni di un attacco malware, fornendo al team di sicurezza le informazioni necessarie per risolvere il problema.
  • Attacchi Man-In-The-Middle (MITM) – Nel caso di un attacco MITM, un estraneo non autorizzato intercetta le comunicazioni fra due host per rubare o manipolare le informazioni. L’aggressore, una volta intercettate le comunicazioni, può utilizzare una serie di tecniche che vanno dal dirottamento delle sessioni degli utenti attraverso lo sniffing delle password all’iniezione di pacchetti dannosi nei flussi di comunicazione dei dati. Le connessioni o disconnessioni frequenti a o da posizioni sconosciute possono essere un sintomo di un attacco MITM, e in questo caso, il sistema SIEM può svolgere un ruolo chiave nell’aiutare a identificare l’autore della minaccia prima che sia troppo tardi.

SIEM e il rispetto delle normative sulla privacy e protezione dei dati

Le soluzioni SIEM aiutano le organizzazioni a conformarsi alle normative del settore e a quelle governative. In particolare, un sistema SIEM rende più facile da soddisfare i requisiti di conformità relativi alla sicurezza informatica, alla sicurezza ed alla privacy dei dati e alla segnalazione delle violazioni tramite:

  • Reporting di conformità semplificato— Un SIEM semplifica i processi di registrazione dei dati di sicurezza e di reporting sulla conformità, standardizzando e correlando automaticamente i dati di log provenienti da tutto l’ambiente IT in report che forniscono dettagli sulla conformità dell’organizzazione. Ne consegue che i report di conformità SIEM consentono di risparmiare tempo prezioso e semplificano il superamento degli audit di conformità.
  • Supporto integrato per mandati di conformità comuni – Le soluzioni SIEM includono anche funzionalità progettate per aiutare a implementare controlli che soddisfano i requisiti specifici di standard come l’Health Insurance Portability and Accountability Act (HIPAA), il Payment Card Industry Data Security Standard (PCI DSS) e il Sarbanes-Oxley Act (SOX) ed il General Data Protection Regulation (GDPR).

Quali sfide implicano i sistemi SIEM

Sebbene i SIEM siano di supporto alle organizzazioni per il raggiungimento e la dimostrazione di conformità ai mandati normativi, presentano molteplici sfide, tra cui:

  • Costi e difficile implementazione – Un sistema SIEM è generalmente costoso e richiede molto tempo in termini di valutazione. La implementazione richiede spesso 6-12 mesi e i SIEM più complessi richiedono ancora più tempo. Di conseguenza, spesso si assiste a progetti di implementazione SIEM in stand-by e non andati a buon fine. Pertanto, potrebbe essere difficile avere un effettivo ritorno sull’investimento.
  • Monitoraggio e manutenzione regolari- Dopo la installazione di un SIEM, è necessario garantire sia un monitoraggio sia un adattamento continuo ai cambiamenti dell’infrastruttura IT oltre un costante aggiornamento al mutevole panorama delle minacce e alle nuove politiche, alle procedure e alle pratiche di sicurezza in evoluzione.
  • Assunzione di professionisti SIEM – Un SIEM, per funzionare ed essere mantenuto correttamente, richiede servizi qualificati. Pertanto, le organizzazioni devono prevedere di investire ampiamente nella formazione per i propri dipendenti IT o assumere specialisti SIEM esperti che, purtroppo sono difficili da reperire sul mercato.
  • Affaticamento da allerta — Purtroppo i sistemi SIEM generano un numero elevato di falsi allarmi positivi. Ne consegue che i team di risposta sono spesso sopraffatti nel tentativo di valutare e indagare i vari avvisi SIEM.

Best practice per l’integrazione di SIEM nel sistema aziendale

Un’organizzazione prima dell’adozione di un SIEM deve tenere in considerazione alcuni aspetti, tra i quali:

  • Ambito di implementazione- Si tratta di determinare l’ambito dell’implementazione del sistema SIEM. Ovvero, creare regole basate su criteri che definiscono attività e registri che il software SIEM dovrebbe monitorare. I criteri sono utilizzati per essere conformi ai requisiti di conformità esterni e propedeutici a determinare quale tipo di dashboard e reporting richiede l’organizzazione.
  • Ottimizzazione delle regole di correlazione – Un sistema SIEM presenta il proprio set di regole di correlazione preconfigurate. Pertanto, il team di sicurezza può ottimizzare il software in base alle esigenze dell’organizzazione, abilitando tutto per impostazione predefinita, osservando il comportamento e identificando le opportunità di ottimizzazione per aumentare l’efficacia del rilevamento e ridurre i falsi positivi.
  • Identificazione dei requisiti di conformità – Un SIEM dovrà soddisfare i requisiti di conformità specifici per garantire il controllo organizzativo.
  • Monitoraggio dell’accesso alle risorse critiche – Un SIEM dovrebbe essere in grado di monitorare vari aspetti delle risorse critiche, tra cui indirizzi privilegiati e amministrativi, comportamenti insoliti degli utenti sui sistemi, tentativi di accesso remoto e guasti del sistema.
  • Difesa del perimetro della rete – Un SIEM deve essere in grado di monitorare tutte le aree vulnerabili di una rete, inclusi firewall, router, porte e punti di accesso wireless.
  • Test del sistema SIEM – I test di implementazione di un sistema SIEM possono essere propedeutici a stabilire importanti metriche di avviso e individuare eventuali necessità di riconfigurazione, oltre che la valutazione della performance del software.
  • Implementazione del piano di risposta – Gli incidenti di sicurezza possono essere gestiti solo in modo tempestivo, utilizzando un piano di risposta agli incidenti. Pertanto, le organizzazioni dovrebbero pianificare come attivare un piano di comunicazione a seguito di un avviso SIEM.

Come scegliere un sistema SIEM

Ogni organizzazione ha bisogno della massima visibilità per proteggersi dalle minacce alla sicurezza. Questa è la nozione fondamentale alla base del SIEM, quale strumento essenziale per le difese di sicurezza della maggior parte delle grandi e medie imprese.

Il mercato offre un’ampia gamma di software SIEM. Pertanto, è fondamentale valutare la qualità di ciascuno e assicurarsi che il team SOC sia a suo agio nel lavorare con questi sistemi. I sistemi SIEM avanzati includono, di fatto, tutti i vantaggi sopra menzionati, tuttavia, non tutte le piattaforme SIEM sono uguali. Di seguito si illustrano alcuni fattori da considerare quando si scelgono i migliori strumenti SIEM per la propria organizzazione.

  • Dashboard – La dashboard SIEM dovrebbe essere intuitiva e personalizzabile in base alle esigenze dell’organizzazione, consentendo al team SOC di aggregare e raccogliere dati da tutti i dispositivi di rete in modo semplice e in tempo reale, assicurandosi che non vi siano “punti ciechi” nella rete. Inoltre, il team di sicurezza, grazie all’utilizzo di analisi di sicurezza predeterminate e widget ad-hoc, può monitorare lo stato di sicurezza dell’intera rete in qualsiasi momento, consentendo anche la semplice visualizzazione dell’infrastruttura tramite grafici e tabelle.
  • Correlazione – L’enorme quantità di dati raccolti dalle piattaforme SIEM rappresenta un problema per i team di sicurezza poiché l’analisi di tutti quei dati è un’attività onerosa, in particolare quando lo strumento deve scansionare continuamente tutti i dispositivi e i registri. Pertanto, sebbene tutte le soluzioni SIEM includano un certo livello di correlazione, non tutte sono in grado di gestire ogni caso d’uso e regola SIEM. Inoltre, è doveroso evidenziare che le soluzioni SIEM più avanzate si caratterizzano per funzionalità di gestione degli elenchi multidimensionali per gestire i casi d’uso e determinate regole, in modo da identificare attivamente quelli “sconosciuti” e segnalarli agli analisti per la revisione.
  • Incident Investigation & Forensics – Le capacità forensi sono tra le componenti più critiche di qualsiasi approccio alla cybersecurity, consentendo al team di sicurezza di rilevare eventi sospetti o minacciosi in tempo reale. Inoltre, l’analisi forense avanzata può aiutare a fornire prove digitali in tribunale quando un incidente richiede una revisione legale, consentendo anche di soddisfare i controlli di conformità entro un lasso di tempo ragionevole. Ancora, gli strumenti SIEM all’avanguardia, grazie a strumenti più avanzati, forniscono una facile aggregazione di questi dati dalla dashboard centralizzata, comprese le funzionalità di ricerca in tempo reale che consentono l’identificazione e la raccolta dei registri al di sotto dell’attuale media di 197 giorni.
  • Compatibilità registro – Un enorme vantaggio dei sistemi SIEM è che possono utilizzare sia regole predefinite per analizzare i dati sia i dati inseriti dall’organizzazione nel sistema, consentendo risultati e avvisi più accurati . Inoltre, la maggior parte dei prodotti SIEM, attualmente disponibili sul mercato, supporta un’ampia gamma di formati di registro. Tuttavia, è quanto mai fondamentale verificare che il prodotto scelto supporti il tipo di registro utilizzato. In alternativa, si può considerare un’API che aiuti l’organizzazione a creare un analizzatore di log personalizzato .
  • Ridimensionamento/Scalabilità/Velocità/Prestazioni -Dopo aver stabilito quali strumenti SIEM si necessitano in base ai criteri sopra descritti, è opportuno valutare anche le opzioni di scalabilità e i costi associati. Pertanto, è importante, man mano che la l’organizzazione cresce, poter disporre di maggiore supporto in termini di capacità di gestione di una quantità di dati sempre crescenti. La selezione di un sistema SIEM può essere effettuata considerando anche la velocità e le prestazioni.
  • Risposta agli incidenti – Gli algoritmi di risposta automatizzata agli incidenti sono un componente chiave di un sistema SIEM, consentendo risposte istantanee ad attività o attacchi sospetti. Pertanto, il sistema SIEM che si sceglie dovrebbe – come minimo – includere azioni di risposta attiva che bloccano gli IP, disabilitano la rete, disconnettono gli utenti e interrompono i processi.
  • Intelligence delle minacce – Le minacce e i vettori di attacco sono costantemente in movimento. Pertanto, l’intelligence avanzata delle minacce dei sistemi SIEM può contribuire ad ovviare a questo problema, fornendo informazioni su indirizzi IP, file e processi pericolosi ed evidenziando le vulnerabilità nelle reti. I migliori strumenti SIEM, solitamente, combinano un’ampia gamma di feed di intelligence per creare avvisi per il team di sicurezza, riducendo i falsi positivi, oltre ad individuare minacce nascoste e dare priorità ai problemi più urgenti.
  • Machine Learning – Le piattaforme di machine learning e le soluzioni SIEM lavorano in modo sinergico per facilitare l’analisi della sicurezza e ridurre lo sforzo e il tempo necessario per attività sia di routine sia più sofisticate. Il Machine Learning, se implementato in modo efficace, è in grado di prendere decisioni in base ai dati in arrivo, modificarne il comportamento e, di conseguenza, risolvere i problemi. Ogni soluzione SIEM può offrire una gamma di modelli di machine learning tra cui scegliere in modo da identificare quello più idoneo per l’organizzazione in base ai protocolli esistenti.

Gartner Magic Quadrant: le soluzioni SIEM

Secondo l’ultima edizione del Magic Quadrant dello scorso ottobre 2022, i top leaders in termini di soluzioni SIEM risultano essere:

  • Microsoft
  • IBM
  • Splunk
  • Securonix
  • Exabeam
Un grafico che mostra il Magic Quadrant di Gartner per la gestione delle informazioni sulla sicurezza e degli eventi.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • l'analisi di bertelè

    Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

    26 Apr 2024

    di Umberto Bertelè

    Condividi

Prossimo

Trimestrali Meta, Microsoft e Google: che ci dicono sul prossimo futuro

Articolo 1 di 2