Oggi, un singolo data breach costa mediamente 4,45 milioni di dollari a chi lo subisce. Aumentano le minacce e cresce il valore del dato (per le aziende, ma anche per i criminali), mentre i paradigmi di sicurezza diventano sempre più complessi e richiedono un approccio che tenga conto di tutte le vulnerabilità cui un ecosistema informatico è soggetto.
Tutto ciò, senza contare la normativa, che diventa sempre più stringente, eleva progressivamente il costo della compliance e rende l’apparato sanzionatorio sempre più incisivo. È in questo contesto che i sistemi SIEM trovano non solo motivo di esistere, ma anche una rilevanza centrale.
Sistemi SIEM: cosa sono e perché sono fondamentali
Di tutte le definizioni dei sistemi SIEM, troviamo particolarmente azzeccata quella di Gartner che li definisce come “una tecnologia che supporta la scoperta di minacce, la compliance e la gestione degli incidenti di sicurezza, attraverso la raccolta e l’analisi (sia real-time che storiche) degli eventi di sicurezza, così come un’ampia gamma di altri eventi e sorgenti dati contestualizzate”
La definizione da manuale ci dice che i sistemi SIEM sono la risultante di funzionalità SIM (Security Information Management) e SEM (Security Event Management) in un unico sistema di gestione. Nel complesso, dunque, il SIEM è una piattaforma che acquisisce log ed eventi di sicurezza da tutti i componenti del sistema informatico aziendale – per quanto complesso, ibrido e distribuito esso sia – e si fa carico (almeno) di attività di normalizzazione dei dati, correlazione, monitoraggio, alerting e reporting, al fine di identificare potenziali minacce attraverso un monitoraggio costante di tutta l’infrastruttura.
La complessità di un sistema SIEM dipende dalle responsabilità cui è soggetto, ma anche dall’immenso quantitativo di sorgenti dati con cui si deve interfacciare: parliamo infatti di dispositivi di rete come router e firewall, ma anche di sistemi di sicurezza come gli IDS e gli antimalware, i device di lavoro usati dagli utenti, le applicazioni aziendali, i database, i server, i sistemi di identity (IAM), i sistemi industriali come i PLC e gli SCADA e tutto ciò che, essendo nativamente soggetto a vulnerabilità, può essere sfruttato dai malintenzionati per scopi criminali.
Non a caso, il concetto stesso di Security Information and Event Management è fortemente connesso a quello di gestione dei Log Management, di cui si può considerare una sorta di specializzazione in ambito security e compliance, essendo i SIEM la base su cui costruire (e dimostrare) la conformità a molteplici assetti normativi. Cosa tutt’altro che secondaria, il SIEM è tipicamente la piattaforma centrale su cui un Security Operations Center (SOC) basa la propria attività.
La complessità e l’evoluzione dei sistemi SIEM
L’elemento che rende determinanti i sistemi SIEM nel paradigma di sicurezza moderno è la loro capacità di aggregare ed effettuare correlazioni statistiche avanzate tra dati provenienti da svariate fonti, al fine di identificare segnali critici che possono/devono innescare un processo di incident response a tutela della continuità operativa, dell’integrità dei dati e della conformità con policy e regolamenti.
Dalla prima generazione (circa 2005) ad oggi sono stati fatti passi avanti significativi in ognuno degli ambiti citati, al punto che oggi un SIEM è il fondamento di qualsiasi Security Operations Center, che a sua volta è il pilastro della sicurezza enterprise.
Nel corso degli anni, in particolare nei principali sistemi SIEM, sono state integrate tecnologie avanzate di analisi del comportamento degli utenti e delle entità (UEBA) e di orchestrazione della sicurezza e risposta automatizzata (SOAR), per poi concentrarsi sull’Intelligenza Artificiale (o meglio, sul Machine Learning) per intercettare attività anomale, identificare quelle potenzialmente dannose (agendo così sul problema dei falsi positivi), interagire con le policy di security stabilite dall’organizzazione e determinare le azioni da intraprendere. Il sistema, a questo punto, può anche avviare una serie di azioni di risposta automatica, come disconnettere dispositivi dalla rete, spegnere applicazioni e via dicendo.
Tutto ciò non significa che non sia necessaria la supervisione umana, anzi proprio attraverso i sistemi SIEM di ultima generazione, le integrazioni con SOAR e Cyber Threat Intelligence si può sviluppare quel potenziamento reciproco uomo-macchina che, in piena era di Intelligenza Artificiale, dovrebbe plasmare il presente e il futuro delle imprese.
Fonte:
