Enterprise e piccole aziende, l'importanza di un Next Generation SIEM

Analisi del comportamento e automazione si arricchiscono di AI e machine learning per la difesa dell’IT moderno.
Analisi del comportamento e automazione si arricchiscono di AI e machine learning per la difesa dell’IT moderno.

Il security information and event management (SIEM) è un approccio alla gestione della sicurezza molto in voga negli ultimi anni, nonostante non sia per nulla nuovo. Uno scenario che combina le funzioni SIM (gestione delle informazioni di sicurezza) e SEM (gestione degli eventi di sicurezza) in un unico sistema. I principi alla base di ogni sistema SIEM sono aggregare i dati rilevanti da più fonti, identificare le deviazioni dalla norma e intraprendere le azioni appropriate. Ad esempio, quando viene rilevato un potenziale problema, un sistema SIEM potrebbe registrare ulteriori informazioni, generare un avviso e istruire altri controlli di sicurezza per interrompere l’avanzamento di un’attività. Al livello più elementare, un sistema SIEM può essere basato su regole o utilizzare un motore di correlazione statistica, per stabilire relazioni tra le voci del registro eventi.

I sistemi SIEM avanzati, che vedremo più avanti, si sono evoluti per includere l’analisi del comportamento degli utenti e delle entità (UEBA) e l’orchestrazione, l’automazione e la risposta della sicurezza (SOAR). La conformità agli standard PCI DSS (Payment Card Industry Data Security Standard) ha originariamente guidato l’adozione di SIEM nelle grandi imprese, ma le preoccupazioni per le minacce persistenti avanzate (APT) hanno portato anche le organizzazioni più piccole a considerare i vantaggi che i fornitori di servizi SIEM possono offrire. Essere in grado di esaminare tutti i dati relativi alla sicurezza da un unico punto di vista rende più facile per le aziende di tutte le dimensioni individuare modelli fuori dal flusso ordinario. Di fatto, i sistemi SIEM funzionano distribuendo più agenti di raccolta in modo gerarchico, per ottenere eventi relativi alla security dai dispositivi degli utenti finali, server e apparecchiature di rete, nonché endpoint specializzati,  firewall, antivirus o sistemi di prevenzione delle intrusioni. Una console di gestione centralizzata collega i punti e da priorità ai vari incidenti.

Le attività di un SIEM

In linea generale, gli strumenti SIEM forniscono visibilità in tempo reale tramite i sistemi di sicurezza informatica di un’organizzazione. Poi, una gestione del registro eventi che consolida i dati provenienti da numerose fonti. Una correlazione di eventi raccolti da diversi log o fonti di sicurezza, per via di regole che aggiungono informazioni importanti ai dati grezzi e notifiche automatiche degli eventi critici. Il processo di funzionamento di un SIEM si può sintetizzare considerando la raccolta dei dati, il consolidamento delle policy, quello della correlazione dei dati e l’invio di notifiche, qualora un evento o un insieme di eventi faccia scattare un allarme.

Cos’è il Next Generation SIEM

Da quando molte delle minacce avanzate hanno assunto la caratteristica di essere polimorfiche, invece che statiche, la necessità di monitorare come queste modificano il loro comportamento per eludere le misure di protezione, diviene essenziale. Si parla allora di un nuovo tipo di sistemi, i Next Generation SIEM, che devono non solo elaborare un maggior numero di dati, ma anche diventare molto più capaci nel riconoscere nuovi modelli al loro interno. Il SIEM rimane ancora una tecnologia chiave ma si evolve, come nell’accezione di SOD (Secure Online Desktop), azienda cardine nell’offerta dei SIEM di valore. I Next Generation SIEM, talvolta denominati SIEM di tipo analitico o SIEM 3.0, hanno portato rinnovate capacità di integrazione in un’infrastruttura aziendale, grazie ad un’architettura aperta che funge da collante tra il cloud, l’on-premise e il BYOD. Utilizzando l’analisi degli scenari e del comportamento per evidenziare cambiamenti significativi nelle operazioni, continuano a recepire informazioni provenienti da più sorgenti, ma le arricchiscono con l’implementazione di IA e Machine Learning, per aumentare la difesa del sistema IT.

phishing

Il modello SOAR

SOD utilizza un Next Generation SIEM in un modello SOAR (Security Orchestration, Automation and Response). Questo permette di portare più dati in un Next Gen SIEM, orientandoli ai Big Data, così da far prendere decisioni più rapide e meglio informate. Security Orchestration, Automation and Response (SOAR) è un’area di sicurezza in crescita, che contribuisce a standardizzare l’analisi degli incidenti e le procedure di risposta. Automatizzando le azioni di routine, SOAR aiuta i team di sicurezza a raggiungere un’efficienza maggiore, liberando tempo per concentrarsi sulla caccia alle minacce e sulla gestione delle patch.

L’analisi del comportamento

Un’altra importante caratteristica dei Next Generation SIEM di SOD è l’uso della User and Entity Behaviour Analytics (UEBA). L’UEBA si concentra sul monitoraggio e sull’analisi del comportamento degli utenti di un’organizzazione. Questa può essere estremamente utile per aiutare le aziende ad identificare gli account compromessi, come anche le minacce da parte di insider interni. UEBA usa tecniche avanzate di machine learning e di profilazione comportamentale per identificare attività anomale e, non essendo basato su regole, risulta più efficace nel rilevare le anomalie nel corso del tempo. Il Next Generation SIEM di SOD fa parte del più ampio servizio di SOC as a Service, che elimina le spese di installazione e formazione del personale, per mettere nelle mani del cliente le più avanzate tecniche di analisi, rilevazione e risposta alle problematiche di sicurezza.

In collaborazione con SOD
Link copiato negli appunti

Ti potrebbe interessare

01 04 2021
Link copiato negli appunti