Siem software: qual è il futuro?

Un SIEM Software è uno strumento di Security Information and Event Management che monitora tutti gli eventi che si svolgono nella rete aziendale e fornisce allerte real-time in caso di attacchi o incidenti.

I software di sicurezza informatica sono in costante evoluzione e anche il SIEM è destinato a diventare sempre più efficiente, per rispondere a minacce che crescono in numero e in complessità.

In questo articolo definiamo cos’è un SIEM, come funziona e a che cosa serve. Individuiamo anche in che direzione stanno andando i SIEM di ultima generazione… e vi parliamo della nostra soluzione preferita, disponibile anche gratuitamente in versione open source.

Che cos’è un SIEM software e come funziona

Un Security Information and Event Management Software combina le funzioni di Security Event Management (SEM) e Security Information Management (SIM). Quindi, oltre ad eseguire scansioni e allert real time, gestisce anche funzionalità aggiuntive come il Log Management, la Security Event Correlation ecc.

Il software scansiona tutta la rete informatica aziendale, inclusi server, router, firewall, mainframe, cloud ecc. Quindi raccoglie i dati di log dai sistemi operativi, dalle applicazioni, dai dispositivi e dai database.

Insieme a questi, raccoglie anche i dati contestuali prodotti dalle scansioni di vulnerabilità, dai sistemi di threat intelligence, dal comportamento dell’utente ecc.

Mettendo in correlazione tra loro questi dati, un SIEM software svolge alcuni compiti fondamentali per la sicurezza informatica in azienda:

  1. Interpretazione dei dati raccolti, per individuare problemi di sicurezza;
  2. Analisi e profilazione degli utenti e dei loro comportamenti;
  3. Allarme immediato in caso di incidente;
  4. Produzione di reportistica;
  5. Monitoraggio real time delle reti aziendali.

Oltre a rappresentare un aiuto cruciale per i team IT che possono gestire e controllare così molteplici informazioni in maniera centralizzata, i SIEM software sono utilissimi in alcuni contesti specifici.

Ne citiamo un paio:

  • l’indagine forense per ricostruire ex post un incidente di sicurezza;
  • il monitoraggio degli accessi utente anche in smart working o nelle politiche Bring Your Own Device.

I vantaggi

Utilizzando uno strumento come il SIEM, le aziende possono guadagnare dei vantaggi cospicui in termini di gestione della sicurezza informatica.

1. Rilevamento minacce real time

Individuare una minaccia nel momento stesso in cui si presenta aiuta a prevenire e bloccare sul nascere attacchi e data breach, a prescindere dalle dimensioni dell’azienda;

2. Gestione più efficiente della sicurezza informatica

Il SIEM alleggerisce il lavoro dei reparti IT dando al team “umano” la possibilità di gestire in maniera centralizzata ed efficiente i dati provenienti da più punti delle reti informatiche aziendali. Anche la risposta in caso di alert sarà più puntuale, rapida ed efficace;

3.Compliance agli Standard

La maggior parte dei SIEM consente di settare delle regole personalizzate per raggiungere la compliance ai principali standard di sicurezza, o alle normative in vigore.

Il futuro dei SIEM

I SIEM di ultima generazione si distinguono soprattutto grazie ad alcune funzionalità avanzate basate sull’intelligenza artificiale e all’integrazione con i sistemi di Threat Intelligence.

Il futuro dei software SIEM quindi è quello di operare sempre più efficacemente anche in presenza di minacce avanzate e recentissime. L’IA e la Threat Intelligence infatti “informano” il SIEM di virus, malware e altri attacchi ancora poco conosciuti, facendo ricorso a database costantemente aggiornati da cui il SIEM impara a riconoscere le nuove minacce.

In questo contesto, a fare più paura alle aziende sono:

  1. gli attacchi Ddos che mandano in tilt il traffico di dati sulle reti aziendali bloccando di fatto siti web e server;
  2. le SQL injection, ovvero l’immissione nel sistema di codici maligni che cancellano record SQL dai database dell’organizzazione corrompendo l’integrità dei dati;
  3. il furto di dati, di password, di informazioni personali e aziendali.

Grazie al monitoraggio del comportamento dell’utente, i SIEM più avanzati giocano sempre più spesso un ruolo chiave anche quando si parla di errori umani e phishing. Inoltre, sono in grado di prevenire furti di dati provenienti da utenti interni regolarmente autorizzati ad eseguire gli accessi: impiegati infedeli, spie industriali ecc.

I software gratuiti open source

I SIEM open source sono risorse gratuite, utili per le aziende che non vogliono rinunciare alla sicurezza informatica, ma devono tagliare i costi.

Si basano sul lavoro di raccolta di dati fatto dalle Community di Utenti. Questo li espone ad una serie di carenze e di discontinuità nell’assistenza, nell’aggiornamento dei database, nella gestione dei dati di Threat Intelligence ecc. Inoltre in genere mancano delle funzionalità di protezione dalle minacce avanzate, tipiche dei SIEM di ultima generazione.

And the best SIEM software open source is…

AlienVault OSSIM™. Questa sarebbe la nostra scelta se dovessimo adottare un SIEM gratuito. Si tratta dell’edizione Open Source di AlienVault di AT&T che viene continuamente aggiornata con il supporto della community. Funziona come un’applicazione virtuale ed è stata utilizzata con successo da numerosi utenti negli ultimi anni.

AlienVault OSSIM™ è adatto per monitorare un ambiente locale su server singolo, e gestisce bene le funzionalità SIEM di base. Per utilizzarlo in modo profittevole occorre fare un importante lavoro manuale per settare le regole di correlazione: l’automazione è poca.

Il nostro consiglio è di usarlo come test se vuoi provare AlienVault USM™.

In questo caso ti suggeriamo di leggere anche l’ articolo: “Da AlienVault® OSSIM™ a AlienVault® Unified Security Management: perché migrare alla versione USM?”

La nostra soluzione preferita: AlienVault USM™

Tra i tanti software SIEM, il nostro preferito è appunto AlienVault USM™ di AT&T.

Da 3 anni abbiamo una partnership come reseller di questa soluzione perché riteniamo sia la piattaforma adatta per i nostri clienti.

La caratteristica principale infatti è quella di unificare 7 diverse funzionalità di sicurezza, per gestirle in maniera centralizzata. Di qui anche il nome del software. USM infatti sta per Unified Security Management.

Dal punto di vista della protezione avanzata e dell’applicazione dell’intelligenza artificiale, AlienVault USM™ è attualmente uno dei software SIEM con le performance più convincenti. La Threat Intelligence si basa su due strutture:

  1. Gli AlienVault Labs Threat Intelligence, che aggiornano continuamente la piattaforma USM con le informazioni più recenti su attaccanti, minacce, metodi e infrastrutture adoperate per perpetrare gli attacchi:
  2. L’Open Threat Exchange che analizza il repository dati più grande del mondo per avere un aggiornamento continuo e immediato delle attività di cybercrime su scala globale.

Il mondo dei SIEM è in costante evoluzione e punta sempre di più ad un sistema di protezione proattiva e non passiva.

Speriamo di averti fornito informazioni utili in questo articolo, ma se vuoi approfondire ancora dovresti davvero leggere il whitepaper “The state of SIEM” di AT&T.

Contattaci

Se hai bisogno di valutare come proteggere la tua azienda, entra in contatto con il nostro team. Valuteremo insieme i rischi che possono minacciare il tuo business.

Ho letto l‘informativa sulla privacy e fornisco il consenso esplicito al trattamento dei dati inseriti *