Quando un’azienda subisce una violazione di sicurezza, può accadere che non se ne renda conto se non a compromissione avvenuta. Il tempo che trascorre da quando gli attaccanti ottengono accesso a quando il problema viene rilevato è cruciale per riuscire a contenere ed eradicare la minaccia. Il SIEM, Security Information and Event Management, nasce proprio con lo scopo di ridurre i tempi di rilevamento. Che a oggi, nella maggior parte dei casi, sono preoccupanti: si parla di una media di 64 giorni per contenere una violazione a livello globale: due mesi in cui i sistemi rimangono esposti.
Security Information and Event Management, perché la visibilità è importante
Secondo IBM, che ha analizzato il costo dei data breach con una particolare attenzione al settore finanziario, il tempo di rilevamento, benché ancora elevato, sta progressivamente riducendosi grazie all’impiego diffuso di sistemi di rilevamento sempre più integrati ed evoluti, di cui il SIEM rappresenta l’esempio più evidente. Esso nasce dall’unione della gestione delle informazioni di sicurezza (Security Information Management, SIM) e della gestione degli eventi di sicurezza (Security Event Management, SEM). Questa fusione tra due sistemi permette la correlazione fra diverse telemetrie, consentendo una identificazione tempestiva delle minacce. La convergenza delle informazioni in un sistema in grado di classificarle in modo efficace e supportare operatori e analisti di sicurezza nell’identificare le potenziali minacce e dare a ciascuna la giusta priorità è ciò che rende il SIEM uno strumento fondamentale della difesa cibernetica
Oggi i SIEM più evoluti si avvantaggiano anche di sistemi basati sull’Intelligenza Artificiale con lo scopo di razionalizzare notifiche e classificazione delle minacce e ridurre la alert fatigue per gli operatori, che in questo modo possono focalizzarsi su quelle che sono le reali criticità. Come termine di paragone, i Security Information and Event Management più evoluti riescono a ridurre i tempi di rilevamento anche del 70%.
Come funziona un SIEM? Le principali funzionalità
Anche i sistemi SIEM negli ultimi anni si stanno evolvendo a ritmi elevatissimi, soprattutto grazie all’integrazione con algoritmi di machine learning e intelligenza artificiale, anche per quanto riguarda, per esempio, le modalità di interrogazione da parte degli operatori, che oggi possono prevedere anche il linguaggio naturale. Alla base, possiamo comunque identificare alcuni principi di funzionamento comuni, che ci aiutano a comprendere meglio come funziona un sistema di Security Information and Event Management.
Raccolta dei dati
Il SIEM aggrega log ed eventi di sicurezza da tutte le principali fonti di informazione presenti in azienda: firewall, sistemi di rilevamento delle intrusioni come IDS e IPS, server, endpoint, applicazioni e dispositivi di rete. Questa raccolta può avvenire utilizzando protocolli standard, Syslog per esempio, oppure tramite agenti software installati sui dispositivi.
Normalizzazione
I dati raccolti vengono standardizzati in un formato unico per facilitare l'analisi e la correlazione. Questo processo consente al SIEM di interpretare correttamente informazioni provenienti da diverse fonti.
Correlazione degli eventi
Il SIEM analizza e correla gli eventi tra loro utilizzando regole predefinite, machine learning e analisi comportamentale. Questo permette di identificare schemi o anomalie che possono indicare minacce alla sicurezza.
Monitoraggio e avvisi in tempo reale
Il sistema monitora continuamente l’ecosistema designato, IT o OT, attraverso il confronto fra i dati raccolti, le regole di correlazione e i feed di intelligence sulle minacce. In caso di comportamento sospetto, genera avvisi ad elevata priorità per i team dedicati alla sicurezza, per esempio il SOC.
Risposta agli incidenti e reportistica
Il SIEM fornisce informazioni dettagliate sulle minacce rilevate. Questo permette sia di migliorare la risposta agli incidenti, sia di rispettare la conformità normativa, anche alla luce della Direttiva NIS2 che prevede, appunto, la notifica tempestiva degli incidenti di sicurezza.
Perché implementare un Security Information and Event Management nella sicurezza aziendale
Quali sono le principali ragioni per adottare una soluzione SIEM all’interno degli strumenti per la cybersecurity aziendale? Si potrebbe pensare che i sistemi di sicurezza già presenti come firewall aziendali ed EDR producano già abbastanza avvisi e notifiche da controllare. In realtà è proprio qui che il SIEM interviene, raccogliendo e aggregando tutte le telemetrie, spesso di difficile lettura, e mettendole in correlazione fra di loro per identificare comportamenti riconducibili a un profilo di attacco o comunque potenzialmente sospetti.
Chiariamo con un semplice esempio: un singolo tentativo di accesso con una password errata da parte di un utente può non significare nulla. Alcuni di seguito possono rappresentare un segnale, ma se sono effettuati da zone geografiche molto distanti fra di loro e nel frattempo lo stesso utente riceve improvvisamente un numero di tentativi di phishing superiore alla media, potrebbe essere il principio di un tentativo di attacco. Ciò, in assenza di un SIEM capace di correlare tutte le informazioni, potrebbe passare inosservato fino al crescere della sua gravita o, peggio, fino alla riuscita del tentativo di intrusione da parte degli attaccanti. Il Security Information and Event Management, insomma, eleva il livello di sicurezza aziendale aggiungendosi come ulteriore layer di proiezione e monitoraggio.
I principali vantaggi nell’adozione di un SIEM
Dopo aver chiarito con un esempio l’importanza di questo strumento di difesa vediamo, in modo più pragmatico ed estensivo, alcuni dei principali vantaggi.
Il primo vantaggio è la visione centralizzata e unificata della sicurezza, praticamente lo scopo per cui il SIEM esiste. È possibile grazie all’aggregazione dei dati provenienti dai diversi endpoint, dispositivi e sistemi. In questo modo si ottiene una panoramica in tempo reale sull’intera postura di sicurezza aziendale, che facilita l’individuazione e la gestione delle anomalie. Altro aspetto fondamentale è il rilevamento proattivo delle minacce: meccanismi di analisi comportamentale e machine learning permettono di identificare attacchi avanzati e movimenti laterali che sfuggono alle difese tradizionali.
A questo si aggiunge, come abbiamo già citato, la riduzione del carico operativo per i team di sicurezza: il sistema filtra e prioritizza gli eventi, alleggerisce il lavoro di smistamento manuale e permette ad analisti e operatori di concentrarsi sulle minacce più rilevanti. Un ulteriore elemento distintivo è la capacità di fornire supporto alla conformità normativa: il SIEM facilita l’adempimento grazie alla capacità di produrre report automatici e dettagliati.
Innalzare le difese per non essere mai impreparati
Il Security Information and Event Management è, insomma, uno strumento che permette di potenziare e rendere più efficiente la gestione delle minacce, soprattutto e di rendere più efficace il lavoro degli specialisti e dei team di sicurezza. Quando la tempestività fa la differenza fra un rischio e il concretizzarsi di un pericolo, il SIEM rappresenta una scelta strategica per aumentare la resilienza aziendale.
