Vai al paragrafo

Cos'è una soluzione per la sicurezza informatica e la gestione eventi (SIEM)?

Copia URL

SIEM è l'acronimo di Security Information and Event Management, e viene utilizzato per descrivere le soluzioni per la sicurezza informatica e la gestione eventi che aiutano le aziende a risolvere problemi e vulnerabilità di sicurezza prima che si ripercuotano negativamente sulle operazioni. 

Insieme all'automazione, i sistemi SIEM aiutano le aziende a ottimizzare i processi manuali necessari per rilevare le minacce e rispondere agli incidenti. Il software SIEM compila e aggrega i dati sugli eventi generati da dispositivi di sicurezza, infrastruttura di rete, sistemi IT e applicazioni, rendendoli utilizzabili per creare risposte di sicurezza automatiche e manuali.

Dall'aggregazione all'avviso

L'attività di un sistema SIEM inizia dal monitoraggio dei registri degli eventi dei dispositivi hardware o software, che generano un evento ogni volta che il dispositivo registra un cambiamento. A tal fine, il sistema SIEM monitora i dati della rete accedendo ai file di registro del dispositivo dallo storage o tramite un protocollo di streaming degli eventi. 

Dopo aver acquisito i dati, il sistema SIEM:

  • Ordina e aggrega i dati in un processo di flusso del registro. Questo processo è diverso nei diversi sistemi SIEM, ma in genere inizia filtrando i dati inutili, ad esempio i report di dispositivi che funzionano secondo i parametri previsti. 
  • Indicizza i vari registri degli eventi per ordinare i dati in categorie e abilitare le ricerche e le connessioni tra gli eventi.
  • Analizza i dati degli eventi raccolti alla ricerca di modelli e stabilisce le relazioni che identificano vulnerabilità ed eventi sospetti.
  • Mette in correlazione i dati analizzati con le minacce alla sicurezza, seguendo le regole che in genere vengono inserite manualmente dagli amministratori. Ogni fase del processo (ordinamento, indicizzazione e analisi) contribuisce all'esito della correlazione, ovvero la funzione di sicurezza chiave di un sistema SIEM. 

Se, ad esempio, il sistema SIEM osserva 1.000 tentativi di accesso non riusciti per errori della password, può correlare tale attività a un tipo di minaccia di sicurezza e creare un avviso, dal quale si avvierà l'intervento di un tecnico esperto o di un sistema automatizzato.

Tipi di hosting SIEM

Data la riservatezza dei dati acquisiti, i sistemi SIEM sono convenzionalmente installati on premise. La gestione di questi sistemi in sede è tuttavia costosa, perché richiedono un software specializzato e la supervisione da parte dei team di sicurezza. 

Questa complessità porta molte organizzazioni a valutare opzioni diverse. Come accade per molti altri sistemi del cloud ibrido, i sistemi SIEM possono essere erogati tramite software installato on premise, come processo autogestito nel cloud o come servizio gestito (SIEM-as-a-Service) tramite un provider cloud o un provider di servizi di sicurezza gestiti. Molte soluzioni SIEM possono essere separate in un modello ibrido, con parte dei dati, ad esempio le informazioni più sensibili, ubicate on premise, e gli altri archiviati nel cloud.

Un'organizzazione può utilizzare un servizio in locale per raccogliere e aggregare i dati sulla sicurezza, e utilizzare un servizio SIEM-as-a-Service in hosting nel cloud per i processi di correlazione. 

Non esiste un unico approccio corretto per l'hosting di una soluzione SIEM. Nel decidere la strategia più adatta alla tua azienda, occorre tenere presenti le domande seguenti:

  • L'azienda dispone già di un'infrastruttura SIEM? È compatibile con i servizi in hosting?
  • L'organizzazione ha limitazioni o normative di sicurezza che impediscono di trasferire i dati off premise, negli ambienti cloud? 
  • È disponibile personale di sicurezza esperto in SIEM o che possa essere formato per diventarlo? È più semplice acquistare le funzioni SIEM as-a-Service?
  • È disponibile una soluzione di automazione che funziona in modo nativo in un ambiente di cloud ibrido completo, dai data center on premise, ai cloud e alle posizioni all'edge?

Rilevamento delle minacce

Grazie all'analisi continua dei registri e dei dati degli eventi con cui genera gli avvisi, SIEM permette di identificare attività insolite o potenzialmente dannose. Questo approccio aiuta i team della sicurezza a individuare minacce quali accessi non autorizzati, violazioni dei dati o attacchi malware e a rispondere rapidamente per contenere i potenziali problemi.

Centralizzazione dei dati

SIEM centralizza i dati da più sistemi e applicazioni in una singola vista dell'ambiente IT aziendale. Questa centralizzazione semplifica il controllo dei sistemi, l'ottimizzazione della rete e la risoluzione dei problemi. Grazie alla console unificata, fornisce più visibilità sulle prestazioni e sull'integrità delle risorse tecnologiche, promuovendo processi decisionali informati e pianificazione a lungo termine.

Gestione della conformità

In molti casi, la conformità alle normative impone la registrazione e la generazione di report dei dati sensibili in maniera rigorosa. I sistemi SIEM automatizzano la raccolta dei dati e permettono di generare report di conformità completi, favorendo il rispetto degli standard legali e normativi.

Qualità delle risposte

I sistemi SIEM possono migliorare la velocità e la qualità della risposta agli incidenti. Per un'efficace risoluzione degli incidenti di sicurezza è fondamentale comprenderne il contesto. I sistemi SIEM forniscono informazioni dettagliate, ad esempio cosa è accaduto prima, durante e dopo un evento, che possono essere utilizzate dai team di incident response per intraprendere azioni mirate e risolvere i problemi in modo più efficace.

I grandi volumi di dati generati e aggregati dalle soluzioni SIEM possono a volte sovraccaricare i team della sicurezza, in particolare se devono dedicare tempo a indagare su incidenti che si rivelano poi falsi positivi. Per ottenere il massimo da un sistema SIEM, gli avvisi generati dal sistema devono essere convalidati e corretti in modo rapido ed efficiente.

L'automazione della sicurezza può semplificare il funzionamento e la manutenzione delle soluzioni SIEM. Riducendo gli interventi manuali, l'automazione permette il funzionamento più efficiente e con meno errori del sistema. Aiuta inoltre ad abbreviare i tempi di risposta alle minacce individuate e migliora la coerenza dei processi di sicurezza. Rimuovendo le possibili variazioni umane, l'automazione favorisce un'applicazione più rigorosa dei protocolli di sicurezza, aumentando l'attendibilità complessiva del sistema SIEM.

Un altro vantaggio è la collaborazione ottimizzata tra il team SecOps e gli analisti della sicurezza. Raccogliendo in un'unica posizione accessi attivi e informazioni, l'automazione offre ai team di analisti l'accesso diretto ai dati e alla risoluzione dei problemi, velocizzando la risposta agli incidenti di sicurezza.

Red Hat® Ansible® Automation Platform è uno strumento agentless che agevola la fruibilità dell'automazione da parte dell'intera organizzazione. Si avvale di playbook, servizi di directory locali, registri consolidati e applicazioni esterne per aiutare i team IT ad automatizzare le soluzioni di sicurezza. Ansible Automation Platform rende disponibili gli strumenti per indagare e rispondere alle minacce in modo coordinato e unificato.

Tutti questi aspetti permettono di trarre maggiori benefici dai sistemi SIEM in diversi ambiti, tra cui:

  • Correzione. Ansible Automation Platform permette di automatizzare le attività di indagine e correzione dal sistema SIEM.
  • Interoperabilità. Ansible Automation Platform costituisce il tessuto connettivo che permette di unificare e coordinare i tanti componenti dei sistemi SIEM. Automatizzando le funzionalità di sicurezza, le organizzazioni possono rispondere in modo più veloce e uniforme agli attacchi informatici, coordinando le numerose soluzioni di sicurezza.  
  • Log consolidati e centralizzati. L'integrazione con i servizi di aggregazione dei log esterni di altri fornitori aiuta i team di sicurezza a identificare le tendenze, analizzare gli eventi dell'infrastruttura, monitorare le anomalie e stabilire una correlazione fra eventi diversi.
  • Semplificazione.Ansible Automation Platform utilizza un linguaggio leggibile in chiaro semplice. Questo significa che non occorrono competenze specialistiche di programmazione o gestione per controllare che le attività siano eseguite nell'ordine corretto. L'approccio consente agli esperti di sicurezza di interagire con i sistemi SIEM senza formazione specializzata.
  • Maggiore efficienza. Con un'architettura agentless è possibile accelerare il deployment delle soluzioni senza doversi preoccupare dell'esecuzione o dell'aggiornamento degli agenti. Questo approccio riduce l'esposizione dei sistemi SIEM ai rischi di sicurezza.
  • Modernizzazione. Ansible Automation Platform consente alle organizzazioni di integrare il sistema SIEM nei flussi di lavoro DevSecOps.

Event-Driven Ansible

Poiché i sistemi SIEM generano analisi a volume, è necessaria una soluzione che elabori tali dati. Event-Driven Ansible è una soluzione aziendale per l'automazione basata sugli eventi che include funzionalità direttamente pertinenti ai sistemi SIEM.

  • Il controller Event-Driven Ansible permette l'orchestrazione di più Ansible Rulebook da un'unica interfaccia per gestire e verificare ogni risposta in tutte le sorgenti dell'evento, come nei sistemi SIEM.
  • L'integrazione con Automation Controller in Ansible Automation Platform permette di utilizzare i flussi di lavoro esistenti e già realizzati, estendendo l'automazione affidabile e già esistente agli scenari di automazione basata sugli eventi.
  • Il throttling degli eventi permette di gestire gli "event storm" con un approccio reattivo o passivo, con un maggior controllo sui tempi e sulle modalità di esecuzione delle azioni di risposta a numerosi eventi, ad esempio quelli generati da un sistema SIEM durante un incidente di sicurezza.

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse