Pubblicato: 22 Ottobre 2020  -  Ultimo aggiornamento: 22 Ottobre 2020

SIEM, cosa sono e a cosa servono i sistemi di Security Information and Event Management

SIEM, cosa sono e a cosa servono i sistemi di Security Information and Event Management

Acronimo di Security Information and Event Management, i SIEM rimandano a soluzioni per la gestione delle informazioni e degli eventi di sicurezza, il cui ruolo, in azienda, è divenuto, negli ultimi anni, sempre più rilevante nel governare le vulnerabilità dei sistemi informatici, arrivando a identificarne gli attacchi nel momento stesso in cui si verificano – se non a predirli – e a reagire a questi il più rapidamente possibile per mezzo di contromisure efficaci. Vediamo in che modo.

Cosa sono i sistemi SIEM e perché sono utili alle aziende

I Security Information and Event Management coniugano quelle che sono due funzioni base della cybersecurity: gestione degli eventi e gestione delle informazioni di sicurezza, ossia area SEM (Security Event Management) e area SIM (Security Information Management).

No, non è un gioco parole. Si tratta di due sigle che fanno riferimento a due componenti concrete dei SIEM, dove il primo monitora in tempo reale gli eventi che accadono all’interno dei sistemi, della rete, dei dispositivi e delle applicazioni, mettendone in luce anomalie e anticipando eventuali criticità, e il secondo gestisce in automatico il cronologico di tutte le attività del sistema operativo, del database e dei programmi utilizzati.

Mediante il software SEM è possibile, ad esempio, rilevare in tempo reale un accesso al sistema al di fuori del normale orario di lavoro, segnalarlo e fornire un report dettagliato.

Il software SIM, invece, non lavora in tempo reale ma in modalità automatizzata, inviando il cronologico delle attività (log) a un server centralizzato, a sua volta monitorato da un amministratore, il quale interviene in risposta a eventuali allarmi.

Dall’integrazione di questi due sistemi, ha origine il cuore dell’attività dei SIEM, che consiste nell’effettuare, congiuntamente, una raccolta puntuale e centralizzata degli eventi e del cronologico delle attività, consentendo – in caso di malfunzionamenti, incidenti di vario genere o di veri e propri attacchi al sistema informatico – interventi rapidi e mirati da parte dei responsabili della sicurezza IT dell’azienda.

Il monitoraggio, in questo caso, poggia sull’aggregazione di dati provenienti da fonti diverse (sistemi, rete, dispositivi, applicazioni) e sulla capacità di analizzarli e incrociarli, con un obiettivo preciso: rilevare eventuali rischi, anomalie e criticità e fare scattare azioni ad hoc, non solo risolutive, ma anche preventive.

Le funzioni dei Sistemi di Security Information and Event Management

Che cosa fanno, nel concreto, i sistemi SIEM? Quali sono i loro compiti, le loro funzioni? Tra le loro attività base, figura la raccolta dei dati provenienti da tutti gli apparati che costituiscono il sistema informatico. Dati che vengono, poi, uniformati mediante catalogazione per tipo di dispositivo e tipo di dato, col fine di agevolarne la lettura e l’interpretazione da parte di chiunque, in azienda, abbia le credenziali per poterlo fare.

Ma è la correlazione tra eventi diversi a rappresentare una delle funzioni principe dei sistemi SIEM, atta a integrare e ad analizzare gli eventi provenienti da fonti diverse..

Relativamente alle regole alla base dell’attività di correlazione, il sistema consente di crearne di personalizzate, allo scopo di andare incontro alle esigenze di ogni azienda, con la possibilità, sulla base della correlazione tra gli eventi di sicurezza e i dati sulle vulnerabilità presenti nel sistema, di attribuire una certa priorità a un evento piuttosto che a un altro.

L’attività di reportistica, utilizzata per fini diversi, tra cui audit, compliance e analisi forense, è un altro punto cruciale all’interno delle funzioni dei SIEM. In particolare, è resa possibile grazie all’archiviazione dei dati a lungo termine e alla possibilità di estrarli mediante un determinato criterio di ricerca.

Esempio di una dashboard SIEM - Security Information and Event Management
Esempio di una dashboard SIEM – Security Information and Event Management

Per fornire agli analisti una rappresentazione dei dati sotto forma di diagrammi o di altri schemi, i SIEM formulano delle dashboard.Tramite queste, al presentarsi di determinati eventi, è altresì possibile, oltre che per email o SMS, generare automaticamente notifiche che informano i responsabili della sicurezza IT di una possibile minaccia.

Se queste sono alcune delle funzioni che vengono svolte dalle piattaforme SIEM in azienda, teniamo a mente che l’aggregazione di dati e la loro analisi persegue un obiettivo alto, ossia identificare “che cosa non va” nel sistema informatico, a partire dall’individuazione di accessi non autorizzati e di connessioni sospette verso l’esterno, fino al rilevamento di malware e di manipolazioni al sistema o alla rete.

Ma non solo. I sistemi SIEM sono anche in grado di rilevare attività malevole all’interno dell’azienda stessa. In che modo? Ad esempio, comparando schemi di comportamento degli utenti o di attività di rete che rientrano in modelli tipici.

Il contributo dell’intelligenza artificiale ai sistemi SIEM

Certamente, rispetto ad alcuni anni fa, ora i sistemi SIEM sono più agili e flessibili. Gartner, nel 2017, parlò addirittura di “quarta generazione di SIEM”, facendo riferimento a tecnologie che includono l’analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics – UEBA) integrate alle tradizionali caratteristiche e funzioni del Security Information and Event Management.

Ma, oggi, è l’intelligenza artificiale e, più in particolare, il machine learning, a segnare il cambiamento, la differenza delle soluzioni SIEM di ultima generazione.

Nello specifico, l’AI rende le analisi da parte dei SIEM più precise e accurate, riuscendo a effettuare una correlazione automatica tra tutti gli eventi rilevati sull’infrastruttura di rete, arrivando a determinare che cosa è accaduto e chi ha fatto cosa.

Gli algoritmi di machine learning consentono al sistema di intercettare e localizzare velocemente tutte le attività anomale che avvengono sulla rete, stabilendo un parallelo con le policy di security interne e arrivando, così, a definire quali specifiche azioni di difesa dovrebbero essere mese in atto.

Utilizzando una serie di algoritmi AI predisposti, inoltre, il software diventa anche capace di rispondere automaticamente a un determinato attacco nel momento stesso in cui questo si verifica, ad esempio bloccando o rimuovendo il traffico potenzialmente malevolo oppure riducendo le prestazioni del sistema o della rete.

La conformità al GDPR

È fatto ormai acquisito che, a segnare un punto di svolta nel trattamento dei dati in azienda, sia stato il GDPR – General Data Protection Regulation, il quale contiene numerosi riferimenti di cui i responsabili IT devono tenere conto nel disegnare una piattaforma SIEM, a partire dal principio di proporzionalità, in base al quale i dati che vengono raccolti e trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali vengono trattati”.

Qualsiasi trattamento dei dati non in linea con le finalità esplicitate dall’azienda, dunque, non è lecito.

Fondamentale è, poi, stabilire una politica di conservazione dei dati che preveda tempistiche tali da garantire la sicurezza delle reti e la riservatezza delle informazioni, facendo sempre attenzione all’eventualità di un incidente informatico e al conseguente obbligo di accesso ai dati da parte di terzi per le analisi forensi.

I dati in transito vanno sempre protetti mediante cifratura, firma e possibilità di verifica della validità della firma. Inoltre, è d’obbligo definire una data-destruction policy rispettando il principio del diritto all’oblio e dimostrando che le modalità di cancellazione sicura dei dati personali vengono rispettate.