Pubblicato: 9 Dicembre 2021  -  Ultimo aggiornamento: 12 Dicembre 2021

SIEM: ecco cos’è il Security Information and Event Management

SIEM: ecco cos’è il Security Information and Event Management

Il SIEM è un insieme di soluzioni utili per la gestione delle informazioni e degli eventi di sicurezza.
In azienda ha un ruolo di primo piano che sempre di più si è consolidato negli anni ed è oggi fondamentale per governare le vulnerabilità dei sistemi informatici, identificando gli attacchi nel momento stesso in cui si verificano e in certi casi addirittura predicendoli.

In questo modo si può reagire con molta più rapidità servendosi di contromisure efficaci.
Vediamo quindi cos’è un SIEM e come funziona nello specifico.

Cos’è un SIEM?

Il SIEM, acronimo di Security Information and Event Management, è una serie di prodotti software e servizi che coniuga le due funzioni base della cybersecurity: gestione degli eventi e gestione delle informazioni di sicurezza, ossia area SEM (Security Event Management) e area SIM (Security Information Management).

Sembra un gioco parole, ma si tratta realtà di due componenti concrete dei SIEM: il primo – ossia il SEMmonitora in tempo reale gli eventi che accadono all’interno dei sistemi, della rete, dei dispositivi e delle applicazioni, mettendo in luce anomalie e anticipando eventuali criticità.
Mentre il secondo, il SIM, gestisce in automatico il cronologico di tutte le attività del sistema operativo, del database e dei programmi utilizzati.

Ciò significa che mediante il software SEM è possibile, per esempio, rilevare in tempo reale un accesso al sistema al di fuori del normale orario di lavoro, segnalarlo e fornire un report dettagliato.
Il software SIM, invece, non lavora in tempo reale ma in modalità automatizzata, inviando il cronologico delle attività (log) a un server centralizzato che è a sua volta monitorato da un amministratore, il quale interviene in risposta a eventuali allarmi.

Dall’integrazione di questi due sistemi ha origine il cuore dell’attività dei SIEM, che consiste nell’eseguire una raccolta puntuale e centralizzata degli eventi e del cronologico delle attività.
Così facendo si consentono – in caso di malfunzionamenti, incidenti di vario genere o di veri e propri attacchi al sistema informatico – interventi rapidi e mirati da parte dei responsabili della sicurezza IT dell’azienda.

guida cyber security

Il monitoraggio, in questo caso, si basa sull’aggregazione di dati provenienti da fonti diverse (sistemi, rete, dispositivi, applicazioni) e sulla capacità di analizzarli e incrociarli con l’obiettivo di rilevare rischi, anomalie e criticità e fare scattare azioni ad hoc, non solo risolutive, ma anche preventive.

Quali sono i principali vantaggi

Un SIEM è quindi una risorsa molto utile che si integra bene in un piano di sicurezza aziendale completo ed efficace.

Ecco, nello specifico, i principali vantaggi:

  • monitoraggio costante: le reti e il sistema sono costantemente controllati, consentendo un rilevamento più tempestivo ed efficiente delle minacce
  • report dettagliati: c’è la possibilità di estrapolare i dati da ogni tipo di dispositivo, categorizzarli e analizzarli facendo riferimento a schemi d’uso tipici
  • tracciamento delle minacce: confrontando schemi di comportamento degli utenti o delle attività di rete, si possono identificare le attività malevole, capendo da dove è partito l’attacco e quali sono i bersagli
  • risposte automatiche: i sistemi SIEM reagiscono in automatico ai problemi relativi alla sicurezza, riducendo il carico di lavoro degli amministratori del sistema. Il software gestisce in autonomia le operazioni e le attività necessarie per bloccare le minacce, inviando degli alert se si richiede un intervento umano e manuale
  • scalabilità: nel tempo è possibile aggiungere nuove funzionalità ricorrendo a Intelligenza Artificiale e Machine Learning. In questo modo la mole di dati utilizzati aumenta, incrementando la precisione e la velocità con cui il software risponde a eventuali minacce

Come funziona un SIEM

Nel concreto, quindi, che cosa fanno i sistemi SIEM?

Tra le attività di base spicca la raccolta dei dati provenienti da tutti gli apparati che costituiscono il sistema informatico.
Dati che vengono poi uniformati mediante catalogazione per tipo di dispositivo e di dato per agevolarne la lettura e l’interpretazione da parte di chiunque, in azienda, abbia le credenziali per poterlo fare.

Ma è la correlazione tra eventi diversi a rappresentare una delle funzioni principe dei sistemi SIEM, finalizzata a integrare e ad analizzare gli eventi provenienti da fonti diverse.

Per eseguire questa attività di correlazione, il sistema mette a disposizione le regole base, ma consente anche di crearne di personalizzate per andare incontro alle esigenze specifiche di ogni tipo di azienda.
Inoltre offre la possibilità, sulla base della correlazione tra gli eventi di sicurezza e i dati sulle vulnerabilità presenti nel sistema, di attribuire una certa priorità a un evento piuttosto che a un altro.

Un’altra attività cardine di un SIEM è la reportistica – utilizzata per audit, compliance e analisi forense – resa possibile dall’archiviazione dei dati a lungo termine e dalla possibilità di estrarli mediante un determinato criterio di ricerca.

Per fornire questi dati agli analisti sotto forma di diagrammi o di altri schemi, i SIEM formulano delle dashboard utili anche per inviare email, SMS o notifiche ai responsabili della sicurezza IT per informarli di una possibile minaccia o di altri determinati eventi.

Tutte queste funzioni sono indispensabili per identificare cosa non va nel sistema informatico, individuando accessi non autorizzati, connessioni sospette verso l’esterno, presenza di malware o manipolazioni al sistema o alla rete.

Ma non solo: i sistemi SIEM sono in grado di rilevare anche attività malevole all’interno dell’azienda stessa comparando schemi di comportamento degli utenti o delle attività di rete che rientrano in modelli tipici.

Esempio di una dashboard SIEM - Security Information and Event Management
Esempio di una dashboard SIEM – Security Information and Event Management

I principali tool utilizzati

Esistono diverse soluzioni SIEM con caratteristiche precise che le contraddistinguono: ogni azienda dovrebbe scegliere gli strumenti più utili e adatti ai propri scopi e alle proprie esigenze.

Un’azienda potrebbe per esempio focalizzarsi sul rilevamento delle minacce, un’altra impresa potrebbe preferire concentrare le risorse sull’analisi e categorizzazione dei dati e un’altra ancora potrebbe dare la priorità alla capacità di risposta automatizzata del software.
Non esiste una scelta univoca ed è per questo che sul mercato esistono numerosi tool tra cui scegliere.

Ecco i principali e attualmente più popolari:

  • Datadog
  • SolarWinds
  • Splunk Enterprise SIEM
  • McAfe ESM
  • Micro Focus ArcSight
  • LogRhythm
  • AlienVault USM

Quali aziende dovrebbero affidarsi a un SIEM?

Un Security Information and Event Management è la soluzione ideale per le aziende che danno priorità alla sicurezza e vogliono affrontare preparate il crescente numero di attacchi e minacce che coinvolgono la rete.
Gli attacchi sono ogni giorno più sofisticati e per questo c’è bisogno di dotarsi di tecnologie altrettanto efficaci e all’avanguardia che contrastino i pericoli e li sappiano prevenire prima che diventino critici.

In più è importante considerare che anche alle piccole aziende con a disposizione un budget ridotto conviene affidarsi a un SIEM: la corretta gestione della sicurezza è infatti un prezioso investimento a lungo termine che può anche fruttare dei concreti guadagni.
Basti pensare alle enorme perdite – economiche, di tempo e di risorse – che una violazione informatica può comportare.

Infine un SIEM è un’ottima soluzione per aumentare il livello di soddisfazione del cliente, mostrando un business solido e attento alla prevenzione e rafforzando così il rapporto di fiducia con i propri clienti.

SIEM e Intelligenza Artificiale

I sistemi SIEM si sono con il tempo evoluti e aggiornati, ma un’importante spinta verso il progresso è stata data dall’Intelligenza Artificiale, che con il suo contributo ha reso le soluzioni SIEM di ultima generazione nettamente differenti rispetto alle precedenti.

I sistemi SIEM, oggi, sono infatti più agili e flessibili e nel 2017 Gartner parlò addirittura di “quarta generazione di SIEM”, riferendosi alle tecnologie che includono l’analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics – UEBA) integrate alle tradizionali caratteristiche e funzioni del Security Information and Event Management.

Nello specifico è il Machine Learning a rendere le analisi da parte dei SIEM più precise e accurate, svolgendo una correlazione automatica tra tutti gli eventi rilevati sull’infrastruttura di rete e determinando che cosa è accaduto e chi ha fatto cosa.
Questi speciali algoritmi consentono al sistema di intercettare e localizzare velocemente tutte le attività anomale che avvengono sulla rete, stabilendo un parallelo con le policy di security interne e arrivando così a definire quali specifiche azioni di difesa dovrebbero essere messe in atto.

Utilizzando una serie di algoritmi AI predisposti, inoltre, il software diventa capace di rispondere automaticamente a un determinato attacco nel momento stesso in cui questo si verifica, ad esempio bloccando o rimuovendo il traffico potenzialmente malevolo oppure riducendo le prestazioni del sistema o della rete.

Conformità al GDPR: una panoramica

Per sviluppare una piattaforma SIEM, i responsabili IT devono necessariamente tenere conto delle norme e delle disposizioni stabilite dal GDPR (General Data Protection Regulation), che regolamenta il trattamento dei dati personali e in azienda.

In particolare ci si deve sempre attenere al principio di proporzionalità, in base al quale i dati che vengono raccolti e trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali vengono trattati”.
Qualsiasi trattamento dei dati non in linea con le finalità esplicitate dall’azienda, dunque, non è lecito.

È poi fondamentale stabilire una politica di conservazione dei dati che preveda tempistiche idonee a garantire la sicurezza delle reti e la riservatezza delle informazioni, facendo sempre attenzione all’eventualità di un incidente informatico e al conseguente obbligo di accesso ai dati da parte di terzi per le analisi forensi.
Anche i dati in transito vanno sempre protetti mediante cifratura, firma e possibilità di verifica della validità della firma.

Infine è obbligatorio definire una data-destruction policy rispettando il principio del diritto all’oblio e dimostrando che le modalità di cancellazione sicura dei dati personali vengono rispettate.

guida cyber security