Per comprendere l’esperienza dei team di Sicurezza IT, inondati quotidianamente da eventi e log di ogni tipo, senza avere il tempo necessario per un’analisi approfondità e per assegnare la giusta priorità, basta immaginare di avere un orologio a cucù, ma che invece di suonare ogni ora, suoni ad ogni minuto. Non solo il verso del cuculo diverrebbe un rumore di fondo, ma si avrebbe anche difficoltà a sapere che ore sono.
Le soluzioni di Security Information and Event Management (SIEM), aiutano a fornire questa analisi semplificata e la definizione delle priorità, consentendo di reagire rapidamente e con precisione, alle minacce più insidiose, fornendo preziose informazioni sulle potenziali minacce alla sicurezza, attraverso la raccolta e l’analisi centralizzata dei log e degli eventi di sicurezza, provenienti da tutti i dispositivi presenti all’interno di una infrastruttura e già normalizzati.
Ma come capire come scegliere il SIEM più idoneo al proprio ambiente di sicurezza? I SIEM differiscono ampiamente in termini di funzionalità, quindi è importante determinare con attenzione quali siano le funzionalità chiave di cui abbiamo bisogno.
- Monitoraggio e alert in tempo reale
Questa è una funzionalità prioritaria e fondamentale per tutte le organizzazioni. La capacità di monitorare e correlare le minacce in tempo reale può fare la differenza tra un piccolo inconveniente e costose conseguenze dovute ad una interruzioni dei servizi. I pirati informatici si muovono velocemente, quindi il team di sicurezza deve potersi muovere e reagire altrettanto rapidamente. - Analisi del comportamento degli utenti
Che si tratti di malizia o errore, gli utenti sono il principale veicolo di minaccia all’interno di qualsiasi infrastruttura IT, in particolare quando si tratta di un utente privilegiato. Il monitoraggio delle attività degli utenti (non a scopo di controllo), può permettere di rilevare velocemente una violazione o scoprire usi impropri ed errori, oltre che, nel caso di utenti privilegiati, essere un requisito fondamentale di conformità. - Indagini
Le indagini sugli incidenti non sono facili quando ci si trova di fronte a una montagna di avvisi e log. A volte, tutto ciò di cui si ha bisogno, è una risposta rapida e che evidenzi automaticamente il comportamento importante di utenti e risorse, insieme al contesto attorno a qualsiasi comportamento dannoso, sopratutto dal punto di vista temporale. Le indagini sono un aggregato degli avvisi critici, analizzabili in un unico luogo, alle quali verranno aggiunti ulteriori nuovi avvisi correlati, anziché creare una nuova indagine. - Rilevamento delle minacce nell’ambiente
Le organizzazioni spesso dispongono di una moltitudine di tecnologie diverse, ognuna per il proprio ambito. Un SIEM dovrebbe essere in grado di normalizzare e correlare tutti questi diversi flussi di dati in un formato comune e dargli un significato, ben più di ciò che fa un semplice log aggregator. A prescindere dal Sistema Operativo o dal brand, un SIEM dovrebbe essere in grado di elaborare correttamente tutti i log necessari, e non dovrebbe essere limitato alle sole origini dati standard, ma a ogni origine all’interno dell’ambiente di un’organizzazion, oltre che essere in grado di integrare facilmente qualsiasi feed personalizzato, dalle applicazioni legacy ai database fatti in casa. - Archiviazione di eventi a lungo termine
L’archiviazione dei log richiede molto spazio, e con dispositivi che trasmettono costantemente log, si avrà bisogno di un SIEM con spazio sufficiente per non dover rinunciare a informazioni per eseguire una corretta analisi indietro nel tempo o anche solo per conformità che richiede l’archiviazione a lungo termine dei dati. Una soluzione efficace dovrebbe inoltre consentire di personalizzare esattamente i tipi di dati che si desidera archiviare, escludendo i dati non necessari. - Scalabilità
Le organizzazioni non sono statiche, allo stesso modo non dovrebbe esserlo una soluzione SIEM, che dovrebbe consentire un veloce e semplice adattamento alle innovazioni tecnlogiche. Molte soluzioni SIEM concedono in licenza la quantità di dati elaborati (Eventi Per Secondo o EPS), che non solo è difficile da stimare, ma può anche far aumentare drasticamente e rapidamente i costi. Una soluzione SIEM che conceda licenze su una misurazione più prevedibile, come numero di dispositivi o fonti di dati, permette una pianificazione dei costi precisa e con largo anticipo, evitando spiacevoli sorprese nei costi di licenza. Le organizzazioni più piccole potrebbero persino essere in grado di ottenere la copertura di cui hanno bisogno da un SIEM, permettendo una crescita graduale man mano che l’organizzazione cresce. - Integrazioni
Per quanto ci si metta d’impegno, la nascità di nuove esigenze, di funzionalità o anche solo di costi di licenza, richiederà di destreggiarsi tra un eccesso di prodotti chiusi che non possono comunicare tra loro. Una soluzioni SIEM dovrebbe poter ottenere dati da altre applicazioni aziendali (endpoint protection, log di accesso, firewall etc etc). Questo non solo consente di risparmiare tempo aggiuntivo e costi per gestire le integrazioni, ma fornisce anche un’immagine olistica del proprio ambiente. - Segnalazione
Tutti i team IT, sopratutto quelli di sicurezza, sono tenuti a fornire regolarmente rapporti sia ai revisori che ai dirigenti, spessevolte per conformarsi a più normative, aumentando la complessità e lo sforzo di reporting. Un’adeguata soluzione SIEM deve essere in grado di fornire report rilevanti e in poco tempo.
Stai cercando una soluzione SIEM che rispetti questi 8 criteri? Guarda in azione InsightIDR di Rapid7, oppure contattaci per un approfondimento e una demo dedicata.
