SIEM è l'acronimo di Security Information And Event Management (Gestione delle informazioni e degli eventi di sicurezza). In pratica, le soluzioni software SIEM uniscono i vantaggi dei sistemi SIM (Security Information Management, Gestione delle informazioni di sicurezza) a quelli dei sistemi SEM (Security Event Management, Gestione degli eventi di sicurezza), dando vita a una soluzione di sicurezza esaustiva in grado di analizzare in tempo reale gli avvisi di sicurezza generati dalle applicazioni e dai componenti hardware in uso.
Come funziona un sistema SIEM?
Un sistema SIEM raccoglie informazioni dai log e dai dati degli eventi generati da un'organizzazione attraverso le applicazioni, i sistemi di sicurezza e l'hardware di un’azienda. Analizzando gli eventi con l'aiuto di regole e motori di analisi, i sistemi SIEM riescono a rilevare e analizzare le minacce alla sicurezza in tempo reale. Inoltre, tutte le informazioni vengono indicizzate per la ricerca, allo scopo di semplificare le analisi, la gestione dei log e la generazione dei report da parte dei team di sicurezza.
Esempi di minacce rilevabili da una soluzione SIEM
Accesso non autorizzato
Qualche tentativo di accesso non riuscito è perfettamente normale, ma se il numero sale a 100, significa che qualcuno sta tentando un attacco di forza bruta. Il software SIEM è in grado di monitorare il comportamento degli utenti e identificare i tentativi di accesso insoliti.
Minacce interne
Monitorando costantemente il comportamento dei dipendenti, i sistemi SIEM sono in grado di rilevare le minacce interne, sia accidentali che intenzionali. Dagli ex dipendenti a cui non sono ancora stati revocati i privilegi di accesso, ai malintenzionati interni che possono tentare di rubare o esfiltrare informazioni sensibili, fino ai cambiamenti accidentali delle condizioni di sicurezza, il software SIEM è in grado di rilevare i comportamenti anomali ed eseguire l'escalation del problema a un esperto di sicurezza che possa analizzarlo.
Phishing
Gli attacchi di phishing hanno lo scopo di indurre gli utenti a fornire volontariamente informazioni personali o sensibili a un soggetto che assume l'identità di una persona autorevole e affidabile. L'attacco di phishing più comune è costituito da un messaggio e-mail contenente un allegato o un collegamento dannoso, inviato da una persona che si finge un vendor, un responsabile o un dipendente. Andando oltre la formazione per la sicurezza, una soluzione SIEM è in grado di rilevare situazioni come l'accesso di un dipendente da un'ubicazione sospetta a un orario insolito, che può essere sintomatico della compromissione del relativo account. In questo caso è possibile bloccare il profilo utente in modo da prevenire qualsiasi danno finché il dipendente interessato non conferma di aver effettuato l'accesso.
Attacchi DoS e DDoS
Gli attacchi Denial-of-service (DoS) interrompono i servizi inondando le reti con volumi di traffico tali da sovraccaricare le risorse di sistema e determinare un arresto anomalo. La frequenza di queste minacce è in continuo aumento a causa della facilità con cui i botnet riescono a sfruttare i dispositivi di rete degli utenti ignari per sferrare gli attacchi Distributed Denial-Of-Service (DDoS). Monitorando i log dei tuoi server web, il software SIEM riesce a identificare gli eventi di traffico anomali che possono essere sintomatici di un attacco DoS o DDoS. Se questi attacchi vengono intercettati tempestivamente, il team di sicurezza ha il tempo di organizzare una difesa e pianificare il ripristino dei servizi.
Iniezione di codice
Per iniezione di codice si intende l'inserimento di codice dannoso nei canali di input lato client, come i moduli online, per ottenere l'accesso a un sistema o al database di un'applicazione. L'esempio più comune è l'iniezione SQL, in cui i comandi SQL vengono inseriti in input non sanificati, consentendo all'aggressore di modificare o eliminare dati direttamente dal database. Monitorando l'attività delle applicazioni web è possibile identificare gli eventi anomali e sfruttare la correlazione fra gli eventi per determinare se sono state apportate modifiche al sistema.
Ransomware e altri malware
Il ransomware, i virus, i worm, i trojan e gli altri tipi di malware sono programmi software espressamente concepiti per infiltrarsi nei sistemi informatici ed eseguire codice dannoso. La migliore difesa contro questi attacchi è costituita dalla prevenzione, e i sistemi SIEM offrono le funzionalità di monitoraggio necessarie per interpretare i log di sicurezza, identificare i vettori di attacco e riconoscere i comportamenti anomali che fanno presagire un attacco. Una volta che la compromissione è in atto, il sistema SIEM può anche aiutarti a determinare la portata dei danni di un attacco malware, fornendo al team di sicurezza le informazioni necessarie per risolvere il problema.
Attacchi MITM
In un attacco Man-In-The-Middle (MITM), un estraneo non autorizzato intercetta le comunicazioni fra due host per rubare o manipolare le informazioni. Una volta intercettate le comunicazioni, l'aggressore può utilizzare una serie di tecniche che vanno dal dirottamento delle sessioni degli utenti attraverso lo sniffing delle password all'iniezione di pacchetti dannosi nei flussi di comunicazione dei dati. Le connessioni o disconnessioni frequenti a o da posizioni sconosciute possono essere un sintomo di un attacco MITM, e in questo caso il sistema SIEM può svolgere un ruolo chiave nell'aiutarti a identificare l'autore della minaccia prima che sia troppo tardi.
Quando utilizzare un sistema SIEM e scenari di esempio
I sistemi SIEM sono un componente fondamentale di qualsiasi infrastruttura di sicurezza aziendale. Vediamo alcuni esempi di scenari di utilizzo dei sistemi SIEM.
Conformità agli standard di trattamento dei dati
Un sistema SIEM aggrega i dati dei log eventi, degli strumenti di sicurezza e dei dispositivi aziendali in generale. È lo strumento perfetto per aiutare a generare rapporti di conformità e normativi.
Vediamo alcuni esempi:
- GDPR: l'Unione Europea (UE) ha introdotto il Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation) per proteggere i dati personali dei suoi cittadini.
- HIPAA: il governo statunitense ha emanato l'Health Insurance Portability and Accountability Act (HIPAA) per proteggere i dati sanitari sensibili dei pazienti.
- PCI: il Payment Card Industry Data Security Standard (PCI DSS) è uno standard di sicurezza delle informazioni imposto dai principali gestori delle carte di credito per proteggere i clienti.
- Conformità SOX: il Sarbanes-Oxley (SOX) Act è una normativa statunitense volta a prevenire le frodi contabili nelle aziende. Si applica ai consigli di amministrazione, ai dirigenti e alle società di revisione contabile delle società pubbliche e richiede un resoconto accurato di dove sono conservate le informazioni sensibili, di chi vi ha accesso e di come vengono utilizzate.
Poiché un sistema SIEM fornisce accesso strutturato alle informazioni dei log e ai dati di sicurezza in tutto l'ambiente enterprise, è possibile creare report dettagliati da presentare sia alle autorità che ai singoli proprietari dei dati.
Rilevamento delle minacce avanzate alla sicurezza
Come abbiamo visto nel dettaglio nella sezione precedente, "Esempi di minacce rilevabili da una soluzione SIEM", i sistemi SIEM sono stati espressamente concepiti per il rilevamento delle minacce avanzate alla sicurezza. Vediamo ora alcuni esempi generici che illustrano come un sistema SIEM può contribuire alla ricerca attiva delle minacce.
- Identificazione delle anomalie: gli analytics del comportamento e la correlazione degli eventi possono consentire l'identificazione di anomalie che richiedono un'analisi approfondita da parte del team di sicurezza.
- Esfiltrazione dei dati:: una visione globale delle modalità di utilizzo dei dati aiuta a rilevare gli indizi delle minacce interne e altri tentativi non autorizzati di trasferire informazioni sensibili all'esterno dell'azienda.
- Risposta alle nuove vulnerabilità: se viene identificato un nuovo exploit zero-day o una vulnerabilità di sistema, una soluzione SIEM può aiutarvi a identificare rapidamente la portata della vulnerabilità in modo da poterla correggere.
- Imparare dai fatti passati: quando si verifica un incidente, puoi verificare rapidamente se si era già verificato in passato. L'esperienza precedente con il problema può aiutarti a prevenirlo in futuro o aiutarti a gestire più velocemente gli eventi ricorrenti.
- Intelligence sulle minacce: consente di rilevare in modo intelligente gli attacchi ai sistemi IT applicando l’ AI ai log e ai dati di sicurezza per confrontare con i dati storici i pattern delle firme degli attacchi noti.
- Investigazione guidata: gli analisti possono sfruttare i dati disponibili nella piattaforma SIEM per verificare le proprie ipotesi.
Protezione dei deployment IoT
L'Internet of Things (IoT) è formata da moltissimi dispositivi di rete distribuiti, ciascuno dei quali invia in streaming i propri log eventi in tempo reale. I sistemi SIEM sono l'ideale per la protezione dei deployment IoT.
- Monitoraggio dei dispositivi IoT: i dispositivi IoT sono il bersaglio principale degli attacchi di hijacking, che intendono sfruttarli come botnet in un attacco DDoS. Il monitoraggio costante eseguito dal sistema SIEM permette di identificare i comportamenti anomali sintomatici della compromissione di un dispositivo.
- Monitoraggio del flusso di dati: i dispositivi IoT spesso comunicano fra loro utilizzando protocolli non crittografati. Un soluzione SIEM consente di rilevare i pattern di traffico insoliti fra i nodi della rete IoT e avvisare i team di sicurezza in caso di compromissione delle informazioni sensibili.
- Controllo degli accessi: il monitoraggio delle entità che accedono ai dispositivi IoT e degli orari di tali accessi può essere utile per identificare le connessioni o le attività sospette.
- Gestione delle vulnerabilità: una soluzione SIEM può aiutarti a rilevare i vecchi sistemi operativi e le vulnerabilità prive di patch nel tuo parco dispositivi IoT, permettendoti di isolare quelli più a rischio di attacco, come i punti di accesso ai dati sensibili o alle funzioni critiche.
Qual è la differenza tra un sistema SIEM e un sistema IDS?
La differenza principale tra un sistema SIEM e un sistema di rilevamento delle Intrusioni (IDS) è costituita dal fatto che il sistema SIEM adotta un approccio preventivo, mentre un sistema IDS è ottimizzato per rilevare e segnalare gli eventi minacciosi a mano a mano che si verificano. Anche se entrambi gli strumenti inviano avvisi e generano log, solo il sistema SIEM è in grado di centralizzare e correlare le informazioni dei log tra dispositivi e sistemi diversi, per offrirti una visione globale sulla sicurezza dell'ambiente enterprise.
In molte aziende, i sistemi SIEM e IDS vengono utilizzati insieme. Un sistema IDS è utile durante un attacco, mentre la soluzione SIEM prende i log generati dal sistema IDS e li mette a disposizione insieme ad altre informazioni di sistema, per consentire ai team di sicurezza di generare i report di conformità e prevenire gli attacchi futuri.
Confronto tra SIEM e SOAR: qual è la differenza?
I sistemi SOAR (Security Orchestration, Automation, and Response) sono soluzioni relativamente nuove che estendono le funzionalità dei sistemi SIEM, permettendo anche di automatizzare i workflow dei percorsi di indagine in modo da ridurre drasticamente il tempo necessario per gestire gli avvisi.
Un sistema SIEM identifica le minacce correlando informazioni provenienti da più origini, come firewall, applicazioni, server e dispositivi. La soluzione SIEM cerca di fornire le informazioni rilevanti al team di sicurezza, insieme ai suggerimenti per la correzione, ma spetta al team di sicurezza risalire all'origine della minaccia potenziale ed eliminarla.
La piattaforma SOAR fa questo e altro, eseguendo ulteriori passaggi per automatizzare il percorso investigativo. Anziché limitarsi a segnalare una potenziale minaccia al team di sicurezza, utilizza l’AI per apprendere gli schemi di comportamento e affrontare le minacce automaticamente attraverso l'orchestrazione.
Principali vendor di soluzioni di sicurezza informatica SIEM
Di seguito sono elencati alcuni degli strumenti SIEM più diffusi sul mercato:
Conclusione
SIEM sta per Security Information And Event Management (Gestione delle informazioni e degli eventi di sicurezza). e gli strumenti SIEM possono essere utilizzati per rilevare e prevenire una vasta gamma di minacce, come l'iniezione di codice, gli attacchi ransomware e gli attacchi DDoS. Sono utili soprattutto per rilevare le anomalie, come gli accessi non autorizzati, i tentativi di login sospetti e i flussi di dati insoliti. Se cerchi una piattaforma di sicurezza che ti consenta di aggregare log provenienti da più origini in una singola posizione centralizzata da cui analizzare la sicurezza, una soluzione SIEM può essere molto utile.
