Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Security Intelligence

SIEM: cos’è e come garantisce la sicurezza delle informazioni

SIEM al centro della governance. Questo tipo di soluzioni ha come obiettivo la raccolta centralizzata dei log e degli eventi generati da applicazioni e sistemi in rete. Grazie al machine learning le attività di correlazione e monitoraggio sono potenziate, abilitando una security intelligence evoluta

03 Dic 2019
Z

Laura Zanotti


SIEM (Security Information and Event Management) oggi diventata una soluzione di riferimento fondamentale per la sicurezza aziendale. Abilitatore di un monitoraggio continuo, contestuale, puntuale ed efficiente, il SIEM aiuta i responsabili della sicurezza a mettere in evidenza gli ambiti nei quali è necessario intervenire attraverso una logica progressiva di interventi correttivi o migliorativi.

SIEM: che cos’è e cosa significa per un’organizzazione

Il SIEM è una soluzione in cui convergono Security Information Management e Security Event Management. Più in dettaglio:

  • Il SIM è un sistema di gestione delle informazioni che automatizza il processo di raccolta e orchestrazione dei log (ma non in tempo reale). I dati vengono raccolti e spediti ad un server centralizzato tramite l’utilizzo di software agent installati sui vari dispositivi del sistema monitorato. La possibilità di usufruire di spazi di archiviazione a lungo termine unita all’analisi dei dati consente la generazione di report personalizzati.
  • Il SEM è una soluzione software che, in tempo reale, provvede al monitoraggio e alla gestione degli eventi che accadono all’interno della rete e sui vari sistemi di sicurezza, fornendo una correlazione e aggregazione tra essi. L’interfaccia è una console centralizzata, preposta ad attività di monitoraggio, segnalazione e risposta automatica a determinati eventi.

Agganciando al SIM il SEM, il SIEM analizza i registri raccolti per evidenziare eventi o comportamenti di interesse consentendo, ad esempio, di rilevare un accesso amministrativo al di fuori del normale orario di lavoro, quindi informazioni sull’host, sull’Id e altro ancora. Le informazioni contestuali raccolte rendono i report estremamente più dettagliati e permettono di ottimizzare i flussi di lavoro finalizzati alla risoluzione degli incidenti.

SIEM-caratteristiche

Come funziona una soluzione di Security Information and Event Management

La tecnologia dei sistemi SIEM ha come obiettivo la raccolta centralizzata dei log e degli eventi generati da applicazioni e sistemi in rete, per consentire agli analisti di sicurezza di ridurre i tempi necessari alla risoluzione e alle indagini su allarmi e incidenti di sicurezza.

Le principali attività di un SIEM sono raccogliere, analizzare, correlare e monitorare un elevato numero di dati diversificati, provenienti da:

  • Strumenti di sicurezza: Intrusion Detection Systems, Intrusion Prevention Systems, sistemi antivirus e antimalware, VPN concentrators, Web filters, honeypots, firewalls, adservers
  • Dispositivi di rete: router, switch, DNS server, wireless access point, WAN, Data transfer, Private Cloud Network
  • Apparati: dispositivi degli utenti, server di autenticazione, database, cloud-hosted server
  • Applicazioni: applicazioni intranet, applicazioni web, applicazioni Saas

Il principio chiave del SIEM è un monitoraggio evoluto, basato sulla capacità di aggregare dati significativi, provenienti da molteplici fonti, stabilendo in tempo reale analisi e correlazioni finalizzate a individuare comportamenti anomali, segnali critici e a generare allarmi, rispondendo alle esigenze di incident response, compliance e analisi forensi. La natura stessa della tecnologia comporta un continuo adeguamento in base alle continue valutazioni sulla sicurezza effettuate dai CSO, unitamente a tutti gli adeguamenti normativi del caso.

Il principio di funzionamento? A livello elementare una soluzione SIEM  è fondata su una serie di regole (definite dal vendor e/o dai responsabili della sicurezza) e sull’utilizzo di un motore di correlazione statistica che stabilisce le relazioni tra le varie voci del registro eventi.

Security-intelligence

Quando sono nati i SIEM

I SIEM hanno fatto la loro comparsa sul mercato nel 1997. Inizialmente, il loro obiettivo era quello di ridurre i falsi positivi generati dai NIDS (Network Intrusion Detection System) che quotidianamente generavano un quantitativo inverosimile di alert. Gli strumenti erano complessi da installare e utilizzare e venivano impiegati solo dalle organizzazioni più grandi. La loro prima evoluzione, che risale al 2005, aveva ancora dei grossi limiti nella scala dei dati che questi sistemi avevano a livello di elaborazione e sofisticazione degli avvisi e delle visualizzazioni generati.

La terza generazione di SIEM era meglio equipaggiata per gestire i big data, grandi volumi di log storici, potendo correlare i dati di log storici con eventi in tempo reale e dati dei feed di intelligence delle minacce.

Quali sono i limiti delle piattaforme di prima generazione

I limiti di queste prime generazioni di SIEM, oltre a richiedere un processo di implementazione lungo e non certo indolore, erano la limitata scalabilità e la quantità di fonti di dati difficili da integrare, con processi di reporting troppo macchinosi. L’offerta dei vendor, infatti, aveva sovrastimato la capacità dei responsabili della sicurezza di gestire il cambio di passo introdotto da una soluzione SIEM. Il risultato è che nel percepito delle aziende le barriere all’adozione ruotavano attorno a più argomentazioni:

  • Troppo complesso La quantità di attività necessarie ad amministrare tutte le sorgenti dati e a reindirizzare la gestione degli eventi richiedeva molta analisi, molta attenzione e un grosso dispendio di risorse per riuscire a impostare la soluzione.
  • Troppo time-consuming Le aspettative dei CSO rispetto all’ingegnerizzazione del Security Information and Event Management sottostimavano le tempistiche necessarie. Per rilasciare e portare a regime un SIEM, infatti, ancora oggi occorrono diversi mesi.
  • Troppo costoso Al di là del costo iniziale della soluzione, per progettare i flussi informativi, gestire gli eventi, normalizzare i dati, schedulare le importazioni e impostare le regole di analisi per definire le modalità di segnalazione e di reportistica occorreva il supporto di uno o più consulenti tecnici specializzati. Il che faceva lievitare notevolmente i costi.
  • Troppo rumoroso La capacità di gestire una quantità enorme di informazioni utili alla sicurezza si traduceva in un gran rumore di fondo. Senza un content security analyst, era difficile orchestrare le regole utili a definire un SIEM contestualizzato per rispondere alle specifiche esigenze aziendali.
  • Troppo poco cloud native Rispetto all’evoluzione del cloud, i primi SIEM non erano abilitati a gestire tutte la quantità di risorse che le aziende continuano a spostare sulle nuvole. Molti vendor, infatti, hanno deciso di non supportare più gli aggiornamenti e di riscrivere i sistemi per proporre soluzioni ex novo.

analisi-siem

Evoluzione delle piattaforme di gestione della sicurezza

Oggi i sistemi di nuova generazione non solo sono diventati più agili, modulari e flessibili ma offrono il massimo valore, con dei costi di implementazione e operativi decisamente inferiori. Per questo sono adottati da ogni tipo di organizzazione che ha a cuore la sicurezza, indipendentemente dalle dimensioni e dai settori di riferimento. La quarta generazione di SIEM, proposta da Gartner nel 2017, combina le capacità SIEM tradizionali con due nuove tecnologie che includono l’analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics – UEBA) e l’orchestrazione della sicurezza e la risposta automatizzata (Security Orchestration and Automated Response – SOAR).

La gestione delle registrazioni cronologiche e sequenziali delle operazioni che vengono eseguite da un dispositivo informatizzato, sia esso un server o un client, così come da un programma o da un’applicazione, è dettata dalla necessità di poter aggregare e conservare a norma di legge tutti i log di un certo interesse prodotti da sistemi informativi eterogenei, con lo scopo di garantirne la sicurezza. Le organizzazioni stanno passando a piattaforme di big data management come, ad esempio, Apache Hadoop, per completare le capacità di SIEM estendendo sia la capacità di data storage sia il livello di flessibilità analitica. Anche il bisogno di visibilità voce-centrica o vSIEM (Voice Security Information and Event Management) è un recente esempio di come i vendor abbiano preso in carico l’evoluzione della domanda.

Ma è l’Intelligenza Artificiale e, in particolare, il Machine Learning che in questo momento stanno davvero facendo la differenza delle soluzioni di SIEM di ultima generazione.

SIEM-4.0

SIEM 4.0: il contributo dell’AI alla governance della sicurezza

L’AI porta le analisi a un livello di accuratezza superiore: la tecnologia utilizzata, infatti, attraverso un processo evoluto di Security Intelligence applicata alle analitiche, effettua una correlazione automatica di tutti gli eventi rilevati sull’infrastruttura di rete da IPS, IDS, firewall, soluzioni di sicurezza, endpoint (anche non strutturati), così da comprendere realmente che cosa è avvenuto e da parte di chi.

Attraverso una serie di algoritmi euristici, che contemplano la probabilità di identificare cyber attacchi di vario tipo, come gli exploit zero-day, gli attacchi DDOS e brute force, i SIEM 4.0 sfruttano una baseline che gli permette di effettuare operazioni di corrispondenza degli schemi (pattern matching) e di aggregare log per innescare analisi avanzate. In questo modo il sistema intercetta e localizza velocemente tutte le attività anomale che avvengono sulla rete, interoperando con le politiche di security stabilite dall’organizzazione per arrivare a determinare quali azioni dovrebbero essere intraprese e quali no.

Utilizzando una serie di algoritmi predisposti, il software può avviare anche un’azione di risposta automatica a un attacco quando questo si verifica: ad esempio, può essere in grado di bloccare o rimuovere il traffico potenzialmente malevolo, o capace di ridurre le prestazioni, mantenendo così un’operatività standard dell’infrastruttura IT.

Un esempio di SIEM 4.0

Un esempio di SIEM 4.0 è QRadar, di IBM. Grazie a QRadar, il CSO può vedere se una comunicazione è avvenuta o meno, se un malware è stato eseguito da chi e dove, se sono effettivamente avvenuti accessi a risorse aziendali. Con un ulteriore plus. È infatti possibile integrare queste analisi con la soluzione di User Behavior Analytics. Questo permette di definire il profilo di rischio degli utenti e identificare eventuali attaccanti interni, tentativi di privilege escalation o fuoriuscita di dati riservati.

Gli algoritmi di analisi e correlazione di QRadar, infatti, consentono di ridurre al minimo i falsi positivi. Allo stesso tempo questo tipo di SIEM arricchisce le informazioni raccolte all’interno dell’organizzazione, integrandole con quelle che provengono dall’ambiente esterno, dai vendor di sicurezza, dai partner, dalle fonti aperte e dal continuo monitoraggio che ne viene fatto, così da aiutare a riconoscere situazioni anomale o potenziali minacce. Non ultimo, gli eventi sono raccolti in un unico database: attraverso un cruscotto centralizzato è possibile effettuare ricerche di ogni tipo. Grazie alla possibilità di aggregare i dati, è possibile disporre di viste adatte ai diversi tipi di interlocutori, diversificando le dashboard di sintesi per gli utenti executive a cui poter mostrare grafici e trend, con report sempre più di dettaglio a supporto delle strutture operative e tecniche, riducendo notevolmente il tempo di elaborazione delle informazioni e rispondono alle diverse esigenze e aspettative degli stakeholder aziendali.

Security-Information-and-Event-Management

Perché il successo di un SIEM dipende dagli obiettivi

Uno dei parametri cardine per il corretto funzionamento di un SIEM è la scelta delle informazioni che il CSO decide di raccogliere da ogni singolo componente del sistema che vuole proteggere. Un progetto di selezione e implementazione di una soluzione SIEM deve sempre partire da una domanda fondamentale: cosa si vuole monitorare e quali informazioni ottenere dallo strumento e dal servizio.

Definire sia il perimetro che l’obiettivo è il primo passaggio fondamentale in quanto non è possibile monitorare tutti i sistemi, i dispositivi, le applicazioni, gli utenti e quant’altro. Si avrebbe un perimetro talmente ampio, con talmente tante informazioni, da essere travolti dai dati senza possibilità di analizzarli in maniera efficace. Come sottolineano gli esperti, l’errore più grande quando si parla di SIEM è di voler controllare tutto e subito.

Come implementare un sistema SIEM: alcuni esempi

Quello che bisogna fare, invece, è capire qual è l’esigenza primaria della propria azienda. Ad esempio, potrebbe esserci un’esigenza di conformità normativa, legata al controllo degli accessi per adempiere ai provvedimenti del Garante Privacy, alle norme sugli accessi ai dati riservati (finanziari o di traffico), o alle norme per i dati di bilancio per le società quotate in Borsa. Oppure, ci può essere un’esigenza di security ICT: ad esempio controllare quello che succede nel sistema informativo in modo da cogliere i segnali di possibili incidenti o attacchi e fare in modo che siano bloccati per tempo. O, ancora, ci può essere un’esigenza di monitoraggio ICT: qualsiasi cosa accada, deve essere possibile risalire a che cosa è successo e a chi ha fatto che cosa, magari raccogliendo evidenze che possono essere usate in sede legale.

Per altre aziende può essere prioritario il monitoraggio delle azioni e del comportamento degli utenti, per individuare comportamenti anomali o sospetti che possono essere indicatori di un possibile compromissione di sicurezza, da cui l’importanza delle user behavioral analysis. Infine, può anche esserci un mix di tutte queste esigenze, ma su un perimetro ben definito che consenta di definire un progetto di implementazione consistente e fattibile.

piano di sicurezza

In che modo ottimizzare il log management

L’implementazione di un SIEM richiede una serie di attività fondamentali per garantire il raggiungimento degli obiettivi:

  • Definizione e classificazione delle sorgenti dati di interesse
  • Analisi e quantificazione di log ed eventi da rilevare
  • Scelta dell’architettura necessaria
  • Piani di integrazione (security structure, SOC-CERT)
  • Pianificazione dei programmi di verifica

Normalizzare le diverse tipologie di messaggi, trasformandoli in un formato unico (CEF Common Event Format), è un compito affidato al collettore centrale del sistema (logger). In questo modo è possibile tradurre diversi tipi di informazione che hanno schemi differenti, standardizzandoli.

Definire l’obiettivo e la finalità del monitoraggio e della correlazione dei log non è sempre agevole. Soprattutto quando un’azienda non ha le idee chiare su quali ambiti siano prioritari rispetto ad altri. In questo  caso, si può pensare di raccogliere i log in maniera trasversale su un perimetro ampio di sistemi, valutando apparati, applicazioni, database e via dicendo, per includerli in un’unica soluzione che deve potersi interfacciare con il maggior numero possibile di target. Dal momento che il perimetro non è ancora definito, l’importante è non porre limiti a priori. Senza dimenticare di risolvere anche la modalità di conservazione dei log, in modo da mantenerli nel tempo in forma sicura, non modificabile, per eventuali indagini future.

Implementare-soluzione-SIEM

Quali sono i tempi di implementazione

L’installazione e l’attivazione della soluzione tecnologica, l’importazione delle log source e la definizione dei destinatari dei report e alert può essere completata dal punto di vista tecnico con poche settimane di lavoro. Riuscire però a definire la baseline, ovvero la modellizzazione della sicurezza definita nella fase preliminare, e identificare quali sono le deviazioni rilevanti richiede tempi maggiori. Generalmente, dalla generazione della prima reportistica, passano almeno 6 mesi prima di poter implementare degli alert ragionevoli.

Sulla base del report prodotto, i CSO dovranno occuparsi di verificare le informazioni ottenute e confermare i livelli di sicurezza accettabili. Una fase di analisi e mappatura noiosa, lunga ma quanto mai indispensabile per capire l’orizzonte degli accessi e i comportamenti della rete. Ad esempio, per confermare che le connessioni da remoto dell’azienda sono mediamente 10, il CSO avrà bisogno di raccogliere ulteriori informazioni presso altri team, arricchendo la mappatura con dati relativi a chi accede e per quale motivo, con quale frequenza, e via dicendo. Lo stesso dovrà fare per gli accessi amministrativi alle macchine o sistemi o DB, firewall, banda passante, operazioni sulle utenze. Per questi motivi bisognerà mettere in conto un delta temporale più o meno lungo, che potrà variare sulla base della dimensione dell’azienda ma anche della disponibilità di informazioni, della collaborazione fra i team, del funzionamento di altri strumenti di monitoraggio, delle tipologie di monitoraggio e degli ambiti applicativi.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5