Cosè il software SIEM?
Il software SIEM (Security Information and Event Management) offre ai professionisti della sicurezza aziendale sia informazioni dettagliate che track record delle attività allinterno del loro ambiente IT.
La tecnologia SIEM esiste da più di un decennio, evolvendosi inizialmente dalla disciplina della gestione dei registri. Ha combinato la gestione degli eventi di sicurezza (SEM), che analizza i dati di registro e degli eventi in tempo reale per fornire il monitoraggio delle minacce, la correlazione degli eventi e la risposta agli incidenti, con la gestione delle informazioni di sicurezza (SIM) che raccoglie, analizza e riporta i dati di registro.
Come funziona SIEM
Il software SIEM raccoglie e aggrega i dati di registro generati attraverso linfrastruttura tecnologica dellorganizzazione, dai sistemi host e dalle applicazioni alla rete e ai dispositivi di sicurezza come firewall e filtri antivirus.
Il software quindi identifica e classifica incidenti ed eventi, nonché li analizza. Il software soddisfa due obiettivi principali, ovvero
- fornire rapporti su incidenti ed eventi relativi alla sicurezza, come accessi riusciti e non riusciti, attività malware e altre possibili attività dannose e
- invia avvisi se lanalisi mostra che unattività viene eseguita rispetto a set di regole predeterminati e quindi indica un potenziale problema di sicurezza.
La necessità aziendale di una migliore gestione della conformità ha guidato gran parte ladozione precoce di questa tecnologia, afferma Paula Musich, direttore della ricerca presso Enterprise Management Associates (EMA), una società di consulenza e ricerche di mercato con sede a Boulder, Colorado.
“I revisori avevano bisogno di un modo per verificare se la conformità è stato soddisfatto o meno e SIEM ha fornito il monitoraggio e la reportistica necessari per soddisfare mandati come HIPPA, SOX e PCI DSS “, afferma, riferendosi allHealth Insurance Portability and Accountability Act, al Sarbanes – Oxley Act e ai dati del settore delle carte di pagamento Standard di sicurezza.
Tuttavia, ad es Perts affermano che la domanda aziendale di maggiori misure di sicurezza ha spinto maggiormente il mercato SIEM negli ultimi anni.
“Ora le grandi organizzazioni in genere guardano al SIEM come base per difendere il centro operativo di sicurezza”, afferma Musich.
Analisi e intelligence
Uno dei principali fattori alla base dellutilizzo del software SIEM per le operazioni di sicurezza risiede nelle nuove funzionalità contenute in molti dei prodotti mercato.
“Ora molte tecnologie SEIM introducono feed di intelligence sulle minacce oltre ai tradizionali dati di registro e ci sono più prodotti SIEM che dispongono di funzionalità di analisi della sicurezza che esaminano il comportamento della rete e il comportamento degli utenti per fornire più informazioni sul fatto che unattività indichi unattività dannosa “, spiega Musich.
In effetti, la società di ricerca tecnologica Gartner nel suo rapporto di maggio 2017 sul mercato SIEM mondiale sottolinea lintelligenza negli strumenti SIEM, affermando che” innovazione in il mercato SIEM è in movimento g a un ritmo entusiasmante per creare uno strumento di rilevamento delle minacce migliore “.
Il rapporto Gartner rileva inoltre che i fornitori stanno introducendo lapprendimento automatico, lanalisi statistica avanzata e altri metodi analitici nei loro prodotti, mentre alcuni stanno anche sperimentando capacità di intelligenza artificiale e apprendimento profondo.
Secondo Gartner, i fornitori commercializzano tali progressi come funzionalità in grado di fornire tassi di rilevamento più accurati a un ritmo più veloce. Tuttavia, Gartner sottolinea che alle aziende non è ancora chiaro se, o in che misura, queste funzionalità producano nuovi ritorni per lorganizzazione.
Rob Stroud, un analista principale di Forrester Research e ex presidente del consiglio di amministrazione con ISACA, unassociazione professionale internazionale focalizzata sulla governance IT, afferma di vedere promesse in tali tecnologie.
“Con lintelligenza artificiale e lapprendimento automatico possiamo fare inferenza e monitoraggio e allerta basati su modelli, ma la vera opportunità è la ripristino predittivo. Questa è la transizione nel mercato ora. Sta passando da uno strumento di monitoraggio a suggerimenti per la riparazione “, afferma Stroud, aggiungendo che si aspetta che il software SIEM possa persino automatizzare la riparazione in futuro.
SIEM in azienda
Il software SIEM cattura solo una piccola parte dei dollari totali spesi per la sicurezza aziendale in tutto il mondo, secondo Gartner. Gartner stima la spesa globale per la sicurezza aziendale a quasi $ 98,4 miliardi per il 2017, con il software SIEM raccogliendo circa $ 2,4 miliardi. Gartner prevede che la spesa per la tecnologia SIEM aumenterà moderatamente, fino a quasi $ 2,6 miliardi nel 2018 e $ 3,4 miliardi nel 2021.
Il software SIEM è utilizzato principalmente da grandi organizzazioni e società pubbliche, dove la conformità ai regolamenti rimane un fattore forte nelluso di questa tecnologia, secondo gli analisti.
Mentre alcune aziende di medie dimensioni anche software SIEM, le piccole aziende tendono a non aver bisogno né a voler investire in esso.Gli analisti affermano che spesso non acquistano la propria soluzione, poiché il suo costo annuale può variare da decine di migliaia a oltre $ 100.000. Inoltre, le piccole aziende non hanno la capacità di assumere il talento necessario per mantenere il software SIEM su base continuativa.
Detto questo, gli analisti notano anche che alcune piccole e medie imprese hanno fornito SIEM come unofferta software-as-a-service tramite fornitori di outsourcing che sono abbastanza grandi da vendere tale servizio ai propri clienti PMI.
Attualmente, gli utenti di grandi aziende tendono a eseguire sempre il software SIEM in sede, a causa della sensibilità di alcuni dati che passano attraverso il sistema. “Stai registrando cose sensibili, e questo non è qualcosa che le persone hanno molto appetito per linvio su Internet”, afferma John Hubbard, capo analista per il Centro operativo di sicurezza degli Stati Uniti di GlaxoSmithKline e istruttore del SANS Institute, unorganizzazione per la sicurezza professionisti.
Tuttavia, con laumentare delle capacità di apprendimento automatico e intelligenza artificiale allinterno dei prodotti SIEM, alcuni analisti prevedono che i fornitori SIEM offriranno unopzione ibrida, con alcune analisi in esecuzione nel cloud .
“Stiamo assistendo alla raccolta, alla cura e allintelligence tramite cloud; stiamo vedendo che emerge perché il fornitore può selezionare più dati di quanti ne possa fare unorganizzazione “, afferma Stroud.
Strumenti SIEM e selezione dei fornitori
Il mercato SIEM ha diversi fornitori dominanti basati sulle vendite mondiali, in particolare IBM, Splunk e HPE. Ci sono almeno molti altri attori principali, vale a dire Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds e Trustwave.
Musich afferma che le aziende devono valutare i prodotti in base ai propri obiettivi per determinare quali meglio soddisfare le loro esigenze. Le organizzazioni che desiderano questa tecnologia principalmente per la conformità apprezzeranno alcune funzionalità, come la reportistica, in modo più elevato rispetto alle organizzazioni che desiderano sfruttare SIEM per configurare un centro operativo di sicurezza.
Nel frattempo, afferma, le organizzazioni che dispongono di petabyte di dati troveranno alcuni fornitori in grado di soddisfare meglio le loro esigenze, mentre coloro che hanno meno dati potrebbero optare per altre opzioni. Allo stesso modo, le aziende che desiderano uneccezionale caccia alle minacce cercheranno probabilmente i migliori strumenti di visualizzazione dei dati e funzionalità di ricerca che altri potrebbero non aver bisogno di avere.
I responsabili della sicurezza devono prendere in considerazione numerosi altri fattori, ad esempio se possono supportano uno strumento particolare, quanti dati avranno nel sistema e quanto vogliono spendere, quando si valutano i fornitori SIEM, afferma Musich. Ad esempio, ArcSight ESM di HPE è uno strumento maturo che ha molte funzionalità ma richiede una notevole quantità di esperienza ed è più costoso di altre opzioni.
“Ci sarà sempre una serie di funzionalità”, Musich aggiunge. “E più sofisticata è la sicurezza nelle operazioni, migliore è luso che faranno degli strumenti che hanno.”
Dati i requisiti di capacità variabili a seconda dei due principali fattori alla base Selezione SIEM, Hubbard dice di vedere molte organizzazioni optare per due diversi sistemi, uno focalizzato sulla conformità e laltro incentrato sul rilevamento delle minacce.
“Potresti raccogliere molto per la conformità , ma questo può rallentarlo per gli usi di rilevamento delle minacce. Quindi hai un SIEM tattico per il rilevamento delle minacce “, afferma.
Massimizzare il valore di SIEM
Tuttavia, la maggior parte delle aziende continua a utilizzare Software SIEM principalmente per monitorare e indagare su ciò che è successo, afferma Eric Ogren, analista senior con le informazioni se curity team presso 451 Research. Ogren afferma che questo caso duso è guidato dalla crescente minaccia di violazioni e dalle ricadute sempre più gravi che i leader e le organizzazioni dovranno affrontare in tali eventi.
Come dice Ogren: “Se unazienda viene hackerata, nessun CIO vuole chiedere al consiglio cosa è successo e dire: “Dannazione se lo so”. Vogliono dire: “Stiamo esaminando i dati di registro per scoprire cosa è successo” “.
Allo stesso tempo, però , molte aziende ora stanno andando oltre e utilizzano sempre più la tecnologia per il rilevamento e la risposta quasi in tempo reale, afferma Ogren.
“Il gioco ora è: quanto velocemente puoi rilevare? ” afferma, aggiungendo che le capacità di apprendimento automatico in evoluzione stanno aiutando i sistemi SIEM a identificare più accuratamente attività insolite e potenzialmente dannose.
Nonostante tali progressi, le organizzazioni continuano a essere messe alla prova nelle loro capacità di massimizzare i benefici e, quindi , il valore che ottengono anche dai sistemi esistenti, dicono gli esperti.
Ci sono varie ragioni per questo.
Primo, le tecnologie SIEM richiedono molte risorse e richiedono personale esperto per implementare, mantenere e perfezionarli: personale in cui non tutte le organizzazioni hanno ancora investito completamente.
“Molte organizzazioni apportano la tecnologia perché sanno che è qualcosa che vogliono ma non hanno il personale o non ricevono al personale la formazione di cui hanno bisogno per usarlo “, afferma Stroud.
Il software SIEM richiede anche dati di qualità per la massima resa:” Più grande è la fonte di dati che fornisci, meglio diventa e meglio può vedere i valori anomali “, spiega Stroud. Eppure le organizzazioni continuano a lottare per definire e fornire i dati giusti.
E anche con dati forti e un team sofisticato che esegue la tecnologia SIEM, il software stesso ha dei limiti, dicono gli analisti. Sottolineano che non è completamente accurato rilevare ciò che è accettabile e ciò che è una minaccia potenziale legittima, una discrepanza che porta a un numero elevato di falsi allarmi in molte implementazioni.
Questo scenario richiede una governance forte e procedure efficaci allinterno dellazienda in modo che i team di sicurezza non soccombano al sovraccarico di avvisi.
Stroud afferma che i professionisti della sicurezza spesso iniziano inseguendo una quantità impressionante di falsi allarmi. Le organizzazioni sofisticate impareranno a mettere a punto gli strumenti nel tempo in modo che il software comprenda quelli che sono eventi usuali e quindi riduca il numero di falsi allarmi.
Dallaltro lato, tuttavia, afferma che alcuni team di sicurezza ne risparmieranno passo e invece eliminare più falsi allarmi per abitudine, una pratica che rischia di perdere minacce reali.
Musich afferma che le organizzazioni più sofisticate scrivono anche script per automatizzare più funzioni banali, come il pull contestuale dati provenienti da diverse fonti per fornire un quadro più completo degli avvisi per velocizzare le indagini e lidentificazione di minacce reali.
“Ci vogliono processi buoni e maturità nelle operazioni di sicurezza”, aggiunge. “Ciò significa non solo essere uno strumento a sé stante, ma anche integrato con altre tecnologie e avere un processo globale per guidare le attività. “
È un movimento così può ridurre il tempo che il personale spende per attività di livello inferiore ities e invece consentire loro di reindirizzare le proprie energie verso attività di alto valore che elevano lintera posizione di sicurezza dellazienda.
Ulteriori informazioni su SIEM:
- ArcSight vs. Splunk? Perché potresti volere entrambi
- Criteri di valutazione per SIEM
- SIEM: 14 domande da porre prima di acquistare
- Nozioni di base sulla gestione dei log
- SIEM -as-a-service risponde alle esigenze delle piccole e medie imprese