TechTarget Tech InDepth

Software SIEM, cos’è e quando utilizzarlo

Le soluzioni per gestione delle informazioni e degli eventi di sicurezza consentono di individuare e bloccare i cyber attacchi, ma forniscono anche funzionalità di automazione del workflow in grado di sgravare il lavoro degli IT manager

Pubblicato il 17 Lug 2018

Che cosa è il software SIEM e come funziona

Quando si parla di gestione della sicurezza informatica, uno tra i tanti acronimi spesso utilizzati dagli esperti del settore è l’espressione SIEM (security information and event management), che appunto indica un modello di approccio al problema in grado di combinare due funzionalità fondamentali: da un lato la componente SIM (security information management) e, dall’altro, quella SEM (security event management).

Il principio chiave alla base di ogni soluzione software SIEM è la capacità di aggregare dati significativi provenienti da molteplici fonti, per poi individuare deviazioni, anomalie rispetto alla norma, e far scattare azioni appropriate per risolvere il problema di sicurezza: ad esempio, quando una potenziale criticità viene identificata, una soluzione di questo tipo può registrare informazioni aggiuntive, generare allarmi e indicare ulteriori controlli di sicurezza per bloccare il progredire di una determinata attività. In effetti, riducendo il concetto al livello più elementare, un sistema SIEM può essere basato su regole, o utilizzare un motore di correlazione per stabilire relazioni tra i dati del registro degli eventi.

Oggi, in seguito al proliferare del numero di dispositivi che fanno ormai parte di un ecosistema IT, un software SIEM diventa uno strumento molto importante per gli amministratori dell’infrastruttura informatica, un componente indispensabile per dominare le vulnerabilità esistenti nel sistema, controllare la superficie esposta agli attacchi e rispondere in maniera efficiente alle cyber minacce.

Collezionando e aggregando le informazioni provenienti da server, risorse di storage fisiche e virtuali, PC, smartphone, le soluzioni SIEM aiutano in sostanza a mantenere amministrabili le varie misure di sicurezza. Tuttavia, per proteggere i propri sistemi, gli IT manager devono comprendere come funziona un software SIEM e perché dovrebbero considerare la sua implementazione e i possibili casi d’uso.

Software SIEM: ecco come funziona

Un sistema SIEM è in grado di raccogliere e organizzare i dati relativi alla sicurezza in un’unica posizione, più facile da monitorare per gli IT manager: come accennato, tale software è in grado di ricavare dati da tutti i device, inclusi i sistemi host, le applicazioni e i tool di security. Successivamente, il software, attraverso l’analisi dei dati, può individuare segnali critici ed avvisare gli amministratori IT, che sono così in grado di reagire in tempo reale agli attacchi indirizzati al sistema.

Il software SIEM può utilizzare algoritmi euristici che contemplano la probabilità di indirizzare cyber attacchi di vario tipo, come gli exploit ‘zero-day’, gli attacchi DDOS (distributed denial of service) e gli attacchi a forza bruta (brute force attack).

Il sistema sfrutta una baseline, un modello di base che gli permette di effettuare operazioni di corrispondenza degli schemi (pattern matching), aggregazione di log e analisi per localizzare attività anomale.

Naturalmente, questi strumenti hanno la caratteristica di interoperare con le politiche di security stabilite dall’organizzazione, per arrivare a determinare quali azioni dovrebbero essere intraprese contro i file malevoli.

Sulla base degli algoritmi, il software SIEM può avviare un’azione di risposta automatica a un attacco quando questo si verifica: ad esempio, può essere in grado di bloccare o rimuovere il traffico potenzialmente malevolo, o capace di ridurre le prestazioni, mantenendo così un’operatività standard dell’infrastruttura IT. Allo stesso tempo il software SIEM invia un messaggio di allarme agli amministratori, e registra ulteriori informazioni, in modo da consentire di comprendere e scoprire quali azioni hanno condotto a una violazione, da dove è partito il problema e in quale misura esso ha coinvolto l’organizzazione.

Casi d’uso e vantaggi del software SIEM

Come si è visto, il software SIEM viene spesso utilizzato per generare report di dati e proteggere dal malware, ma i suoi algoritmi possono anche aiutare a investigare sui cyber attacchi, registrando informazioni aggiuntive sugli eventi di sicurezza. La capacità del sistema SIEM di estrapolare i dati da tutte le tipologie di dispositivi, e di normalizzarli, consente agli IT manager di analizzare schemi d’uso tipici, e questo tipo di misure d’intervento risulta più efficace rispetto al software antivirus basato su ‘firme’, perché diventa possibile abbattere il tempo che gli amministratori devono impiegare per navigare e ‘scavare’ nei registri dati e nei messaggi di allarme.

Ancora, il software SIEM può permettere di identificare attività malevole che si stanno perpetrando all’interno dell’organizzazione, e ciò è possibile attraverso la comparazione di schemi di comportamento degli utenti o di attività di rete che rientrano in modelli tipici. I tool SIEM sono in grado di comprendere da dove è partito un attacco e di individuare quali sono i suoi bersagli.

Un altro beneficio derivante dalle funzioni dei sistemi SIEM è dato dalla loro capacità di reagire in automatico ai problemi di sicurezza: in questo modo, infatti, essi contribuiscono a ridurre i carichi di lavoro che gravano sugli amministratori del sistema: questi ultimi hanno così la possibilità di impiegare il proprio tempo su attività a più ampio respiro, perché è il software a eseguire le operazioni necessarie a bloccare le attività malevole, o a creare alert per poi consentire un successivo intervento manuale.

In aggiunta, le organizzazioni che utilizzano algoritmi di apprendimento automatico (machine learning – ML) e intelligenza artificiale (AI) hanno l’opportunità di aggiungere funzionalità al software SIEM, incrementando i dati utilizzati per scoprire i cyber attacchi e le minacce ransomware. E in questo modo aumenta anche la precisione e la velocità con le quali il software è in grado di rispondere a potenziali minacce informatiche.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 4