Siem ovvero gestione delle informazioni e degli eventi di sicurezza. Una sfida chiara, precisa, che ogni forma e dimensione di impresa oggi sta affrontando. Una sfida che si vince con idee, strategie e piattaforme di valore.
Una guida completa e un caso di eccellenza collaborativa come quella che sta portando Italware system integrator italiano facente parte del Gruppo Digital Value, e DV Cyber Security (DVCS), azienda del gruppo focalizzata su soluzioni e servizi di cyber security, a fare la differenza sul territorio grazie ad una soluzione come la nuovissima suite IBM QRadar , offerta dal Gruppo anche come servizio erogato dal SOC H24 di DVCS.
Ma, come sempre, andiamo con ordine.
Siem cos’è
La gestione delle informazioni e degli eventi di sicurezza (Siem) è un approccio alla gestione della sicurezza che combina le funzioni di gestione delle informazioni di sicurezza (SIM) e di gestione degli eventi di sicurezza (SEM) in un unico sistema di gestione della sicurezza. L’acronimo Siem si pronuncia “sim” con la e muta.
I principi alla base di ogni sistema Siem sono aggregare i dati rilevanti da più fonti, identificare le deviazioni dalla norma e intraprendere le azioni appropriate. Ad esempio, quando viene rilevato un potenziale problema, un sistema Siem potrebbe registrare informazioni aggiuntive, generare un avviso e indicare ad altri controlli di sicurezza di interrompere l’avanzamento di un’attività.
La conformità allo standard di sicurezza dei dati del settore delle carte di pagamento ha originariamente guidato l’adozione di Siem nelle grandi aziende, ma le preoccupazioni per le minacce persistenti avanzate hanno portato le organizzazioni più piccole a considerare i vantaggi che gli strumenti Siem possono offrire. La possibilità di esaminare tutti i dati relativi alla sicurezza da un unico punto di vista rende più facile per le organizzazioni di tutte le dimensioni individuare schemi insoliti.
Al livello più elementare, un sistema Siem può essere basato su regole o utilizzare un motore di correlazione statistica per stabilire connessioni tra le voci del registro eventi. I sistemi SIEM avanzati si sono evoluti per includere l’analisi del comportamento degli utenti e delle identità, nonché l’orchestrazione, l’automazione e la risposta della sicurezza (SOAR).
I sistemi Siem funzionano distribuendo più agenti di raccolta in modo gerarchico per raccogliere eventi relativi alla sicurezza da dispositivi degli utenti finali, server e apparecchiature di rete, nonché apparecchiature di sicurezza specializzate, come firewall, programmi antivirus o sistemi di prevenzione delle intrusioni (IPS). I raccoglitori inoltrano gli eventi a una console di gestione centralizzata, dove gli analisti della sicurezza collegano i punti e assegnano la priorità agli incidenti di sicurezza.
In alcuni sistemi, la pre-elaborazione può avvenire presso gli edge collector, con il passaggio solo di determinati eventi a un nodo di gestione centralizzato. In questo modo è possibile ridurre il volume delle informazioni comunicate e archiviate. Sebbene i progressi nell’apprendimento automatico stiano aiutando i sistemi a segnalare le anomalie in modo più accurato, gli analisti devono comunque fornire feedback, istruendo continuamente il sistema sull’ambiente.
Come funziona un Siem
Gli strumenti Siem raccolgono eventi e registrano i dati creati dai sistemi host in tutta l’infrastruttura di un’azienda e riuniscono tali dati su una piattaforma centralizzata. I sistemi host includono applicazioni, dispositivi di sicurezza, filtri antivirus e firewall. Gli strumenti Siem identificano e ordinano i dati in categorie come accessi riusciti e non riusciti, attività malware e altre attività probabilmente dannose.
Il software SIEM genera avvisi di sicurezza quando identifica potenziali problemi di sicurezza. Utilizzando una serie di regole predefinite, le organizzazioni possono impostare questi avvisi come priorità bassa o alta.
Ad esempio, un account utente che genera 25 tentativi di accesso non riusciti in 25 minuti potrebbe essere contrassegnato come sospetto ma essere comunque impostato con una priorità inferiore perché i tentativi di accesso sono stati probabilmente effettuati da un utente che aveva dimenticato le proprie informazioni di accesso. Tuttavia, un account utente che genera 130 tentativi di accesso non riusciti in cinque minuti verrebbe contrassegnato come evento ad alta priorità perché molto probabilmente è in corso un attacco.
Perché il Siem è importante
Siem rende più facile per le aziende gestire la sicurezza filtrando enormi quantità di dati sulla sicurezza e assegnando la priorità agli avvisi di sicurezza generati dal software. Il software SIEM consente alle organizzazioni di rilevare incidenti che altrimenti potrebbero passare inosservati. Il software analizza le voci di registro per identificare i segni di attività dannose. Inoltre, poiché il sistema raccoglie eventi da diverse fonti attraverso la rete, può ricreare la sequenza temporale di un attacco, consentendo a un’organizzazione di determinare la natura dell’attacco e il suo effetto sull’azienda.
Un sistema Siem può anche aiutare un’organizzazione a soddisfare i requisiti di conformità generando automaticamente report che includono tutti gli eventi di sicurezza registrati tra queste fonti. Senza il software Siem, l’azienda dovrebbe raccogliere i dati di registro e compilare i report manualmente. Un sistema Siem migliora anche la gestione degli incidenti aiutando il team di sicurezza dell’azienda a scoprire il percorso di un attacco attraverso la rete, identificare le fonti che sono state compromesse e fornire gli strumenti automatizzati per prevenire gli attacchi in corso.
Vantaggi del Siem
I vantaggi di Siem includono:
– Riduzione significativa del tempo necessario per identificare le minacce, riducendo al minimo i danni causati da tali minacce.
– Siem offre una visione olistica dell’ambiente di sicurezza delle informazioni di un’organizzazione, semplificando la raccolta e l’analisi delle informazioni di sicurezza per mantenere i sistemi al sicuro. Tutti i dati di un’organizzazione vanno in un repository centralizzato dove sono archiviati e facilmente accessibili.
– Le aziende possono utilizzare SIEM per una varietà di casi d’uso che ruotano attorno a dati o registri, inclusi programmi di sicurezza, rapporti di audit e conformità, help desk e risoluzione dei problemi di rete.
– Siem supporta grandi quantità di dati in modo che le organizzazioni possano continuare a scalare e aggiungere più dati.
– Siem fornisce il rilevamento delle minacce e gli avvisi di sicurezza. Può eseguire analisi forensi dettagliate in caso di gravi violazioni della sicurezza.
Siem, il caso IBM QRadar Security Suite e Italware
Detto del “cosa” e del “come” ora è anche il tempo del “chi” proprio per cercare di fornire un quadro più concreto e pragmatico possibile su una tecnologia di grandissima rilevanza in questa fase.
Come in parte anticipato sul mondo dei Siem è da tempo impegnata una multinazionale come IBM che, grazie al supporto di system integrator di eccellenza come Italware, parte del Gruppo Digital Value, è oggi protagonista di un caso di straordinario successo come quello della suite IBM QRadar Security. Si tratta di una suite che integra le analisi dei vari domini di sicurezza con un’interfaccia più efficiente e che semplifica gli interventi degli esperti Nuove funzionalità di automazione e di AI che hanno dimostrato di accelerare il triage degli allarmi in media del 55%
Siem, cos’è IBM Qradar
Proprio nei mesi scorsi IBM, in un simile scenario,+ ha presentato la nuova versione di QRadar che diventa appunto una suite di sicurezza progettata per unificare e velocizzare le attività nell’intero ciclo di vita degli attacchi.
«La IBM Security QRadar Suite – raccontano dalla società – è un’importante evoluzione ed espansione di QRadar, che include tutte le principali tecnologie di rilevamento, investigazione e risposta delle minacce, con innovazioni di rilievo nell’intera gamma».
Fornita in modalità “as-a-service”, la IBM Security QRadar Suite è basata su un’infrastruttura aperta e progettata specificamente per le esigenze del cloud ibrido. È dotata di un’unica interfaccia utente, modernizzata, integrata con l’intelligenza artificiale e l’automazione avanzata, progettate per offrire maggiore velocità, efficienza e precisione nell’utilizzo dei principali tool di analisi.
Il servizio SOC
L’utilizzo di strumenti quali SIEM e SOAR viene spesso delegato ai SOC Security Operation Center, ovvero centri di competenza in ambito di cybersecurity, che con un’attività di monitoraggio H24 7 giorni su 7 si occupano della gestione del SIEM e dell’orchestrazione delle risposte alle minacce attraverso l’utilizzo del SOAR.
Oggi i team SOC (Security Operation Center) devono proteggere un perimetro digitale in rapida espansione che si estende agli ambienti cloud ibridi, creando una complessità senza precedenti e rendendo difficile tenere il passo con il veloce progredire degli attacchi.
Gli operatori del SOC possono essere rallentati da processi di indagine e di risposta agli alert che richiedono alta intensità di lavoro; infatti, è necessario aggregare manualmente gli insight e fare leva su dati, strumenti ed interfacce scollegate tra loro. Secondo un recente sondaggio, i professionisti SOC affermano di trascorrere circa un terzo della propria giornata lavorativa investigando e convalidando gli incidenti che risultano non essere minacce reali.
Anche Digital Value, attraverso un proprio SOC gestito da DV Cyber Security, è in grado di erogare tale servizio, efficiente ed innovativo per la sua capacità proattiva.
«Di fronte ad un perimetro di attacco in crescita e a tempistiche sempre più strette, la velocità e l’efficienza sono fondamentali per i responsabili della sicurezza – ha dichiarato Mary O’Brien, General Manager IBM Security -. IBM ha progettato la nuova suite QRadar per offrire un’esperienza utente unica e modernizzata, integrata con una sofisticata intelligenza artificiale e automazione per massimizzare la produttività degli esperti di sicurezza e accelerare la risposta a ogni fase del processo di attacco».
Siem, i vantaggi di IBM QRadar Suite
IBM ha dunque ridisegnato il proprio portafoglio di soluzioni nel rilevamento e nella risposta alle minacce per massimizzare la velocità e l’efficienza degli esperti di sicurezza e soddisfare le specifiche esigenze odierne. La nuova suite IBM Security QRadar include EDR/XDR, SIEM, SOAR, e una nuova funzionalità sviluppata nativamente in cloud di gestione dei log, il tutto basato su un’interfaccia utente comune, insight condivisi e workflow connessi, con i seguenti elementi di progettazione principali:
- Esperienza di Analisi Unificata: frutto della collaborazione con centinaia di utenti, la suite integra un’interfaccia intuitiva e modernizzata per tutti i prodotti per aumentare notevolmente la velocità e l’efficienza dell’intera attività di analisi. Inoltre, integra funzionalità di AI e di automazione che hanno dimostrato di velocizzare l’analisi ed il triage degli avvisi del 55% in media nel primo anno.1
- Disponibilità in Cloud, Velocità e Scalabilità: distribuita in modalità “as-a-service” su Amazon Web Services (AWS), la suite QRadar semplifica implementazione, visibilità e integrazione tra ambienti cloud e origini di dati. Inoltre, include una nuova funzionalità nativa del cloud di gestione dei log, ottimizzata per una ricezione dei dati altamente efficiente, la ricerca rapida e l’analisi su larga scala.
- Sviluppata su tecnologia aperta, Integrazioni Precostruite: la suite integra le tecnologie fondamentali necessarie per il rilevamento, l’analisi e la risposta alle minacce, basate su un modello aperto, un ecosistema di partner esteso e oltre 900 integrazioni precostruite che garantiscono una forte interoperabilità tra i set di strumenti IBM e quelli di terze parti.
Vantaggi di un servizio SOC che integra Qradar
- Servizio gestito con alte competenze in h 24
- Facile scalabilità
- Competenze specialistiche verticali
