SIEM

Il SIEM è un sistema centralizzato di monitoraggio e gestione degli eventi all’interno di un’infrastruttura IT.

Il suo scopo principale è guidare le organizzazioni nell’individuazione e nella pronta risoluzione di eventi anomali prima che si tramutino in concrete minacce informatiche.

In questo articolo ci occuperemo di illustrare il funzionamento e l’organizzazione di un sistema SIEM, nonché di evidenziare gli indubbi vantaggi derivanti da una sua corretta applicazione.

Indice degli argomenti

1. SIEM: come funziona
2. SIM & SEM: come vengono integrati nel SIEM
3. SIEM e intelligenza artificiale
4. Best practice di implementazione
5. I vantaggi di un sistema centralizzato di gestione di log ed eventi

La digitalizzazione dei processi aziendali sta portando ad una progressiva ed esponenziale espansione dei perimetri di rete aziendali, delle risorse utilizzate, nonché dei dati da essi prodotti.

Nell’era dei big data e della Gig economy, si rende, dunque, necessario implementare sistemi che riescano a tener traccia della mole di informazioni prodotte, soprattutto in ottica di prevenzione dagli attacchi informatici.

Endpoint, strumenti di sicurezza informatica, firewall, router, server, database: solo per citare una minima parte delle fonti di generazione di log che un’azienda, anche di medie dimensioni, si trova quotidianamente a gestire.

In questo contesto, il ruolo giocato dal SIEM (Security Information and Event Management) si semplifica nelle seguenti azioni-chiave:

• raccolta
• monitoraggio
• normalizzazione, gestita dal logger (collettore centrale di sistema) consistente nella trasformazione di dati provenienti da fonti differenti in un formato unico detto CEF (Common Event Format)
• correlazione
• e aggregazione

di eventi e log generati dal sistema.

L’intero processo è infine volto:

• alla segnalazione di eventi sospetti mediante appositi alert
• e all’ideazione di documenti di reportistica riguardanti lo stato d’integrità complessivo del sistema.

Le possibili fonti di problematicità affrontare dal SIEM si concentrano:

• tanto su potenziali minacce esterne alla rete, come SQL injection, virus, attacchi DDoS, ecc.
• quanto sulle possibili minacce interne al sistema, come accessi non autorizzati, violazioni delle policy o contingenti errori degli utenti

Prima di approfondire la trattazione, però, soffermiamoci un attimo sul significato di “evento” e di “log” nel gergo informatico.

In sostanza, ogniqualvolta un utente interno o esterno all’infrastruttura compie un’azione nella rete, si genera un evento.
Questo viene registrato in appositi file di sistema, detti file di log, che lo riporteranno in correlazione anche alla data e all’ora di esecuzione. Il file di log, dunque, non è che la cronologia degli eventi verificatisi.

Affrontiamo ora più nel dettaglio caratteristiche e funzionalità di un SIEM.

L’evoluzione del SIEM è frutto dell’aggregazione di due altri sistemi noti come SIM e SEM.

Nello specifico:

• il SIM rappresenta un software di raccolta e gestione dei log (definito in gergo di log management).

  In sintesi, su ogni dispositivo che si intende monitorare vengono installati dei software agent, programmi che agiscono per conto di un altro applicativo, che raccolgono i dati e li inviano ad un server centralizzato per la loro conservazione.
  Si tratta di un sistema che non agisce in tempo reale, ma che, grazie all’archiviazione a lungo termine, consente di effettuare un’analisi sullo storico dei dati riportati.
  Fattore imprescindibile in questa fase è la memorizzazione dei log allo stato originale (log RAW) e la criptazione dati, tale che ne garantisca: riservatezza, inalterabilità e totale integrità dei dati salvati.

• Il SEM, al contrario, agisce in tempo reale sul monitoraggio e la gestione degli eventi all’interno dell’infrastruttura di rete.

  Attraverso una consolle centralizzata, infatti, è possibile monitorare in live quanto sta accadendo, nonché usufruire di un sistema di segnalazione e risposta immediata agli eventi anomali.

L’esigenza di un’integrazione tra il SIM, che agisce in differita nel tempo, e il SEM, che invece fornisce una lettura istante per istante degli eventi, ha difatti portato alla nascita del sistema SIEM.

Il punto focale nell’evoluzione del SIEM sta tutto nell’implementazione di algoritmi di machine learning.

In principio, infatti, questo sistema era basato essenzialmente su regole predeterminate o su motori di correlazione statistica.

Oggi, invece, grazie proprio all’intelligenza artificiale, il meccanismo è andato ampliandosi con:

• l’analisi del comportamento degli utenti (User and Entity Behavior Analytics – UEBA), che permette di rilevare anomalie sui livelli di traffico nella rete
• e l’organizzazione della sicurezza e della risposta automatizzata (Security Orchestration and Automated Response – SOAR), che consente di connettere vari sistemi di sicurezza, avere una visione globale sugli eventi e automatizzare le sequenze di risposta

Nel complesso, il ruolo giocato dall’AI all’interno del SIEM è di primaria importanza, proprio perché consente di ottimizzare:

• complessità d’implementazione e gestione
• costi economici
• e spreco di risorse temporali

Altri due fattori strategici che hanno notevolmente giovato dell’introduzione di algoritmi automatizzati e AI sono:

• la riduzione del rumore di fondo dei dati.
  Tradotto, ciò significava un’enorme mole di informazioni che non riuscivano ad essere correttamente inquadrate e che, di conseguenza, non permetteva la configurazione di un piano di gestione SIEM specifico per le esigenze di ogni azienda
• e l’ampliamento di funzionalità per l’analisi e la gestione delle risorse in cloud.

Trattandosi di un processo strategico, l’implementazione di un sistema di controllo e monitoraggio come il SIEM non può prescindere da un corretto inquadramento preventivo.

Vediamo nel dettaglio gli aspetti cruciali per una sua corretta definizione:

1. definizione degli obiettivi.

   E’ necessario, infatti, considerare in primis quali siano il aspetti prioritari per ogni singolo caso aziendale: si va dalla bisogno di adeguamento alle conformità normative, al soddisfacimento di norme di compliance interne su monitoraggio e sicurezza ICT.

2. inquadramento del perimetro di rete e delle specifiche sorgenti di dati che si vuole prendere in considerazione.

3. definizione del tipologia di alert si vuole ottenere.

   Almeno inizialmente, bisognerà concertarsi su quelli che si reputano essere i sistemi più critici, altrimenti potrebbe verificarsi un accavallamento di informazioni superflue che rischierebbe di oscurare le reali minacce.

4. definizione di un’architettura

   e di impostazioni che garantiscano il massimo grado di trasparenza della rete, così da offrire la più completa visibilità sui processi e un più attento monitoraggio degli stessi.

5. centralizzazione delle attività in un Security Operation Center

   che svolga funzione preventiva, di monitoraggio e di risposta alle minacce.

6. redazione periodica della reportistica

   che permetta di assumere un punto di vista globale e dettagliato sul livello di sicurezza dell’infrastruttura presidiata.

Alla luce di quanto riportato finora, sarà opportuno elencare brevemente i vantaggi derivanti da una corretta applicazione di una soluzione di Security Information and Event Management.

1. In primo luogo, la possibilità di poter agire in tempo reale su eventuali anomalie, riuscendo spesso ad anticipare i tradizionali strumenti di sicurezza informatica come antivirus, firewall, ecc.
2. Documentazione della corretta applicazione delle normative.
   Con il provvedimento del 27/11/2008 il Garante della Privacy ha stabilito l’obbligatorietà di un corretto trattamento dei dati personali. Attraverso la reportistica SIEM, sarà quindi possibile documentare la corretta applicazione degli obblighi di legge.
3. Ottimizzazione di tempistiche d’esecuzione e di personale preposto.
   Come anticipato nella trattazione sull’importanza dell’intelligenza artificiale nei sistemi SIEM, grazie all’avanzamento dell’automatizzazione è stato possibile ridurre i tempi di svolgimento delle attività di monitoraggio, nonché le risorse umane impiegate nella loro attuazione.