SIEM
Il principio chiave alla base di ogni soluzione software SIEM è la capacità di aggregare dati significativi provenienti da molteplici fonti, per poi individuare deviazioni, anomalie rispetto alla norma, e far scattare azioni appropriate per risolvere il problema di sicurezza: ad esempio, quando una potenziale criticità viene identificata, una soluzione di questo tipo può registrare informazioni aggiuntive, generare allarmi e indicare ulteriori controlli di sicurezza per bloccare il progredire di una determinata attività.
Un sistema SIEM è in grado di raccogliere e organizzare i dati relativi alla sicurezza in un’unica posizione, più facile da monitorare per gli IT manager: come accennato, tale software è in grado di ricavare dati da tutti i device, inclusi i sistemi host, le applicazioni e i tool di security. Successivamente, il software, attraverso l’analisi dei dati, può individuare segnali critici ed avvisare gli amministratori IT, che sono così in grado di reagire in tempo reale agli attacchi indirizzati al sistema.
Il software SIEM può utilizzare algoritmi euristici che contemplano la probabilità di indirizzare cyber attacchi di vario tipo, come gli exploit ‘zero-day’, gli attacchi DDOS (distributed denial of service) e gli attacchi a forza bruta (brute force attack).
Il sistema sfrutta una baseline, un modello di base che gli permette di effettuare operazioni di corrispondenza degli schemi (pattern matching), aggregazione di log e analisi per localizzare attività anomale.
Naturalmente, questi strumenti hanno la caratteristica di interoperare con le politiche di security stabilite dall’organizzazione, per arrivare a determinare quali azioni dovrebbero essere intraprese contro i file malevoli.
Sulla base degli algoritmi, il software SIEM può avviare un’azione di risposta automatica a un attacco quando questo si verifica: ad esempio, può essere in grado di bloccare o rimuovere il traffico potenzialmente malevolo, o capace di ridurre le prestazioni, mantenendo così un’operatività standard dell’infrastruttura IT.
Allo stesso tempo il software SIEM invia un messaggio di allarme agli amministratori, e registra ulteriori informazioni, in modo da consentire di comprendere e scoprire quali azioni hanno condotto a una violazione, da dove è partito il problema e in quale misura esso ha coinvolto l’organizzazione.
Benefici di una soluzione SIEM:
- Agevola eventuali eventuali azioni di Forensics
- Estrapola i dati da tutte le tipologie di dispositivi, ed è in grado di normalizzarli, consentendo di analizzare schemi d’uso tipici
- Abbatte il tempo necessario all’analisi dei dati
- Accorpa tutte le informazioni in un unico pool agevolandone la consultazione
- Reagisce in automatico alle minacce diminuendo il carico di lavoro del personale preposto e consentendo un successivo intervento manuale
- E’ grado di comprendere da dove è partito un attacco e di individuare quali sono i suoi bersagli