Che cos’è SIEM e come funziona?

Casi d’uso SIEM

SIEM ha molti casi d’uso nel panorama delle minacce moderne, tra cui il rilevamento e la prevenzione di minacce interne ed esterne, come nonché la conformità a vari standard legali.

SIEM da utilizzare in conformità

Norme di conformità più rigorose stanno spingendo le aziende a investire più pesantemente nella sicurezza IT e SIEM svolge un ruolo importante ruolo, aiutando le organizzazioni a conformarsi agli standard PCI DSS, GDPR, HIPAA e SOX. Tali mandati di conformità stanno diventando sempre più diffusi e esercitano una maggiore pressione sull’individuazione e la segnalazione delle violazioni. Sebbene il SIEM fosse inizialmente utilizzato principalmente dalle grandi imprese, a causa della crescente enfasi sulla conformità e sul mantenimento della sicurezza aziendale, potrebbe essere richiesto per le piccole e medie imprese poiché le normative come il GDPR sono applicabili alle organizzazioni indipendentemente dalle loro dimensioni.

Sicurezza IoT

Il mercato dell’Internet of Things (IoT) sta crescendo. Gartner ha previsto che ci saranno 26 miliardi di dispositivi connessi entro il 2020. Ma con il progresso arrivano i rischi poiché più dispositivi connessi offrono più punti di ingresso attraverso i quali indirizzare le attività, perché non appena un hacker si trova su una parte della rete tramite un dispositivo connesso, può accedere al resto molto facilmente. La maggior parte dei fornitori di soluzioni IoT fornisce API e repository di dati esterni che possono essere facilmente integrati nelle soluzioni SIEM. Ciò rende il software SIEM e una parte essenziale della sicurezza informatica della tua azienda in quanto può mitigare le minacce IoT come gli attacchi DoS e segnalare i dispositivi a rischio o compromessi come parte del tuo ambiente.

Prevenzione delle minacce interne

Le minacce esterne non sono le uniche cose che rendono le organizzazioni vulnerabili, le minacce interne rappresentano un rischio considerevole, soprattutto considerando la facilità di accesso. Il software SIEM consente alle organizzazioni di monitorare continuamente le azioni dei dipendenti e creare avvisi per eventi irregolari basati su attività “ normali ”. Le aziende possono anche utilizzare SIEM per condurre un monitoraggio granulare degli account privilegiati e creare avvisi relativi alle azioni che un determinato utente non è autorizzato a eseguire, come l’installazione di software o software di disabilitazione della sicurezza.

Next gen vs legacy SIEM

SIEM esiste dal 2005 ma si è evoluto in modo significativo dalla sua genesi. Il SIEM di nuova generazione ha molti aggiornamenti, miglioramenti e nuove funzionalità che il suo predecessore non poteva vantare. I limiti della legacy SIEM includono:

  • SIEM non poteva elaborare tutti i dati pertinenti, quindi la sua visualizzazione era limitata
  • SIEM richiedeva tempo per la manutenzione poiché il software era complesso e difficile per operare
  • SIEM ha creato un lavoro che fa perdere tempo ai team di sicurezza poiché il software ha prodotto molti falsi positivi

Con l’avanzare della tecnologia, gli attacchi si sono evoluti e SIEM ha dovuto evolversi con esso. Il software di nuova generazione come FireEye include le seguenti funzionalità e vantaggi:

  • L”architettura dei big data ‘aperta consente un’integrazione più rapida con l’infrastruttura aziendale, inclusi cloud, on-site e BYOD, anch’essi scalabili
  • SIEM può anche integrare intelligence sulle minacce da fonti personalizzate, open source e commerciali
  • Gli strumenti di visualizzazione in tempo reale comprendono le attività più importanti e ad alto rischio per dare priorità agli avvisi. Ciò include la capacità di misurare lo stato rispetto a quadri normativi come PCI DSS) per l’assegnazione delle priorità e la gestione dei rischi
  • L’analisi del comportamento può comprendere il contesto dell’evento e riconoscere l’intento all’interno di scenari specifici. Utilizzando questa UserEntity Behavior Analytics (UEBA), il software è in grado di evidenziare cambiamenti significativi nel comportamento
  • SIEM di nuova generazione è anche personalizzabile per consentire ai team di sicurezza di creare flussi di lavoro su misura in base alle loro situazioni uniche

Come ottenere il massimo dalle soluzioni di sicurezza SIEM

In un centro operativo di sicurezza tradizionale, i processi di risposta agli incidenti seguiti dai team di sicurezza informatica in tutto il mondo sono spesso standard e possono richiedere ore. SOAR automatizza i flussi di lavoro e accelera la qualificazione, l’indagine e la risposta delle minacce, riducendo i tempi di risposta automatizzando gran parte del processo che aiuta i team di sicurezza a dare la priorità alle minacce reali. Lo fa interagendo con altre tecnologie di sicurezza per eseguire automaticamente le fasi iniziali della risposta agli incidenti.

Anche UEBA gioca un ruolo importante nelle capacità di SIEM, in quanto è in grado di modellare il comportamento sia degli esseri umani che delle macchine all’interno della rete , che offre un rilevamento avanzato delle minacce.

Helix Security Platform

La piattaforma per le operazioni di sicurezza ospitata nel cloud di FireEye, la piattaforma HelixSecurity, riunisce SOAR, UEBA e altre funzionalità e le migliora con la prossima generazione SIEM per fornire una soluzione di sicurezza efficiente e facile da implementare.

Ulteriori informazioni su Helix e sulle sue capacità.

Write a Comment

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *