Molto più di una sigla: nel settore della cyber security il SIEM (Security Information and Event Management) rappresenta in realtà una sorta di rivoluzione copernicana nell’approccio alla sicurezza informatica. Ma perché è così importante adottare sistemi SIEM e quali sono i fattori abilitanti che permettono di farne un pilastro della sicurezza aziendale?
Indice degli argomenti
Il nuovo panorama delle minacce informatiche
Le tecniche utilizzate dai cybercriminali per colpire le aziende sono in costante evoluzione. I pirati informatici, negli ultimi anni, hanno concentrato la loro attività su imprese e organizzazioni allo scopo di massimizzare il profitto derivante dalla loro attività criminale.
Rispetto ai “normali” utenti privati, infatti, le aziende rappresentano per i pirati una vera miniera d’oro. Le informazioni che possono estrarre dai sistemi informatici aziendali hanno un valore decisamente superiore e le tecniche di attacco basate su logiche estorsive, come quelle alla base degli attacchi ransomware, consentono loro di incassare somme decisamente superiori rispetto a quelle cui potrebbero aspirare prendendo di mira semplici utenti privati.
Secondo le società di sicurezza, nel 2021 le aziende a livello globale dovranno aspettarsi una frequenza di attacchi informatici quasi doppia rispetto al 2019 (da un attacco ogni 19 secondi a uno ogni 11 secondi) e anche in Italia (dati Clusit) il fenomeno risulta in costante crescita.
A cambiare, però, non è solo la frequenza e la quantità degli attacchi, ma anche il modus operandi dei pirati informatici.
Le nuove infrastrutture aprono la strada ad attacchi “invisibili”
A offrire nuove possibilità ai pirati informatici è la nuova declinazione delle infrastrutture IT. L’adozione diffusa delle piattaforme cloud e delle modalità di lavoro “flessibile” e in mobilità, che estendono la rete oltre i confini naturali del perimetro aziendale, espone l’azienda ad attacchi che non sfruttano i classici malware ma strumenti di hacking (o semplici tool di amministrazione) che possono aggirare i tradizionali sistemi di protezione di cyber security.
Uno scenario, quello cui si trovano di fronte i responsabili della cyber security, che impone un cambio di prospettiva: abbandonata la logica della difesa del perimetro, è necessario adottare una strategia basata sulla logica della detection and response.
In altre parole, la priorità per garantire la sicurezza dei servizi e delle risorse aziendali è monitorare la rete per individuare tempestivamente attività anomale e indizi di possibili attacchi. I sistemi SIEM rispondono esattamente a questa esigenza.
Il ruolo del SIEM nella cyber security aziendale
Le tecnologie SIEM consentono, in pratica, di implementare un sistema di monitoraggio continuo all’interno della rete aziendale con l’obiettivo di raccogliere, ordinare, classificare e analizzare qualsiasi tipo di attività.
Gli strumenti di analisi, basati su algoritmi di intelligenza artificiale, permettono di evidenziare qualsiasi evento anomalo e attivare le necessarie contromisure. Il presupposto per un corretto funzionamento dei sistemi SIEM, spiegano gli esperti, è la definizione di architetture e impostazioni che consentano di garantire la massima trasparenza della rete e, di conseguenza, una visibilità dei processi tale da permettere un’attività di monitoraggio efficace.
È in questo senso che l’adozione di tecnologie SIEM richiede, per prima cosa un approccio strategico: la stessa progettazione dell’ecosistema IT dell’azienda deve, infatti, essere ispirato a principi che consentano di controllare in maniera lineare i flussi di informazioni e la gestione dei dati.
Dal SIEM al SOC: il fattore umano conta
Se le tecnologie basate su AI permettono di automatizzare buona parte dei processi di monitoraggio e analisi degli eventi di sicurezza, la loro interpretazione e la gestione della fase di response richiede competenze e risorse che possono essere espresse soltanto da un team dedicato in grado di interpretare le risultanze dei sistemi SIEM e reagire di conseguenza, adottando le contromisure necessarie per bloccare o arginare eventuali attacchi informatici diretti alla rete aziendale.
È questo il ruolo del SOC (Security Operation Center) che, nella sua declinazione moderna, attinge anche a risorse di threat intelligence per elaborare le informazioni fornite dai sistemi di protezione e mettere in atto le azioni di response necessarie per salvaguardare l’integrità dei servizi e delle risorse aziendali. In estrema sintesi, il SOC rappresenta il “team operativo” cui affidare la sicurezza dei sistemi IT aziendali.
Con il SOC, il SIEM diventa “intelligente”
L’implementazione di un centro operativo per la sicurezza non rappresenta solo un fattore abilitante all’utilizzo dei sistemi SIEM. Il contributo degli esperti di security è, infatti, indispensabile per adattarne l’attività alle esigenze dell’azienda.
Un ruolo fondamentale, in questo senso, è rappresentato dalla threat intelligence, cioè dall’attività da parte degli esperti rivolta al reperimento di informazioni sulle nuove minacce e su quanto accade nel mondo del cyber crimine.
L’uso di queste informazioni consente, infatti, di individuare tempestivamente eventuali criticità, nuove vulnerabilità e attività sospette che possono rappresentare indizi di un imminente attacco.
In altre parole, il ruolo del SOC non è semplicemente gestionale, ma incide in maniera determinante sulle scelte strategiche in tema di cyber security e rappresenta, in definitiva, la migliore garanzia di avere sempre a disposizione un ecosistema di sicurezza informatica adeguato alle esigenze dell’impresa.
Contributo editoriale sviluppato in collaborazione con Matika
