In un mondo dove le soluzioni EDR (Endpoint Detection Response), NDR (Network Detection & Response) e XDR (eXtended Detection & Response) si evolvono diventando sempre scalabili e accessibili, prendere le giuste misure, andando a “cucire” ogni soluzione di sicurezza in modo da rispettare le esigenze più disparate, quella del SIEM, e in alcuni casi anche del SOAR, diventa una tecnologia indispensabile per concretizzare la difesa di un perimetro, un vero e proprio Grande Fratello in grado di normalizzare e correlare informazioni di sicurezza provenienti da diverse tecnologie.
SIEM: cos’è e come garantisce la sicurezza delle informazioni
Indice degli argomenti
La potenza è nulla senza il controllo
Uno degli argomenti più discussi in assoluto nel corso degli ultimi anni in ambito informatico è senza ombra di dubbio quello della sicurezza informatica e degli innumerevoli attacchi che, ogni giorno, colpiscono le aziende italiane dalla più grande e prestigiosa fino alla più piccola.
Una situazione instabile da un punto di vista economico e sociopolitico, prima a causa della pandemia da Covid-19, coadiuvata in seguito dal conflitto Russo-Ucraino, ha costituito un terreno decisamente fertile per la crescita esponenziale di attacchi informatici su scala nazionale.
A prescindere dai vettori di attacco che portano ad una violazione o, nel peggiore dei casi, ad una compromissione, le aziende colpite da attacchi informatici si trovano spesso in condizione di non riuscire a rispondere adeguatamente ad azioni intrusive da parte degli attaccanti.
La sicurezza informatica si evolve di pari passo con le tecniche di exploiting più avanzate, diventa più capillare ed attenta, proponendo spesso tecnologie che, sulla carta, dovrebbero rendere qualsiasi attacco inefficace, eppure i numeri non mentono, gli attacchi informatici sul territorio italiano sono all’ordine del giorno, come dimostra il rapporto Q1 2023 del Threat Landscape di Swascan dove emerge un costante aumento di attacchi ransomware veicolati tramite malware o phishing (+19% rispetto al trimestre precedente).
Com’è possibile dunque che, nonostante le difese schierate intorno al perimetro infrastrutturale, le aziende continuino a cedere sotto i colpi degli attaccanti?
La risposta è nel controllo.
Immaginiamo dunque un’infrastruttura informatica come un vero e proprio edificio intorno al quale schierare varie linee di difesa.
Recinzioni elettrificate, telecamere a circuito chiuso, sistemi di allarme, accessi biometrici, scansione della retina e tutto quello che si potrebbe immaginare, l’efficienza dei singoli sistemi di sicurezza rappresenta sicuramente un elemento fondamentale nel contesto del perimetro da proteggere, tuttavia, tale efficienza resta circoscritta all’interno del sistema stesso, limitandone le potenzialità in uno spettro più ampio.
Allo stesso modo in cui un tentativo di ingresso non consentito non andrà a modificare la routine delle telecamere a circuito chiuso, anche un tentativo di autenticazione non riuscito su un asset aziendale non andrà ad allertare il firewall perimetrale.
Linguaggio e correlazione
In materia di sicurezza informatica vale il dogma “more is more”, l’implementazione di ogni singolo sistema di difesa, ogni piattaforma o strumento pensato per monitorare e controllare i singoli aspetti dell’infrastruttura vanno a costituire un effort da parte dei team IT e Security, tenendo ben presente che un sistema non monitorato è un sistema fondamentalmente inefficace.
Prendiamo pertanto in esame un’infrastruttura di dimensioni medio/grandi: a prescindere dalle strategie difensive adottate, siano esse basate su un concetto ormai superato di sicurezza perimetrale, definito a “Castello e Fossato”, oppure a maggior ragione siano basate su un approccio moderno costituito dal paradigma Zero Trust, il quale invita a non fidarsi mai e verificare sempre mediante la raccolta continua dei dati di contesto e comportamentali, concentrandosi sulla difesa del dato ed intercettando possibili “insiders” già presenti all’interno dell’infrastruttura, tutti i sistemi dell’infrastruttura vanno monitorati costantemente e contemporaneamente e tutti comunicano con linguaggi, severità e modelli diversi tra loro.
Il ruolo del SIEM, Security Information and Event Management, rappresenta dunque una vera e propria control room all’interno della quale vanno a convergere tutte le informazioni generate dai sistemi di sicurezza dislocati sui vari livelli dell’infrastruttura.
Non si tratta semplicemente di un log manager capace di immagazzinare dati bensì di un vero e proprio centro di processing delle informazioni.
Come già accennato, i sistemi di sicurezza, tra diversi vendor ed aree di interesse coinvolte, vanno a coinvolgere migliaia di prodotti differenti, ognuno di essi con un proprio linguaggio e delle proprie logiche di funzionamento.
Il ruolo del SIEM è quello di normalizzare l’enorme mole di dati e correlare gli eventi provenienti dalle diverse sorgenti innescando una vera e propria evoluzione del dato che da “grezzo” diventa impreziosito, correlato ed utilizzabile su un piano trasversale all’infrastruttura.
All’interno dello spettro d’azione del SIEM entrano dunque in gioco diverse logiche di correlazione che non tengono conto del singolo aspetto o segmento ma bensì vanno a concatenarsi in qualcosa di più complesso ed articolato. In questo modo le dinamiche di User Behaviour Analytics convergono e vanno a disegnare quei tratti comportamentali che inquadrano i singoli utenti.
L’esempio più classico potrebbe essere un evento di autenticazione in orario “insolito”, segnalato magari da un Domain Controller, va a concatenarsi con un flusso di traffico in uscita verso un cloud storage mai visitato prima dall’utente, profilando un possibile tentativo di exfiltration.
La capacità di correlare eventi, che presi singolarmente possono essere insignificanti, impreziosisce immensamente quello che è il valore del dato, tracciando un profilo ben definito che permette agli analisti di sicurezza di individuare con precisione chirurgica eventuali compromissioni che rischiano di passare inosservate.
Proprio per questo, come accennato in apertura, il SIEM va considerato come una sorta di Grande Fratello che tutto vede (qualora gli sia permesso, ndr), metabolizzando ed elaborando quelle relazioni tra sistemi solitamente isolati tra loro.
Azioni e automatismi
La diretta evoluzione del SIEM, sebbene non propriamente accessibile per tutte quelle PMI che si affacciano sul variegato e caotico mondo della sicurezza informatica, è il SOAR.
Se il SIEM ci permette infatti di osservare lo spaccato trasversale delle nostre infrastrutture, ricevendo dati in maniera continuativa ed in near-real-time, il SOAR compie quel passo in più e, comunicando direttamente con il SIEM, permette agli analisti non soltanto di avere una visibilità pressoché illimitata ma anche e soprattutto di “rispondere” alla presenza di eventuali minacce interagendo con i sistemi di sicurezza in maniera diretta.
Immaginiamo dunque la stessa casistica dell’esfiltrazione di dati descritta pocanzi: l’utente potenzialmente compromesso si autentica su un asset aziendale in orario insolito e comincia ad inviare dati all’esterno.
Se il SIEM andrà a far scattare numerose regole ed allarmi evidenziando il comportamento sicuramente anomalo da parte dell’utente, il SOAR potrebbe, tramite l’esecuzione di playbook automatici, bloccare l’utente interagendo direttamente con il Domain Controller ed istruire il firewall in modo da bloccare tutto il traffico in uscita.
Di esempi del genere potremmo farne a bizzeffe e le potenzialità di un SOAR ben configurato vanno a scontrarsi soltanto con l’elasticità dell’infrastruttura che viene monitorata.
Il rischio di “esagerare” con gli automatismi è qualcosa da prendere sempre in considerazione e, soprattutto in fase di configurazione, granularità e precisione diventano concetti imperativi, proprio per questo motivo, anche in presenza di un SIEM o di un SOAR resta valido quanto accennato in apertura: un sistema non monitorato è un sistema fondamentalmente inefficace.
SIEM e SOAR non sono infatti tecnologie pensate per sostituire gli analisti di sicurezza, al contrario, vanno a potenziare notevolmente le capacità di analisi e di detection a patto di mantenere il sistema costantemente aggiornato, effettuando un tuning puntuale e adattando le varie soluzioni alla conformazione fisiologica dell’infrastruttura da monitorare.
In molti casi è possibile, inoltre, avvalersi di meccanismi di machine learning, intelligenza artificiale e intelligenza cognitiva per individuare ulteriori casistiche con relazioni addirittura esterne all’infrastruttura, arricchendo attraverso componenti di Threat Intelligence e geolocalizzazione tutti quei dati che transitano per il SIEM contestualizzando ed arricchendo i dati in maniera continuativa.
Conclusioni
Il mondo della cyber security va a confrontarsi quotidianamente con attaccanti sempre più consapevoli, preparati ed abili nell’aggirare i numerosi sistemi di sicurezza a difesa delle infrastrutture e non importa quanto siano restrittivi i controlli, basta un anello debole (solitamente costituito dall’errore umano, ndr) per compromettere irrimediabilmente l’intera catena difensiva.
Allo stesso tempo, la crescita esponenziale di componenti infrastrutturali ibridi, tra cloud e servizi esposti, rischiano di disperdere ulteriormente la soglia d’attenzione, aumentando a dismisura il flusso di dati da monitorare.
Il SIEM si pone dunque come un vero e proprio catalizzatore in grado di normalizzare, ordinare e correlare le informazioni, traducendo un flusso di eventi apparentemente insignificanti in uno spaccato puntuale altrimenti invisibile se non in fase di incident response, si tratta dunque di uno strumento ormai fondamentale nell’arsenale di un’analista, capace di ridurre considerevolmente i tempi di risposta ad eventuali incidenti di sicurezza.
