SIEM: ecco cos’è il Security Information and Event Management

Data di pubblicazione: 9 Dicembre 2021

Il SIEM (Security Information and Event Management) racchiude un insieme di soluzioni utili per la gestione delle informazioni e degli eventi di sicurezza. Questa struttura ha un ruolo fondamentale all’interno dell’azienda, soprattutto per la gestione delle vulnerabilità dei sistemi informatici.

Mediante l’utilizzo del SIEM, infatti, è possibile identificare un attacco nel momento stesso in cui si verifica. In alcuni casi, inoltre, è possibile addirittura anticipare e prevedere l’attacco, contribuendo quindi a neutralizzarlo.

Non reagire adeguatamente a qualsiasi tentativo di attacco (o attacco effettivo) può avere conseguenze inimmaginabili per l’azienda. Ecco, quindi, che sistemi come il SIEM rappresentano alleati indispensabili per la sicurezza aziendale. Scopriamo cos’è il SIEM e quali sono i suoi vantaggi.

Indice dei contenuti

Cos’è un SIEM?

Il Security Information and Event Management, detto anche SIEM, comprende una serie di software e servizi in grado di coniugare le due principali funzioni della cybersecurity: la gestione degli eventi (Security Event Management, meglio conosciuta come SEM) e la gestione delle informazioni di sicurezza (Security Information Management, conosciuta anche come SIM).

Queste due realtà dialogano contemporaneamente all’interno di un sistema SIEM:

il SEM monitora in tempo reale gli eventi che avvengono all’interno della rete, dei dispositivi, delle applicazioni e dei sistemi. La funzione di questi strumenti è quella di individuare le anomalie e anticipare qualsiasi criticità. Grazie al software SEM è possibile rilevare gli accessi al sistema in tempo reale, anche al di fuori dell’orario di lavoro, e quindi segnalare l’accesso sconosciuto fornendo un dettagliato report;
il SIM gestisce automaticamente il cronologico delle attività del sistema operativo, dei programmi utilizzati e del database. Il SIM non opera real time ma in modo automatizzato, inviando il cronologico dei log a un server centralizzato, il quale viene monitorato da un amministratore responsabile degli interventi in caso di allarme.

L’integrazione di questi due software e sistemi dà vita al SIEM, ovvero all’esecuzione di una raccolta centralizzata e puntuale degli eventi e del cronologico delle attività. È possibile, quindi, intervenire rapidamente e in modo mirato in caso di incidenti, attacchi al sistema informatico o malfunzionamenti. I responsabili della sicurezza IT possono usufruire di un set di strumenti destinati a migliorare le performance di sicurezza dell’intera azienda.

I sistemi SIEM eseguono un’attività di monitoring basata sull’aggregazione dei dati provenienti da diverse fonti, quali la rete, i dispositivi, le applicazioni e i sistemi. I dati vengono quindi analizzati e incrociati, con la finalità di rilevare le anomalie, le criticità e i rischi, attivando le procedure di sicurezza preventive o risolutive.

Quali sono i principali vantaggi

Il SIEM è una risorsa particolarmente vantaggiosa e in grado di integrarsi adeguatamente in un piano di sicurezza aziendale efficace. Quali sono i vantaggi di un SIEM? Vediamoli nel dettaglio:

scalabilità. Il sistema, nel tempo, può essere arricchito aggiungendo nuove funzionalità afferenti al settore del machine learning e dell’intelligenza artificiale. La mole di dati utilizzati può aumentare, incrementando la velocità e la precisione con cui il software risponde alle minacce;
risposte automatiche. I SIEM reagiscono in modo automatico alle problematiche legate alla sicurezza, riducendo i carichi di lavoro assegnati agli amministratori del sistema. Il software, infatti, è in grado di gestire le operazioni e le attività in modo autonomo, bloccando automaticamente le minacce e richiedendo l’intervento manuale o umano mediante l’invio di alert;
monitoraggio costante. La rete e il sistema vengono monitorati continuamente, affinché sia possibile rilevare in modo efficiente e tempestivo qualsiasi minaccia;
report dettagliati. È possibile estrapolare i dati da qualsiasi dispositivo, per categorizzarli e analizzarli in riferimento a schemi di utilizzo tipici;
tracciamento delle minacce. Il confronto tra schemi di comportamento degli utenti e le attività di rete consente di identificare le minacce, individuando il punto di partenza dell’attacco e l’eventuale bersaglio.

Come funziona un SIEM

Un SIEM ha differenti funzioni: innanzitutto, l’attività principale di questa struttura è quella di raccogliere i dati provenienti da tutte le fonti di un sistema informatico. I dati vengono uniformati all’interno del SIEM mediante catalogazione (per tipo di dispositivo e per tipo di dato), affinché sia più semplice leggere e interpretare le informazioni. In questo modo tutti gli utenti aziendali potranno avere accesso al dato.

Ma la funzione più importante del SIEM è quella di correlare gli eventi diversi, per poter integrare e analizzare eventi provenienti da fonti differenti. L’attività di correlazione viene eseguita secondo regole base, ma l’azienda può personalizzare il regolamento a seconda delle proprie esigenze. Il SIEM, inoltre, offre la possibilità di attribuire determinate priorità agli eventi, in base alla correlazione tra eventi di sicurezza e dati sulle vulnerabilità presenti nel sistema.

La terza e importante attività di un SIEM è quella relativa alla reportistica: è possibile realizzare audit, analisi forensi e compliance mediante l’archiviazione di dati a lungo termine e l’estrazione degli stessi secondo specifici criteri di ricerca.

Il SIEM formula delle dashboard utili per l’invio di SMS, notifiche, e-mail ai responsabili della sicurezza IT (in caso si verifichi una minaccia o uno specifico evento). La dashboard, inoltre, presenta i dati agli analisti sotto forma di schemi e diagrammi.

L’insieme delle informazioni e delle funzioni consente di identificare le falle interne al sistema informatico: connessioni sospette verso l’esterno, accessi non autorizzati, presenza di malware o manipolazioni della rete o del sistema stesso. Il SIEM rileva attività malevole provenienti dall’esterno, ma anche dall’interno dell’azienda stessa, mediante una comparazione degli schemi di comportamento degli utenti e delle attività di rete, in riferimento a dei modelli tipici.

I principali tool utilizzati

Numerose le soluzioni SIEM dalle caratteristiche specifiche, ognuna delle quali presenta determinati vantaggi per l’azienda. La pluralità di strumenti consente alle aziende moderne di scegliere i tool più utili sulla base delle esigenze e degli scopi: rilevamento delle minacce, analisi e categorizzazione dai dati, ottimizzazione della capacità di risposta del software.

Esistono diversi tool tra cui scegliere per poter raggiungere i propri obiettivi di business e aziendali. I più popolari sono:

Datadog
SolarWinds
Splunk Enterprise SIEM
McAfe ESM
Micro Focus ArcSight
LogRhythm
AlienVault USM

Quali aziende dovrebbero affidarsi a un SIEM?

L’azienda che dovrebbe affidarsi a un SIEM è generalmente un’impresa desiderosa di migliorare le performance di sicurezza del sistema, preparandolo ad affrontare in modo efficace le possibilità di attacco informatico o qualsiasi altro genere di minaccia alla rete. Giorno dopo giorno, gli attacchi informatici diventano sempre più sofisticati e occorre mettere in campo le migliori tecnologie per salvaguardare la rete e i sistemi, contrastando ma anche prevenendo pericoli prima che diventino critici.

Anche le piccole aziende, che spesso hanno a disposizione un budget ridotto, possono affidarsi a un SIEM: è sempre fondamentale garantire la sicurezza dei dati, della rete e del sistema. La sicurezza rappresenta, al giorno d’oggi, un vero e proprio investimento a lungo termine che potrebbe generare guadagni concreti. Le violazioni informatiche, infatti, possono comportare perdite enormi a livello economico, di tempo, di risorse e anche di reputazione.

Il SIEM è una soluzione ottimale anche per le aziende che desiderano aumentare il livello di soddisfazione del cliente, mostrando un’immagine di business solida e attenta alla prevenzione dei rischi. Ciò permette di migliorare e rafforzare il rapporto di fiducia tra azienda e clienti.

SIEM e Intelligenza Artificiale

Esattamente come qualsiasi altro strumento informatico, anche il SIEM si è evoluto nel tempo. Il costante aggiornamento tecnologico, attualmente, ha portato i sistemi SIEM ad avvicinarsi a un’altra e importante innovazione: l’intelligenza artificiale. Grazie al contributo dell’AI, infatti, le soluzioni SIEM hanno acquisito un nuovo valore, trasformandosi in modo sostanziale.

I sistemi SIEM oggi risultano essere più flessibili e agili. Nel 2017 Gartner parlò addirittura di “quarta generazione di SIEM”, riferendosi alle tecnologie che includono l’analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics – UEBA) integrate alle tradizionali caratteristiche e funzioni del Security Information and Event Management.

Nella fattispecie, è il machine learning a rendere le analisi del SIEM più accurate e precise, eseguendo la correlazione automatica tra gli eventi rilevati sull’infrastruttura di rete e determinando che cosa è accaduto e chi ha fatto cosa. Gli algoritmi di machine learning permettono al sistema di localizzare e intercettare, in modo estremamente rapido, ogni attività anomala che avviene in rete. È così possibile stabilire un parallelo con le policy di security interne, definendo quindi le migliori azioni di difesa indispensabili a garantire sicurezza al sistema.

Il software, utilizzando diversi algoritmi AI predisposti, può rispondere automaticamente a determinati attacchi nel momento stesso in cui si verificano. Quindi, il software attiva una serie di misure di sicurezza, come bloccare o rimuovere il traffico malevolo o potenzialmente malevolo, oppure ridurre le prestazioni della rete e del sistema con la finalità di proteggerli.

Conformità al GDPR: una panoramica

I responsabili IT, per la realizzazione e lo sviluppo di una piattaforma SIEM, devono rispettare le disposizioni e le norme enunciate nel GDPR (General Data Protection Regulation). Questo insieme di norme regolamenta il trattamento dei dati personali e in azienda.

È fondamentale, durante lo sviluppo di un SIEM, attenersi al principio della proporzionalità sulla base del quale i dati raccolti e trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali vengono trattati”. Se il trattamento dei dati non si dimostra coerente con le finalità espresse dall’impresa, risulterà illecito.

Un secondo punto molto importante riguarda la politica di conservazione dei dati, che deve prevedere tempistiche atte a garantire sicurezza alle reti e riservatezza alle informazioni. La politica di conservazione dei dati deve prestare sempre la massima attenzione all’eventualità di incidenti informatici e all’obbligo di accesso ai dati da parte di terzi (nell’ambito di un’analisi forense). I dati in transito, inoltre, andranno protetti mediante firma, cifratura e possibilità di verifica della validità della firma.

In ultimo, durante lo sviluppo di una piattaforma SIEM occorre, obbligatoriamente, definire una data-destruction policy nel rispetto del principio del diritto all’oblio. L’azienda dovrà dimostrare che le modalità di cancellazione dei dati siano sicure e che vengano sempre rispettate.

Il futuro del SIEM

Al giorno d’oggi, le soluzioni SIEM sono uno degli attori protagonisti della governance aziendale, essendo orientate allo sviluppo e al potenziamento delle attività di monitoraggio. Le strutture SIEM permettono agli esperti del settore IT di abbattere le tempistiche utili alla risoluzione di allarmi e attacchi informatici, garantendo contestualmente massima libertà e rapidità anche nell’esecuzione delle analisi degli incidenti di sicurezza.

Essendo in grado di aggregare dati significativi, provenienti da diverse fonti, ed essendo capaci di stabilire correlazioni in tempo reale, le strutture SIEM consentono di individuare e segnalare comportamenti sospetti e incidenti in tempistiche prossime allo zero. Queste caratteristiche rendono gli strumenti SIEM una vera e propria chiave di volta nell’ambito della security intelligence evoluta, poiché rispondono eccellentemente alle esigenze di compliance, analisi forensi e di incident response.

Un fattore essenziale, da non tralasciare per garantire massima efficacia al SIEM, riguarda il continuo adeguamento dello strumento rispetto alle valutazioni sulla sicurezza eseguite dai CSO. Tali adeguamenti devono, di pari passo, seguire e rispettare le novità normative in tema di sicurezza e gestione dei dati.

Nel prossimo futuro, le tecnologie SIEM saranno in grado di garantire un livello di accuratezza addirittura superiore a quello già offerto attualmente, soprattutto grazie all’utilizzo del machine learning. Inoltre, il futuro del SIEM risiede nell’intelligenza artificiale, che di giorno in giorno diventerà sempre più rilevante e sofisticata. I sistemi sono destinati a crescere, ad adattarsi alle innovazioni dell’AI, ottimizzando le proprie prestazioni nell’ambito della comprensione, dell’analisi e della prevenzione delle minacce, degli allarmi e della loro eventuale evoluzione.

Servizi e consulenza IT

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.