Il Security Information and Event Management, meglio noto come SIEM, è diventato oggi uno degli strumenti chiave per garantire la sicurezza dei dati e delle informazioni di un'azienda.

Il termine SIEM è stato coniato da Nicolett e Williams di Gartner nel 2005, ma le prime tracce di questo sistema risalgono al 1997, quando veniva usato un sistema di Network Event Management.

Il SIEM non è altro che l'incrocio di SIM (Security Information Management) che gestisce non in tempo reale il processo di raccolta e orchestrazione dei log, e SEM (Security Event Management) che in tempo reale fa il monitoraggio degli eventi. 

Ma a cosa serve? Perché questo acronimo è così presente quando si discute di Cyber Security?

Il SIEM svolge una serie di operazioni utili al controllo dell'andamento dell'infrastruttura tecnologica e di rete, grazie ad attività di allarmistica real-time, reportistica e analisi delle azioni che avvengono in un ambiente informatizzato. Di seguito le principali funzioni di un SIEM:

  • Log Collector: ogni apparato di sicurezza, software, database, presente nel sistema invia i log, ovvero la lista temporale delle azioni da esso effettuate, al SIEM, tramite software agent o dà accesso diretto al sistema per raccoglierli.
  • Normalizing: il SIEM rende uniformi i log raccolti, diversi per ogni fonte, in modo da rendere facile l'interpretazione di quanto collezionato.
  • Correlation: la capacità di correlare eventi totalmente diversi è forse la funzionalità più interessante, in quanto permette di creare allarmi di ogni tipo e tenere sotto controllo anche eventi che possono provenire da sistemi apparentemente slegati tra loro. In questo modo si è in grado di attribuire le giuste priorità agli eventi.
  • Reporting: grazie alla funzione di Log Collector, unita a un motore di query personalizzabile, è possibile creare reportistica, anche a scopo di audit, su quanto avviene nella propria infrastruttura.
  • Dashboard: si possono creare delle view che forniscono in real-time il quadro generale dell’ambiente di lavoro, tramite grafici e visualizzazioni di semplice lettura.
  • Alarm: è possibile generare allarmi e/o notifiche nel caso in cui si presenti un evento o una correlazione di eventi, informando in maniera proattiva di una possibile minaccia.

Quanto sopra descritto potrebbe sembrare "antiquato", ma ovviamente l'argomento è molto più ampio di così! Tutti i SIEM hanno di base le stesse caratteristiche, ma come tutti i sistemi anch'essi hanno subìto varie evoluzioni negli ultimi anni, fino ad arrivare all'attuale SIEM 4.0.

Ad oggi questi sistemi utilizzano sistemi di Threat Intelligence, Vulnerability Management e altri sistemi di analisi avanzata che permettono di creare una baseline analitica che i SIEM possono sfruttare per correlare gli eventi, riconoscere schemi noti (Pattern Matching) di attacco e creare analisi avanzate. In questo modo si comprende realmente che cosa è successo, che cosa sta succedendo e chi sono gli attori, inoltre se si interagisce con le politiche di security stabilite, può arrivare a stabilire quali azioni dovrebbero essere intraprese e quali no.

Sicuramente questi sistemi sono un aiuto centrale nel controllo della propria azienda, arrivando al cuore della propria rete e analizzando cosa succede in tempo reale; sono sistemi che richiedono però tante risorse economiche, temporali e di conoscenza, ma per fortuna l'evoluzione dell'offerta porta oggi molte aziende a fornire queste funzioni come Servizio gestito, togliendo ai propri Clienti l'onere più grosso di investimento.

Credo valga la pena prendere in considerazione le funzionalità che offre un SIEM e i vantaggi che porta alla propria azienda, in termini di supporto all'area IT e di reale consapevolezza dell'andamento aziendale.

Qualsiasi sia la scelta se inserirlo all'interno della propria azienda o acquistare un servizio, rivolgetevi sempre a personale esperto che saprà consigliarvi e illustrarvi la soluzione più adatta alle vostre esigenze!