Che cos'è SIEM?
SIEM è un software di sicurezza che analizza in tempo reale gli allarmi di sicurezza e i dati generati dagli endpoint su una rete. Le organizzazioni utilizzano gli strumenti SIEM per identificare gli incidenti di sicurezza, registrare i dati sulla sicurezza, gestire la risposta agli incidenti e generare rapporti sulla conformità. SIEM combina Security Information Management (SIM), un sistema di prima generazione che utilizza lo stoccaggio a lungo termine, l'analisi e la reportistica dei dati di log, e Security Event Management (SEM), un sistema di seconda generazione che include la correlazione degli eventi, la notifica, il monitoraggio in tempo reale e le viste della console. L'acronimo SIEM si pronuncia "sim" con una e muta. I principi di base di qualsiasi sistema SIEM sono il consolidamento dei dati rilevanti provenienti da diverse fonti, l'identificazione delle deviazioni dagli standard e l'adozione di azioni appropriate. I primi prodotti commerciali SIEM sono stati introdotti quasi vent'anni fa, intorno all'inizio del secolo. Per capire come la tecnologia sia diventata il nuovo punto di riferimento nel settore della sicurezza, vale la pena di guardare indietro ai suoi inizi.
Gli inizi del SIEM
Intorno al 1999 sono stati sviluppati i primi strumenti simili al SIEM. All'epoca era chiaro che le capacità chiave di una piattaforma SIEM si basavano sulla capacità di scalare in modo efficace.
SIEM 1.0 - circa 2006
Con l'introduzione della prima generazione di piattaforme SIEM, è iniziata una nuova era nel settore della sicurezza dei dati. Per la prima volta i produttori hanno combinato la gestione degli eventi di sicurezza con la gestione delle informazioni di sicurezza. Mentre queste prime piattaforme SIEM 1.0 offrivano un approccio rivoluzionario alla sicurezza, avevano un tallone d'Achille: potevano scalare solo in verticale, il che si è presto rivelato un fattore limitante.
Ma la scalabilità non era l'unico fattore limitante. Ottenere dati in entrata e in uscita dal SIEM è stata una grande sfida. I cruscotti e i rapporti erano rudimentali e gli allarmi erano di natura molto semplice, con pochissime correlazioni di alimentazione o modi per arricchirli con informazioni aggiuntive.
La prima generazione di SIEM si è conclusa intorno al 2011, poiché per gestire i carichi di lavoro era necessario un numero sempre maggiore di hardware. Questa scalatura legata all'hardware si è conclusa in questo periodo quando il SIEM è diventato finalmente legato all'I/O.
SIEM 2.0 - circa 2011
La seconda generazione del SIEM è stata un miglioramento significativo, ma è stata comunque difettosa. La differenza principale rispetto al SIEM 1.0 è il modo in cui è stato scalato. Il SIEM 2.0 non disponeva di un database centralizzato e utilizzava invece grandi quantità di dati per la scalatura orizzontale. Inoltre, la scalatura orizzontale ha permesso di aggiungere al sistema hardware con specifiche inferiori. Era quindi scalabile senza limitazioni e il doppio del numero di server significava, ad esempio, raddoppiare i dati o raddoppiare le prestazioni.
Il SIEM 2.0 ha anche permesso di migliorare la reportistica e i cruscotti, oltre alla possibilità di interrogare per la prima volta i dati storici. Con il SIEM 1.0, i lunghi periodi di archiviazione dei dati erano irrilevanti, in quanto la tecnologia non era comunque in grado di recuperare efficacemente i dati per più di qualche settimana. L'architettura dati più ampia di SIEM 2.0 ha permesso di interrogare i dati per periodi di tempo molto più lunghi e di ottenere risposte in tempi ragionevoli.
La scalabilità è stato il più grande dono di SIEM 2.0, ma alla fine è diventata la sua più grande maledizione. Non solo perché non ha funzionato bene, ma perché il problema è stato semplicemente spostato più in basso nella conduttura operativa. Prima di SIEM, i professionisti della sicurezza erano essenzialmente ciechi e non potevano vedere ciò che accadeva nei loro ambienti IT. La prima generazione del SIEM ha dato loro una visione, ma la seconda generazione se l'è portata via presentando più dati di quanti ne potesse gestire. Anche il SIEM 2.0 non è riuscito a innovare gli aspetti di avvertimento del SIEM, lasciando le squadre dipendenti da avvertimenti preconfigurati che, nel migliore dei casi, si correlavano solo con pochi elementi.
SIEM 3.0 - circa 2015 ad oggi
La terza generazione del SIEM significa rivoluzione radicale piuttosto che evoluzione. La rivoluzione è consistita principalmente nell'introduzione di algoritmi di machine learning e nel radicale miglioramento delle capacità analitiche. La grande differenza del SIEM 3.0 è stata il passaggio da allarmi preconfigurati ad un approccio basato sul rischio. Gli allarmi erano già preziosi prima dell'arrivo del SIEM 3.0, ma si basavano su fatti semplici e noti. I team di gestione della sicurezza di oggi devono affrontare minacce zero day senza precedenti. Il nuovo monitoraggio della sicurezza basato sull'analisi di SIEM 3.0 applica tecniche statistiche ai set di dati per creare modelli operativi che costituiscono la base per ogni singolo utente e unità in un ambiente. Questa tecnica è chiamata Analisi Comportamentale dell'Utente e dell'Entità (UEBA). In un sistema UEBA, una linea di base permette la definizione di "comportamento normale" in un ambiente. Qualsiasi deviazione futura da questa linea di base comporta rischi per gli utenti e i sistemi. Ciò consente alle squadre di sicurezza di concentrarsi su questi rischi reali.
Se i team di sicurezza continuano ad affidarsi alla tecnologia SIEM 2.0 basata su allarmi, la realtà è che gli analisti della sicurezza fanno poco più che lavorare sui falsi positivi. Ciò è dovuto al fatto che i rischi legati a questa tecnologia incompleta vengono solitamente rilevati solo dopo che la catena di uccisione è stata completata. In un mondo in cui i pericoli sono in costante aumento e, con l'aumentare delle dimensioni, minacciano persino l'esistenza di intere aziende, una soluzione così inefficace non può più essere utilizzata con la coscienza pulita.
Conclusione
L'ultima generazione di SIEM, che utilizza l'apprendimento automatico e un approccio basato sul rischio con l'analisi del comportamento degli utenti e delle entità, rappresenta attualmente il gold standard per le soluzioni di sicurezza aziendale. Le organizzazioni che si affidano ancora a soluzioni di seconda generazione, più vecchie, dovrebbero considerare i rischi che ciò comporta ed esaminare da vicino le capacità del SIEM di ultima generazione. Chissà cosa porterà SIEM 4.0, ma fino al suo arrivo, SIEM 3.0 è senza dubbio la tecnologia di base di un moderno ed efficace Security Operations Center (SOC).
(Fonte: SecurityInsider)