Gestione dei log e degli eventi come strategia fondante di una buona gestione della sicurezza. Il problema è che oggi le aziende si trovano di fronte a cittadini, clienti, colleghi e consumatori che chiedono un’unica cosa: arrivare velocemente alle informazioni e usufruire di servizi efficienti, potendo contare su una sicurezza ben gestita delle informazioni e delle transazioni. Blindare i sistemi, adottando infinite misure di protezione pensando solo ai livelli di sicurezza significa ostacolare la vita digitale degli utenti e frenare lo sviluppo del business.
Il significato del SIEM nell’era dell’economia connessa
I responsabili della sicurezza aziendale devono ragionare andando oltre il tema della continuità operativa. La sfida è gestire la crescente quantità di flussi informativi che arrivano in continuazione dalle reti, legato al proliferare di strumenti di sicurezza, dispositivi di rete, apparati e applicazioni. La gestione dei log e degli eventi, oggi e ottimizzata e risolta dalle soluzioni di Security Information & Event Management di ultima generazione. Sono i Siem 4.0 a permettere ai CSO di dirimere la sicurezza nell’era della connected economy.
Il contributo dell’Artificial Intelligence alla gestione dei log e degli eventi
Le statistiche più aggiornate raccontano come 6 professionisti su 10 (60%) affermi di avere programmi di vulnerabilità inefficaci, accusando la mancanza di visibilità su tutti i tipi di asset IT. Inoltre, quasi 7 professionisti della sicurezza su 10 (67%) si lamenta della mancanza di tempo e di risorse che li aiutino a mitigare le continue minacce alla sicurezza aziendale (Fonte: “Challenging State of Vulnerability Management Today: Gaps in Resources, Risk and Visibility Weaken Cybersecurity Posture” – Ponemon Institute 2019).
La gestione dei log e degli eventi tramite un sistema di SIEM aiuta a CSO a razionalizzare e semplificare la governance. La tecnologia che caratterizza le soluzioni di ultima generazione, che incorporano Intelligenza Artificiale e Machine Learning, aiutano i CSO a distinguere in tempo reale quelle che possono essere interruzioni di servizio legate a guasti o comportamenti errati degli utenti autorizzati e quelle, invece, che sono anomalie legate agli attacchi e alle infinite minacce scatenate dal cybercrime.
Partire sempre dagli obiettivi prima di pensare alle impostazioni
L’importante, sempre e comunque, è partire da una buona analisi: che cosa si vuole monitorare? Quali informazioni si vogliono ottenere? Il SIEM, infatti, non è un prodotto a pacchetto: è una soluzione. Definire in fase preliminare il perimetro del progetto è parte integrante del pragmatismo di un CSO che sa molto bene come non sia possibile monitorare tutti i sistemi, i dispositivi, le applicazioni, gli utenti e quant’altro. Si avrebbe un perimetro talmente ampio, con talmente tante informazioni, da essere travolti dai dati senza possibilità di analizzarli in maniera efficace.
Avendo bene in mente gli obiettivi, sarà più facile avere l’orizzonte di comprensione utile a mappare le informazioni da gestire: log applicativi, di sistema, firewall, active directory e via dicendo. Da qui discendono le fonti da integrare nel SIEM (log source). Una volta integrate le fonti dei log la definizione degli alert e dei report con relativo tuning continuo risulterà semplificata.
Gestione dei log e degli eventi: attenzione alle correlazioni
I SIEM di ultima generazione aiutano a fare la differenza, soprattutto nella fase più critica che è quella della correlazione, dal momento che include un’infinità di metodi e regole. Filtrare l’applicazione delle regole per determinare quali dati sono rilevanti e quali dati sono irrilevanti nella pipeline degli eventi, infatti, è un lavoro lungo ed estremamente laborioso.
Nella gestione dei log e degli eventi un sistema SIEM può essere basato su regole o utilizzare un motore di correlazione statistica per stabilire relazioni tra le voci del registro eventi. I SIEM 4.0 includono anche l’analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics – UEBA) e l’orchestrazione della sicurezza e la risposta automatizzata (Security Orchestration and Automated Response – SOAR), con rapporti integrati per le esigenze di compliance normativa e possibilità di personalizzare o creare nuovi rapporti di conformità di ogni singolo componente del sistema che vuole proteggere.
È così che il SIEM diventa l’abilitatore di un monitoraggio continuo, contestuale, puntuale ed efficiente, che aiuta i responsabili della sicurezza a mettere in evidenza gli ambiti nei quali è necessario intervenire con tutti i progressivi interventi correttivi o migliorativi.