I Siem, Security Information and Event Management, sono soluzioni utilissime nelle aziende e nelle organizzazioni di oggi. Permettono di identificare accessi e operazioni anomale su applicazioni e dati da parte di soggetti esterni o interni alle organizzazioni attraverso intrusioni che sfruttano vulnerabilità, malware, attacchi persistenti mirati (i tanto temuti Apt, Advanced Persistent Threats), o query e copiature di dati apparentemente legittime, ma che in realtà nascondono tentativi di frodi. Per permettere tutto questo, i Siem, come Sentinel 7 di NetIq, ‘collezionano’ log e dati da svariate piattaforme software e hardware (server e apparati di rete, in particolare), li analizzano in modo integrato, li mettono a confronto con regole e policy, gli attribuiscono un significato e generano allarmi e report ad uso di Ciso (Chief Information Security Officer), responsabili delle conformità, auditor e altri stakeholder.
Il problema di molti Siem disponibili sul mercato è la complessità della loro gestione. Con Sentinel 7, NetIq promette di dare una risposta proprio a questo punto dolente, che rende i Siem tanto utili in teoria, quanto difficilmente utilizzabili. “Sentinel – spiega Marco Bianchi, country manager di NetIq in Italia – si caratterizza per la grande capacità di acquisire dati di logging da fonti eterogenee, comprese le piattaforme più ‘astruse’ realizzate in casa o i Crm più personalizzati. In nove anni di attività non c’è stato un cliente di cui non siamo riusciti a collezionare dei dati”. Un altro punto forte è l’abilità di rilevare lo scostamento di una qualsiasi operazione rispetto a degli standard e quindi di segnalarla a chi di dovere anche se non era prevista una policy ad hoc. “Spesso possono verificasi eventi non previsti – precisa Bianchi – ed è opportuno avere la possibilità di intervenire ugualmente pur in assenza di una regola prefissata”. Per esempio può capitare che per la prima volta qualcuno acceda a un sistema alle tre di notte, quando gli uffici sono chiusi. Siccome non era prevista un’evenienza del genere, il Siem non trova una regola con cui confrontarsi. Ecco, allora, che parte ugualmente un alert verso, ad esempio, l’iPad di un responsabile della security. “Questi può momentaneamente disabilitare l’Ip della macchina acceduta e telefonare a qualcuno prima di riabilitarlo. Oppure può effettuare un drill-down nell’interfaccia di Sentinel e controllare una serie di dati correlati all’evento”, spiega Bianchi.
Sentinel può alla fine consentire al responsabile della sicurezza di ‘salvare’ le azioni effettuate e creare una nuova regola. Tutto questo – la capacità di correlare più fonti di dati, l’analisi svolta in autonomia, la segnalazione dell’evento anomalo, la possibilità di prendere in tempo reale delle contromisure e arricchire le regole – è riassunto da NetIq nella definizione di ‘actionable intelligence’. Una caratteristica che rende un Siem adatto anche a supportare gli ambienti che si vengono a creare con la consumerizzazione dell’It, che aumenta il numero e la natura dei dispositivi – sia di proprietà dei dipendenti, sia in possesso di utenti occasionali – che accedono all’infrastruttura aziendale.