SIEM 4.0 è una gestione delle informazioni e degli eventi associati a una sicurezza potenziata dall’Intelligenza Artificiale. È così che le aziende hanno un quadro sempre più trasparente del perimetro che devono monitorare e presidiare, con una semplificazione della complessità a supporto di migliori processi decisionali.
Gli algoritmi integrati in questo tipo di soluzioni, infatti, non solo sono progettati per ragionare alla velocità della luce, distinguendo la normalità dall’anomalia. Il vantaggio di un SIEM 4.0 è di continuare ad imparare e a distinguere sempre meglio le coordinate che non funzionano a livello di rete, dispositivi, applicazioni e sistemi.
Siem 4.0: un approccio sistemico alla sicurezza
Tra i SIEM 4.0 che primeggiano nel mercato della sicurezza sistemica, QRadar di IBM è la scelta che hanno fatto moltissime aziende, in particolare del mondo finanziario, manifatturiero e delle telecomunicazioni. Un caso di eccellenza è quello di un grosso operatore mobile payments & telco solutions a cui, per altro, i vantaggi del SIEM erano già chiari da diverso tempo.
I responsabili della sicurezza, infatti, già nel 2010 avevano implementato una soluzione che, con il passare degli anni, aveva raggiunto uno stato di obsolescenza tecnologica. Dal momento che il fornitore non supportava più la piattaforma, al management non rimanevano che due opzioni: effettuare l’aggiornamento tecnologico necessario oppure cambiare soluzione e provider di riferimento.
Prima dell’implementazione, fondamentale la consulenza
Dopo essersi confrontato con il partner tecnologico, DIGI International, l’azienda ha optato per un cambio di passo. Gli esperti, infatti, hanno evidenziato i punti di forza a livello tecnico e a livello commerciale di un percorso di reingegnerizzazione in chiave SIEM 4.0. QRadar, infatti, avrebbe consentito di portare in azienda un livello di analisi estremamente più avanzato.
Questo perché la tecnologia utilizzata, basata sull’Intelligenza Artificiale firmata IBM Watson, attraverso un processo evoluto di Security Intelligence applicata alle analitiche riesce a effettuare una correlazione di tutti gli eventi rilevati sull’infrastruttura di rete da IPS, IDS, firewall, soluzioni di sicurezza anche non strutturati, così da comprendere realmente che cosa è avvenuto e da parte di chi.
In soli 3 mesi il sistema era in produzione
Dopo tre mesi di addestramento della soluzione agli obiettivi e un rapido training on the job, QRadar è entrato in produzione, garantendo gli stessi livelli di sicurezza del sistema pregresso. E dopo un altro paio di mesi la qualità del SIEM 4.0 adottato, ha posto ancora più in evidenza i vantaggi della soluzione. Come ha sottolineato il security officer dell’azienda, il sistema precedente era più simile a un collettore.
QRadar ha portato in azienda un approccio innovativo rispetto alla gestione e alla correlazione dei messaggi log ricevuti e conservati. In caso di incidenti ma anche a livello di reportistica il SIEM IBM porta maggiore trasparenza rispetto ai flussi di informazioni gestite, semplificando notevolmente il lavoro di indagine. Anche perché in un ambiente core business basato su piattaforma Linux like (oltre 1000 istanze) e un ambiente utenti basato all’80% Windows, correlare il comportamento di oltre 500 persone era un requisito fondamentale per garantire la qualità della sicurezza operativa e interna.
Gestione di log ed eventi attraverso correlazioni evolute
DIGI International ha supportato l’operatore Telco nella definizione degli obiettivi e delle regole di correlazione più adatte. Le regole, infatti, difficilmente sono applicabili senza essere adeguate agli specifici casi: sono frutto di una specifica costruzione, successiva allo studio dei sistemi esistenti. Ogni Lan, ad esempio, ha i suoi punti di debolezza (che siano ben definiti o nascosti) e che dipendono da diversi fattori: policy, configurazioni, adeguatezza dei team di gestione. La correlazione, dunque, deve essere sempre mirata e va considerata come un servizio che necessita l’integrazione con tutti i processi di gestione della sicurezza e con le strutture coinvolte o interessate (SOC, policy, applicativi, DBA e via dicendo). Grazie alla qualità delle correlazioni di QRadar, oggi il team addetto alla sicurezza può vedere se una comunicazione è avvenuta o meno, se un malware è stato eseguito da chi e dove, se sono effettivamente avvenuti accessi a risorse aziendali.
Il valore di un Security Information & Event Management evoluto
A detta del security officer oggi, grazie a QRadar, il team preposto alla sicurezza non solo ha migliorato la propria capacità di analisi ma oggi si avvale di un livello di informazioni potenziato da dati di dettaglio rispetto a tutta una serie di eventi che il sistema precedente non era in grado di rilevare. Mettendo in evidenza anomalie che prima erano oscure, il SIEM 4.0 aiuta a prevenire e a ridurre alcune tipologie di irregolarità, garantendo trasparenza ma anche proattività a tutti gli addetti alla sicurezza aziendale. Ogni secondo il sistema riceve alert e gestisce automaticamente il flusso di informazioni e di eventi da un certo numero di sorgenti. Sulla parte legata al core business, i log archiviati su QRadar riguardano i log di sistema relativi agli accessi alle macchine ma anche alle attività fatte sulle macchine e tutti i processi di sistema collegati. Per la parte user, invece, il sistema raccoglie tutte le informazioni associate ad active directory, domain control, log in e log out, oltre a tutti i log che caratterizzano gli apparati di sicurezza.