SIEM basati sul cloud versus SIEM locali. L’evolutiva di una delle tecnologie più diffuse utilizzate nei centri operativi di sicurezza è un passaggio naturale per ottenere scalabilità e mantenere la promessa di monitoraggio, rilevamento e risposta delle minacce negli ambienti cloud.
I limiti delle piattaforme SIEM locali
La manutenzione di una distribuzione SIEM locale oggi può essere estremamente costosa, soprattutto per le grandi organizzazioni. In primo luogo, servono requisiti hardware che richiedono investimenti importanti. In secondo luogo, filiali e siti remoti dovranno raccogliere e inviare dati su collegamenti WAN dedicati a una fonte SIEM centrale. Il che può comportare una riduzione della larghezza di banda e potenzialmente portare a eventi persi o flussi di informazioni frammentati.
Le capacità e le funzionalità dei SIEM basati su cloud
Grazie a una piattaforma SIEM nel cloud, le organizzazioni possono unificare meglio i dati degli eventi dall’infrastruttura locale e dalle risorse native del cloud. Soprattutto per le distribuzioni di cloud ibrido, è essenziale una vista combinata di attività ed eventi. Gli strumenti SIEM basati su cloud possono migliorare il monitoraggio del SOC con le seguenti funzionalità:
Avvisi prioritari per l’ambiente cloud
La prioritizzazione automatica degli avvisi garantisce agli analisti di concentrarsi sugli avvisi associati al livello di rischio più elevato all’interno dell’ambiente cloud. Questo richiede una profonda conoscenza dell’infrastruttura e dei servizi cloudificati. Le funzionalità di rilevamento automatizzato dovrebbero utilizzare analisi e apprendimento automatico per aiutare gli analisti a identificare facilmente gli avvisi di interesse e le azioni di follow-up.
Cronologia degli attacchi
Il raggruppamento di eventi in base all’identificazione di modelli di attacco incentrati sul cloud è un’importante distinzione di una piattaforma SIEM basata su cloud. La visualizzazione delle comunicazioni nell’ambiente può anche aiutare a mostrare anche agli analisti junior quali tipi di pattern di attacco vengono osservati.
Integrazione con API cloud per l’automazione
Per migliorare la velocità e l’efficienza dei flussi di lavoro e dell’esecuzione del playbook, tutti gli strumenti SOC primari dovrebbero essere integrati il più possibile con le API del cloud provider. In questo modo è possibile semplificare l’automazione relativa alle azioni di contenimento e risposta come, ad esempio, la codifica automatica di un carico di lavoro sospetto e la modifica dei suoi attributi di rete per l’isolamento durante un’indagine.
SIEM basati su cloud: quali sono i vantaggi
Oltre ai vantaggi tattici del SIEM per il team SOC, i fornitori di SIEM basati sul cloud raccontano più nel dettaglio quali sono i vantaggi per la sicurezza e i diversi casi d’uso.
Profonda esperienza sugli attacchi specifici per il cloud
Parlando delle tattiche utilizzate dagli hacker, le tecnologie e gli ambienti cloud presentano nuove varianti degli attacchi ben noti che gli analisti della sicurezza devono comprendere bene. Anche le metodologie di attacco al cloud uniche devono essere capite dai fornitori di servizi SIEM. È necessario consolidare l’esperienza su tutti i flussi di lavoro incentrati sul cloud che potrebbero subire un attacco per garantire in modo nativo ai team SecOps un solido set di playbook che li aiuti a monitorare e rilevare comportamenti cloud dannosi o sospetti.
Intelligence sulle minacce nel cloud
Molti team di sicurezza interni hanno difficoltà con la raccolta e l’analisi dei dati dagli ambienti cloud che possono rivelarsi utili per perfezionare le funzioni più operative. Molti team SOC per farsi aiutare a gestire il ginepraio della sicurezza in cloud si rivolgono a fornitori esterni. I servizi SIEM basati sul cloud aiutano i team SOC a cercare in modo rapido ed efficace le risorse compromesse in base a:
- gli indicatori forniti
- gli eventi generati sui carichi di lavoro
- gli eventi all’interno dell’infrastruttura cloud, alle comunicazioni con indirizzi IP e ai domini dannosi noti
Gli obiettivi dell’intelligence sulle minacce incentrata sul cloud dovrebbero essere l’identificazione e la riparazione degli incidenti, sulla base delle informazioni raccolte.
Profonda integrazione dell’API del provider
Un altro vantaggio chiave di una piattaforma SIEM basata su cloud è la profonda integrazione con le API e i servizi del provider di servizi cloud. Questa funzione può migliorare lo streaming degli eventi in un ambiente di analisi centrale e consentire un rilevamento degli eventi più efficiente. Per ottenere il massimo dai loro strumenti SIEM basati sul cloud, i clienti dovrebbero cercare anche l’importazione delle funzionalità dei dati degli eventi puntando a una scalabilità automatica. Tipicamente costruite su un’architettura di microservizi , le piattaforme cloud SIEM forniscono alle organizzazioni l’elasticità delle risorse per scalare automaticamente verso l’alto o verso il basso rapidamente al variare della domanda.