Reading time: ~ 3 min.
SIEM: un focus sulla sua utilità nel comparto IT
Nella bibliografia digitale SIEM ha un duplice significato: “Security Information and Event Management” se applicato in un ambito legato prettamente alla sicurezza e “Security Incident and Event Management” in ambito più di IT Governance ed IT Service Management ma ad ogni modo i due ambiti sono correlati tra di loro.
Da un punto di vista IT Service Management
Genericamente un “incidente” è un qualunque evento che conduce ad una interruzione non pianificata del servizio: il processo di Incident Management di ITIL p.e. ha come obiettivo primario quello di ristabilire la piena funzionalità del servizio il prima possibile per ridurre al minimo gli impatti sul business.
Un “problema” è la causa che genera l’Incidente: il processo di Problem Management ha come obiettivo, una volta ristabilita la funzionalità del servizio, di indagare per determinare la causa principale che ha causato l’incidente al fine di evitare il riproporsi di incidenti simili.
ITIL suggerisce di trattare gli incidenti di sicurezza con una particolare categorizzazione ed un separato flusso di lavoro con annessi specifici processi e procedure, sebbene come “migliore pratica” di base ogni incidente andrebbe opportunamente:
✔️identificato e registrato
✔️correttamente descritto ed associato ad un preciso cespite
✔️categorizzato (per tipologia di richiesta)
✔️prioritizzato (generalmente in funzione dell’impatto e degli SLA)
✔️preso in carico dall’operatore nella diagnosi ed investigazione della problematica
✔️se il caso scalato agli specialisti tecnici
✔️risolto e documentato
✔️chiuso dal Service Desk o centro operativo
Mentre un Incidente spesso viene gestito in modo reattivo, tanto più un Problema può essere trattato in modo proattivo quanto più dovrebbe essere alimentato da un sistema di Event Management che colleziona ed analizza in tempo reale gli eventi associati ai vari sistemi e dispositivi e propone degli avvisi agli operatori quando i valori di misurazione si avvicinano alle opportune soglie di preallarme.
Sempre maggiori sistemi e dispositivi di sicurezza ed infrastrutturali si standardizzano a dialogare efficacemente con le architetture di gestione degli eventi.
Da un punto di vista di Cyber Security Management
La sicurezza ha assunto un ruolo centrale da diverso tempo. Firewalls, IDS, IPS e affini sono un "must" in ogni rete. Questi dispositivi si dimostrano utili durante un attacco (prevenzione o blocco).Nella maggior parte dei casi però, queste tecnologie non dialogano tra di loro, inoltre non sempre è facile creare regole ad-hoc e adatte ad ogni situazione.
A tutto questo va aggiunto lo sforzo necessario nella gestione degli eventi, spesso manca il tempo, la competenza o entrambe le cose. La correlazione degli eventi permette di anticipare attacchi di diverso genere nel futuro. Questa tecnica risulta molto complessa e dispendiosa se eseguita manualmente o comunque non con sistemi automatici. L'essere "agile" comprende anche la rapidità nel prevenire (e non solo combattere) le minacce.
La sicurezza ha assunto un ruolo centrale da diverso tempo. Firewalls, IDS, IPS e affini sono un "must" in ogni rete. Questi dispositivi si dimostrano utili durante un attacco (prevenzione o blocco).Nella maggior parte dei casi però, queste tecnologie non dialogano tra di loro, inoltre non sempre è facile creare regole ad-hoc e adatte ad ogni situazione.
A tutto questo va aggiunto lo sforzo necessario nella gestione degli eventi, spesso manca il tempo, la competenza o entrambe le cose. La correlazione degli eventi permette di anticipare attacchi di diverso genere nel futuro. Questa tecnica risulta molto complessa e dispendiosa se eseguita manualmente o comunque non con sistemi automatici. L'essere "agile" comprende anche la rapidità nel prevenire (e non solo combattere) le minacce.
