Nella bibliografia digitale SIEM ha un duplice significato: “Security Information and Event Management” se applicato in un ambito legato prettamente alla sicurezza e “Security Incident and Event Management”  in ambito più di IT Governance ed IT Service Management ma ad ogni modo i due ambiti sono correlati tra di loro.

Da un punto di vista di IT Service Management

Genericamente un “Incidente” è un qualunque evento che conduce ad una interruzione non pianificata del servizio, il processo di Incident Management di ITIL p.e. ha come obiettivo primario quello di ristabilire la piena funzionalità del servizio il prima possibile per ridurre al minimo gli impatti sul business.
Un “Problema” è la causa che genera l’Incidente, il processo di Problem Management ha come obiettivo, una volta ristabilita la funzionalità del servizio, di indagare per determinare la causa principale che ha causato l’incidente al fine di evitare il riproporsi di incidenti simili.

ITIL suggerisce di trattare gli incidenti di sicurezza con una particolare categorizzazione ed un separato flusso di lavoro con annessi specifici processi e procedure, sebbene come “migliore pratica” di base ogni incidente andrebbe opportunamente:
✔ identificato e registrato
✔ correttamente descritto ed associato ad un preciso cespite
✔ categorizzato (per tipologia di richiesta)
✔ prioritizzato (generalmente in funzione dell’impatto e degli SLA)
✔ preso in carico dall’operatore nella diagnosi ed investigazione della problematica
✔ se il caso scalato agli specialisti tecnici
✔ risolto e documentato
✔ chiuso dal Service Desk o centro operativo

Mentre un Incidente spesso viene gestito un modo reattivo, tanto più un Problema può essere trattato in modo proattivo quanto più dovrebbe essere alimentato da un sistema di Event Management che colleziona ed analizza in tempo reale gli eventi associati ai vari sistemi e dispositivi e propone degli avvisi agli operatori quando i valori di misurazione si avvicinano alle opportune soglie di preallarme.
Sempre maggiori sistemi e dispositivi di sicurezza ed infrastrutturali si standardizzano a dialogare efficacemente con le architetture di gestione degli eventi.

SIEM

Da un punto di vista di Cyber Security Management

La sicurezza ha assunto un ruolo centrale da diverso tempo. Firewalls, IDS, IPS e affini sono un “must” in ogni rete. Questi dispositivi si dimostrano utili durante un attacco (prevenzione o blocco). Nella maggior parte dei casi però, queste tecnologie non dialogano tra di loro, inoltre non sempre è facile creare regole ad-hoc e adatte ad ogni situazione. A tutto questo va aggiunto lo sforzo necessario nella gestione degli eventi, spesso manca il tempo, la competenza o entrambe le cose. La correlazione degli eventi permette di anticipare attacchi di diverso genere nel futuro. Questa tecnica risulta molto complessa e dispendiosa se eseguita manualmente o comunque non con sistemi automatici. L’essere “agile” comprende anche la rapidità nel prevenire (e non solo combattere) le minacce.

Un sistema SIEM permette proprio questo: correlare gli eventi tra loro, fornire risultati sul comportamento (behaviour analytic) e dimostrare i progressi ottenuti tramite l’implementazione di nuove regole, sistemi o tecnologie. Il SIEM va visto un po’ come il centro dell’ecosistema nell’ambito IT, è infatti l’unico prodotto in grado di leggere le informazioni raccolte dai vari sistemi e di produrre dei risultati tecnici per il reparto IT, ma anche report definiti “C-Level” per il management.
La possibilità di creare dei casi su misura, rende infine questo prodotto estremamente versatile.

Do you SIEM or not?

Ignorare l’utilità di un sistema SIEM, equivale a ignorare un livello di sicurezza meno visibile ma estremamente efficace.

Oggigiorno lo scenario di mercato mostra le grandi aziende sempre più attive nel segmento SIEM per la crescente necessità di dotarsi di misure di sicurezza con maggior efficienza ed efficacia possibile, tendono quindi per questo a strutturare dalla base il loro concetto di sicurezza in modo imprescindibile rispetto ai sistemi SIEM, ma le PMI dove si situano rispetto al loro concetto di sicurezza e quale fetta di budget annuale tendono a destinare dunque in questo ambito?
Le PMI si sentono ancora sicure di ritenere questo strato di “intelligence” ed “analytics” superfluo rispetto ai sistemi tradizionali attivi e passivi per proteggersi efficacemente contro le minacce di sicurezza?

Abbiamo deciso di lanciare un sondaggio su questo tema importante per preparare al meglio, per tempo, il nostro prossimo evento dopo la pausa estiva e permetterci di raccogliere informazioni importanti per poter dare risposte giuste ed utili agli interessati.
Grazie del vostro prezioso contributo.

Autore: Andrea Cherubini

>>  Compila il questionario  <<