SIEM: ecco cos’è il Security Information and Event Management

Data di pubblicazione: 9 Dicembre 2021

Il SIEM è un insieme di soluzioni utili per la gestione delle informazioni e degli eventi di sicurezza.
In azienda ha un ruolo di primo piano che sempre di più si è consolidato negli anni ed è oggi fondamentale per governare le vulnerabilità dei sistemi informatici, identificando gli attacchi nel momento stesso in cui si verificano e in certi casi addirittura predicendoli.

In questo modo si può reagire con molta più rapidità servendosi di contromisure efficaci.
Vediamo quindi cos’è un SIEM e come funziona nello specifico.

Indice dei contenuti

Cos’è un SIEM?

Il SIEM, acronimo di Security Information and Event Management, è una serie di prodotti software e servizi che coniuga le due funzioni base della cybersecurity: gestione degli eventi e gestione delle informazioni di sicurezza, ossia area SEM (Security Event Management) e area SIM (Security Information Management).

Sembra un gioco parole, ma si tratta realtà di due componenti concrete dei SIEM: il primo – ossia il SEM – monitora in tempo reale gli eventi che accadono all’interno dei sistemi, della rete, dei dispositivi e delle applicazioni, mettendo in luce anomalie e anticipando eventuali criticità.
Mentre il secondo, il SIM, gestisce in automatico il cronologico di tutte le attività del sistema operativo, del database e dei programmi utilizzati.

Ciò significa che mediante il software SEM è possibile, per esempio, rilevare in tempo reale un accesso al sistema al di fuori del normale orario di lavoro, segnalarlo e fornire un report dettagliato.
Il software SIM, invece, non lavora in tempo reale ma in modalità automatizzata, inviando il cronologico delle attività (log) a un server centralizzato che è a sua volta monitorato da un amministratore, il quale interviene in risposta a eventuali allarmi.

Dall’integrazione di questi due sistemi ha origine il cuore dell’attività dei SIEM, che consiste nell’eseguire una raccolta puntuale e centralizzata degli eventi e del cronologico delle attività.
Così facendo si consentono – in caso di malfunzionamenti, incidenti di vario genere o di veri e propri attacchi al sistema informatico – interventi rapidi e mirati da parte dei responsabili della sicurezza IT dell’azienda.

Il monitoraggio, in questo caso, si basa sull’aggregazione di dati provenienti da fonti diverse (sistemi, rete, dispositivi, applicazioni) e sulla capacità di analizzarli e incrociarli con l’obiettivo di rilevare rischi, anomalie e criticità e fare scattare azioni ad hoc, non solo risolutive, ma anche preventive.

Quali sono i principali vantaggi

Un SIEM è quindi una risorsa molto utile che si integra bene in un piano di sicurezza aziendale completo ed efficace.

Ecco, nello specifico, i principali vantaggi:

monitoraggio costante: le reti e il sistema sono costantemente controllati, consentendo un rilevamento più tempestivo ed efficiente delle minacce
report dettagliati: c’è la possibilità di estrapolare i dati da ogni tipo di dispositivo, categorizzarli e analizzarli facendo riferimento a schemi d’uso tipici
tracciamento delle minacce: confrontando schemi di comportamento degli utenti o delle attività di rete, si possono identificare le attività malevole, capendo da dove è partito l’attacco e quali sono i bersagli
risposte automatiche: i sistemi SIEM reagiscono in automatico ai problemi relativi alla sicurezza, riducendo il carico di lavoro degli amministratori del sistema. Il software gestisce in autonomia le operazioni e le attività necessarie per bloccare le minacce, inviando degli alert se si richiede un intervento umano e manuale
scalabilità: nel tempo è possibile aggiungere nuove funzionalità ricorrendo a Intelligenza Artificiale e Machine Learning. In questo modo la mole di dati utilizzati aumenta, incrementando la precisione e la velocità con cui il software risponde a eventuali minacce

Come funziona un SIEM

Nel concreto, quindi, che cosa fanno i sistemi SIEM?

Tra le attività di base spicca la raccolta dei dati provenienti da tutti gli apparati che costituiscono il sistema informatico.
Dati che vengono poi uniformati mediante catalogazione per tipo di dispositivo e di dato per agevolarne la lettura e l’interpretazione da parte di chiunque, in azienda, abbia le credenziali per poterlo fare.

Ma è la correlazione tra eventi diversi a rappresentare una delle funzioni principe dei sistemi SIEM, finalizzata a integrare e ad analizzare gli eventi provenienti da fonti diverse.

Per eseguire questa attività di correlazione, il sistema mette a disposizione le regole base, ma consente anche di crearne di personalizzate per andare incontro alle esigenze specifiche di ogni tipo di azienda.
Inoltre offre la possibilità, sulla base della correlazione tra gli eventi di sicurezza e i dati sulle vulnerabilità presenti nel sistema, di attribuire una certa priorità a un evento piuttosto che a un altro.

Un’altra attività cardine di un SIEM è la reportistica – utilizzata per audit, compliance e analisi forense – resa possibile dall’archiviazione dei dati a lungo termine e dalla possibilità di estrarli mediante un determinato criterio di ricerca.

Per fornire questi dati agli analisti sotto forma di diagrammi o di altri schemi, i SIEM formulano delle dashboard utili anche per inviare email, SMS o notifiche ai responsabili della sicurezza IT per informarli di una possibile minaccia o di altri determinati eventi.

Tutte queste funzioni sono indispensabili per identificare cosa non va nel sistema informatico, individuando accessi non autorizzati, connessioni sospette verso l’esterno, presenza di malware o manipolazioni al sistema o alla rete.

Ma non solo: i sistemi SIEM sono in grado di rilevare anche attività malevole all’interno dell’azienda stessa comparando schemi di comportamento degli utenti o delle attività di rete che rientrano in modelli tipici.

Esempio di una dashboard SIEM - Security Information and Event Management — ***Esempio di una dashboard SIEM – Security Information and Event Management***

I principali tool utilizzati

Esistono diverse soluzioni SIEM con caratteristiche precise che le contraddistinguono: ogni azienda dovrebbe scegliere gli strumenti più utili e adatti ai propri scopi e alle proprie esigenze.

Un’azienda potrebbe per esempio focalizzarsi sul rilevamento delle minacce, un’altra impresa potrebbe preferire concentrare le risorse sull’analisi e categorizzazione dei dati e un’altra ancora potrebbe dare la priorità alla capacità di risposta automatizzata del software.
Non esiste una scelta univoca ed è per questo che sul mercato esistono numerosi tool tra cui scegliere.

Ecco i principali e attualmente più popolari:

Datadog
SolarWinds
Splunk Enterprise SIEM
McAfe ESM
Micro Focus ArcSight
LogRhythm
AlienVault USM

Quali aziende dovrebbero affidarsi a un SIEM?

Un Security Information and Event Management è la soluzione ideale per le aziende che danno priorità alla sicurezza e vogliono affrontare preparate il crescente numero di attacchi e minacce che coinvolgono la rete.
Gli attacchi sono ogni giorno più sofisticati e per questo c’è bisogno di dotarsi di tecnologie altrettanto efficaci e all’avanguardia che contrastino i pericoli e li sappiano prevenire prima che diventino critici.

In più è importante considerare che anche alle piccole aziende con a disposizione un budget ridotto conviene affidarsi a un SIEM: la corretta gestione della sicurezza è infatti un prezioso investimento a lungo termine che può anche fruttare dei concreti guadagni.
Basti pensare alle enorme perdite – economiche, di tempo e di risorse – che una violazione informatica può comportare.

Infine un SIEM è un’ottima soluzione per aumentare il livello di soddisfazione del cliente, mostrando un business solido e attento alla prevenzione e rafforzando così il rapporto di fiducia con i propri clienti.

SIEM e Intelligenza Artificiale

I sistemi SIEM si sono con il tempo evoluti e aggiornati, ma un’importante spinta verso il progresso è stata data dall’Intelligenza Artificiale, che con il suo contributo ha reso le soluzioni SIEM di ultima generazione nettamente differenti rispetto alle precedenti.

I sistemi SIEM, oggi, sono infatti più agili e flessibili e nel 2017 Gartner parlò addirittura di “quarta generazione di SIEM”, riferendosi alle tecnologie che includono l’analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics – UEBA) integrate alle tradizionali caratteristiche e funzioni del Security Information and Event Management.

Nello specifico è il Machine Learning a rendere le analisi da parte dei SIEM più precise e accurate, svolgendo una correlazione automatica tra tutti gli eventi rilevati sull’infrastruttura di rete e determinando che cosa è accaduto e chi ha fatto cosa.
Questi speciali algoritmi consentono al sistema di intercettare e localizzare velocemente tutte le attività anomale che avvengono sulla rete, stabilendo un parallelo con le policy di security interne e arrivando così a definire quali specifiche azioni di difesa dovrebbero essere messe in atto.

Utilizzando una serie di algoritmi AI predisposti, inoltre, il software diventa capace di rispondere automaticamente a un determinato attacco nel momento stesso in cui questo si verifica, ad esempio bloccando o rimuovendo il traffico potenzialmente malevolo oppure riducendo le prestazioni del sistema o della rete.

Conformità al GDPR: una panoramica

Per sviluppare una piattaforma SIEM, i responsabili IT devono necessariamente tenere conto delle norme e delle disposizioni stabilite dal GDPR (General Data Protection Regulation), che regolamenta il trattamento dei dati personali e in azienda.

In particolare ci si deve sempre attenere al principio di proporzionalità, in base al quale i dati che vengono raccolti e trattati devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali vengono trattati”.
Qualsiasi trattamento dei dati non in linea con le finalità esplicitate dall’azienda, dunque, non è lecito.

È poi fondamentale stabilire una politica di conservazione dei dati che preveda tempistiche idonee a garantire la sicurezza delle reti e la riservatezza delle informazioni, facendo sempre attenzione all’eventualità di un incidente informatico e al conseguente obbligo di accesso ai dati da parte di terzi per le analisi forensi.
Anche i dati in transito vanno sempre protetti mediante cifratura, firma e possibilità di verifica della validità della firma.

Infine è obbligatorio definire una data-destruction policy rispettando il principio del diritto all’oblio e dimostrando che le modalità di cancellazione sicura dei dati personali vengono rispettate.

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cos’è un SIEM?

Quali sono i principali vantaggi

Come funziona un SIEM

I principali tool utilizzati

Quali aziende dovrebbero affidarsi a un SIEM?

SIEM e Intelligenza Artificiale

Conformità al GDPR: una panoramica

Contattaci

Ultime News Cyber Security

Insider Threats: identifica e contrasta le minacce interne

Cos’è un Ransomware, come si prende e come proteggersi

Che cos’è un malware e come affrontarlo?

Spear phishing: cos’è, come funziona l’attacco e come proteggersi

Purple Team, Red Team e Blue Team: differenze e cosa fanno

Endpoint Protection: garantisci sicurezza e protezione alla tua azienda

Zero Day Exploit: Cos’è e Come Proteggersi

Penetration Test vs Vulnerability Assessment: Tutte le Differenze

Smishing: cos’è e come difendersi da questi attacchi informatici

Dati biometrici: un nuovo concetto di identità e sicurezza

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.