Con il mondo che diventa sempre più digitale e gli attacchi informatici che si fanno sempre più feroci, una difesa informatica efficace è fondamentale per spianare la strada alla sicurezza. Che si tratti della sicurezza dei dati di un'organizzazione o della sua reputazione, le giuste tecniche di difesa informatica sono in grado di proteggerle. Ma per fare ciò, è essenziale che le soluzioni di sicurezza, incluso il SIEM, vengano aggiornate per restare al passo o addirittura prevenire quelli che sono attacchi informatici sempre più sofisticati.
Ora potresti pensare: "Che cos'è il SIEM e perché tutti ne sono così entusiasti?" Bene, siediti e rilassati: ti dirò tutto quello che devi sapere. SIEM, comunemente pronunciato "sim", è l'acronimo di Security Information and Event Management. SIEM è una soluzione di sicurezza informatica centralizzata e robusta che raccoglie, aggrega, normalizza, categorizza e analizza i dati di registro. Quindi controlla i dati di registro rispetto a regole predefinite e piattaforme di intelligence sulle minacce informatiche (TIP) per rilevare le anomalie. Inoltre, avvisa gli analisti della sicurezza di eventuali minacce o rischi potenziali per la rete dell'organizzazione.
Il monitoraggio, il rilevamento e la risposta a qualsiasi minaccia o potenziale minaccia sono le responsabilità principali del centro operativo di sicurezza (SOC) di qualsiasi organizzazione e il SIEM è considerato il cuore di ogni SOC. Prima dell'esistenza del SIEM, i SOC dipendevano dalla gestione delle informazioni di sicurezza (SIM) e quindi dalla gestione degli eventi di sicurezza (SEM). La SIM, nota anche come gestione dei registri, prevedeva la raccolta dei file di registro e la loro archiviazione in un repository centrale per un'analisi successiva. D'altra parte, il SEM comportava il monitoraggio, la raccolta e l'elaborazione dei dati in tempo reale. Il SIEM è una combinazione avanzata di entrambi questi approcci.
Le capacità principali delle soluzioni SIEM includono la raccolta dei registri, l'aggregazione dei registri, l'analisi, la normalizzazione, la categorizzazione, l'arricchimento dei registri, le analisi (incluse le regole di correlazione, il rilevamento e la risposta agli incidenti), l'indicizzazione e l'archiviazione. Quindi, senza ulteriori indugi, diamo un'occhiata a cosa significa tutto ciò.
La raccolta dei registri, come suggerisce il nome, è la raccolta di dati di registro provenienti da varie fonti nella rete di un'organizzazione. Dovresti sapere che l'integrazione dei registri e la distribuzione della tua soluzione SIEM non sono attività facili. Utilizza un approccio a più livelli per l'integrazione dei registri; l'ordine in cui li integri dipenderà dai casi d'uso importanti della tua organizzazione. Di seguito è riportato un modo popolare per sequenziare la raccolta dei registri in SIEM:
In ogni fase dell'integrazione, assicurati di eseguire test sufficienti per sapere che i tuoi registri sono stati integrati correttamente nella soluzione SIEM.
Ti ricordiamo, inoltre, che il metodo di raccolta dei registri può essere basato su agente o essere senza agente. La raccolta basata su agente prevede che un agente, ad esempio Windows Server, NXLog o OSSEC, raccolga, analizzi e inoltri i dati di registro da ogni dispositivo al server SIEM. La raccolta senza agente coinvolge i dispositivi, ad esempio i commutatori, l'host del provider WMI e gli ambienti cloud (API), che inviano i registri ai server.
In questo processo, le informazioni rilevanti vengono estratte dai dati di registro raccolti e archiviati in un formato facilmente leggibile, ricercabile ed esplorabile dalla soluzione SIEM. Il modo più comune per la raccolta dei registri è il formato syslog, che è un protocollo di registrazione standard che può essere facilmente interrogato dalla soluzione. La maggior parte delle soluzioni SIEM al giorno d'oggi sono predefinite per comprendere il formato syslog. Una volta che i syslog e gli altri registri vengono importati nel SIEM, viene eseguita l'aggregazione dei registri per estrarre informazioni significative.
Per comprendere l'analisi, è necessario sapere che anche nei dati di registro non strutturati saranno comunque presenti modelli che potrebbero essere visualizzati a intervalli diversi. Un parser, che è un componente software, prende i dati di registro non strutturati in un formato specifico e li converte in dati leggibili, pertinenti e strutturati. È possibile utilizzare più parser per sistemi diversi, a seconda del volume di dati.
Questo processo prevede l'associazione di eventi diversi a dati diversi, la riduzione al minimo del volume dei dati di registro con attributi di evento comuni (ad esempio nomi di campi o valori comuni) e l'inserimento in un formato comprensibile per la soluzione SIEM.
Ciò comporta l'ordinamento dei dati e l'assegnazione di categorie in base a elementi come eventi (quali il funzionamento in locale, il funzionamento da remoto, gli eventi generati dal sistema o gli eventi basati sull'autenticazione) e se è stato necessario un riavvio.
Ciò si riferisce all'aggiunta di altri dettagli essenziali, come la geolocalizzazione, l'indirizzo e-mail e il sistema operativo utilizzato ai dati di registro non elaborati per renderli più pertinenti e significativi.
La soluzione SIEM monitorerà e analizzerà continuamente i dati ricevuti per cercare segni di anomalie, vulnerabilità e minacce che potrebbero compromettere la sicurezza della rete dell'organizzazione e provocare violazioni dei dati. A seconda della soluzione SIEM utilizzata, le funzionalità saranno diverse. Nel caso del SIEM tradizionale, la soluzione rileverà e avviserà l'utente delle minacce in base solo a regole predefinite, mentre una soluzione SIEM integrata con l'IA sarà anche in grado di rilevare e avvisare l'utente in caso di anomalie nel comportamento degli utenti e persino di aiutare a prevenire gli attacchi zero-day.
Al fine di identificare meglio gli eventi e rilevare le minacce, l'analisi dei dati viene eseguita con l'aiuto di un motore di correlazione, un TIP e, nel caso di SIEM integrato con l'IA, l'analisi del comportamento di utenti ed entità (UEBA). È necessario sapere quali sono per capire in che modo proteggono la sicurezza della rete dell'organizzazione.
Viene creato un indice in base ai dati di registro con attributi comuni per un'esecuzione più rapida ed efficace di query o esplorazioni da parte di un analista della sicurezza. Ad esempio, quando un analista desidera scoprire quali processi sono stati eseguiti da un determinato utente, può eseguire una query o navigare nell'indice e ottenere i risultati immediatamente.
A seconda dei mandati di conformità che la tua organizzazione deve rispettare, dei criteri interni della tua organizzazione, della tua necessità di dati storici e dei tuoi casi d'uso di sicurezza, i dati di registro possono essere archiviati per il periodo di tempo necessario.
In base alle funzionalità della tua soluzione SIEM, puoi avvisare il tuo team di sicurezza di eventuali eventi, minacce e vulnerabilità di sicurezza oppure puoi automatizzare i flussi di lavoro di risposta. E con questo, la lezione di teoria è ufficialmente finita. D'ora in poi, esamineremo i vantaggi del SIEM con esempi reali di dove la tua soluzione SIEM può tornare utile e approfondimenti su ciò che potrebbe renderla ancora migliore.
Potresti aver già dedotto la maggior parte dei vantaggi che il SIEM potrebbe conferire alla tua organizzazione. Li approfondirò solo un po' di più, tanto per assicurarmi che sia tutto chiaro. Se la tua soluzione SIEM dispone di funzionalità di ML, può fornire vantaggi come un migliore rilevamento e mitigazione delle minacce, una risposta agli incidenti più rapida, una gestione della conformità più efficiente e una ricerca delle minacce più efficace.
Quando si tratta di rilevamento delle minacce, una soluzione SIEM integrata con l'intelligenza artificiale con la sua capacità di apprendimento può persino identificare vulnerabilità precedentemente sconosciute (ad esempio, vulnerabilità zero-day) e punti ciechi che sono destinati a diventare problemi quando l'organizzazione si espande. L'IA può anche dare priorità agli avvisi in base all'ordine di criticità, il che non solo farà risparmiare tempo agli analisti della sicurezza, ma garantirà anche una risposta più rapida agli incidenti e una migliore sicurezza e ripristino dei dati. In questo modo si ridurrà l'incidenza dei falsi positivi, consentendo agli analisti di concentrarsi sulle minacce che richiedono la loro attenzione.
Le organizzazioni sono inoltre tenute a rispettare normative come HIPAA, GDPR, SOX e PCI DSS. A tal fine, devono soddisfare diversi criteri che comprendono il monitoraggio continuo dei dati di registro, il traffico di rete, le minacce e le vulnerabilità, le attività non autorizzate, l'accesso dei dipendenti ai dati e le modifiche alle credenziali e ai criteri sui dati. La tua soluzione SIEM può raggiungere tutto questo e generare report di controllo specifici per aiutarti a soddisfare i requisiti.
Per aiutarti a capire perché la tua organizzazione ha bisogno di una soluzione SIEM, fornirò alcuni esempi di crimini informatici reali e mostrerò come la tua organizzazione potrebbe caderne preda se lasciasse i suoi dati non protetti.
Il 9 aprile 2020, il Florida Orthopaedic Institute (FOI), uno dei maggiori enti erogatori di servizi ortopedici dello Stato, ha scoperto di essere diventato vittima di ransomware quando il suo personale non è più stato in grado di accedere ai file dei pazienti, che erano stati crittografati dagli hacker. Il FOI ha assunto esperti forensi di terze parti per contribuire a effettuare le sue indagini. Il 6 maggio gli esperti hanno stabilito che gli utenti malintenzionati avevano avuto accesso e potenzialmente esfiltrato dati sensibili, tra cui nomi, date di nascita, numeri di previdenza sociale, codici di diagnosi, numeri di identificazione del pagatore, importi di pagamento, posizioni dei medici e numeri di identificazione del piano assicurativo di circa 640.000 pazienti!
Sebbene il FOI sia stato in grado di recuperare i dati, resta il fatto che le PII dei suoi clienti sono cadute nelle mani sbagliate. In segno di riconoscimento, il FOI ha offerto ai suoi clienti interessati il monitoraggio gratuito del credito e la protezione dal furto di identità per un periodo di un anno. Questo, tuttavia, non ha impedito che fosse citato in giudizio per negligenza e mancata protezione delle informazioni sanitarie dei pazienti; questo incidente ha quindi provocato l'azione legale collettiva che ora si trova a dover affrontare.
Il 7 maggio 2020 la più grande società di telecomunicazioni del Giappone, Nippon Telegraph and Telephone (NTT), ha subito una violazione nel suo server di produzione a Singapore. Gli hacker hanno utilizzato questo punto di ingresso come trampolino di lancio per ottenere l'accesso a un server cloud situato in Giappone. Gli hacker si sono poi spostati lateralmente su un server interno prima di ottenere finalmente l'accesso al server Active Directory (AD).
Gli hacker hanno caricato i dati rubati dal server AD su un server remoto. L'NTT ha rilevato l'attacco l'11 maggio e ha immediatamente adottato misure per mitigarlo. Tuttavia, a quel punto si è scoperto che gli hacker avevano rubato i dati di ben 621 dei suoi clienti.
Questi sono solo due esempi di come gli attacchi informatici potrebbero non solo costarti denaro, ma anche la tua reputazione. Esistono molti modi diversi in cui i criminali informatici possono attaccare le organizzazioni, ma phishing, malware e ransomware sono i più comuni.
Ora sai perché hai bisogno di una soluzione SIEM. Ma se la tua organizzazione è enorme e dispone di un SOC corrispondente e i tuoi analisti della sicurezza stanno annegando sotto una marea di minacce e avvisi di sicurezza oltre alle loro responsabilità quotidiane, l'integrazione dell'orchestrazione, dell'automazione e della risposta della sicurezza (SOAR) con la tua soluzione SIEM potrebbe essere la strada da percorrere.
Come SIEM, anche SOAR è un argomento di tendenza nella sicurezza informatica. Inizialmente, i tecnici credevano che il SOAR potesse sostituire il SIEM, ma ora gli esperti concordano sul fatto che l'integrazione delle piattaforme SIEM e SOAR possa migliorare la sicurezza delle organizzazioni e l'efficienza dei SOC.
Il SOAR condivide alcune somiglianze con SIEM, ma fornisce un rilevamento e una risposta agli incidenti più rapidi. Ciò è dovuto alla sua capacità di automatizzare le risposte in base agli eventi e di suggerire raccomandazioni agli analisti sulla base dell'intelligence sulle minacce informatiche. Una volta che un analista seleziona la migliore linea d'azione, il SOAR la eseguirà automaticamente e conterrà rapidamente la minaccia informatica.
Il SOAR offre una posizione centrale per la ricerca, le indagini e l'intelligence. Può standardizzare le procedure consigliate e ridurre le attività ripetitive e di conseguenza, l'errore umano. La parte migliore del SOAR è che può essere integrato con il tuo SIEM e TIP. Per quanto possa sembrare ideale, prima di prendere la decisione di implementare il SOAR, è necessario considerare fattori come le effettive esigenze del SOC, la complessità della configurazione di SOAR e gli enormi costi di implementazione che si dovranno sostenere.
Tieni presente che il SIEM sarà anche un investimento significativo per la tua organizzazione, sia in termini di denaro che di sicurezza dei dati. Se stai cercando una soluzione SIEM in grado di rafforzare la sicurezza dei dati della tua organizzazione, dai un'occhiata a Log360 di ManageEngine, una delle soluzioni SIEM più popolari. Scegli con saggezza e proteggi nella maniera migliore i tuoi dati, altrimenti le conseguenze potrebbero essere terribili. Grazie per la lettura!