Un efficace monitoraggio dei sistemi IT grazie a log management e SIEM

Con frequenza praticamente settimanale, sentiamo parlare di una grande azienda che ha appena subito un data breach. Gli hacker hanno raggiunto informazioni protette, raccogliendo il più delle volte dati sensibili e finanziari di dipendenti e clienti. Il problema è che non sappiamo come si configurino gli attacchi al sistema informatico fino a quando non si sono verificati. Se potessimo magicamente saperlo in anticipo, saremmo in grado di automatizzare tutte le nostre difese.

Spesso l'unico modo in cui le aziende possono rilevare i cyber attacchi, anche dopo che si sono verificati, è conoscere e comprendere cosa sta succedendo nei log e in altre aree protette. Esistono molti prodotti software e tecniche che offrono informazioni sullo stato di salute della sicurezza della tua azienda ma, come vedremo, a volte forniscono solo una visione ristretta dell'intero quadro.

Due termini comuni, Log Management (LM) e Security Information and Event Management (SIEM), vengono spesso usati insieme, ma esistono differenze significative nelle definizioni e negli approcci. Vediamole insieme.

Un primo passo importante per stabilire un protocollo di analisi della sicurezza è la gestione dei log. I log sono messaggi generati dal computer che provengono da tutti i tipi di software e hardware: quasi tutti i dispositivi informatici hanno la capacità di produrre log. I log mostrano, in dettaglio, le varie funzioni del dispositivo o dell'applicazione, nonché quando gli utenti accedono o tentano di accedere (log in).

I log management system (LMS) possono essere utilizzati per una varietà di funzioni, tra cui: raccolta, aggregazione centralizzata, archiviazione e conservazione, rotazione, analisi e reporting dei log.

I log vengono spesso utilizzati per rilevare i punti deboli della sicurezza e le aziende lungimiranti che impiegano security analysts spesso sono in grado di individuarli e risolverli prima che si verifichino violazioni. Tuttavia, più grande è l'azienda, più log ci sono, considerato che le aziende possono facilmente produrre centinaia di gigabyte di log al giorno. Poiché le dimensioni dei log continuano a crescere e le aziende diventano sempre più vigili sull'analisi della sicurezza, la gestione dei log da sola non è sufficiente: è solo una componente di una soluzione olistica.

Scarica il whitepaper "Log management e SIEM come sistema per il monitoraggio continuo della sicurezza dell’azienda"

Qualsiasi tipo di software offre uno sguardo limitato sullo stato di salute della tua sicurezza. Ad esempio, un sistema di gestione delle risorse tiene traccia solo delle applicazioni, dei processi aziendali e dei contatti amministrativi, un sistema di rilevamento delle intrusioni di rete (IDS) può vedere solo indirizzi IP, pacchetti e protocolli. Prese singolarmente, queste opzioni non possono indicare cosa sta succedendo in tempo reale alla tua rete.

Ecco allora che entra in gioco il SIEM, che va un passo oltre il log management. Gli esperti lo descrivono come "superiore alla somma delle sue componenti": comprende infatti molte tecnologie di security e la sua implementazione rende ogni singolo componente di sicurezza più efficace. A tutti gli effetti, il SIEM è l'unico modo per visualizzare e analizzare tutta la tua attività di rete.

Il termine, coniato nel 2005, trae origine e si basa su diverse tecniche di cyber security che, prese singolarmente, non possono indicare cosa sta succedendo in tempo reale ad una rete. Combinando il meglio di queste tecniche tuttavia, il SIEM fornisce un approccio completo alla sicurezza. I vendor possono proporli come prodotti e/o servizi gestiti, insieme ad altre soluzioni relative alla sicurezza. I prodotti SIEM più completi sono quelli con le seguenti funzionalità:

• L'aggregazione, l'analisi e il reporting dell'output di log da reti, sistemi operativi, database e applicazioni
• Applicazioni che verificano le identità e gestiscono l'accesso
• Gestione delle vulnerabilità e forensic analysis
• Policy compliance
• Notifiche di minacce esterne
• Dashboard personalizzabili

Come per il log management, l'obiettivo di un SIEM è la sicurezza, ma i vantaggi di un approccio SIEM sono la sua analisi in tempo reale e il collegamento di sistemi diversi al fine di unificare le informazioni in un'unica console.

In sostanza, un SIEM fornisce una visione ampia e dettagliata della sicurezza della tua azienda. In questo modo i tuoi security analists possono continuare a fare ciò che sanno fare meglio, vale a dire analizzare la sicurezza in tempo reale, anziché dedicare tempo prezioso all'apprendimento di ogni singolo prodotto che ricade sotto l'ombrello della sicurezza.