Controllo in tempo reale per individuare eventuali minacce con la massima tempestività: il ruolo dei sistemi SIEM, nell’architettura di cyber-security, rappresenta oggi un tassello fondamentale. Il SIEM, acronimo di Security information and event management, consente ai team dedicati alla sicurezza di “leggere” la situazione e prendere le decisioni più adeguate per contenere un eventuale attacco informatico. La sua efficacia, però, varia a seconda delle sue caratteristiche e delle modalità di implementazione all’interno dell’azienda.
Sistemi SIEM e IT: massima copertura
La prima regola per garantire l’efficacia di un SIEM è quella di “coprire” tutte le parti dell’ecosistema IT. Questo per due motivi. Il primo riguarda il fatto che l’incisività dello strumento aumenta in base al numero di fonti a cui è collegato, in una progressione esponenziale. I sistemi SIEM, infatti, non si limitano a registrare gli eventi e i log di sistema, ma li analizzano mettendoli in relazione tra di loro attraverso sistemi di machine learning e intelligenza artificiale. In quest’ottica, ogni dato in più consente di dare un maggior “significato” anche alle altre informazioni raccolte. Diventa fondamentale, quindi, scegliere uno strumento che sia in grado di elaborare i log provenienti da tutte le fonti disponibili. In questo modo saremo in grado di massimizzare l’efficacia dei controlli e ottimizzare il livello di protezione.
SIEM aziendale, attenzione alle zone grigie
Se l’obiettivo è quello di avere la massima visibilità di ciò che accade a livello di sistema, uno degli aspetti cui prestare attenzione è ovviamente quello di non trascurare nessuna parte di quella che viene considerata normalmente la superficie d’attacco. Il tema si pone, in particolare, per quanto riguarda i cosiddetti dispositivi della Internet of Things (IoT) e per tutti quei device la cui attività rischia altrimenti di rimanere “sotto i radar”. Nei settori industriali e manifatturieri per esempio, la categoria dei dispositivi che potrebbero sfuggire al controllo, comprende le interfacce per la gestione della produzione come i controllori logici programmabili (PLC).
Perché un SIEM deve monitorare i dispositivi smart
Ciò vale non solo per gli ambienti produttivi, oramai super connessi, come l’industria 4.0, ma anche per ambienti apparentemente meno complessi. È necessario, infatti, considerare la presenza di dispositivi “intelligenti” come termostati, lampadine, serrature digitali e simili. È necessario, quindi, eseguire non solo un assessment dei dispositivi presenti in rete, ma anche la predisposizione di regole adeguate per la reportistica che tengano conto delle specificità di ogni servizio e funzione dei dispositivi stessi. In altre parole: oltre a una puntuale copertura di tutta l’infrastruttura, è necessario sapere esattamente che tipo di dati vengono trasmessi e a quale scopo. Solo in questo modo, infatti, è possibile individuare le priorità e contestualizzare l’eventuale vulnerabilità.
Sistemi SIEM e software as a service: monitorare fuori dal perimetro
La diffusione della formula del Software as a Service (SaaS) veicolata attraverso piattaforme cloud pone il problema della visibilità dei dati trattati in questa dimensione. Se i sistemi SIEM sono certamente in grado di registrare i log dai sistemi all’interno del perimetro aziendale, per quanto riguarda i servizi erogati via cloud è necessario verificare che lo sviluppatore (o il fornitore del servizio stesso) offrano questa possibilità. Tanto più che l’adozione di forme di organizzazione lavorativa “flessibili” come lo smart working e la mobilità, rendono questo tipo di attività ancora più sfuggente.
