SIEM in informatica: la storia
Home » SIEM in informatica: la storia

SIEM in informatica: la storia
Tempo di lettura: 6 min
Una soluzione SIEM in informatica e’ uno dei componenti essenziali di un SOC (Security Operation Center). Il suo compito e’ quello di raccogliere informazioni e analizzarle alla ricerca di anomalie e possibili breach nel sistema. Ma non e’ sempre stato cosi’ semplice il processo di difesa. Quello che oggi chiamiamo SIEM, Security Information and Event Management, e’ l’unione di due differenti tipi di tool di cyber security.
SIM e SEM: le origini
Prima dell’arrivo di una soluzione completa SIEM in informatica, la sicurezza era fortemente incentrata sulla protezione del perimetro e non teneva adeguatamente controllata la rete interna. Le prime soluzioni sviluppate negli anni ’90 erano basilari e sostanzialmente si occupavano di gestione delle informazioni di sicurezza (SIM) oppure di gestione degli eventi di sicurezza (SEM). Erano soluzioni disponibili come strumenti che dovevano essere implementati in loco nel data center da proteggere. Questo limitava la scalabilita’, perché l’aggiunta di capacita’ richiedeva l’acquisto di ulteriore strumentazione.
Queste prime soluzioni erano anche costruite su database proprietari che obbligavano i clienti alla tecnologia di un unico fornitore. Se si voleva spostare i dati su un altro sistema, il processo era lungo e complicato. Da notare inoltre che l’archiviazione era piu’ costosa, quindi venivano raccolti solo i dati piu’ preziosi. Inoltre, sebbene le soluzioni SIM e SEM contenevano tutti i dati necessari alla difesa, la ricerca e l’allarme erano rudimentali. Inoltre, dipendevano da analisti della sicurezza esperti per ricercare, capire e interpretare cio’ che trovavano nei dati.
Le origini SIEM in informatica
Man mano che i dati diventavano piu’ sensibili e la tecnologia piu’ potente, i sistemi SIEM (SIM+SEM) diventavano capaci di ingerire, elaborare e memorizzare moltissimi dati. Le soluzioni SIEM in informatica di generazione successiva sono in grado di utilizzare gli avvisi signature-based per individuare le minacce nei dati raccolti. Tuttavia, in questo modo si possono individuare solo gli avvisi che abbiano individuato degli indicatori di compromesso (IOC) di una certa minaccia.
Per intenderci, se il tipo di attacco a cui viene sottoposto un sistema non e’ stato catalogato in una serie di IOC, un SIEM di prima generazione non e’ in grado di rilevarlo. Il principale svantaggio di quei sistemi era proprio la capacita’ molto limitata nello scoprire cyber threat sconosciuti.
Per fare un esempio pratico: era possibile usare una regola di questo tipo: “dare un avviso se un utente inserisce 10 password sbagliate consecutive”. In teoria questo potrebbe essere usato per rilevare attacchi con password di forza bruta. Ma cosa succederebbe se l’aggressore provasse solo 9 password di fila? O se l’allarme venisse dato per un utente molto smemorato?
Next Gen SIEM
Un SIEM di nuova generazione e’ costruito su una grande piattaforma di dati che fornisce una scalabilita’ illimitata ed e’ ospitato nel cloud. Un next gen SIEM include la gestione dei log, il rilevamento avanzato delle minacce basato sull’analisi del comportamento e la risposta automatica agli incidenti, il tutto su un’unica piattaforma.
Questo elimina i problemi a cui erano proni i vecchi sistemi on-premises. Non dovendo installare alcunché e potendo mandare i dati necessari nel cloud abbastanza semplicemente, la potenza di calcolo della macchina locale non e’ compromessa e il SIEM puo’ gestire tutti i dati tranquillamente.
Come procede un SIEM in analisi informatica delle minacce
1. Raccolta dati: una soluzione SIEM in informatica raccoglie dati da tutta l’organizzazione utilizzando agenti installati su vari dispositivi, tra cui endpoint, server, apparecchiature di rete e altre soluzioni di sicurezza. Il SIEM di nuova generazione include il supporto per applicazioni e infrastrutture cloud, applicazioni aziendali, dati di identita’ e feed di dati non tecnici.
2. Arricchimento dei dati: L’arricchimento aggiunge ulteriore contesto agli eventi. Il SIEM arricchira’ i dati con identita’, risorse, geolocalizzazione e informazioni sulle minacce.
3. Stoccaggio dei dati: I dati saranno poi memorizzati in una banca dati in modo da poterli ricercare durante le indagini. Il SIEM di nuova generazione sfrutta architetture open source e big data architectures, sfruttandone la scalabilita’.
4. Correlazione e analisi: Le soluzioni SIEM utilizzano diverse tecniche per trarre conclusioni utilizzabili dai dati del SIEM. Queste tecniche variano notevolmente.
5. Report: Un SIEM, in particolare un SIEM di nuova generazione, da’ la possibilita’ di cercare rapidamente i dati, permettendo di scavare negli avvisi e di cercare gli attori della minaccia e gli indicatori di compromesso. I dati visualizzati possono essere salvati o esportati. E’ inoltre possibile utilizzare report out-of-the-box o creare report ad hoc a seconda delle esigenze.
Per cosa e’ utilizzato un SIEM
Threat hunting e investigazione
La capacita’ di eseguire threat hunting su un SIEM e’ fondamentale per comprendere i veri modelli di attacchi basati sull’accesso, sull’attivita’ e sulle violazioni dei dati. Sviluppando una visione dettagliata e contestuale degli attacchi, gli analisti della sicurezza possono sviluppare piu’ facilmente politiche, contromisure e processi di risposta agli incidenti per contribuire a mitigare e rimuovere la minaccia.
Risposta in caso di incidente
Una risposta efficace agli incidenti e’ fondamentale per intervenire piu’ rapidamente e ridurre i tempi di permanenza della minaccia. Per questo, un SIEM fornisce un playbook per la risposta agli incidenti con azioni automatizzate configurabili. Un SIEM e’ in grado di integrarsi con soluzioni di terze parti per l’orchestrazione della sicurezza (SOAR) o la gestione dei singoli casi.
Difesa contro le minacce interne
Il motivo per cui le minacce interne sono un problema cosi’ grande perché non si tratta di entrare nel perimetro, ma di sfruttare posizioni interne. Possono essere i vostri dipendenti, appaltatori o soci in affari. Potrebbero essere loro stessi a voler sfruttare la loro posizione, oppure il loro account potrebbe essere stato violato.
Con ogni tipo di minaccia interna, l’aggressore cerca di rimanere nascosto, raccogliendo dati sensibili da sfruttare. Questo potrebbe causare notevoli danni alla compagnia, alla sua posizione nel settore e al suo rapporto con i consumatori o gli investitori. Con l’utilizzo di un SIEM, si evita questo rischio.
Individuazione di cyber threat
E’ probabile che la tua organizzazione disponga di almeno un archivio di dati sensibili. I cyber criminali prosperano sul saccheggio di questi dati per ottenere guadagni finanziari. Molte violazioni iniziano con una semplice e-mail phishing contro un obiettivo di un’organizzazione. Il semplice clic su un allegato puo’ lasciare codice dannoso dietro di sé. Un SIEM vi permettera’ di monitorare modelli avanzati di minacce informatiche come il phishing, il beaconing e il lateral movement.
Standard di conformita’
Per molti settori industriali, l’adesione agli standard di conformita’ e’ fondamentale. Un SIEM puo’ essere d’aiuto fornendo report incentrati sulle richieste per la conformita’ dei dati. I pacchetti integrati che coprono tutti i principali mandati, inclusi PCI DSS, SOX e ISO 27001, sono una caratteristica standard anche dei SIEM.
Next Generation SIEM
Un SIEM di nuova generazione non e’ solo un sistema ospitato nel cloud. Si avvale anche dell’implementazione di IA e Machine Learning per aumentare la difesa del sistema IT.
Lo vedremo in un prossimo articolo, ma e’ giusto specificare che il SOCaaS offerto da SOD si avvale della tecnologia di ultima generazione offerta da sistemi Next Gen. SIEM. Contattaci per saperne di piu’ a riguardo e parlare con esperti che possono fugare ogni tuo dubbio.
Link utili:
Cos’e’ un Network Lateral Movement e come difendersi
Condividi
RSS
Piu’ articoli…
- Unificare la piattaforma per la threat detection
- L’importanza del monitoring ICT
- I benefici SOAR: semplificare indagine e risposta
- Security Code Review: come funziona il servizio
- Automated Response Integration: le automazioni nel SOCaaS
- Coordinazione tra CTI e SOC: come alzare ulteriormente le difese
- Novità Cloud Server: internet ridondata
- Certificato di qualità per il SOCaaS di SOD
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (15)
- Security (157)
- Cyber Threat Intelligence (CTI) (5)
- Ethical Phishing (8)
- SOCaaS (49)
- Vulnerabilita' (84)
- Web Hosting (15)
Tags
CSIRT
- Aggiornamenti per prodotti Citrix
(AL02/220525/CSIRT-ITA) Maggio 25, 2022Risolte 2 vulnerabilità presenti nei prodotti Citrix ADC e Citrix Gateway che, qualora sfruttate, potrebbero consentire a un utente malintenzionato la compromissione della disponibilità del servizio.
- Nuova versione di Google Chrome
(AL01/220525/CSIRT-ITA) Maggio 25, 2022Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 32 vulnerabilità di sicurezza, di cui 1 con gravità “critica” e 8 con gravità “alta”.
- Aggiornamenti per CISCO IOS XR
(AL02/220523/CSIRT-ITA) Maggio 23, 2022Aggiornamenti di sicurezza Cisco sanano una vulnerabilità nel prodotto IOS XR.
- Aggiornamenti di sicurezza per prodotti Mozilla
(AL01/220523/CSIRT-ITA) Maggio 23, 2022Mozilla ha rilasciato aggiornamenti di sicurezza per sanare 2 vulnerabilità con gravità “critica” nei prodotti Firefox, Firefox ESR, Firefox per Android e Thunderbird.
- La Settimana Cibernetica del 22 maggio 2022 Maggio 23, 2022Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 16 al 22 maggio 2022
- ATTACCHI DDoS - Tipologie e azioni di mitigazione
(BL01/220520/CSIRT-ITA) Maggio 20, 2022L’Agenzia per la Cybersicurezza Nazionale continua a monitorare con la massima attenzione le minacce cibernetiche nei confronti del Paese, con particolare riguardo al fenomeno degli attacchi DDOS che dalla tarda serata di ieri interessano alcuni siti web di Pubbliche Amministrazioni e Soggetti privati. Rispetto a quanto già comunicato nell’alert, diramato in data 13 maggio , […]
- Attività malevole verso dispositivi VMWare
(BL01/220519/CSIRT-ITA) Maggio 19, 2022La Cybersecurity and Infrastructure Security Agency (CISA) ha recentemente pubblicato un Cybersecurity Advisory (CSA) per allertare le organizzazioni di possibili attività malevole volte a sfruttare vulnerabilità note che interessano i prodotti VMWare.
- Aggiornamenti per ISC BIND
(AL02/220519/CSIRT-ITA) Maggio 19, 2022Aggiornamenti di sicurezza ISC sanano una vulnerabilità con gravità “alta” nel prodotto BIND che potrebbe comportare la compromissione della disponibilità del servizio.
- Attività malevole perpetrate verso dispositivi QNAP
(AL01/220519/CSIRT-ITA) Maggio 19, 2022Il QNAP Product Security Incident Response Team (QNAP PSIRT) ha recentemente rilasciato un avviso di sicurezza in cui evidenzia l’incremento di attività malevole volte a compromettere i dispositivi sui quali sono presenti istanze software vulnerabili.
- Emotet: rilevata nuova campagna di distribuzione - Aggiornamento 20/05
(AL02/220518/CSIRT-ITA) Maggio 18, 2022Rilevata una nuova campagna malspam volta alla distribuzione del noto malware Emotet verso organizzazioni italiane.
Dark Reading
- Forescout Launches Forescout Frontline to Help Organizations Tackle Ransomware and Real Time Threats Maggio 25, 2022New threat hunting and risk identification service provides organizations with an enterprise-wide baseline of their threat landscape and risk exposure.
- Is Your Data Security Living on the Edge? Maggio 25, 2022Gartner's security service edge fundamentally changes how companies should be delivering data protection in a cloud and mobile first world.
- Interpol's Massive 'Operation Delilah' Nabs BEC Bigwig Maggio 25, 2022A sprawling, multiyear operation nabs a suspected SilverTerrier BEC group ringleader, exposing a massive attack infrastructure and sapping the group of a bit of its strength.
- JFrog Launches Project Pyrsia to Help Prevent Software Supply Chain Attacks Maggio 25, 2022Open source software community initiative utilizes blockchain technology.
- Mastercard Launches Cybersecurity “Experience Centre” Maggio 25, 2022Experience Centre features emerging Mastercard products and solutions for securing digital payments on a global scale, including those developed locally in Vancouver.
- Qualys to Unveil VMDR 2.0 at Qualys Security Conference in San Francisco Maggio 25, 2022Company will detail enhancements to Vulnerability Management, Detection and Response solution next month.
- Corelight Announces New SaaS Platform for Threat Hunting Maggio 25, 2022Corelight Investigator aids threat hunting and investigation through intelligent alert aggregation, built-in queries and scalable search
- Cybersecurity-Focused SYN Ventures Closes $300 Million Fund II Maggio 25, 2022Cylance co-founder Ryan Permeh has joined full time as an operating partner.
- Vishing Attacks Reach All Time High, According to Latest Agari and PhishLabs Report Maggio 25, 2022According to the findings, vishing attacks have overtaken business email compromise as the second most reported response-based email threat since Q3 2021.
- Zero-Click Zoom Bug Allows Code Execution Just by Sending a Message Maggio 25, 2022Google has disclosed a nasty set of six bugs affecting Zoom chat that can be chained together for MitM and RCE attacks, no user interaction required.
Full Disclosure
- Disclosing Vulnerability of CLink Office 2.0 Maggio 23, 2022Posted by chan chan on May 23Dear Sir/Madam, I would like to submit a vulnerability found on CLink Office 2.0. I had contacted the vendor 60 days before but in vain. # Exploit Title: Multiple blind SQL injection vulnerabilities in in CLink Office 2.0 Anti-Spam management console # Date: 30 Mar 2022 # Exploit Author: […]
- [tool] tplink backup decryptor. Maggio 23, 2022Posted by retset on May 23Yet another "tool" to decrypt a backup configs for some tplink wifi routers. Only tested on latest fw for "Archer C7". I hope that it will be useful for someone. https://github.com/ret5et/tplink_backup_decrypt_2022.bin
- SEC Consult SA-20220518-0 :: Multiple Critical Vulnerabilities in SAP® Application Server, ABAP and ABAP® Platform (Different Software Components) Maggio 18, 2022Posted by SEC Consult Vulnerability Lab, Research via Fulldisclosure on May 18SEC Consult Vulnerability Lab Security Advisory < 20220518-0 > ======================================================================= title: Multiple Critical Vulnerabilities product: SAP® Application Server ABAP and ABAP® Platform (Different Software Components) vulnerable version: see section "Vulnerable / tested versions" fixed version: see SAP security notes...
- PHPIPAM 1.4.4 - CVE-2021-46426 Maggio 18, 2022Posted by Rodolfo Augusto do Nascimento Tavares via Fulldisclosure on May 18=====[ Tempest Security Intelligence - ADV-03/2022 ]========================== PHPIPAM - Version 1.4.4 Author: Rodolfo Tavares Tempest Security Intelligence - Recife, Pernambuco - Brazil =====[ Table of Contents ]================================================== * Overview * Detailed description * Timeline of disclosure * Thanks & Acknowledgements * References =====[ Vulnerability […]
- LiquidFiles - 3.4.15 - Stored XSS - CVE-2021-30140 Maggio 18, 2022Posted by Rodolfo Augusto do Nascimento Tavares via Fulldisclosure on May 18=====[ Tempest Security Intelligence - ADV-12/2021 ]========================== LiquidFiles - 3.4.15 Author: Rodolfo Tavares Tempest Security Intelligence - Recife, Pernambuco - Brazil =====[ Table of Contents]================================================== * Overview * Detailed description * Timeline of disclosure * Thanks & Acknowledgements * References =====[ Vulnerability...
- Watch multiple LockBit Ransom get DESTROYED Mass PWNAGE at scale! Maggio 18, 2022Posted by malvuln on May 18Watch multiple LockBit Ransom get DESTROYED Mass PWNAGE at scale! https://www.youtube.com/watch?v=eg3l8a_HSSU
- github.com/malvuln/RansomDLLs / Catalog of current DLLs affecting vulnerable Ransomware strains. Maggio 18, 2022Posted by malvuln on May 18Reference list for my Ransomware exploitation research. Lists current DLLs I have seen to date that some ransomware search for, which I have used successfully to hijack and intercept vulnerable strains executing arbitrary code pre-encryption. https://github.com/malvuln/RansomDLLs
- APPLE-SA-2022-05-16-2 macOS Monterey 12.4 Maggio 17, 2022Posted by Apple Product Security via Fulldisclosure on May 16APPLE-SA-2022-05-16-2 macOS Monterey 12.4 macOS Monterey 12.4 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213257. AMD Available for: macOS Monterey Impact: An application may be able to execute arbitrary code with kernel privileges Description: A memory corruption issue was addressed […]
- APPLE-SA-2022-05-16-6 tvOS 15.5 Maggio 17, 2022Posted by Apple Product Security via Fulldisclosure on May 16APPLE-SA-2022-05-16-6 tvOS 15.5 tvOS 15.5 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213254. AppleAVD Available for: Apple TV 4K, Apple TV 4K (2nd generation), and Apple TV HD Impact: An application may be able to execute arbitrary code with kernel […]
- APPLE-SA-2022-05-16-5 watchOS 8.6 Maggio 17, 2022Posted by Apple Product Security via Fulldisclosure on May 16APPLE-SA-2022-05-16-5 watchOS 8.6 watchOS 8.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213253. AppleAVD Available for: Apple Watch Series 3 and later Impact: An application may be able to execute arbitrary code with kernel privileges Description: A use after free […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Security Awareness, la sicurezza aziendale parte dai dipendenti. L'ingegneria sociale fa spesso leva sull'ignoranza… https://t.co/nGAs70Ofn5
-
SecureOnlineDesktop
Torna all'inizio Scopri i nostri servizi di Cyber SecurityTroverai sicuramente quello che fa al caso tuo Se vuoi m… https://t.co/Emm5kUfFc4
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Today we see one of the latest additions to our SOCaaS, the Autonomous Threat… https://t.co/QNvHnKbEqq
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The Security Code Review (SCR) service is increasingly used by companies l… https://t.co/rJmYXr1oCj
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il servizio di Security Code Review (SCR) è sempre più utilizzato dalle aziende… https://t.co/g2ho2C8FYh
Newsletter
Prodotti e Soluzioni
- Cloud Server
- Conferenza Cloud
- Web Hosting
- Cloud CRM
- Consulenza ICT | Outsourcing
- ownCloud
- BaaS | Cloud Backup
- Log Management
- Servizio di monitoraggio ICT
- Next Generation SIEM
- Phishing Etico
- VPN Aziendali
- Progetti ICT
- Consulenze
- Vulnerability Assessment & Penetration Test
- Progetti Web
- Privacy | GDPR
- SOC as a Service
News
- Unificare la piattaforma per la threat detection Maggio 23, 2022
- L’importanza del monitoring ICT Maggio 11, 2022
- I benefici SOAR: semplificare indagine e risposta Aprile 18, 2022
- Security Code Review: come funziona il servizio Aprile 13, 2022
- Automated Response Integration: le automazioni nel SOCaaS Aprile 11, 2022
Recensioni Google























Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications