Giacomo Lanzi
SIEM software: cos’e’ e come funziona
Tempo di lettura: 5 min
Evolvendosi al di la’ delle sue radici nella gestione dei log file, gli odierni fornitori di software per la gestione delle informazioni di sicurezza e degli eventi (SIEM) stanno introduciendo l’IA, l’analisi statistica avanzata e altri metodi analitici nei loro prodotti. Ma cos’e’ un software SIEM e quali sono i suoi utilizzi?
Il software SIEM
Acronimo di Security Information and Event Management, e’ un prodotto che fornisce ai professionisti della cyber security nelle aziende una visione d’insieme e un track record delle attivita’ all’interno del loro ambiente IT.
La tecnologia usata esiste da piu’ di un decennio, e si e’ evoluta della pratica di gestione dei log file. Ha combinato la security event management (SEM), che analizza i dati dei log e degli eventi in tempo reale per fornire monitoring delle minacce, correlazione degli eventi e risposta agli incidenti, con la security information management (SIM) che raccoglie, analizza e riporta i dati dei log.
Come funziona?
Il SIEM raccoglie e aggrega i dati di log generati in tutta l’infrastruttura tecnologica dell’organizzazione, dai sistemi e applicazioni host ai dispositivi di rete e di sicurezza come i firewall e i filtri antivirus. Quindi, identifica e categorizza gli incidenti e gli eventi, oltre ad analizzarli.
Il software persegue due principali obiettivi, che sono: fornire rapporti su incidenti ed eventi legati alla sicurezza informatica, come login riusciti e non, attivita’ di malware e altre possibili attivita’ dannose, e inviare avvisi se l’analisi mostra che un’attivita’ va contro regole prestabilite, indicando un potenziale problema di sicurezza.
Secondo gli esperti, negli ultimi anni la domanda delle imprese di maggiori misure di sicurezza ha spinto il mercato all’espansione. Oggi le grandi organizzazioni guardano al SIEM come a una base per la creazione di un centro operativo di sicurezza (SOC).
Analisi e intelligence
Uno dei principali fattori alla base dell’utilizzo del software SIEM per le operazioni di sicurezza e’ rappresentato dalle funzionalita’ offerte.
Molti prodotti offrono, oltre ai tradizionali dati dei log file, anche feed di informazioni sulle minacce. Alcuni software SIEM hanno anche capacita’ di analisi della sicurezza ed esaminano il comportamento della rete e quello degli utenti per fornire piu’ informazioni sulla possibilita’ che un’azione indichi o meno un’attivita’ dannosa.
In linea generale, gli strumenti SIEM forniscono:
1. Visibilita’ in tempo reale attraverso i sistemi di sicurezza informatica di un’organizzazione
2. Gestione del registro eventi che consolida i dati provenienti da numerose fonti
3. Una correlazione di eventi raccolti da diversi log o fonti di sicurezza, utilizzando regole che aggiungono informazioni importanti ai dati grezzi
4. Notifiche automatiche degli eventi di sicurezza. La maggior parte dei sistemi SIEM fornisce dashboard per i problemi di sicurezza e altri metodi di notifica diretta
Il processo di funzionamento SIEM
Nella pratica, il processo di funzionamento di un sistema SIEM si puo’ suddividere nei seguenti passaggi:
1. Raccolta dati: Tutte le fonti di informazioni sulla sicurezza della rete (es. server, sistemi operativi, firewall, software antivirus e sistemi di prevenzione delle intrusioni) sono configurate per mandare i log file degli eventi. La maggior parte dei moderni strumenti SIEM utilizza agenti per raccogliere i registri degli eventi dai sistemi aziendali, che vengono poi elaborati, filtrati e inviati al sistema.
2. Policy: Un profilo di policy viene creato dall’amministratore. Questo definisce il comportamento dei sistemi aziendali, sia in condizioni normali che durante gli incidenti di sicurezza predefiniti. Si forniscono regole predefinite, avvisi, report e dashboard che possono essere regolati e personalizzati in base alle specifiche esigenze di sicurezza.
3. Consolidamento e correlazione dei dati: Questi software consolidano, analizzano e controllano i log file. Gli eventi vengono poi categorizzati in base ai dati grezzi e vengono applicate regole di correlazione che combinano i singoli eventi.
4. Notifiche: Se un evento o un insieme di eventi fa scattare un allarme SIEM, il sistema notifica il personale di sicurezza.
E’ evidente che un SIEM si ferma all’analisi delle minacce e conseguente notifica. In seguito a queste, occorre che qualcuno intervenga, sia controllando i report che prendendo misure per mitigare l’eventuale minaccia. Questo puo’ avvenire solo se dietro al software e’ presente 24/7 una squadra di tecnici preparati che faccia manutenzione e intervenga quando necessario.
Conclusioni
Sebbene queste soluzioni offrono diversi vantaggi alle imprese di tutte le dimensioni e forme, esse presentano anche limiti e vulnerabilita’ che non dovrebbero essere ignorati.
Un SIEM richiede un monitoraggio costante 24 ore su 24, 7 giorni su 7, dei registri e degli allarmi, una regolare manutenzione e configurazione, nonche’ un team di sicurezza dedicato responsabile della gestione del software. La maggior parte del lavoro inizia dopo l’implementazione del SIEM. Pertanto, le organizzazioni non possono fare affidamento solo su queste soluzioni per proteggere le infrastrutture IT critiche.
Anche con un sistema del genere in funzione, i professionisti della sicurezza devono assicurarsi di avere risorse, strumenti, budget e tempo adeguati per poter sfruttare le funzionalita’ e garantire una protezione completa contro le potenziali minacce alla sicurezza.
Sotto questo punto di vista, la soluzione piu’ interessante per le aziende e’ quella di un SOCaaS, che comprende SIEM e gli altri strumenti adeguati per una gestione completa della cyber security di un’azienda.
Link utili:
Condividi
RSS
Piu’ articoli…
- Cos’è veramente un cyber threat
- SNYPR: Big Data al servizio della ricerca delle minacce
- Hadoop Open Data Model: raccolta dati “open”
- Pass the Ticket: come mitigarlo con un SOCaaS
- Cos’è il Vishing e come funziona
- UBA e UEBA: le differenze
- Database Activity Monitoring: cos’è e come metterlo in pratica
- SOAR e l’automazione della sicurezza informatica
Categorie …
- Backup as a Service (3)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (13)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (9)
- Cyber Threat Intelligence (CTI) (3)
- Ethical Phishing (8)
- SOCaaS (23)
- Vulnerabilita' (84)
- Web Hosting (15)
Tags
CSIRT
- Campagna di phishing ai danni degli utenti Facebook
(AL02/211026/CSIRT-ITA) Ottobre 26, 2021Dalle proprie attività di monitoraggio questo CSIRT ha rilevato in data odierna una campagna di phishing volta al furto delle credenziali di gestori di pagine Facebook.
- Risolte vulnerabilità su Zimbra Collaboration
(AL01/211026/CSIRT-ITA) Ottobre 26, 2021Rilasciati aggiornamenti per sanare 2 vulnerabilità riscontrate nel software Zimbra Collaboration, di cui una con gravità “critica”.
- La Settimana Cibernetica del 24 ottobre 2021 Ottobre 25, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 18 al 24 ottobre 2021.
- Rilevata vulnerabilità in NGINX Ingress Controller per Kubernetes
(AL01/211022/CSIRT-ITA) Ottobre 22, 2021Rilevata una vulnerabilità del prodotto Kubernetes ingress-nginx che potrebbe permettere la modifica arbitraria degli ”Ingress objects” da parte di utenti non autorizzati, mettendo a rischio la confidenzialità e l’integrità delle comunicazioni.
- Disponibili aggiornamenti per prodotti CISCO
(AL01/211021/CSIRT-ITA) Ottobre 21, 2021Aggiornamenti di sicurezza Cisco del 20 ottobre 2021 sanano molteplici vulnerabilità su diversi prodotti.
- Nuova versione di Google Chrome
(AL02/211020/CSIRT-ITA) Ottobre 20, 2021Nuovo aggiornamento di Google Chrome per Windows, Mac e Linux corregge 19 vulnerabilità di sicurezza.
- Critical Patch Update di Oracle
(AL01/211020/CSIRT-ITA) Ottobre 20, 2021Oracle ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono 419 nuove vulnerabilità su più prodotti.
- La Settimana Cibernetica del 17 ottobre 2021 Ottobre 18, 2021Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 11 al 17 ottobre 2021.
- Campagna a tema “Aggiornamento software DIKE” volta alla diffusione di software malevolo
(AL01/211018/CSIRT-ITA) - Aggiornamento Ottobre 18, 2021Individuata una campagna a tema “Aggiornamento del software DIKE” con impatto verso utenze italiane e volta all’installazione di software legittimo utilizzato per scopi malevoli.
- Aggiornamenti di sicurezza per prodotti Juniper Networks
(AL01/211015/CSIRT-ITA) Ottobre 15, 2021Juniper Networks rilascia aggiornamenti di sicurezza per sanare molteplici vulnerabilità su più prodotti, di cui una con gravità “critica”.
Dark Reading
- Pulling Back the Curtain on Bug Bounties Ottobre 26, 2021It's critical that infosec professionals and consumers understand threats and vulnerabilities, but they are being kept in the dark.
- Wardrivers Can Still Easily Crack 70% of Wi-Fi Passwords Ottobre 26, 2021Weaknesses in the current Wi-Fi standard and poorly chosen passwords allowed one wardriver to recover 70% of wireless network passwords.
- OpenText Strengthens Ransomware Resilience Ottobre 26, 2021New detection and alert functions within Carbonite Server increase data protection against ransomware.
- Forcepoint Completes Acquisition of Bitglass Ottobre 26, 2021The acquisition of Bitglass will be the third technology acquisition for Forcepoint this year.
- Jumio Launches End-to-end Orchestration for its KYX Platform Ottobre 26, 2021Platform combines digital identity proofing, compliance verification and anti-money laundering checks.
- SolarWinds Attacker Targets Cloud Service Providers in New Supply Chain Threat Ottobre 25, 2021Microsoft says the group has attacked more than 140 service providers and compromised 14 of them between May and October of this year.
- Industrial Goods & Services Tops Ransomware Targets in 2021 Ottobre 25, 2021While the industrial goods and services sector saw a decline in attacks during the third quarter, it remains the most targeted sector for ransomware this year.
- Who's In Your Wallet? Exploring Mobile Wallet Security Ottobre 25, 2021Security flaws in contactless payments for transportation systems could lead to fraud for stolen devices, researchers find.
- 5 Ways CMMC Security Requirements May Impact Universities Ottobre 25, 2021The Cybersecurity Maturity Model Certification puts research universities in a position where they must validate the effectiveness of their security controls before applying for a grant or bidding on a government contract.
- How We Can Narrow the Talent Shortage in Cybersecurity Ottobre 25, 2021Filling crucial roles in cybersecurity and addressing the talent shortage requires rethinking who qualifies as a "cybersecurity professional" and rewriting traditional job descriptions.
Full Disclosure
- [ES2021-09] FreeSWITCH susceptible to Denial of Service via invalid SRTP packets Ottobre 26, 2021Posted by Sandro Gauci on Oct 26# FreeSWITCH susceptible to Denial of Service via invalid SRTP packets - Fixed versions: v1.10.7 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-09-freeswitch-srtp-dos - Vendor Security Advisory: https://github.com/signalwire/freeswitch/security/advisories/GHSA-jh42-prph-gp36 - Other references: CVE-2021-41105 - Tested vulnerable versions:
- [ES2021-06] FreeSWITCH susceptible to Denial of Service via SIP flooding Ottobre 26, 2021Posted by Sandro Gauci on Oct 26# FreeSWITCH susceptible to Denial of Service via SIP flooding - Fixed versions: v1.10.7 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-06-freeswitch-flood-dos - Vendor Security Advisory: https://github.com/signalwire/freeswitch/security/advisories/GHSA-jvpq-23v4-gp3m - Other references: CVE-2021-41145 - Tested vulnerable versions:
- [ES2021-08] FreeSWITCH does not authenticate SIP SUBSCRIBE requests by default Ottobre 26, 2021Posted by Sandro Gauci on Oct 26# FreeSWITCH does not authenticate SIP SUBSCRIBE requests by default - Fixed versions: v1.10.7 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-08-freeswitch-SIP-SUBSCRIBE-without-auth - Vendor Security Advisory: https://github.com/signalwire/freeswitch/security/advisories/GHSA-g7xg-7c54-rmpj - Other references: CVE-2021-41157 - Tested vulnerable versions:
- [ES2021-05] FreeSWITCH vulnerable to SIP digest leak for configured gateways Ottobre 26, 2021Posted by Sandro Gauci on Oct 26# FreeSWITCH vulnerable to SIP digest leak for configured gateways - Fixed versions: v1.10.7 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-05-freeswitch-vulnerable-to-SIP-digest-leak - Vendor Security Advisory: https://github.com/signalwire/freeswitch/security/advisories/GHSA-3v3f-99mv-qvj4 - Other references: CVE-2021-41158 - Tested vulnerable versions:
- VDPBW Bundeswehr - 1 Year Vulnerability Disclosure Policy of the Bundeswehr Ottobre 26, 2021Posted by info () vulnerability-lab com on Oct 26Title: 1 Year Vulnerability Disclosure Policy of the Bundeswehr - The Balance Sheet of the CISOBwChief Information Security Officer Reference: https://www.bundeswehr.de/de/organisation/cyber-und-informationsraum/aktuelles/1-jahr-vdpbw-cisobw-bilanz-5232904 Title: VDPBwVulnerability Disclosure Policy der Bundeswehr - COIN Reference: https://www.bundeswehr.de/de/security-policy/vdpbw-coin Title: Im Dienst der IT-Sicherheit (Interview 1st...
- PHP Melody v3.0 - Multiple Cross Site Web Vulnerabilities Ottobre 26, 2021Posted by info () vulnerability-lab com on Oct 26Document Title: =============== PHP Melody v3.0 - Multiple Cross Site Web Vulnerabilities References (Source): ==================== https://www.vulnerability-lab.com/get_content.php?id=2290 Bulletin: https://www.phpsugar.com/blog/2021/09/php-melody-3-0-vulnerability-report-fix/ Release Date: ============= 2021-10-20 Vulnerability Laboratory ID (VL-ID): ==================================== 2290 Common Vulnerability Scoring System:...
- Simplephpscripts Simple CMS v2.1 - Remote SQL Injection Vulnerability Ottobre 26, 2021Posted by info () vulnerability-lab com on Oct 26Document Title: =============== Simplephpscripts Simple CMS v2.1 - Remote SQL Injection Vulnerability References (Source): ==================== https://www.vulnerability-lab.com/get_content.php?id=2303 Release Date: ============= 2021-10-19 Vulnerability Laboratory ID (VL-ID): ==================================== 2303 Common Vulnerability Scoring System: ==================================== 7.1 Vulnerability Class: ==================== SQL...
- Simplephpscripts Simple CMS v2.1 - Persistent Vulnerability Ottobre 26, 2021Posted by info () vulnerability-lab com on Oct 26Document Title: =============== Simplephpscripts Simple CMS v2.1 - Persistent Vulnerability References (Source): ==================== https://www.vulnerability-lab.com/get_content.php?id=2302 Release Date: ============= 2021-10-19 Vulnerability Laboratory ID (VL-ID): ==================================== 2302 Common Vulnerability Scoring System: ==================================== 5.3 Vulnerability Class: ==================== Cross Site...
- SPA Cart CMS - Multiple SQL Injection Web Vulnerabilities Ottobre 26, 2021Posted by info () vulnerability-lab com on Oct 26Document Title: =============== SPA Cart CMS - Multiple SQL Injection Web Vulnerabilities References (Source): ==================== https://www.vulnerability-lab.com/get_content.php?id=2304 Release Date: ============= 2021-10-18 Vulnerability Laboratory ID (VL-ID): ==================================== 2304 Common Vulnerability Scoring System: ==================================== 7.3 Vulnerability Class: ==================== Script Code...
- Simplephpscripts Simple CMS v2.1 - XSS Web Vulnerability Ottobre 26, 2021Posted by info () vulnerability-lab com on Oct 26Document Title: =============== Simplephpscripts Simple CMS v2.1 - XSS Web Vulnerability References (Source): ==================== https://www.vulnerability-lab.com/get_content.php?id=2301 Release Date: ============= 2021-10-18 Vulnerability Laboratory ID (VL-ID): ==================================== 2301 Common Vulnerability Scoring System: ==================================== 5.1 Vulnerability Class: ==================== Cross Site...
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Tempo di lettura: 5 minUtilizzo del Machine Learning per proteggere i dati Introdotto nel gennaio 2017, Acronis Act… https://t.co/mhqalBxm8D
-
SecureOnlineDesktop
Gli attacchi informatici sono numerosi e non fanno distinzione tra aziende e singoli individui quando prendono di m… https://t.co/uOucUWZf7W
-
SecureOnlineDesktop
Estimated reading time: 5 minutes SNYPR è uno strumento di analisi della sicurezza in grado di trasformare i Big… https://t.co/oies7e0nYY
-
SecureOnlineDesktop
Estimated reading time: 5 minutes Con l’avvento delle piattaforme di big data, le aziende che si occupano di sicu… https://t.co/MSvA0dPgiE
-
SecureOnlineDesktop
Estimated reading time: 5 minutes With the advent of big data platforms, IT security companies can now make guid… https://t.co/aTv41eq2Ir
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Cos’è veramente un cyber threat Settembre 15, 2021
- SNYPR: Big Data al servizio della ricerca delle minacce Settembre 13, 2021
- Hadoop Open Data Model: raccolta dati “open” Settembre 8, 2021
- Pass the Ticket: come mitigarlo con un SOCaaS Settembre 6, 2021
- Cos’è il Vishing e come funziona Settembre 1, 2021
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications