SIEM di nuova generazione: definizione e best practice

La tecnologia SIEM (Security Information and Event Management) sta faticando a gestire le minacce nell'ecosistema attuale. Le soluzioni SIEM tradizionali sono lente, limitate in termini di scalabilità, inefficienti nel cloud, richiedono tempi di implementazione prolungati e hanno costi operativi elevati. Non sono all'altezza delle superfici di attacco in espansione, delle normative in rapida evoluzione, dell'esplosione dei dati e delle crescenti pressioni di bilancio. L'attenzione si sta quindi spostando verso soluzioni SIEM di nuova generazione in grado di acquisire i dati più rapidamente e che sono più agili, convenienti, scalabili e implementabili.

In questo post definiremo il SIEM di nuova generazione, i suoi componenti e le sue caratteristiche, e dimostreremo come si differenzia dal SIEM tradizionale. Esploreremo anche le sfide che ci si può aspettare durante la sua implementazione. Ma soprattutto, vi forniremo alcune best practice.

Che cos'è il SIEM di nuova generazione?

Next-gen SIEM utilizza l'analisi comportamentale e l'automazione per rilevare e rispondere rapidamente a modelli di attività insoliti, attività di sistema non conformi, problemi di sicurezza e anomalie. È il cuore di un moderno centro operativo di sicurezza (SOC), che consente ai team di elaborare le enormi quantità di dati generati dall'Internet delle cose, dal cloud, dall'intelligenza artificiale e dall'analisi.

Le funzionalità del SIEM tradizionale sono principalmente l'analisi statistica, la gestione dei log, gli avvisi e la reportistica. Spesso è necessario integrarlo con tecnologie di orchestrazione, automazione e risposta della sicurezza (SOAR). Il SIEM di nuova generazione si basa su queste funzionalità e, inoltre, acquisisce dati indipendentemente dalla fonte e li migliora con regole comportamentali avanzate, automazione del flusso di lavoro e intelligenza artificiale.

Componenti chiave del SIEM di nuova generazione

Il SIEM di nuova generazione è costituito da componenti unici che lo distinguono dal SIEM tradizionale.

1. Analisi avanzate e apprendimento automatico

L'apprendimento automatico (ML) e l'analisi consentono al SIEM di nuova generazione di utilizzare la profilazione comportamentale per rilevare comportamenti insoliti in tempo reale. Utilizza modelli ML per assegnare un punteggio a ciascun evento e determinare se rappresenta una minaccia o meno. Tutti i punteggi che superano le soglie predefinite vengono inoltrati a un analista per ulteriori indagini.

2. Integrazione delle informazioni sulle minacce

I SIEM di nuova generazione sono dotati di piattaforme integrate di informazioni sulle minacce come parte della loro offerta principale. Interrogano automaticamente i dati di sicurezza ed eseguono scansioni delle vulnerabilità e test di penetrazione per rilevare attività sospette. I SIEM di nuova generazione mettono in correlazione gli eventi interni con i feed di informazioni sulle minacce di terze parti per fornire una comprensione ancora più ampia delle potenziali minacce.

3. Analisi del comportamento di utenti ed entità (UEBA)

I SIEM di nuova generazione applicano UEBA per analizzare i comportamenti appresi degli utenti e identificare gli attacchi che non si basano su firme o regole note. L'UEBA utilizza il deep learning, il reinforcement learning, le reti bayesiane e l'apprendimento supervisionato e non supervisionato per apprendere i modelli di comportamento umano. Ad esempio, quando un dipendente del reparto marketing inizia a scaricare file alle 1:00 di sabato mattina da un database finanziario con cui interagisce raramente al di fuori dell'orario di lavoro, il sistema lo segnalerà come sospetto, indicando potenzialmente minacce interne o credenziali compromesse.

4. Automazione e orchestrazione

Il SIEM di nuova generazione utilizza playbook per automatizzare le risposte ed esegue una serie di azioni di mitigazione e contenimento predefinite per ogni evento di sicurezza sospetto. In generale, il SIEM di nuova generazione può automatizzare le risposte alle minacce rilevate isolando i sistemi interessati, applicando patch e attivando avvisi.

5. Scalabilità e supporto cloud

I SIEM di nuova generazione si integrano con piattaforme cloud pubbliche e private. Ciò fornisce visibilità sulle attività della piattaforma cloud, come i log delle macchine virtuali, dei container, delle applicazioni SaaS e degli strumenti di sicurezza cloud-native. Il SIEM di nuova generazione dispone di connettori predefiniti che consentono di accedere agli eventi e ai dati di log delle applicazioni SaaS e dell'infrastruttura cloud, come IBM Cloud e Google Cloud Platform (GCP).

Confronto tra SIEM tradizionali e SIEM di nuova generazione

Limiti dei SIEM tradizionali

• I SIEM tradizionali sono stati progettati per ambienti on-premise. Pertanto, la scalabilità è limitata dalle risorse di elaborazione, archiviazione e memoria che l'hardware locale è in grado di fornire. Quando viene trasferito sul cloud, il SIEM tradizionale comporta costi elevati per l'infrastruttura cloud e prestazioni lente a causa di architetture inefficienti.
• Il SIEM tradizionale non è in grado di gestire i grandi volumi di dati caldi generati oggi a causa della mancanza di potenza di calcolo e capacità di archiviazione. I dati vengono archiviati in un cold storage, dove il loro recupero è lento e tedioso, rendendo difficile indagare sulle minacce verificatesi in passato.
• I sistemi SIEM tradizionali hanno un ecosistema chiuso che si integra bene con altre piattaforme di sicurezza dello stesso fornitore, ma non con quelle di fornitori diversi.

Vantaggi del SIEM di nuova generazione rispetto al SIEM tradizionale

• Il SIEM di nuova generazione viene fornito attraverso un modello SaaS, sfruttando l'elasticità del cloud per offrire potenza di calcolo, storage e risorse di memoria illimitate.
• Con risorse disponibili su richiesta, è possibile raccogliere grandi volumi di dati, archiviarli più a lungo e consentire a un numero maggiore di utenti di accedervi più frequentemente. Ciò offre visibilità su un numero maggiore di fonti di dati, consentendo una maggiore sicurezza. Acquisisce dati da molte fonti e li invia tramite un'API aperta.
• Il SIEM di nuova generazione correla i dati provenienti da molteplici fonti, tra cui sicurezza, rete, server, applicazioni ed endpoint, sia che siano ospitati su un cloud privato, in locale o su un cloud pubblico.
• L'architettura del SIEM di nuova generazione utilizza API aperte, consentendo l'integrazione con soluzioni di diversi fornitori e un impatto minimo quando si modifica il proprio portafoglio di sicurezza.

Caratteristiche principali delle soluzioni SIEM di nuova generazione

1. Rilevamento e risposta alle minacce in tempo reale

Il SIEM di nuova generazione utilizza l'analisi comportamentale per rilevare in tempo reale firme di attacchi, correlazioni e modelli familiari. Aggrega dati provenienti da fonti quali IDS, antivirus e sistemi di autenticazione per consentire di rilevare rapidamente minacce e incidenti di sicurezza che i singoli strumenti non sono in grado di identificare da soli. È possibile rispondere alle minacce non appena si verificano, riducendo i tempi di risposta.

2. Raccolta e normalizzazione completa dei dati

Il SIEM di nuova generazione consente di raccogliere dati relativi a registri degli eventi, flusso di rete e dati Syslog da più fonti e di analizzarli attraverso sistemi di analisi. Correlano i dati e inviano avvisi se rilevano attività non conformi, violazioni delle politiche o potenziali minacce. Inoltre, sfruttano database NOSQL scalabili come Apache Spark, Hadoop ed Elastic, consentendo l'elaborazione parallela e velocizzando l'acquisizione e l'analisi dei dati. Grazie al suo storage distribuito a basso costo, è possibile archiviare i dati storici in modo economico.

3. Maggiore visibilità e investigazione degli incidenti

I SIEM di nuova generazione forniscono una visibilità continua in tempo reale degli eventi di sicurezza. La funzione di visualizzazione del percorso di attacco aiuta a pensare come un aggressore, comprendendo le vie che un aggressore potrebbe seguire per sfruttare le vulnerabilità.

4. Opzioni di implementazione flessibili e scalabili

Esistono molte opzioni di implementazione tra cui scegliere per i SIEM di nuova generazione, a seconda delle esigenze aziendali e della configurazione dell'infrastruttura esistente.

• SIEM completamente gestito (MSSP): un fornitore terzo che offre tutti i servizi di sicurezza.
• SIEM SaaS: progettato specificamente per il cloud e compatibile con le infrastrutture cloud native.
• SIEM co-gestito: alcune attività di gestione dei rischi sono esternalizzate a un fornitore di servizi SIEM, mentre il team di sicurezza IT esistente si occupa del resto.
• Implementazione ibrida: combina l'implementazione on-premise e quella cloud, dove parte dell'infrastruttura è on-premise e parte è nel cloud.

5. Conformità e reportistica sulla sicurezza

Le soluzioni SIEM di nuova generazione supportano la reportistica sulla conformità basata sull'intelligenza artificiale. Verificano automaticamente la conformità normativa per GDPR, SOX, HIPAA, PCI DSS, ecc.; generano report di audit e gestiscono la governance e la privacy dei dati. Analizzano i dati storici e attuali per aiutare a mantenere la conformità alle norme e ai regolamenti. Inoltre, offrono flussi di lavoro personalizzabili per la reportistica di conformità.

Sfide nell'implementazione di SIEM di nuova generazione

Nonostante le loro funzionalità avanzate, le soluzioni SIEM di nuova generazione presentano anche alcuni svantaggi.

1. Sovraccarico di dati e problemi di qualità: Un'organizzazione può registrare miliardi di eventi al giorno. L'archiviazione, l'aggregazione e l'analisi di questi dati al fine di recuperare informazioni per la gestione delle minacce possono sovraccaricare i sistemi SIEM di nuova generazione e ridurne l'efficacia.
2. Lacune nelle competenze e limitazioni delle risorse: Il settore della sicurezza informatica soffre di una carenza di talenti. In tutto il mondo sono necessari circa quattro milioni di specialisti in sicurezza informatica. È necessario trovare un equilibrio tra le esigenze di personale qualificato nel campo della SIEM di nuova generazione e i vincoli di budget.
3. Integrazione con gli ecosistemi di sicurezza esistenti: L'integrazione della SIEM di nuova generazione con le diverse tecnologie e i diversi sistemi esistenti può essere complessa. Inoltre, il SIEM di nuova generazione è progettato per un'architettura moderna e potrebbero verificarsi incompatibilità per le organizzazioni che utilizzano infrastrutture tradizionali.

Best practice per l'adozione del SIEM di nuova generazione

#1. Valutare le esigenze e gli obiettivi dell'organizzazione

Il primo fattore di successo per l'implementazione di un SIEM di nuova generazione è la definizione di obiettivi specifici di sicurezza aziendale. Potreste essere interessati al monitoraggio della conformità, al rilevamento avanzato delle minacce, alla risposta agli incidenti, ecc. In questo modo, potrete dare priorità ai processi e alle attività critiche che supportano l'implementazione.

#2. Scegliere il fornitore e la soluzione giusti

Una volta compresi appieno i tuoi obiettivi di sicurezza, è il momento di trovare un fornitore di SIEM di nuova generazione con la capacità e le competenze per soddisfare le tue esigenze. Assicurati che la loro offerta di prodotti sia in linea con il budget dell'azienda.

#3. Formate adeguatamente i vostri team

Formate gli amministratori SIEM di nuova generazione e gli analisti della sicurezza per assicurarvi che siano in grado di rispondere agli avvisi. Documentate il processo di implementazione, inclusi i concetti di configurazione, manutenzione e funzionamento.

#4. Monitorate e migliorate continuamente

Monitorate continuamente le prestazioni del SIEM di nuova generazione e aggiornate l'ultima versione per affrontare le minacce emergenti.

Casi di studio e storie di successo relativi al SIEM di nuova generazione

Golomt Bank, una banca al dettaglio urbana con sede in Mongolia, ha utilizzato il SIEM di nuova generazione di Securonix per migliorare la propria posizione in materia di sicurezza informatica. In precedenza, la banca utilizzava un SIEM tradizionale basato su regole che non disponeva delle analisi comportamentali avanzate necessarie per rilevare minacce informatiche complesse. Inoltre, non era in grado di fornire visibilità in tempo reale degli eventi di sicurezza né di utilizzare la correlazione statistica che le piattaforme SIEM di nuova generazione come Singularity AI SIEM per correlare gli eventi. Pertanto, la banca è passata a Securonix, consentendo al proprio team di sicurezza di monitorare in tempo reale grandi volumi di dati provenienti da varie fonti. Con un SIEM di nuova generazione, è stato anche possibile sfruttare le funzionalità UEBA per rilevare le anomalie in modo migliore e più rapido.

Un altro caso di studio è quello di Ulta Beauty, un rivenditore americano di prodotti di bellezza che ha sfruttato il Cloud SIEM di Sumo Logic per supportare la sua migrazione su larga scala al cloud e proteggere la sua vasta piattaforma di e-commerce. Con l'aumento dei ricavi dell'e-commerce del rivenditore da 200 milioni di dollari a oltre 2 miliardi di dollari, le sfide in materia di sicurezza sono aumentate. Utilizzando un SIEM di nuova generazione, l'azienda ha migliorato i tempi di risposta agli incidenti, garantendo una rapida identificazione e mitigazione delle vulnerabilità di sicurezza. Il rivenditore ha automatizzato l'indagine e la risposta alle minacce, risparmiando sui costi di manodopera. Tuttavia, il risparmio sui costi non è l'unico vantaggio dell'automazione. L'utilizzo di flussi di lavoro automatizzati come Singularity AI SIEM di nuova generazione consente di concentrarsi sul core business.

Conclusioni

Il SOC moderno richiede strumenti agili e leggeri con un'architettura moderna. I SIEM tradizionali non sono in grado di soddisfare queste esigenze. Non possono scalare in modo efficiente né fornire le informazioni in tempo reale necessarie per una risposta rapida agli incidenti. Le soluzioni SIEM di nuova generazione colmano queste lacune grazie all'analisi basata sull'intelligenza artificiale e all'architettura cloud-native. Sono altamente scalabili e forniscono visibilità in tempo reale, flussi di lavoro automatizzati e playbook di risposta agli incidenti con costi generali contenuti, aiutando le aziende a bilanciare le esigenze finanziarie e di sicurezza.

SentinelOne’s Singularity AI SIEM offre funzionalità di nuova generazione. Sfrutta l'intelligenza artificiale per rilevare le minacce e rispondere agli incidenti di sicurezza in tempo reale. Richiedi una demo per scoprire come Singularity può potenziare il tuo SOC autonomo.