Validi approfondimenti da Gartner su come eseguire un SIEM efficace: prima parte

In un report pubblicato di recente da Gartner intitolato SIEM Technology, Market and Vendor Assessment (per scaricare il report completo è necessario disporre di credenziali di accesso client al sito web Gartner.com), gli analisti di Gartner Anton Chuvakin e Augusto Barros hanno fornito le loro opinioni più recenti sul mercato del security information and event management (SIEM), nonché otto suggerimenti specifici per le organizzazioni che desiderano acquistare una soluzione.  Ognuno degli otto suggerimenti è estremamente valido ed evidenza le aree di miglioramento del resto del mercato. Tuttavia, nel presente blog mi soffermerò sui primi quattro suggerimenti che intendono aiutare i team di sicurezza a migliorare il loro programma di monitoraggio della sicurezza. Esaminerò il secondo set di quattro suggerimenti nella seconda parte di questo blog diviso in due post.

  1. “In aggiunta a una soluzione SIEM, utilizza strumenti di analisi forense della rete (NFT, Network Forensic Tools) e rilevamento e risposta endpoint (EDR, Endpoint Detection and Response) per una visibilità aziendale e un monitoraggio della sicurezza completi”*

I nostri clienti stanno facendo un passo avanti combinando e monitorando SIEM, NFT ed EDR da un’unica console.  Ciò consente di comprendere più rapidamente l’intero ambito di un attacco e accelerare la risposta agli incidenti. Un’unica console che consente di attribuire priorità a ciò che è necessario analizzare collega gli eventi correlati e permette di eseguire il drill-down da una vista più generale a una più dettagliata, adeguandosi alle competenze e al ruolo degli analisti e alle necessità delle organizzazioni di utilizzare questi strumenti per facilitare le complesse attività di rilevamento e risposta alle minacce. Perché implementare più strumenti separati che sono a malapena integrati (e sicuramente non all’avanguardia) quando puoi avere di meglio? Le tradizionali soluzioni SIEM che si basano sui log e le relative regole di correlazione non sono essenzialmente in grado di rilevare i moderni attacchi più sofisticati e mirati. Solo la combinazione di log, pacchetti di rete, NetFlow e dati endpoint, combinati a threat intelligence esterna, consente di automatizzare il rilevamento delle minacce, offrendo ai team di monitoraggio della sicurezza la visibilità necessaria per analizzare i più avanzati attacchi moderni.  Molte soluzioni SIEM o strumenti per l’acquisizione di pacchetti non sono in grado di fornire questo tipo di integrazione o forniscono add-on deboli, ma vengono comunque spacciati per prodotti in grado di offrire una soluzione completa.

  1. “Prendi in considerazione soluzioni SIEM che siano basate sia su use case per scopi inerenti alle minacce che per scopi di conformità, ma che diano maggiore rilievo al primo ambito”*

Il mercato si è evoluto e le aziende sono infatti consapevoli che un’organizzazione che rispetta i requisiti di conformità non è necessariamente sicura, mentre un’organizzazione sicura è nella posizione ideale per soddisfare i requisiti di conformità.  Gli standard e le normative di conformità forniscono un ottimo framework per sviluppare una checklist di base su ciò che è necessario (per non incorrere in penali), ma ciò non garantisce la sicurezza delle informazioni. Le soluzioni SIEM hanno raggiunto livelli di efficacia soddisfacenti in quanto a conformità, ma la maggior parte è ancora in fase di sperimentazione per quanto riguarda una reale efficacia in termini di sicurezza. Comunque, se svolgi un ruolo di responsabilità nel garantire che le minacce non causino danni al business, ma hai dubbi sulla retention dei log e i report di audit, desideri probabilmente affidarti a uno strumento la cui mission core sia la sicurezza.

  1. “Prima di scegliere uno strumento SIEM, esamina in modo approfondito gli use case”*

Qual è il tuo obiettivo? Raccogliere log o contrastare interruzioni e furti da parte di malintenzionati?  Credi che sia preoccupante visualizzare ogni tanto un singolo alert per un tentativo di accesso non autorizzato su una singola applicazione? Se invece nel corso di alcune settimane si verificasse lo stesso set di eventi, più altri cinque tentativi dallo stesso indirizzo IP esterno in aree differenti della rete e fosse possibile aggregarli in un unico incidente? Quale situazione preferiresti?  Non sarebbe meglio raggruppare quel singolo incidente composto da più eventi in un set complessivo di workflow e procedure di indagine per gestire le attività di risposta con maggiore semplicità e in tempi più rapidi? Un simile approccio consente sicuramente agli analisti della sicurezza meno esperti di svolgere il loro lavoro in modo molto più semplice, poiché li esime dal dover vagliare migliaia di log e centinaia, se non migliaia, di alert ogni giorno. È difficile individuare gli attacchi avanzati, in particolare quelli che traggono vantaggio dai tempi di attesa. Il tempo di attesa si verifica quando un attacker rimane inattivo per un periodo prolungato, lasciando in difficoltà gli analisti che cercano di collegare l’attività malevola ai sistemi compromessi.  Per comprendere più a fondo ciò che intendo dire, dai un’occhiata a questi contenuti sul rilevamento di webshell, spear phishing e Gh0st RAT.

  1. “Rivedi le opzioni di sourcing per gli strumenti SIEM”*

Implementare e utilizzare sistemi SIEM al giorno d’oggi significa molto di più che implementare un sistema e configurare le relative funzionalità di notifica in caso di problemi.  Una sistema di monitoraggio della sicurezza valido deve proseguire i processi messi in atto dai responsabili per la protezione.  Ciò di cui hanno realmente bisogno i clienti è uno strumento che sia in grado di migliorare la capacità dell’organizzazione di rilevare e rispondere alle minacce e, per raggiungere l’obiettivo, serve più di un tradizionale sistema SIEM. L’esigenza di ricorrere a tecniche comportamentali e analisi avanzate che vadano oltre ciò che può offrire una soluzione SIEM tradizionale risiede nella necessità di concentrare l’attenzione sul rilevamento e la risposta a minacce complesse, che sfruttano i tempi di attesa per compromettere le aziende.

Rivolgersi a un’azienda specializzata in sicurezza che abbia esperienza, miri ad aiutarti a sviluppare o ottimizzare pratiche di sicurezza personalizzate efficaci e non solo attuando le sue procedure, può accelerare il successo del tuo programma di sicurezza e permetterti di rimanere al passo con l’attacker.

In RSA ci concentriamo da anni sul rilevamento e la risposta alle minacce, poiché riteniamo che siano i componenti più importanti per implementare una strategia e un programma di sicurezza efficaci per i nostri clienti. La soluzione RSA Advanced Security Operations Center (ASOC) fornisce la piattaforma e le competenze necessarie per rilevare, analizzare e rispondere rapidamente alle minacce che prendono di mira le aziende tramite reti, endpoint e sistemi basati su public cloud.  RSA ASOC offre ai team di sicurezza capacità di rilevamento tempestivo, analisi completa e risposta efficace alle minacce avanzate e di uso comune, integrando più flussi di dati sulla sicurezza interni ed esterni e applicando al contempo tecniche di Data Science di analisi comportamentale per individuare le minacce.  Grazie alla piattaforma e ai servizi professionali associati, la soluzione fornisce ai team della sicurezza le informazioni necessarie per rilevare, analizzare e rispondere in modo rapido e comprendere l’ambito completo di un attacco, riducendo al minimo il potenziale impatto sull’organizzazione.  L’esperienza comprovata di RSA consente alle organizzazioni di creare e ottimizzare le capacità dei loro security operations center (SOC) con un approccio olistico che prende in considerazione persone, processi e tecnologia.

Per saperne di più sulle soluzioni di RSA in grado di fornire le funzionalità più complete di rilevamento e risposta alle minacce, visita la pagina dedicata.

*Gartner, “SIEM Technology, Market and Vendor Assessment”, Anton Chuvakin e Augusto Barros, 10 febbraio 2016

 

 

Leave a Reply

Your email address will not be published. Required fields are marked *

No Comments