Monitorare per agire con efficacia

SCENARIO

Le aziende hanno necessità di catalogare, raccogliere, analizzare e storicizzare i log prodotti dai dispositivi IT: dotarsi di un sistema di monitoraggio SIEM consente di gestire un enorme flusso di informazioni da cui spesso emergono dati interessanti.

È necessario, però, stabilire gli obiettivi: rispondere ad un requisito normativo o di compliance è diverso rispetto ad un utilizzo in ambito security.

Il SIEM può semplificare il processo di conformità dell’azienda alle norme nazionali o internazionali, framework di sicurezza o vincoli legali. Se l’obiettivo primario è limitato a questo aspetto, adottare semplicemente un log manager può essere la giusta scelta; se, invece, l’obiettivo primario è quello di migliorare il livello di sicurezza dell’azienda, magari in un processo continuativo, l’approccio sarà totalmente differente e prevede una serie di fasi che richiedono coinvolgimento di risorse specializzate ed un setting di funzioni specifiche in ottica di gestione e management della security aziendale.

SOLUZIONE

Implementare e poi gestire una piattaforma SIEM, che ha come obiettivo supportare attività di security management, prevede alcuni passaggi fondamentali, tra cui:

  • raccogliere il maggiore numero di fonti, dopo aver eseguito un’attenta analisi del formato e contenuto;
  • definire le correlazioni che devono generare eventi e alert verso il reparto IT;
  • eseguire continuamente attività di fine-tuning della configurazione e delle correlazioni. L’obiettivo è minimizzare i falsi positivi e ridurre i falsi negativi (eventi che dovevano essere analizzati e sono stati ignorati o scartati);
  • valutare gli impatti alle fonti/sorgenti durante il processo di change management o nei progetti di rinnovamento tecnologico.

SERVIZI

  • Formazione tematiche Security;
  • Risk e Vulnerability assessment;
  • Design e dimensionamento ottimizzato della piattaforma, in accordo ai requisiti Cliente;
  • Implementazione piattaforma e relativi processi di gestione;
  • Metodologie di troubleshooting specifiche;
  • Estensione ed integrazione strumenti di monitoring e performance metrics.

BENEFICI

Gli stack di sicurezza che convivono in un ecosistema di rete, generano alert e report in quantità tali da non permettere un’analisi costante e puntuale degli eventi che vengono generati dai diversi dispositivi collegati alla rete. Questo impedisce di vigilare in modo efficace sulle anomalie dei sistemi stessi e sulle eventuali minacce provenienti dall’esterno.

I sistemi SIEM sono quindi in grado, oltre che di raccogliere l’enorme mole di dati proveniente dai molti dispositivi in rete, anche di effettuarne una analisi in tempo reale, rilevando minacce nel momento in cui queste si presentino e allertare gli amministratori dei sistemi o addirittura reagendo in autonomia a tali minacce isolandole con contromisure adeguate.

Un elemento non meno importante è legato all’automazione della security, un aspetto che tutti gli IT manager e CISO dovrebbero prendere in considerazione per migliorare ed ottimizzare tempi e processi legati alla security aziendale.