Uno degli strumenti diventati oramai indispensabili all’interno dei Security Operations Center (SOC) è il SIEM, Security Information and Event Management. Il SIEM, tuttavia, non è una “bacchetta magica” per risolvere tutti i problemi di sicurezza che si possono verificare all’interno del contesto aziendale. Infatti, con il crescente aumento delle minacce nel cloud e l’orda di attacchi crittografati che ogni giorno prendono di mira la infrastrutture IT, non basta più affidarsi al SIEM per rilevare in modo efficace le minacce. Quindi, stiamo chiedendo troppo ai nostri SIEM? Massimiliano Galvagna, Country Manager per l’Italia di Vectra AI, ci propone 10 segnali da tenere in considerazione.
I 10 segnali di sovraccarico dei SIEM secondo Vectra AI
Fare affidamento esclusivamente al SIEM per rilevare, analizzare e rispondere agli attacchi
Un SIEM si basa su un insieme di regole definite dagli esperti di sicurezza operanti nei SOC. Le regole definiscono quali connessioni, dispositivi e accessi sono permessi all’interno della rete aziendale, bloccando tutto ciò che non le soddisfa. Tuttavia, gli attacchi spesso riescono a eludere queste regole, causando un “effetto valanga”. Infatti, le minacce che eludono il sistema generano un’enorme mole di lavoro che richiede a sua volta richiede molte risorse economiche e di personale.
Aspettarsi che l’investimento nel SIEM generi un ROI positivo
Con l’aumento dei costi di sviluppo dei casi d’uso del SIEM, il rapporto tempo/valore del
SIEM si sta deteriorando. Basti considerare che il sistema Splunk costa in media 6000 dollari per caso d’uso, mentre il costo medio del caso d’uso di QRadar è di circa 12.500 dollari. Facendo due conti, i costi medi annuali di manutenzione dei casi d’uso sono di circa 2.500 dollari all’anno, con costi totali che si aggirano sulle centinaia di migliaia di dollari. I SIEM sono sì importanti per la sicurezza aziendale, ma rappresentano comunque un importante investimento che va attentamente calcolato.
Usare il SIEM per “tappare tutti i buchi”…
Il numero di attacchi informatici sta aumentando esponenzialmente. Aspettarsi che un SIEM riesca a bloccarli tutti in maniera efficiente è insensato, e questo problema non può essere risolto aumentando le risorse a disposizione dei SOC.
…e rischiare di sovraccaricarlo
L’eccessiva dipendenza dal SIEM implica anche un’eccessiva dipendenza dal rilevamento delle minacce affidato agli analisti per individuare veri attacchi e falsi positivi. Si tratta di un utilizzo improprio sia di questo strumento di sicurezza sia degli addetti alla sicurezza, che a lungo andare genera malcontento tra i dipendenti.
Affidarsi al SIEM per semplificare gli sforzi del team nel perfezionamento delle regole di rilevamento e triage degli avvisi
L’espansione della superficie d’attacco comporta anche un aumento del volume di dati da indicizzare, arricchire e analizzare. A sua volta, questo comporta un aumento delle ore di lavoro dedicate alla creazione e all’implementazione di casi d’uso e delle regole. Come già detto, queesto complica i processi e fa lievitare sensibilmente i costi delle operazioni.
Pensare che il SIEM aiuterà a risolvere la carenza di personale qualificato
I team dei SOC si ritrovano a fronteggiare costanti ondate di avvisi provenienti dal SIEM e a codificare manualmente ogni caso d’uso, riducendo l’efficacia del sistema e causando malcontento all’interno del team. Di conseguenza, fa sì che l’azienda debba costantemente (ri)assumere e formare i team di sicurezza.
Aspettarsi dei segnali chiari
Il SIEM non è uno strumento perfetto e spesso viene utilizzato in maniera non appropriata. Infatti, non è stato creato per fornire segnali accurati e integrati sulle superfici di attacco ibride, ma per raccogliere dati. Un SIEM può solamente riconoscere segnali o schemi di comportamento attraverso regole preesistenti, rischiando di generare centinaia di falsi positivi. Inoltre, non è in grado di rilevare nuove minacce o exploit zero day.
Affidarsi al SIEM per rilevare rapidamente anomalie all’interno dell’ambiente aziendale
Il cloud si sta rivelando essere un verde pascolo per i criminali informatici, in quanto fornisce loro molteplici punti d’ingresso. Tenere il passo con gli attaccanti ibridi significa dover costantemente creare regole e correlazioni che prevedano ogni mossa di un attaccante e avere una regola per ciascuna di esse.
Sperare che il SIEM fornisca rilevamenti personalizzati per la copertura post-exploitation
Il compito principale di un SIEM è quello della generazione di log. Cercare di configurare rilevamenti personalizzati all’interno del SIEM per la copertura post-exploitation non produce risultati favorevoli e aggiunge costi.
Affidarsi a tecnologie isolate nel SIEM per comunicare e migliorare la copertura
Spesso, i team dei SOC si ritrovano a dover gestire segnali e avvisi provenienti da numerosi strumenti diversi che non sono in grado di comunicare tra loro. Ciò complica ulteriormente il lavoro dei SOC, traducendosi in una minore sicurezza per l’azienda.
Vectra AI offre una piattaforma in grado di aumentare drasticamente le prestazioni dei SIEM grazie alle analisi basate sull’intelligenza artificiale. Per maggiori informazioni, vi invitiamo a consultare il sito di Vectra AI.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
🍎Indeed: che impatto avrà l’Intelligenza Artificiale sul futuro del lavoro?
☄️Data breach: le 8 cause principali della fuga di informazioni
🖥️Lavoro ibrido: i numeri del fenomeno e le soluzioni integrate di Logitech e Microsoft
🖨️FUJIFILM annuncia la serie Apeos, l'innovativa linea di stampanti multifunzione
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
