Nel settore della sicurezza informatica sono molti gli acronimi impiegati dagli esperti per indicare modelli di software che integrano soluzioni a problemi informatici che possono generarsi.
Uno di questi, coniato da Amrit WIlliams e Mark Nicolett dell’azienda Gartner Inc americana, è SIEM (Security Information and event management), un modello che punta a risolvere varie necessità nel settore informatico, utile in particolare a gestire prontamente eventuali minacce.
In ambito di sicurezza aziendale, un sistema SIEM, attraverso informazioni chiare e personalizzate sui sistemi e risultati utili alla sicurezza della compagnia, prende in considerazione le esigenze specifiche di essa per stabilire le priorità e modalità con cui affronterà le problematiche eventuali.
Possiamo quindi, in poche parole, considerare il sistema Security Information and Event Management come una specie di raccolta di norme dettagliate che contengono le linee guida da seguire in modo da mantenere la tecnologia informatica di un’azienda in totale sicurezza e garantirne la qualità.
Cos’è il sistema Siem
Il modello SIEM include due tipologie di funzionalità: da una parte la SIM, che sta per security information management e la SEM, cioè security event management.
Il SIM è una tipologia di software adibita a rendere automatici i processi di gestione dei log e di raccolta, in tempi non reali. Tramite questo software i dati vengono raggruppati ed inviati ad un server centralizzato attraverso agent software specifici installati appositamente sui dispositivi del sistema monitorato in questione.
Il SEM è una console centralizzata che serve a monitorare, generare risposte automatiche, gestire sistemi e segnalare problematiche in tempo reale per quanto riguarda ciò che accade all’interno di una rete e in diversi sistemi di sicurezza, ed è utile a correlare gli eventi tra di essi. Esso permette ai responsabili della sicurezza di individuare i campi in cui bisogna agire per correggere o migliorare un problema.
Questa soluzione ha come principale obiettivo la raccolta centralizzata dei vari log e degli eventi generati dai sistemi e dalle applicazioni all’interno della rete.
Grazie al modello SIEM le attività di monitoraggio e correlazione dati sono notevolmente potenziate e sicure.
Come funziona il modello SIEM
Se il principale scopo di un modello Security Information and Event Management è risolvere subito le minacce nel sistema in maniera rapida e precisa, va da sé che esso sia sempre a disposizione dei tecnici informatici in maniera efficace, per permettere loro di reagire prontamente ai problemi.
Quindi i modelli SIEM lavorano incessantemente per cercare di evidenziare le minacce o gli attacchi in tempo reale raccogliendo e valutando le notifiche quotidiane, agli allarmi e i log che provengono dai diversi software utilizzati dall’azienda come, ad esempio, Switch, Firewall, Router, IDS, IPS e Server proxy, VPN ecc.
Questi software informatici sono concepiti appositamente per raccogliere i vari dati e garantire che essi vengano trasmessi al server SIEM.
Alcuni di questi sistemi prevedono anche una pre-elaborazione dei dati in modo da ridurre il più possibile la quantità delle informazioni da trasmettere al software SIEM.
I vari risultati delle valutazioni, una volta trasmessi, vengono poi visualizzati e successivamente ispezionati all’interno di una dashboard personalizzata e adattata alle varie esigenze della compagnia. Se i dati raccolti dal sistema evidenziano un rischio per la sicurezza informatica, si riceve solitamente una tempestiva comunicazione tramite messaggio elettronico che mette al corrente i tecnici del pericolo rilevato in modo che essi possano reagire rapidamente per eliminare la minaccia o il problema.
Vantaggi del sistema SIEM
Oltre alla funzione di protezione e sicurezza dei dati, attraverso il SIEM si ha la possibilità di archiviare e documentare automaticamente i vari risultati raccolti riguardanti la protezione dell’azienda.
Questa funzione è utile perché consente di non dover dimostrare in futuro, all’occorenza, di aver rispettato le leggi e applicato le varie norme in vigore per quanto riguarda le modalità di protezione e sicurezza dei dati.
Inoltre il software SIEM può essere utile ad ottimizzare l’ambito delle risorse umane, perché grazie alle sue modalità altamente automatizzate, una volta connesso al monitoraggio permette un’analisi in tempo reale facendo risparmiare molto tempo ai collaboratori IT che nel frattempo hanno la possibilità di dedicarsi ad altre esigenze.
Il sistema automatizzato concede quindi all’azienda di ridurre significativamente il personale dipendente.