Che cos'è SIEM?
Che cos'è SIEM?
Il software SIEM (Security Information and Event Management) raccoglie, memorizza e analizza i registri dal perimetro all'utente finale in una posizione centralizzata. Verifica in tempo reale la presenza di minacce per la sicurezza per rilevare, contenere e rispondere rapidamente agli attacchi con la creazione di rapporti olistici sulla sicurezza e la gestione della conformità.
Quando l'attacco si verifica in una rete che utilizza il SIEM, il software fornisce un'analisi di tutte le componenti IT (gateway, server, firewall e così via).
Vantaggi dell'utilizzo del SIEM
Il software SIEM fornisce alle organizzazioni un potente strumento di rilevazione delle più recenti minacce alla sicurezza delle reti. Il SIEM adotta un approccio olistico alla sicurezza informatica delle aziende, con creazione di report in tempo reale abbinata a un'analisi a lungo termine degli eventi di sicurezza. Il software SIEM registra i record degli eventi provenienti da tutte le fonti presenti in rete. Questi registri forniscono al personale IT importanti strumenti di indagine scientifica che il software aiuta poi ad analizzare. La raccolta completa dei registri permette di soddisfare numerosi requisiti di dichiarazione della conformità. Le mappe di analisi e di normalizzazione registrano messaggi provenienti da sistemi diversi in un modello di dati comune che consente di analizzare gli eventi correlati, registrati in diversi formati di origine. I link di correlazione registrano eventi provenienti da svariati sistemi o applicazioni, velocizzando il rilevamento e la risposta a eventuali minacce alla sicurezza. L'aggregazione SIEM riduce il volume dei dati di evento attraverso il consolidamento dei record di evento duplicati e la segnalazione in tempo reale dei dati di evento aggregati correlati, confrontandoli con sintesi di lungo periodo.
Risoluzione dei problemi con il SIEM
Stanno emergendo e diffondendosi rapidamente numerose minacce alla sicurezza delle reti. I possibili punti di ingresso alle reti sono aumentati a causa della maggiore mobilità degli utenti, del numero di possibili posizioni remote e della quantità di dispositivi che accedono alla rete.
Le nuove applicazioni e tecnologie creano rischi e favoriscono nuovi attacchi nei confronti delle reti. Presso alcune organizzazioni, le violazioni della sicurezza possono restare ignorate per mesi, mentre altre dispongono di reparti IT dedicati a proteggere la rete dalle attività dannose. Questi reparti devono analizzare dati provenienti da una gran varietà di fonti per capire a quali minacce è sottoposta la rete e stabilire le contromisure necessarie.
Il personale IT necessita dunque di una soluzione completa, caratterizzata da un approccio olistico, in grado di fornire una protezione su più livelli contro le minacce che avvengono a tutti i livelli e in tutti i percorsi di rete. Inoltre, i reparti IT devono restare sempre al passo con i requisiti di conformità e garantire:
- Responsabilità, per esaminare i report su chi ha fatto cosa e quando.
- Trasparenza, per fornire visibilità sui controlli di sicurezza, le applicazioni aziendali e le risorse oggetto di protezione.
- Misurabilità, per fornire metriche e report sui rischi IT presenti in azienda.
La soluzione SIEM di Juniper Networks
Juniper Networks Secure Analytics (JSA) è una piattaforma di gestione della sicurezza di rete che facilita il confronto di dati provenienti dal più ampio insieme di dispositivi e traffico di rete. Riunisce in un'unica soluzione end-to-end integrata di gestione della sicurezza di rete, funzionalità di gestione dei registri, SIEM e di rilevamento delle anomalie di rete (NBAD). Per i settori soggetti alla conformità allo standard PCI (Payment Card Industry), al Federal Information Security Management Act (FISMA) e le altre aziende soggette a conformità, gli amministratori ottengono un quadro completo della condizione di sicurezza della rete.