Le soluzioni di Information Security aziendali sono proliferate in modo esponenziale ma, nonostante la presenza di questi software, non sempre è possibile avere una visione globale degli eventi che possono influire sul livello di sicurezza. Ogni soluzione gestisce il proprio silos informativo, non contribuendo a garantire una visione aggregata, lasciando l’azienda esposta a rischi di attacco o compromissione.
Inoltre, alcune informazioni rilevanti per la visione globale della sicurezza devono essere direttamente raccolte dai sistemi sorgente, per essere poi normalizzate e correlate con il resto dai dati disponibili.
Impostare un progetto di SIEM può portare a numerosi vantaggi in termini di Prevention, Reaction e Mitigation verso eventi critici e potenzialmente dannosi; può diventare la vera piattaforma di Security Intelligence se implementata e gestita adeguatamente.
Per adottare con successo una soluzione di SIEM, indipendentemente dal nome del Vendor scelto, il progetto non può avere un approccio esclusivamente tecnologico. È fondamentale comprendere con precisione gli obiettivi di risultato attesi dal Cliente, bisogna analizzare cosa realmente preoccupa il cliente in termini di rischio al quale potrebbe essere esposta l’azienda, cosa è necessario monitorare in termini di raccolta e correlazione di eventi e come il cliente è in grado di reagire al verificarsi di situazioni critiche.
Sono tre aspetti di importanza equivalente nell’impostazione di un progetto SIEM che, se non valutati correttamente, rischiano di vanificare l’obiettivo di ridurre il livello di rischio o di rendere inutili gli investimenti.
La definizione di quale rischio si vuole mitigare permette di capire quali sono gli elementi che dovranno essere monitorati, tramite raccolta di log, all’interno dell’organizzazione IT. È necessario focalizzare l’attenzione per evitare di raccogliere una mole eccessiva di dati, che non potranno mai essere correlati. L’approccio dev’essere quello di ridurre il perimetro iniziale per ricavare informazioni rilevanti, e allargare lo scope del progetto per passi successivi.
L’analisi della capacità di reazione è fondamentale per capire se un cliente può realmente gestire in autonomia un SIEM interno, o se invece è preferibile avvalersi di un servizio gestito da un Partner esterno. Non basta inviare log al SIEM, creare delle regole di correlazione ad inizio progetto e presentare degli indicatori su maxi schermi, in sale deserte. Un sistema SIEM deve essere costantemente aggiornato con la creazione di nuove regole di correlazione, inserimento di nuove fonti di raccolta log, definizione di nuovi alert; deve evolvere con le architetture IT del Cliente.
Oltre 7 anni di esperienza nell’implementazione di progetti SIEM in diversi settori di mercato
Perché l’implementazione di un SIEM non si limita alla raccolta e correlazione di log
Organizziamo incontri tra clienti e prospect per rassicurare chi vuole approcciare questo tema
EASYSIEM per attivare immediatamente la vostra piattaforma SIEM gestita da un team di esperti
Softlab Digi S.p.A. con socio unico
Viale Zara 58, 20124 Milano (MI)
Via Mario Bianchini 60, 00142 Roma (RM)
Corso Trieste 164, 81100 Caserta (CE)
Via Cavalieri di Vittorio V.to 11, 73024 Maglie (LE)
Tel. (+39) 06 83468111 – [email protected] – P. IVA, C.F., Iscr. U.R. 11419600157 – C.C.I.A.A. REA MI-1465822 – Capitale Sociale 1.505.000,00 € I.V. – PEC: [email protected]
