Il Security Information Management (SIM ), a volte chiamato anche Security Information and Event Management (SIEM), è stata una problematica categoria di sicurezza per anni. Questo segmento di mercato ha caratterizzato quei prodotti per la raccolta e l'analisi degli eventi di sicurezza, con l'obiettivo di individuare attività maligne. Influenzati da costose implementazioni che richiedevano gravose integrazioni, i prodotti SIM e i loro fornitori non sono mai riusciti a mantenere ciò che promettevano.
Tuttavia, se si guarda al SIM dalla prospettiva del professionista della security, l'idea di integrare e correlare informazioni di sicurezza che provengono da molteplici fonti di dati è decisamente interessante. Sarebbe molto comodo poter guardare uno schermo o un cruscotto ed essere in grado di segnalare i problemi con esattezza, prima che accadano.
Nel passato, le tecnologie SIM sono state caratterizzate da diverse imperfezioni e purtroppo molti utilizzatori finali hanno dovuto scontrarsi duramente con questo aspetto. Un problema nasce dalla natura stessa del SIM; i dispositivi da cui riceve gli input, come i firewall e gli apparecchi di IPS, sono tipicamente “rumorosi”. Con input in cui abbondano i falsi positivi, da sempre le offerte di SIM hanno avuto enormi difficoltà a fornire informazioni utili senza aver prima effettuato numerosi esperimenti e attività di tuning.
Inoltre, i prodotti di SIM sembrano poter risolvere i problemi quando è ormai troppo tardi; nel momento in cui le informazioni riescono a essere correlate ai file log, l'attacco è già accaduto. E negli odierni ambienti, in cui gli attacchi si diffondono a livello mondiale in pochi minuti, non ci si può permettere di arrivare in ritardo.
Ma non tutto è negativo e il SIM non è ancora morto. Infatti, l'idea dell'amministrazione della sicurezza si sta trasformando e questo sviluppo può portare una nuova vita del SIM. L'unione dei prodotti SIM con alcune altre tecnologie può realmente far nascere un efficace approccio sistematico alla gestione della sicurezza.
In primo luogo, il security management si sta sempre più integrando con il Network Behavior Anomaly Detection (NBAD ), fornendo una pseudo visibilità in tempo reale su cosa sta accadendo sulla vostra rete. Non in alcuni minuti o secondi, ma istantaneamente.
Per essere chiari, il pseudo tempo reale non è esattamente tempo reale. La natura stessa degli attacchi, in particolare gli attacchi zero-day, rende impossibile essere veramente proattivi nel proteggere un ambiente. L'obiettivo della rilevazione delle anomalie nel comportamento della rete, tuttavia, è di ridurre i tempi di reazione. Inoltre, definendo delle soglie basate su un comportamento anomalo, i prodotti di NBAD possono attivare analisi più specifiche e contenere più efficacemente i danni.
Con NBAD, i professionisti della sicurezza non si trovano a guardare in uno specchio retrovisore, tentando di immaginare un disastro che già è accaduto. In virtù dei tempi di reazione più veloci consentiti dalla tecnologia, ci si aspetta che la rilevazione delle anomalie nel comportamento della rete quest'anno abbia una vasta diffusione, particolarmente se integrata con il software di SIM.
Ma questo non è l'unica via in cui il SIM sta mutando le sue sembianze davanti nostri occhi. Quando in un'organizzazione avviene un incidente di sicurezza, è importante avere a disposizione i comandi giusti affinché un guaio simile non si ripeta più in futuro. In molti prodotti SIM, tuttavia, tali risposte preventive sono difficili da ottenere. Durante il processo di miglioramento delle performance, i dati di sicurezza sono spesso normalizzati e manipolati, rendendoli inutili per scopi legali.
Nei primi prodotti SIM, i file log grezzi erano modificati per facilitare l'inserimento in un database e diminuire la quantità di informazioni da gestire, ottimizzando così l'uso dello spazio. Questo era un elemento importante quando SIM apparve sul mercato circa cinque anni fa, poiché la tecnologia non era sufficientemente veloce per memorizzare tutti i dati in un modo coerente con la forma legale e il problema da risolvere era la correlazione di eventi.
Da qui nasce l'emergenza di prodotti per il log management . Questi applicativi creati ad hoc riuniscono rapidamente i dati di log provenienti da numerosi dispositivi differenti e operano coerentemente con la forma legale, mantenendo l'integrità dei dati, in modo che possano essere facilmente analizzati per scopi forensi e di conformità, anche se non necessariamente per l'amministrazione in tempo reale. Questa gestione dei dati di log ha validità legale durante un processo.
Il security management sta evolvendo da una generazione alla successiva e in questa transizione non è facile prendere le giuste decisioni. I fornitori più aggressivi hanno scelto di focalizzarsi sulle capacità di management in pseudo tempo reale o sulle funzioni di log management. Ma anche se il vostro fornitore non è tra i più noti, è ancora possibile che voi stessi riusciate a integrare assieme molte di queste soluzioni per ottenere i risultati voluti.
La questione cardine è infatti capire le esigenze specifiche della vostra azienda. Molte organizzazioni hanno speso molto tempo e denaro affinché avesse qualche utilità il lavoro svolto dal SIM, ma non è detto sia necessario che anche voi dobbiate ricorrere a tali investimenti. Potreste avere semplicemente bisogno di completare un prodotto esistente con il log management o l'NBAD.
