5 Principali Considerazioni SIEM e Come le Risolve Elastic Security

I sistemi di gestione degli eventi e delle informazioni di sicurezza (SIEM - Security Information and Event Management) sono piattaforme di registrazione centralizzate che consentono ai team di sicurezza di analizzare i dati degli eventi in tempo reale per il rilevamento precoce di attacchi informatici mirati e violazioni dei dati.

Un SIEM viene utilizzato come strumento per raccogliere, archiviare, investigare e segnalare i dati per il rilevamento delle minacce, la risposta agli incidenti, le indagini forensi e la conformità normativa.

SIEM si è evoluto continuamente sin dai suoi primi giorni di adozione. Un software SIEM oggi deve supportare i big data e fornire valutazioni del rischio credibili e capacità forensi per mettere insieme gli eventi dopo che si è verificato un incidente.

Gli analisti della sicurezza hanno da tempo bisogno di adattarsi alle mutevoli minacce, ambienti e perimetri. La capacità di integrarsi con le nuove tecnologie e aumentare la flessibilità al fine di rilevare rapidi cambiamenti delle minacce ha dato origine a nuove aspettative e richieste sul moderno software SIEM.

Oltre a SIEM, Elastic Security viene utilizzato per i principali casi d'uso di sicurezza come la sicurezza degli endpoint, il threat hunting e il monitoraggio del cloud.

Ecco le cinque principali considerazioni su SIEM e come Elastic Security può soddisfarle.

1. Integrazioni Cloud più Forti e Capacità di Monitoraggio

Tutti i principali servizi cloud forniscono analisi approfondite sull'intera infrastruttura cloud e sui dati delle applicazioni. La maggior parte delle organizzazioni richiede log analitici di questo livello.

Dopotutto, più informazioni hanno i team, più sono in grado di proteggere l'infrastruttura e i dati dell’ azienda. L'integrazione con dati cloud approfonditi è una delle metriche chiave da rafforzare con un processo di gestione centralizzata dei log.

Elastic si integra con un'ampia gamma di piattaforme cloud come Amazon Web Services (AWS), Microsoft Azure e applicazioni Google Cloud tramite moduli di dati.

Ciò include, ma non è limitato a, set di dati cloud rilevanti per la sicurezza come metriche, traffico da reti virtuali, cloud storage, log delle applicazioni, audit trail, servizi di streaming, ambienti containerizzati e funzioni serverless. Questi moduli sono anche integrati con dashboard di esempio per visualizzazioni avanzate e analisi rapide dei dati.

2. Protezione dei Dati

La maggior parte dei team di sicurezza utilizza SIEM come strumento di rilevamento e analisi in prima linea. Con insiemi di dati così grandi a portata di mano, la protezione dei dati, ovvero il processo di salvaguardia di informazioni importanti da corruzione, compromissione o perdita, svolge un ruolo importante.

L'autenticazione, la segregazione dei dati, la crittografia e l'autorizzazione sono le migliori pratiche di sicurezza per salvaguardare i dati da violazioni. L'importanza della protezione dei dati aumenta man mano che la quantità di dati creati e archiviati continua a crescere a ritmi senza precedenti.

Le informazioni chiave che vengono comunemente archiviate dalle aziende devono essere protette. Questo per impedire che i dati vengano utilizzati in modo improprio da terze parti per frodi, come attacchi di phishing e furti d’identità.

Protezione dei Dati nell'Elastic Stack

Elastic offre funzionalità di sicurezza gratuite per garantire che i dati archiviati negli indici Elasticsearch siano sicuri e protetti da utenti non autorizzati e modifiche involontarie.

Autenticazione

Questo è uno dei passaggi critici per proteggere i dati che fluiscono attraverso Elasticsearch, Kibana, Beats e Logstash.

Con Elastic Stack, è possibile integrare una serie di sistemi di gestione delle identità standard del settore. L'autenticazione dell'utente fornisce realm integrati come native, LDAP, active_directory, PKI, file, SAML e OIDC.

È possibile utilizzare opzioni come certificati, Kerberos e SAML o creare un realm personalizzato che supporti il sistema di gestione delle identità sviluppato in casa.

Autorizzazione

Spazi Kibana: è possibile separare le funzionalità di Kibana e accedere a tali funzionalità in più spazi all'interno di una singola istanza di Kibana.

Controllo degli accessi in base al ruolo (RBAC): controllare quali utenti e ruoli possono accedere a ogni spazio, incluse le funzionalità e le app specifiche di Kibana al suo interno.

Crittografia

È fondamentale proteggere dati sensibili, numeri di carta di credito, indirizzi e-mail e account nei cluster e client. Con la crittografia SSL/TLS, è possibile proteggere da nodo a nodo, HTTP e trasportare il traffico client attraverso il tuo Elastic Stack.

3. Integrazione con Ecosistemi di Sicurezza

L'analisi della sicurezza ha bisogno da tempo di adattarsi rapidamente alle minacce in continua evoluzione. Il rilevamento, l'indagine e la risposta alle minacce sono più coinvolti che mai.

I SIEM che comprendono l'automazione del flusso di lavoro di base sono riusciti a mantenere l'efficienza fino ad ora, ma man mano che le aziende registrano una crescita, sono necessarie funzionalità aggiuntive.

L'analisi della sicurezza moderna è molto più di un semplice SIEM. Un'analisi efficace include una stretta integrazione con un ecosistema di sicurezza all'interno dell'organizzazione. Gli analisti devono essere in grado di creare analisi personalizzate, integrarsi con piattaforme di intelligence sulle minacce, correlare tra diversi tipi di dati e set e orchestrare con piattaforme di terze parti utilizzando le API.

Le ricche funzionalità basate su API di Elastic aumentano e orchestrano i dati e i rilevamenti di sicurezza integrandoli con notifiche e sistemi di terze parti tramite webhook.

La protezione unificata di Elastic combina l'analisi dei log (SIEM) con la sicurezza degli endpoint, la ricerca delle minacce, il monitoraggio del cloud e altri casi d'uso di sicurezza all'avanguardia per consentire agli analisti di prevenire, rilevare e rispondere con successo alle minacce in modo rapido e su larga scala.

4. Analisi Avanzata

La crescente complessità degli attacchi sta spingendo la necessità di analisi avanzate oltre l'aggregazione di log delle tradizionali soluzioni SIEM. Le funzionalità analitiche avanzate migliorano le capacità di threat hunting all'interno delle operazioni di sicurezza e riducono il tempo medio per rilevare attacchi sofisticati.

Elastic Security soddisfa le esigenze di analisi avanzate con analisi a più livelli come le seguenti.

Rilevamento Anomalie

Il rilevamento delle anomalie è uno strumento importante per rilevare eventi rari che possono avere un grande significato ma sono difficili da trovare. L'apprendimento automatico di Elastic automatizza l'analisi dei dati delle serie temporali creando linee di base accurate del comportamento normale nei dati e identificando modelli anomali.

Può comprendere automaticamente lo schema dei dati durante il ciclo e sarà in grado di rilevare eventuali deviazioni/anomalie dalla normale attività.

Rilevamento Anomalie - Elastic Security
Rilevamento Anomalia Critica - Elastic Security

Tipologie di Regole del Motore di Rilevamento

Elastic Security offre molteplici modi per affrontare diversi casi d'uso di rilevamento delle minacce.

Creazione Nuove Regole - Elastic Security

Query Personalizzata

Le operazioni di sicurezza cercano logiche condizionali particolari per rilevare eventi sospetti. Questa regola basata su query ricerca gli indici definiti e crea un avviso quando un documento corrisponde alla query della regola.

Regole Threshold

Potrebbe essere necessario espandere la logica condizionale con il numero di volte in cui si è verificato l'evento. Un numero inferiore di occorrenze su determinati eventi potrebbe essere normale, ma lo stesso evento con un'occorrenza maggiore è sospetto.

Le regole threshold ricercano gli indici definiti e creano un avviso di rilevamento quando il valore del campo soddisfa il numero di soglia durante una singola esecuzione.

Machine Learning

Le regole di machine learning sono utilizzate per creare avvisi quando un'anomalia viene attivata da un processo di machine learning Elastic.

Correlazione degli Eventi

Le regole di correlazione sono utilizzate per rilevare potenziali minacce attraverso le relazioni tra più eventi. L'Event Query Language (EQL) di Elastic è un linguaggio di query per dati di serie temporali basati su eventi che consente di esprimere le relazioni tra gli eventi. EQL fornisce ricerche e rilevamenti per più eventi correlati che sono concatenati con una sequenza di query di eventi.

Rilevamento con Dati di Terze Parti (Threat Intels)

Essendo un potente motore di ricerca, Elasticsearch offre vari modi per arricchire i dati con feed di informazioni sulle minacce, mentre il motore di rilevamento Elastic Security aiuta gli utenti a rilevare gli avvisi con la corrispondenza degli indicatori di minaccia.

Gli indicatori dinamici o statici (theat intels) possono essere trasmessi in streaming in un indice dedicato e creare un avviso utilizzando le regole di rilevamento quando l'indicatore di compromissione (IOC) corrisponde ai campi di dati pertinenti.

Indicatori dinamici - Elastic Security

Rilevamenti Predefiniti

Elastic fornisce una libreria in continua crescita di regole di rilevamento pronte all'uso per affrontare diversi casi d'uso delle minacce. I rilevamenti Elastic offrono inoltre agli utenti la possibilità di definire e creare le proprie regole di rilevamento per abbinare i casi d'uso ambientali.

Direct Outbound Connection - Elastic Security

Meccanismo di Rilevamento Basato su un Quadro di Sicurezza Informatica Standardizzato

Negli ultimi anni, il framework MITRE ATT&CK® è diventato il framework di rilevamento delle minacce de facto, basato sui modelli degli aggressori. Elastic adotta il framework MITRE ATT&CK in tutti i casi d'uso di rilevamento integrati.

Tali framework di sicurezza informatica standardizzati aiutano gli analisti a comprendere meglio e tenere traccia delle lacune nel loro ambiente per rilevare gli attacchi prima che progrediscano.

Esempio di visualizzazione creata su Top alert SIEM mappati con tecniche MITRE.

Tecniche MITRE ATT&CK - Elastic Security

5. Modelli di Delivery Flessibili

Le soluzioni di sicurezza guidate dagli analisti devono adottare modelli di distribuzione diversi e flessibili, comprese implementazioni on-premise, basate su cloud e ibride. Tale implementazione flessibile e capacità di gestione dei log fornisce l'adattabilità alle esigenze dell'infrastruttura.

Dalla distribuzione della piattaforma all'integrazione dei dati, Elastic offre flessibilità nel modo in cui vengono gestiti i log e le piattaforme di log:

  • Elastic Cloud e l'architettura orientata ai servizi di livello aziendale con Elastic Cloud Enterprise (ECE) consentono di scalare ciascun servizio separatamente, con requisiti di affidabilità e prestazioni diversi;
  • Elastic Cloud on Kubernetes (ECK), basato sul pattern Kubernetes Operator, estende le capacità di orchestrazione di Kubernetes per supportare la configurazione e la gestione di Elasticsearch e Kibana su Kubernetes.

In Conclusione

Queste cinque considerazioni principali forniscono una visione approfondita di come SIEM si sta evolvendo oltre ad essere un semplice strumento di monitoraggio dei log. Ci saranno sempre continui cambiamenti sia nel panorama delle minacce alla sicurezza sia nel modo in cui i sistemi aziendali affrontano le sfide.

Elastic e Florence Consulting continueranno ad essere presenti per aiutare i team di sicurezza ad affrontare questi cambiamenti.

Se vuoi avere maggiori informazioni su Elastic invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.

In alternativa, puoi compilare il form sottostante con la tua domanda.