Il Security Information and Event Management (SIEM) è uno strumento fondamentale a disposizione degli analisti della sicurezza che operano nei Security Operation Center (SOC) aziendali. Tuttavia, di fronte al moltiplicarsi delle minacce nel cloud e alle decine di attacchi crittografati che ogni giorno prendono di mira i sistemi aziendali, non basta più affidarsi al SIEM per rilevare in modo efficace le minacce.
Come tutti gli strumenti, il SIEM è prezioso se utilizzato correttamente e nel giusto contesto. Nell’attuale panorama complesso e ibrido delle minacce, è importante riconoscere dove il SIEM eccelle e dove non eccelle. Esistono infatti strumenti più adatti a risolvere i problemi di rilevamento e risposta alle minacce.
Ecco 10 segnali da tenere in considerazione per capire se la vostra azienda sta chiedendo troppo al proprio SIEM:
- Affidarsi esclusivamente al SIEM per rilevare, indagare e rispondere agli attacchi
Il SIEM è basato su regole, ma gli attacchi avanzati spesso le eludono. Questo fattore da solo crea un’enorme mole di lavoro, che richiede molte risorse economiche e di personale e che, in ultima analisi, abbatte il morale degli analisti e la loro capacità di identificare nuovi attacchi e scrivere nuove regole specifiche per affrontarli.
- Aspettarsi che l’investimento nel SIEM generi un ROI positivo
Con l’aumento dei costi di sviluppo dei casi d’uso del SIEM, il rapporto tempo/valore del SIEM si sta deteriorando. Ad esempio, Splunk costa in media 6000 dollari per caso d’uso, mentre il costo medio del caso d’uso di QRadar è di circa 12.500 dollari. I costi medi annuali di manutenzione dei casi d’uso sono di circa 2.500 dollari all’anno, con costi totali che si aggirano sulle centinaia di migliaia di dollari. In altre parole, le possibilità che il vostro investimento nel SIEM produca un ROI positivo sono molto scarse.
- Il volume dei casi d’uso del SIEM è fuori controllo
L’aumento del numero di cyberattacchi avanzati fa lievitare i costi di sviluppo e manutenzione dei casi.
- Il carico di lavoro del SOC sta esplodendo (o è già esploso)
L’eccessiva dipendenza dal SIEM implica anche un’eccessiva dipendenza dal rilevamento delle minacce affidato agli analisti per individuare veri attacchi e falsi positivi. Ciò è costoso e rappresenta un uso improprio del talento del team.
- Affidarsi al SIEM per semplificare gli sforzi del team nel perfezionamento delle regole di rilevamento e nel triage degli avvisi
Con l’espansione della superficie di attacco aumenta anche il volume di dati da indicizzare, arricchire e analizzare. Questo comporta un aumento delle ore di lavoro dedicate alla creazione e all’implementazione di casi d’uso e delle regole, complicando il processo.
- Pensare che il SIEM aiuterà a risolvere la carenza di personale qualificato
Il fatto che il team sia impegnato in processi ad alta intensità di lavoro, come la codifica manuale dei casi d’uso o l’analisi di migliaia di avvisi al giorno, riduce l’efficacia del SIEM e demoralizza il team SOC. Di conseguenza, fa sì che l’azienda debba costantemente (ri)assumere e formare i team di sicurezza.
- Aspettarsi chiarezza dei segnali dal SIEM
Nella maggior parte dei casi, il SIEM genera molto rumore di fondo, perché non è stato creato per fornire segnali accurati e integrati sulle superfici di attacco ibride, ma per raccogliere dati. Un SIEM può generare centinaia di avvisi al giorno e può riconoscere segnali o schemi di comportamento solo attraverso regole preesistenti. Non è in grado di rilevare TTP di attacco nuove o sconosciute né exploit zero-day. Tra l’individuazione dei falsi allarmi e la scrittura di nuove regole, l’uso del solo SIEM è uno sforzo continuo per il team di sicurezza.
- Affidarsi al SIEM per individuare rapidamente i segnali del comportamento di un attaccante all’interno dell’ambiente aziendale
Con la crescita delle tracce lasciate nel cloud, agli attaccanti basta un solo varco per infiltrarsi negli ambienti e creare un mezzo di persistenza. Gli attaccanti ibridi sono veloci e agili, quindi per tenere il passo del SIEM gli analisti dovrebbero creare manualmente regole e correlazioni che prevedano ogni mossa di un attaccante e avere una regola per ciascuna di esse. Un lavoro evidentemente impossibile.
- Sperare che il SIEM sia in grado di fornire rilevamenti personalizzati facili e veloci per la copertura post-exploitation
Il SIEM fa un ottimo lavoro di aggregazione dei log, ma cercare di configurare rilevamenti personalizzati all’interno del SIEM per la copertura post-exploitation non produce risultati favorevoli e aggiunge costi.
- Affidarsi a tecnologie isolate nel SIEM per comunicare e migliorare la copertura
I team SOC stanno lavorando per difendere l’azienda contro un volume di minacce in continua espansione, oltre a gestire segnali e avvisi provenienti da numerosi strumenti diversi e che non parlano tra loro. Non è una formula vincente, anzi. Ciò innesca una spirale crescente di più lavoro e più complessità, oltre a maggiori rischi e sforzi sprecati per il team SOC che si traducono in una minore sicurezza per l’organizzazione.
Passare dal SIEM al segnale
Esiste un modo più efficace per ottenere il massimo dal SIEM e dal team SOC in termini di efficienza, costi e ottimizzazione dei talenti. La piattaforma Vectra AI aumenta drasticamente le prestazioni del SIEM con un rilevamento guidato dall’analisi, invece di un approccio manuale che costa tempo, denaro e perdita di opportunità per il team. Vectra AI aumenta la copertura, dà priorità alle minacce e fornisce indagini mirate utilizzando modelli comportamentali e Machine learning guidati dall’AI che ampliano la copertura del rilevamento.
La soluzione proposta da Vectra combina inoltre la telemetria dei log dal cloud, le informazioni sulle minacce e altre fonti con i metadati ad alta fedeltà disponibili dai pacchetti raccolti per individuare le risorse interessate. A differenza delle soluzioni basate su SIEM, si sposta da un ambiente all’altro seguendo l’attacco e fornendo agli analisti informazioni di sicurezza basate sui comportamenti in tempo reale sul cloud e sulla rete.
