PROBLEMA

Le soluzioni di Information Security aziendali sono proliferate in modo esponenziale ma, nonostante la presenza di questi software, non sempre è possibile avere una visione globale degli eventi che possono influire sul livello di sicurezza. Ogni soluzione gestisce il proprio silos informativo, non contribuendo a garantire una visione aggregata, lasciando l’azienda esposta a rischi di attacco o compromissione.

Inoltre, alcune informazioni rilevanti per la visione globale della sicurezza devono essere direttamente raccolte dai sistemi sorgente, per essere poi normalizzate e correlate con il resto dai dati disponibili.

Impostare un progetto di SIEM può portare a numerosi vantaggi in termini di Prevention, Reaction e Mitigation verso eventi critici e potenzialmente dannosi; può diventare la vera piattaforma di Security Intelligence se implementata e gestita adeguatamente.

SOLUZIONE

Per adottare con successo una soluzione di SIEM, indipendentemente dal nome del Vendor scelto, il progetto non può avere un approccio esclusivamente tecnologico. È fondamentale comprendere con precisione gli obiettivi di risultato attesi dal Cliente, bisogna analizzare cosa realmente preoccupa il cliente in termini di rischio al quale potrebbe essere esposta l’azienda, cosa è necessario monitorare in termini di raccolta e correlazione di eventi e come il cliente è in grado di reagire al verificarsi di situazioni critiche.

Sono tre aspetti di importanza equivalente nell’impostazione di un progetto SIEM che, se non valutati correttamente, rischiano di vanificare l’obiettivo di ridurre il livello di rischio o di rendere inutili gli investimenti.

La definizione di quale rischio si vuole mitigare permette di capire quali sono gli elementi che dovranno essere monitorati, tramite raccolta di log, all’interno dell’organizzazione IT. È necessario focalizzare l’attenzione per evitare di raccogliere una mole eccessiva di dati, che non potranno mai essere correlati. L’approccio dev’essere quello di ridurre il perimetro iniziale per ricavare informazioni rilevanti, e allargare lo scope del progetto per passi successivi.

L’analisi della capacità di reazione è fondamentale per capire se un cliente può realmente gestire in autonomia un SIEM interno, o se invece è preferibile avvalersi di un servizio gestito da un Partner esterno. Non basta inviare log al SIEM, creare delle regole di correlazione ad inizio progetto e presentare degli indicatori su maxi schermi, in sale deserte. Un sistema SIEM deve essere costantemente aggiornato con la creazione di nuove regole di correlazione, inserimento di nuove fonti di raccolta log, definizione di nuovi alert; deve evolvere con le architetture IT del Cliente.

DIGI lavora su piattaforma SIEM IBM QRadar e ha acquisito esperienze di implementazione in Clienti Enterprise, Midmarket, Telco – sviluppando progetti on premise dal Cliente o attivando Managed Services in Cloud per agevolare l’adozione della piattaforma anche da parte di Aziende che non dispongono di sufficiente personale di IT Security interno.

Esperienze

Oltre 7 anni di esperienza nell’implementazione di progetti SIEM in diversi settori di mercato

Competenze

Perché l’implementazione di un SIEM non si limita alla raccolta e correlazione di log

Confronto

Organizziamo incontri tra clienti e prospect per rassicurare chi vuole approcciare questo tema

Servizi Gestiti

EASYSIEM per attivare immediatamente la vostra piattaforma SIEM gestita da un team di esperti

Vendor

Questo sito utilizza cookie per migliorare la tua esperienza di navigazione. Approfondisci.