In ambito di cybersecurity, spesso SIEM, SIM e SEM vengono utilizzati come sinomimi. Vediamo invece in cosa si differenziano questi software per la sicurezza informatica e perché sono utili per le aziende.

SIEM, SIM e SEM sono prodotti che rientrano nell’ambito della gestione della sicurezza informatica aziendale.

Nel dettaglio, il SEM (acronimo di Security Event Management) si occupa della gestione degli eventi di sicurezza; il SIM (acronimo di Security Information Management) riguarda invece la gestione dei log.

E il SIEM?

In informatica il SIEM è l’acronimo di Security Information and Event Management.

Si tratta di un prodotto formato da software e servizi che coniuga le funzionalità del SIM con quelle del SEM.

Ma perché SIEM, SEM e SIM sono così importanti per le aziende? A cosa servono, nel dettaglio?

Questi prodotti semplificano di gran lunga la gestione della sicurezza aziendale da parte degli IT manager, che possono con facilità individuare, quindi bloccare, le minacce informatiche e gestire gli eventi grazie a tool di automation.

Il vantaggio di avvalersi di software SIEM è proprio la possibilità di combinare due funzioni di management indispensabili per la cybersicurezza: quella delle informazioni (SIM) e quella degli eventi (SEM).

Ma qual è la differenza tra SIM e SEM?
Vediamola nel dettaglio.

 

SEM: la gestione degli eventi di sicurezza

Il SEM (Security Event Management) si occupa di monitorare in tempo reale gli eventi nei sistemi di sicurezza, nella rete, nei dispositivi e nelle applicazioni, segnalando le anomalie e anticipando quindi eventuali disservizi.

La gestione degli eventi è una disciplina di sicurezza informatica che utilizza strumenti di ispezione dei dati per centralizzare l’archiviazione e l’interpretazione di registri o eventi generati da altri software in esecuzione su una rete.
Il logging centralizzato esisteva già precedentemente ai SEM. Ma con il Security Event Management è stato introdotto uno strumento chiave per la sicurezza informatica: la capacità di analizzare i registri raccolti per evidenziare eventi o comportamenti di interesse.

Ad esempio, con il SEM è possibile rilevare un accesso amministratore al di fuori del normale orario di lavoro, quindi informazioni sull’host, sull’Id, ecc…

Le informazioni contestuali raccolte rendono i report estremamente più dettagliati e permettono di ottimizzare i flussi di lavoro finalizzati alla risoluzione degli incidenti.

I SEM migliori offriranno un set flessibile ed estensibile di funzionalità di integrazione per garantire un corretto funzionamento con maggior parte degli ambienti dei clienti.

 

 

 

SIEM: 5 motivi per cui non puoi farne a meno

Scarica il PDF gratuito e scopri perché il SIEM è indispensabile per le aziende.

 

 

SIM: la gestione delle informazioni di sicurezza

Il SIM (Security Information Management), viene utilizzato per gestire la raccolta dei log in modalità automatica.

A differenza del SEM, il software SIM non lavora in real time ma in modalità automatizzata: attraverso un agent i dati raccolti vengono inviati al server centrale e installati nei dispositivi soggetti al monitoring.

In pratica i prodotti SIM sono software agent in esecuzione sui sistemi IT che necessitano di monitoraggio. I SIM quindi inviano le informazioni del registro a un server centralizzato che funge da “console di sicurezza”

La console di sicurezza è monitorata da un amministratore, che rivede le informazioni consolidate e interviene in risposta a eventuali allarmi emessi.

Alcuni agent possono incorporare filtri locali, per ridurre e manipolare i dati che inviano al server, anche se in genere da un punto di vista legale si raccolgono tutti i registri di controllo e di contabilità per garantire la possibilità di ricreare un incidente di sicurezza.

Il SIM si riferisce perciò alla parte della sicurezza delle informazioni che consiste nella scoperta del “cattivo comportamento” utilizzando tecniche di raccolta dei dati.

I dati inviati al server, per essere correlati e analizzati, sono normalizzati dagli agent in una forma comune, in genere XML. Questi dati vengono quindi aggregati, al fine di ridurne le dimensioni complessive.

 

In che modo il SIEM unisce le funzionalità del SEM e del SIM?

Il SIEM, in sostanza, è un Sistema di Gestione delle Informazioni e degli Eventi di Sicurezza.

Integra le funzioni di incident management con i workflow automatizzati per gestire da un’unica posizione l’intero processo di sicurezza.

Grazie a questi sistemi tutti i dati provenienti dai server, storage, pc, host, tool, device mobili vengono convogliati in un unico sistema e gestiti in modo aggregato.

Inoltre questi software alleggeriscono di gran lunga il lavoro degli amministratori di sistema, essendo in grado di reagire in modo automatico agli eventi.

Alcune imprese hanno compreso talmente bene l’importanza dell’automation che hanno iniziato a integrare i SIEM con i sistemi di machine learning e intelligenza artificiale, incrementando nuove funzionalità e ottimizzando la velocità e la precisione dei sistemi.

La sicurezza informatica non è qualcosa che un’organizzazione può sottovalutare o gestire in modo approssimativo. Cercare attacchi nel posto o nel momento sbagliato può essere molto rischiosi e comportare conseguenze potenzialmente deleterie.
Una piattaforma SIEM se configurata e monitorata correttamente, può svolgere un ruolo significativo nel consentire agli specialisti della sicurezza IT di identificare gli attacchi nel momento in cui si verificano o addirittura anticiparli, consentendo una reazione e una risoluzione più rapida.

 

Share This