Il Security Information and Event Management (SIEM) è una pietra miliare della cybersecurity, in quanto offre una serie sofisticata di strumenti e processi che consentono alle organizzazioni di rilevare, analizzare e rispondere agli incidenti di sicurezza con una velocità e una precisione senza precedenti. Nel suo nucleo, il SIEM funge da sistema nervoso centrale per il monitoraggio della sicurezza, raccogliendo e aggregando i dati di log da varie fonti all'interno di un ambiente IT e correlando queste informazioni per identificare attività anomale che potrebbero indicare una minaccia alla sicurezza informatica. Ma i SIEM hanno dei limiti.
Sebbene i sistemi SIEM siano parte integrante della sicurezza informatica, non sono privi di limiti e richiedono l'inclusione di Network Detection and Response (NDR) per un approccio alla sicurezza più completo.
I sistemi SIEM si basano principalmente sui dati di log e su regole di correlazione predefinite per il rilevamento delle minacce, il che può portare a diverse sfide:
La dipendenza del SIEM da firme e schemi noti si scontra con gli exploit zero-day e le nuove tecniche di attacco, che non dispongono di firme o schemi di comportamento consolidati.
L'affidamento a regole predefinite può comportare un elevato numero di falsi positivi. Secondo un rapporto di Gartner, il tasso medio di falsi positivi per i SIEM può raggiungere il 75%. Questo non solo appesantisce i team SOC con avvisi inutili, ma può anche portare a una stanchezza da allerta, facendo potenzialmente trascurare le minacce reali.
Con il crescente utilizzo della crittografia, i sistemi SIEM spesso non sono in grado di ispezionare il traffico di rete crittografato. Questo crea un punto cieco, in quanto le attività dannose possono passare inosservate se sono nascoste all'interno di canali criptati.
I sistemi SIEM richiedono notevoli risorse per l'archiviazione, l'elaborazione e la manutenzione dei log. Uno studio del Ponemon Institute evidenzia che un'organizzazione media spende circa 3,4 milioni di dollari all'anno per attività legate al SIEM, sottolineando la natura ad alta intensità di risorse di questi sistemi.
L'impostazione e la manutenzione di un sistema SIEM è un processo complesso che richiede competenze specialistiche. Questa complessità può portare a problemi di implementazione e a inefficienze operative, come ha osservato Cybersecurity Ventures.
Al contrario, l'NDR integra il SIEM offrendo un'analisi del traffico di rete in tempo reale, essenziale per identificare anomalie e minacce che eludono i metodi di rilevamento tradizionali. Le soluzioni NDR utilizzano tecniche avanzate come l'apprendimento automatico e l'intelligenza artificiale per analizzare i comportamenti di rete, fornendo un approccio più dinamico e adattivo al rilevamento delle minacce. Ciò consente ai team SOC di rilevare e rispondere alle minacce più sofisticate in modo più efficace, compresa l'analisi del traffico crittografato, il rilevamento delle anomalie basato sul comportamento e le funzionalità di risposta automatica.
L'integrazione dell'NDR con il SIEM crea una postura di sicurezza più solida, garantendo che le organizzazioni non dipendano esclusivamente dai dati di log e dalle regole predefinite. Questa combinazione migliora il rilevamento delle minacce avanzate, riduce i falsi positivi e fornisce una visione più completa del panorama della sicurezza, rafforzando in ultima analisi la difesa dell'organizzazione contro le minacce informatiche in continua evoluzione.