Le aziende negli ultimi anni hanno investito molto e continuano ad investire nel perimetro della Cyber Security.
La maggior parte degli investimenti sono stati fatti in tool sempre più complessi e in tecnologie di sicurezza che agiscono su specifici perimetri ed attacchi; il proliferare di questi diversi tool presenta la necessità di strutturare multi dimensionalmente un Cyber monitoraggio efficace che tenga conto da un lato delle diverse tecnologie da integrare, dall’altro della complessità di gestione di allarmi che tali tecnologie possono generare.
I SIEM (Security Information & Event Management) nascono con l’obbiettivo di gestire tutto il processo di monitoraggio ed investigazione ma la buona riuscita dell’adozione di un SIEM non può prescindere dai seguenti punti cardine avulsi dalla specifica tecnologia:
- Metodologia basata su Framework di Cyber Security (eg MITRE ATT&CK) che permettano una copertura verticale ed orizzontale delle minacce monitorate
- Conoscenza approfondita delle tecnologie ed in generale delle sorgenti che alimentano il SIEM maggiorando il più possibile l'efficienza e l'efficacia dei singoli allarmi inviati agli analisti del SOC
- Adozione di tecniche avanzate di correlazione e modellizzazione delle rilevazioni di sicurezza per individuare le minacce più avanzate
Questi pilastri, congiuntamente alla sensibilità di chi da anni accompagna alcuni dei maggiori SOC europei nel miglioramento del loro monitoraggio, rendono l’adozione o il miglioramento del SIEM un processo strutturato e con un ritorno veloce dell’investimento del cliente.