SIEM sta per Security Information and Event Management e mira ad ottenere una visione olistica della propria sicurezza IT. Le tendenze e i modelli minacciosi devono essere riconosciuti più facilmente in questo modo.
L'idea di base del SIEM è che vari dati rilevanti per la sicurezza maturano in diversi punti del sistema IT di un'azienda. Se questi vengono elaborati solo localmente, è impossibile ottenere un quadro più ampio e identificare un modello di minaccia completo, per esempio. Allo stesso tempo, l'uso delle risorse interne è inefficiente se tutti gli attacchi vengono contrastati separatamente. Pertanto, i dati e le relative informazioni sono raggruppati in un unico luogo - Security Information Management (SIM) e Security Event Management (SEM) sono fusi in SIEM.
Sistema automatizzato con analisi in tempo reale
Il concetto SIEM prevede un sistema ampiamente automatizzato che esegue analisi delle minacce in tempo reale 24 ore su 24. A tal fine, memorizza e interpreta i dati raccolti. Se il sistema non è in grado di rilevare una minaccia o identifica modelli aggressivi, il personale di sicurezza viene avvisato al fine di avviare le contromisure in modo tempestivo. Inoltre, i rapporti vengono generati automaticamente.
L'obiettivo è quindi non solo quello di rilevare le minacce in una fase precoce, ma anche di eseguire rapidamente il backup e il ripristino dei dati in caso di incidenti rilevanti per la sicurezza. A questo scopo, gli agenti software (programmi di esecuzione della gestione) sono distribuiti nel sistema, che lavorano in modo gerarchico. Registrano gli eventi rilevanti per la sicurezza prima nei sottosistemi più importanti e poi nei componenti meno importanti dell'infrastruttura IT. In questo modo, mostrano, per esempio, se i sistemi di prevenzione delle intrusioni (IPS) o i dispositivi di rete non funzionano correttamente.
SIEM è diventato indispensabile
Security Information and Event Management è diventato indispensabile - una reazione in tempo reale agli attacchi rilevanti per la sicurezza è, per esempio, anche un requisito della legge federale sulla protezione dei dati (BDSG). Anche le certificazioni come SOX, ISO o Basilea II rendono il SIEM indispensabile. Anche se non prescrivono direttamente l'uso del concetto di gestione corrispondente, stabiliscono regole che possono essere implementate solo attraverso un SIEM. Per esempio, ISO 27001 richiede un "monitoraggio attivo", il cui scopo è quello di "rendere visibili le attività non autorizzate". Inoltre, il SIEM è anche un grande interesse di ogni azienda per proteggere la propria proprietà intellettuale e le informazioni finanziarie rilevanti nel modo più completo possibile.