Almeno così dichiara AlienVault, una società privata americana di sviluppo di software con sede in San Mateo in California, nella Silicon Valley e uffici in molti paesi del mondo.
Ma, prima di tutto, cos'è un SIEM?
SIEM è l'acronimo di Security Information and Event Management ovvero di Sicurezza delle Informazioni e gestione degli Eventi.
OSSIM è dunque un SIEM Open Source, come dice l'acronimo: Open Source Security Information and Event Management... system!
Lasciando perdere gli acronimi e parlando per farsi capire, un SIEM non è altro che un sistema informativo che consente di effettuare analisi di sicurezza e di gestire eventi attraverso la collezione di informazioni su eventi di sicurezza, la normalizzazione dei dati raccolti e la loro correlazione.
Per raggiungere lo scopo per il quale OSSIM è stato creato, il software utilizza alcune funzioni di cui è dotato, tra queste, le principali sono:
- asset discovery, ovvero la ricerca automatica delle risorse informatiche di una organizzazione;
- vulnerability assessment, cioè il controllo delle vulnerabilità del sistema informativo;
- intrusion detection, ovvero la ricerca di eventuali attività malevoli compiute da utenti o software non autorizzati;
- behavioral monitoring, cioè il controllo comportamentale degli utenti di un sistema;
- SIEM, la vera e propria funzionalità di gestione degli eventi di sicurezza.
Naturalmente, come il mercato è ben attento a dirci le cose gratuite non sempre sono all'altezza di ciò che è a pagamento... ma sarà poi vero?
E' un dato di fatto che sul mercato esistono tanti prodottuttori che si occupano di SIEM, tra questi IBM, CorreLog, RSA, Splunk, Symantec, per citarne solo alcuni. Naturalmente ognuno di essi, a sentire loro, ha sempre qualcosa in più o di meglio rispetto ai concorrenti. C'è chi è più bravo nell'analisi dei log, chi è più esperto nella raccolta di informazioni, chi afferma di essere il migliore nella correlazione dei dati e così via.
Tutti questi prodotti, siano essi Open Source o forniti dietro licenza a pagamento, si avvalgono di una organizzazione capace di fornire e raccogliere informazioni, di adattare i softwares alle esigenze aziendali o di fornire servizi di sicurezza a pagamento, in definitiva ciò che conta realmente sono le persone che vi sono dietro e la loro capacità di analisi e di fare "rete".
E' possibile rendersi conto di ciò quando si cerca di configurare da soli un qualunque genere di sistema. Spesso occorrono conoscenze ingegneristiche così spinte che da soli non si riesce a combinare granchè. Allora ci si rivolge alle community, gruppi di sostenitori, che spesso danno il loro contributo gratuitamente, per passione.
Non sempre però è saggio rivolgersi ad una community, in particolare non sempre è opportuno farlo nel campo della sicurezza e lo è ancor meno quando sono in gioco informazioni riguardanti una struttura organizzativa.
Ma allora come occorre comportarsi?
Spendere un sacco di soldi in licenze e assistenza o risparmiare utilizzando prodotti Open Source?
Personalmente ritengo che vi sia una via di mezzo.
Impiegare prodotti open source si può, a patto che l'organizzazione che li impiega investa nel personale interno che deve essere capace di capire il funzionamento e l'impiego del software eventualmente partecipando in prima persona all'interno delle community di sviluppo.
Allora ciò che fa veramente la differenza nel mondo della Cyber Defence non è il software ma la capacità degli ingegnieri di configurare i software a seconda delle diverse situazioni e la capacità degli analisti di "leggere" le informazioni che si nascondono dietro le enormi quantità di dati raccolti, grazie alla loro esperienza e alla conoscenza dell'organizzazione per la quale lavorano.
Sono loro che ancor oggi fanno la differenza.
Gli uomini con le loro conoscenze, le loro capacità e la loro inventiva.
Alessandro Giovanni Paolo RUGOLO
Fonti consultate:
- https://www.alienvault.com/products/ossim;
- http://searchsecurity.techtarget.com/essentialguide/The-top-SIEM-products-A-buyers-guide;
- https://www.splunk.com/en_us/resource/video.ltc2VpbzpiffiI6q6mOCggCf7sYASHMt.html;
- http://www.securityweek.com/keyw-corporation-acquire-siem-vendor-sensage-345-million;
- https://www.gartner.com/doc/1679814/magic-quadrant-security-information-event.
