Cyber Defence: AlienVault OSSIM, il SIEM open source più utilizzato al mondo

(di Alessandro Rugolo)
19/04/17

Almeno così dichiara AlienVault, una società privata americana di sviluppo di software con sede in San Mateo in California, nella Silicon Valley e uffici in molti paesi del mondo.

Ma, prima di tutto, cos'è un SIEM?

SIEM è l'acronimo di Security Information and Event Management ovvero di Sicurezza delle Informazioni e Gestione degli Eventi.
OSSIM è dunque un SIEM Open Source, come dice l'acronimo: Open Source Security Information and Event Management... system.

Lasciando perdere gli acronimi e parlando per farsi capire, un SIEM non è altro che un sistema informativo che consente di effettuare analisi di sicurezza e di gestire eventi attraverso la collezione di informazioni su eventi di sicurezza, la normalizzazione dei dati raccolti e la loro correlazione. 
Per raggiungere lo scopo per il quale OSSIM è stato creato, il software utilizza alcune funzioni di cui è dotato, tra queste, le principali sono:  
- asset discovery, ovvero la ricerca automatica delle risorse informatiche di una organizzazione;
- vulnerability assessment, cioè il controllo delle vulnerabilità del sistema informativo;
- intrusion detection, ovvero la ricerca di eventuali attività malevoli compiute da utenti o software non autorizzati;
- behavioral monitoring, cioè il controllo comportamentale degli utenti di un sistema;
- SIEM, la vera e propria funzionalità di gestione degli eventi di sicurezza.

Naturalmente, come il mercato è ben attento a dirci le cose gratuite non sempre sono all'altezza di ciò che è a pagamento... ma sarà poi vero?
È un dato di fatto che sul mercato esistono tanti produttori che si occupano di SIEM, tra questi IBM, CorreLog, RSA, Splunk, Symantec, per citarne solo alcuni. Naturalmente ognuno di essi, a sentire loro, ha sempre qualcosa in più o di meglio rispetto ai concorrenti. C'è chi è più bravo nell'analisi dei log, chi è più esperto nella raccolta di informazioni, chi afferma di essere il migliore nella correlazione dei dati e così via.
Tutti questi prodotti, siano essi Open Source o forniti dietro licenza a pagamento, si avvalgono di una organizzazione capace di fornire e raccogliere informazioni, di adattare i softwares alle esigenze aziendali o di fornire servizi di sicurezza a pagamento, in definitiva ciò che conta realmente sono le persone che vi sono dietro e la loro capacità di analisi e di fare "rete".
È possibile rendersi conto di ciò quando si cerca di configurare da soli un qualunque genere di sistema. Spesso occorrono conoscenze ingegneristiche così spinte che da soli non si riesce a combinare granchè. Allora ci si rivolge alle community, gruppi di sostenitori, che spesso danno il loro contributo gratuitamente, per passione.
Non sempre però è saggio rivolgersi ad una community, in particolare non sempre è opportuno farlo nel campo della sicurezza e lo è ancor meno quando sono in gioco informazioni riguardanti una struttura organizzativa.

Ma allora come occorre comportarsi?
Spendere un sacco di soldi in licenze e assistenza o risparmiare utilizzando prodotti Open Source?

Personalmente ritengo che vi sia una via di mezzo.
Impiegare prodotti open source si può, a patto che l'organizzazione che li impiega investa nel personale interno che deve essere capace di capire il funzionamento e l'impiego del software eventualmente partecipando in prima persona all'interno delle community di sviluppo. 
Allora ciò che fa veramente la differenza nel mondo della Cyber Defence non è il software ma la capacità degli ingegnieri di configurare i software a seconda delle diverse situazioni e la capacità degli analisti di "leggere" le informazioni che si nascondono dietro le enormi quantità di dati raccolti, grazie alla loro esperienza e alla conoscenza dell'organizzazione per la quale lavorano.
Sono loro che ancor oggi fanno la differenza: gli uomini con le loro conoscenze, le loro capacità e la loro inventiva.

Fonti:
- https://www.alienvault.com/products/ossim;
- http://searchsecurity.techtarget.com/essentialguide/The-top-SIEM-product...
- https://www.splunk.com/en_us/resource/video.ltc2VpbzpiffiI6q6mOCggCf7sYA...
- http://www.securityweek.com/keyw-corporation-acquire-siem-vendor-sensage...
- https://www.gartner.com/doc/1679814/magic-quadrant-security-information-....