La lotta al malware sta diventando sempre più complessa. Un software SIEM può aiutare le aziende a renderla più facile: SGBoxpuò essere la soluzione. Il fenomeno del cybercrime cresce ogni anno che passa, e gli hacker trovano sempre nuovi metodi per entrare nei sistemi informativi delle aziende. Le quali, soprattutto se di grandi dimensioni, si trovano a dover presidiare e proteggere dalle cyberminacce un perimetro ormai difficilmente difendibile, vista la sua complessità. Non c’è più solo il datacenter a rischio, ma anche il cloud, e i dispositivi mobili usati dai dipendenti. Se questo non bastasse, diventa sempre più difficile reperire personale esperto di cybersecurity cui affidare l’azienda. Quindi bisogna trovare soluzioni alternative.
Una possibilità è di installare sistemi SIEM, in grado di supportare il personale nella gestione degli strumenti di sicurezza installati in azienda, e nell’analisi dei risultati dei vari log. SIEM significa Security Information and Event Management, e appunto è un software che comprende sia le funzionalità di security information management, sia quelle di security event management, riunendo in un unico framework le funzioni dei più comuni SIM e SEM.
Uno dei software più interessanti di questo tipo è sviluppato e commercializzato da circa 7 anni in Italia, e si chiama SGBox, come l’azienda che lo produce (www.sgbox.it), una software house milanese che negli ultimi tempi sta crescendo rapidamente. Quest’anno è arrivata a 25 dipendenti (+30% sul 2018) e si è trasferita in una nuova sede in zona Melchiorre Gioia, a Milano.
SGBox è un “Next Generation SIEM”: una piattaforma software all-in-one che effettua un monitoraggio di sicurezza e fornisce completa visibilità sull’infrastruttura di rete, raccogliendo e aggregando le informazioni provenienti da qualsiasi componente dell’IT. Raccogliendo i dati, SGBox li analizza in tempo reale per individuare potenziali minacce alla sicurezza. Un’altra funzionalità importante è la scansione delle vulnerabilità, che aiuta a ridurre i rischi di data breach. SGBox viene controllato da una console centralizzata che coordina e riunisce le funzioni dei vari moduli. Le dashboard disponibili sono relative alla raccolta dei dati, al monitoraggio dei dispositivi, alle scansioni di vulnerabilità (anche di dispositivi remoti). Si possono impostare autorizzazioni personalizzate per i vari utenti, autenticabili da LDAP o da Active Directory, e le attività di questi ultimi sono costantemente monitorate per individuare eventuali comportamenti anomali.
Le funzioni Andando più nel dettaglio, SGBox fornisce, oltre al system monitoring effettuato da un apposito modulo basato principalmente sull’SNMP e protocolli proprietari integrati, varie funzioni di assistenza agli uomini della cybersecurity. A cominciare dal Log Management, effettuato grazie a un apposito engine che raccoglie centralmente, monitora e analizza i vari log generati da dispositivi IT di ogni tipo – dai sistemi operativi alle applicazioni, dai dispositivi di rete ai sensori IoT. Oltre a fornire report dettagliati, il sistema consente di adottare contromisure in modo automatico al fine di intercettare minacce potenziali. I dati raccolti vengono poi inseriti in un apposito database cifrato, molto compatto. Lo strumento può infine generare vari tipi di reportistica e aiuta gli utenti nel conseguire la compliance con normative quali GDPR e ISO27001.
A destra Massimo Turchetto, CEO e founder di SGbox, mentre a sinistra Fabio Staffieri, Channel Account Manager.
Una seconda funzione importante è svolta dal Log Correlation Engine, che si occupa di mettere in relazione tra loro i log di varie sorgenti per individuare scenari di rischio. Funziona grazie a regole di correlazione e può rispondere automaticamente alle minacce individuate, avvisando il personale o inviando comandi a componenti di sicurezza tramite API. È possibile anche integrare il modulo con sistemi SOAR, ed eseguire correlazioni non solo in tempo reale ma anche su dati storici.
Terza funzionalità è il Network Vulnerability Scanner, capace di individuare le vulnerabilità note su ogni host collegato. Il modulo scova anche errori di configurazioni in vari componenti, dai firewall ai server Web. Può lavorare in modo schedulato e inviare automaticamente vari tipi di report agli interessati. Infine, SGBox integra una funzione di User Behavior Analytics (UBA), che raccoglie le attività degli utenti formando una memoria delle attività standard per identificare eventuali comportamenti anomali, valutati secondo vari parametri.
Anche in cloud SGBox è disponibile sia in versione on-premise, sia in cloud, anche in versione multi-tenant dedicata agli MSSP. Sia che si scelga la versione on premise, sia quella in cloud, è possibile delegare la gestione operativa del servizio a SGBox (o a un partner), riducendo ulteriormente la necessità di personale specializzato on premise.
Oltre le qualità tecniche, fra i punti di forza di SGBox troviamo una politica dei prezzi trasparente: il licensing è basato sulle data source, ovvero sul numero di dispositivi che inviano log, senza limitazioni sulla quantità di dati e sugli eventi gestiti nell’unità di tempo. Naturalmente, sistemi di questo tipo richiedono una personalizzazione mirata sulle esigenze specifiche del cliente. Per questo torna utile il fatto che SGBox sia nato e sviluppato in Italia: il team di supporto dell’azienda è infatti facilmente raggiungibile per aiutare il cliente nella personalizzazione della piattaforma, anche per aspetti riguardanti l’integrazione con tecnologie di terze parti nella console centrale di gestione.
