SIEM

Rilevamento della compromissione di account con SIEM

L’utilizzo di IA e di altri aggiornamenti in Kaspersky SIEM per il rilevamento degli attacchi ad account compromessi.

Alexander Marmalidi
12 Feb 2026

Un gran numero di incidenti moderni inizia dalla compromissione degli account. Da quando i broker di accesso iniziale si sono strutturati in una vera e propria industria criminale, è diventato molto più facile per gli autori degli attacchi organizzare attacchi alle infrastrutture aziendali semplicemente acquistando set di password e accessi dei dipendenti. La pratica d’uso di vari metodi di accesso remoto ha reso il loro compito ancora più semplice. Allo stesso tempo, le fasi iniziali di questi attacchi spesso sembrano in tutto e per tutto azioni legittime dei dipendenti e rimangono a lungo non rilevate dai meccanismi di protezione tradizionali.

Basarsi esclusivamente sulle misure di protezione degli account e sui criteri delle password non è fattibile. Esiste sempre la possibilità che utenti malintenzionati entrino in possesso delle credenziali dei dipendenti con vari attacchi di phishing, malware infostealer o semplicemente attraverso la negligenza degli utenti stessi che riutilizzano le password per account sia aziendali che personali senza badare alle fughe di dati da servizi di terze parti.

Di conseguenza, per individuare gli attacchi all’infrastruttura di un’azienda sono necessari strumenti in grado di rilevare non solo le singole firme delle minacce, ma anche sistemi di analisi comportamentale in grado di rilevare le deviazioni dai normali processi dell’utente e del sistema.

Utilizzo dell’IA in SIEM per rilevare la compromissione degli account

Come accennato nel post precedente, per rilevare gli attacchi che coinvolgono la compromissione degli account abbiamo dotato il nostro sistema SIEM Kaspersky Unified Monitoring and Analysis Platform di un set di regole UEBA progettate per rilevare anomalie nei processi di autenticazione e attività di rete e l’esecuzione dei processi nelle workstation e nei server basati su Windows. Nell’ultimo aggiornamento abbiamo proseguito lo sviluppo del sistema nella stessa direzione, aggiungendo l’utilizzo di approcci basati sull’IA.

Il sistema crea un modello del comportamento normale dell’utente durante l’autenticazione e tiene traccia delle classiche deviazioni: orari di accesso atipici, catene di eventi insolite e tentativi di accesso anomali. Questo approccio consente a SIEM di rilevare sia i tentativi di autenticazione con credenziali rubate che l’utilizzo di account già compromessi, inclusi scenari complessi che potrebbero essere passati inosservati in passato.

Anziché cercare singoli indicatori, il sistema analizza le deviazioni dai modelli normali. Ciò consente il rilevamento tempestivo di attacchi complessi, riduce il numero di falsi positivi e abbatte i carichi di lavoro sui team SOC.

In precedenza, quando si usavano le regole UEBA per rilevare le anomalie, era necessario creare più regole che eseguissero lavori preliminari e generassero elenchi aggiuntivi di dati intermedi. Oggi, nella nuova versione di SIEM con un nuovo correlatore, è possibile rilevare l’hijacking dell’account usando una singola regola specializzata.

Altri aggiornamenti in Kaspersky Unified Monitoring and Analysis Platform

Più complessa è l’infrastruttura e maggiore è il volume degli eventi, più critici saranno i requisiti per le prestazioni della piattaforma, la flessibilità della gestione degli accessi e la facilità delle operazioni quotidiane. Un moderno sistema SIEM non deve solo rilevare con precisione le minacce, ma anche rimanere “resiliente” senza la necessità di aggiornare costantemente le apparecchiature e ricostruire i processi. Pertanto, nella versione 4.2 abbiamo compiuto un altro passo avanti per rendere la piattaforma più pratica e adattabile. Gli aggiornamenti riguardano l’architettura, i meccanismi di rilevamento e l’esperienza utente.

Aggiunta di ruoli flessibili e controllo granulare degli accessi

Una delle principali innovazioni della nuova versione di SIEM è un modello di ruolo flessibile. Adesso i clienti possono creare i propri ruoli per i diversi utenti del sistema, duplicare quelli esistenti e personalizzare un set di diritti di accesso per le attività di specialisti ben individuati. Ciò consente una differenziazione più precisa delle responsabilità tra analisti SOC, amministratori e manager, riduce il rischio di privilegi eccessivi e riflette meglio i processi interni dell’azienda nelle impostazioni SIEM.

Nuovo correlatore e, di conseguenza, maggiore stabilità della piattaforma

Nella versione 4.2 è stata introdotta una versione beta di un nuovo motore di correlazione (2.0). Elabora gli eventi più velocemente e richiede meno risorse hardware. Per i clienti questo significa:

funzionamento stabile con carichi elevati;
capacità di elaborare grandi quantità di dati senza necessità di un’espansione urgente dell’infrastruttura;
prestazioni più prevedibili.

Copertura TTP secondo la matrice MITRE ATT&CK

Stiamo inoltre continuando ad ampliare sistematicamente la copertura della matrice di tecniche, tattiche e procedure MITRE ATT&CK: oggi Kaspersky SIEM copre oltre il 60% dell’intera matrice. Le regole di rilevamento sono continuamente aggiornate e accompagnate da suggerimenti di risposte. Questo aiuta i clienti a capire quali scenari di attacco sono già sotto controllo e a pianificare lo sviluppo della difesa sulla base di un modello di settore generalmente accettato.

Altri miglioramenti

La versione 4.2 introduce anche la possibilità di eseguire il backup e il ripristino degli eventi, nonché di esportare i dati in archivi protetti con il controllo dell’integrità, un’operazione particolarmente importante per le indagini, i controlli e la conformità alle normative. Le query di ricerca in background sono state implementate per comodità degli analisti. Adesso è possibile eseguire ricerche complesse e ad alto consumo di risorse in background senza influire sulle attività prioritarie. Questo velocizza l’analisi di grandi set di dati.

Continuiamo ad aggiornare periodicamente Kaspersky SIEM, espandendo le capacità di rilevamento, migliorando l’architettura e aggiungendo funzionalità di intelligenza artificiale in modo che la piattaforma soddisfi al meglio le condizioni reali dei team di sicurezza delle informazioni e contribuisca non solo a rispondere agli incidenti, ma anche a costruire un modello di ambiente sostenibile per il futuro. Seguite gli aggiornamenti del nostro sistema SIEM, Kaspersky Unified Monitoring and Analysis Platform, a partire dalla pagina ufficiale del prodotto.

Il valore pratico dell’attribuzione delle minacce informatiche

Perché è utile attribuire il malware a uno specifico gruppo di hacker?

Privacy e bambini

Rilevamento della compromissione di account con SIEM

Utilizzo dell’IA in SIEM per rilevare la compromissione degli account

Altri aggiornamenti in Kaspersky Unified Monitoring and Analysis Platform

Aggiunta di ruoli flessibili e controllo granulare degli accessi

Nuovo correlatore e, di conseguenza, maggiore stabilità della piattaforma

Copertura TTP secondo la matrice MITRE ATT&CK

Altri miglioramenti

Come rilevare gli attacchi DLL hijacking

Regole UEBA integrate un sistema SIEM

Il valore pratico dell’attribuzione delle minacce informatiche

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia