SIEM
In parole povere, la logica classica di un sistema SIEM funziona nel modo seguente: se si verifica l’evento A seguito dall’evento B, questo può essere segno di un attacco e uno specialista di sicurezza delle informazioni dovrebbe essere avvisato. Ma nell’ambiente odierno, questo semplice scenario fallisce sempre più. Proprio di recente i nostri esperti hanno analizzato un incidente di alto profilo: gli autori degli attacchi hanno compromesso l’infrastruttura di aggiornamento del famoso software Notepad++ e distribuito malware tramite il meccanismo di aggiornamento. È semplicemente impossibile disporre in anticipo di regole progettate specificamente per contrastare tali scenari.
Gli attacchi stessi sono diventati più sofisticati: gli autori degli attacchi utilizzano strumenti legittimi, attaccano attraverso la supply chain compromettendo il software all’esterno del perimetro aziendale, ampliano i propri scenari nel tempo e mascherano le proprie azioni come attività normale. In altre parole, non “irrompono” nell’infrastruttura; il più delle volte accedono e utilizzano software legittimo. Di conseguenza, le classiche regole fisse del passato non si attivano o generano troppi falsi allarmi. Questo è ciò che ha spinto il passaggio verso scenari di correlazione più flessibili.
Contenuto SIEM aggiornato dinamicamente
Il contenuto di correlazione oggi non è un set statico di regole, ma un processo: è in costante evoluzione e adattamento alle minacce attuali. Solo nel 2025 sono stati rilasciati 55 aggiornamenti dei pacchetti di regole per diverse versioni e lingue del sistema Kaspersky SIEM. In un solo anno sono stati aggiunti 10 nuovi pacchetti di regole, oltre a 250 regole di rilevamento e numerosi miglioramenti al contenuto esistente. Quest’anno abbiamo già aggiunto 43 nuove regole e perfezionato altre 63. In totale, si tratta di oltre 850 regole che coprono una parte significativa del framework MITRE ATT&CK.
Le regole Kaspersky SIEM sono scritte sulla base delle informazioni dettagliate dei nostri esperti che analizzano gli attacchi recenti nel mondo reale: ci basiamo principalmente sui risultati del nostro servizio MDR (Managed Detection and Response) e della nostra ricerca sulle minacce. Di conseguenza, le nostre regole coprono scenari, dalla ricognizione all’escalation dei privilegi, che coinvolgono gli approcci più recenti utilizzati dagli autori degli attacchi. Ad esempio, rileviamo l’utilizzo di nuove tecniche di attacco come ToolShell.
Oltre agli aggiornamenti pianificati, il team rilascia regolarmente i cosiddetti contenuti di emergenza, set di regole per una risposta rapida a tecniche di attacco nuove e impreviste. A febbraio, ad esempio, sono state rilasciate regole di rilevamento per il bypass dell’autenticazione nei prodotti Fortinet tramite il meccanismo SSO: gli autori degli attacchi hanno utilizzato richieste SAML appositamente predisposte per ottenere l’accesso ai sistemi senza credenziali.
Dagli eventi alle catene di attacco
Inoltre, le moderne regole SIEM non descrivono più singoli eventi, ma piuttosto sequenze di azioni. Gli scenari sono costruiti attorno alle fasi di un attacco: dall’accesso iniziale all’escalation dei privilegi e alla persistenza. L’efficacia di Kaspersky SIEM è potenziata dall’integrazione con Kaspersky EDR e set di regole dedicati per Active Directory, che implementano decine di scenari di rilevamento degli attacchi in varie fasi. Questo approccio ci consente di visualizzare non solo i singoli segnali, ma il quadro completo.
Integrazione e visibilità interna
Un altro modo per migliorare l’efficacia di un sistema SIEM consiste nell’espansione delle sorgenti dati. Un SIEM classico aggrega gli eventi provenienti da diversi livelli dell’infrastruttura: dai log alla telemetria dagli endpoint e dai sistemi interni. In aggiunta a questo, il nostro sistema SIEM include set di regole specializzati per le altre nostre soluzioni (Kaspersky Security Center, Kaspersky Security for Mail Groups, piattaforma K Anti-Targeted Attack), che consentono il monitoraggio delle azioni dell’amministratore, dell’autenticazione e dello stato del servizio. In questo modo il sistema diventa uno strumento non solo per il rilevamento degli attacchi, ma anche per il monitoraggio delle attività interne.
Nel complesso, SIEM non è più solo un insieme di regole, ma si è evoluto in un sistema di rilevamento continuamente aggiornato. La sua efficacia è determinata non dal numero di rilevamenti, ma dalla loro pertinenza, coerenza e precisione con cui riflettono le azioni effettive degli autori degli attacchi. Resta aggiornato sulla nostra Kaspersky Unified Monitoring and Analysis Platform (SIEM) nella pagina ufficiale del prodotto.
Consigli