{"id":29752,"date":"2025-06-20T09:46:59","date_gmt":"2025-06-20T07:46:59","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29752"},"modified":"2025-06-20T09:46:59","modified_gmt":"2025-06-20T07:46:59","slug":"open-source-siem-hidden-costs","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/open-source-siem-hidden-costs\/29752\/","title":{"rendered":"I costi nascosti del SIEM gratuito"},"content":{"rendered":"

Secondo il rapporto \u201cState of Open Source\u201d di OpenLogic, il 96% delle organizzazioni intervistate utilizza soluzioni open source (OSS). Tali soluzioni sono disponibili in ogni segmento del mercato IT, inclusi gli strumenti di infosec. E sono spesso consigliati per la creazione di sistemi SIEM.<\/p>\n

A prima vista, OSS sembra un\u2019ottima scelta. La funzione primaria di un sistema SIEM \u00e8 la raccolta e la correlazione sistematiche dei dati di telemetria, che \u00e8 possibile impostare utilizzando noti strumenti di archiviazione ed elaborazione dei dati. \u00c8 sufficiente raccogliere tutti i dati con Logstash, collegare Elasticsearch<\/a>, creare le visualizzazioni necessarie in Kibana<\/a> e il gioco \u00e8 fatto! Una rapida ricerca consentir\u00e0 di ottenere persino soluzioni SIEM open source pronte all\u2019uso (spesso basate sugli stessi componenti). Con i SIEM, adattare sia la raccolta che l\u2019elaborazione dei dati alle esigenze specifiche dell\u2019organizzazione \u00e8 sempre fondamentale e un sistema OSS personalizzato offre infinite possibilit\u00e0 in tal senso. Inoltre, il costo della licenza \u00e8 zero. Il successo di questa impresa dipende tuttavia dal team di sviluppo, dalle specifiche dell\u2019organizzazione, da quanto tempo \u00e8 disposta ad attendere i risultati e da quanto \u00e8 pronta a investire nel supporto continuo.<\/p>\n

Il tempo \u00e8 denaro<\/h2>\n

Una domanda chiave, la cui importanza \u00e8 costantemente sottovalutata, \u00e8 quanto tempo ci vorr\u00e0 prima che il SIEM dell\u2019azienda non solo diventi attivo, ma inizi effettivamente a fornire valore reale coerente. I dati<\/a> di Gartner mostrano che anche un SIEM completo e pronto all\u2019uso richiede in media sei mesi per l\u2019implementazione completa, con un\u2019azienda su dieci che ci dedica un anno. E se stai creando il tuo SIEM o adattando un OSS, dovresti aspettarti che questa sequenza temporale raddoppi o triplichi. Durante la definizione del budget, moltiplica tale tempo per le tariffe orarie degli sviluppatori. \u00c8 anche difficile immaginare un SIEM a tutti gli effetti gestito da un singolo individuo di talento: l\u2019azienda dovr\u00e0 mantenere un intero team.<\/p>\n

Una trappola comune \u00e8 quella di essere fuorviati dalla velocit\u00e0 con cui un prototipo si assembla. \u00c8 possibile distribuire un OSS gi\u00e0 pronto in un ambiente di test in pochi giorni, ma portarlo alla qualit\u00e0 di produzione pu\u00f2 richiedere molti mesi, persino anni.<\/p>\n

Carenza di competenze<\/h2>\n

Un SIEM deve raccogliere, indicizzare e analizzare migliaia di eventi al secondo. La progettazione di un sistema ad alto carico, o addirittura l\u2019adattamento di uno esistente, richiede competenze specialistiche e richieste. Oltre ai soli sviluppatori, il progetto avrebbe bisogno di amministratori IT altamente qualificati, ingegneri DevOps, analisti e persino progettisti di dashboard.<\/p>\n

Un altro tipo di carenza che i creatori SIEM devono superare \u00e8 la mancanza dell\u2019esperienza pratica necessaria per scrivere regole di normalizzazione efficaci, logica di correlazione e altri contenuti predefiniti in soluzioni SIEM commerciali<\/a>. Naturalmente, anche il contenuto pronto all\u2019uso richiede modifiche sostanziali, ma \u00e8 necessario adeguarlo agli standard dell\u2019organizzazione in modo pi\u00f9 rapido e semplice.<\/p>\n

Conformit\u00e0<\/h2>\n

Per molte aziende disporre di un sistema SIEM \u00e8 un requisito normativo. Coloro che creano autonomamente un SIEM o implementano una soluzione OSS devono impegnarsi considerevolmente per ottenere la conformit\u00e0. Devono mappare autonomamente le funzionalit\u00e0 del SIEM ai requisiti normativi, a differenza degli utenti dei sistemi commerciali, che spesso sono dotati di un processo di certificazione integrato e di tutti gli strumenti necessari per la conformit\u00e0.<\/p>\n

Talvolta, il reparto gestionale potrebbe voler implementare un SIEM solo per \u201cspuntare una casella\u201d, con l\u2019obiettivo di ridurre al minimo la spesa. Ma poich\u00e9 PCI DSS, GDPR e altri quadri normativi locali si concentrano sull\u2019effettiva ampiezza e profondit\u00e0 dell\u2019implementazione SIEM, non solo sulla sua mera esistenza, un sistema SIEM token implementato solo per fare spettacolo non supererebbe alcun controllo.<\/p>\n

La conformit\u00e0 non \u00e8 un aspetto che \u00e8 possibile considerare solo al momento dell\u2019implementazione. Se, durante l\u2019esecuzione e la manutenzione autogestite, un componente della soluzione smettesse di ricevere aggiornamenti e raggiungesse la fine del suo ciclo di vita, le possibilit\u00e0 di superare un controllo di sicurezza precipiterebbero<\/a>.<\/p>\n

Confronto tra lock-in del fornitore e dipendenza dei dipendenti<\/h2>\n

Il secondo motivo pi\u00f9 importante per cui le organizzazioni hanno preso in considerazione una soluzione open source \u00e8 sempre stata la flessibilit\u00e0 nell\u2019adattarla alle proprie esigenze specifiche, oltre a non fare affidamento sulla roadmap di sviluppo del fornitore di software e sulle decisioni in materia di licenze.<\/p>\n

Entrambi sono argomenti convincenti e nelle grandi organizzazioni a volte possono prevalere su altri fattori. Tuttavia, \u00e8 fondamentale fare questa scelta con una chiara comprensione dei pro e dei contro:<\/p>\n