{"id":30458,"date":"2026-02-12T16:17:46","date_gmt":"2026-02-12T14:17:46","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30458"},"modified":"2026-02-12T16:17:46","modified_gmt":"2026-02-12T14:17:46","slug":"kaspersky-siem-4-2-update","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/kaspersky-siem-4-2-update\/30458\/","title":{"rendered":"Rilevamento della compromissione di account con SIEM"},"content":{"rendered":"

Un gran numero di incidenti moderni inizia dalla compromissione degli account. Da quando i broker di accesso iniziale si sono strutturati in una vera e propria industria criminale, \u00e8 diventato molto pi\u00f9 facile per gli autori degli attacchi organizzare attacchi alle infrastrutture aziendali semplicemente acquistando set di password e accessi dei dipendenti. La pratica d\u2019uso di vari metodi di accesso remoto ha reso il loro compito ancora pi\u00f9 semplice. Allo stesso tempo, le fasi iniziali di questi attacchi spesso sembrano in tutto e per tutto azioni legittime dei dipendenti e rimangono a lungo non rilevate dai meccanismi di protezione tradizionali.<\/p>\n

Basarsi esclusivamente sulle misure di protezione degli account e sui criteri delle password non \u00e8 fattibile. Esiste sempre la possibilit\u00e0 che utenti malintenzionati entrino in possesso delle credenziali dei dipendenti con vari attacchi di phishing, malware infostealer o semplicemente attraverso la negligenza degli utenti stessi che riutilizzano le password per account sia aziendali che personali senza badare alle fughe di dati da servizi di terze parti.<\/p>\n

Di conseguenza, per individuare gli attacchi all\u2019infrastruttura di un\u2019azienda sono necessari strumenti in grado di rilevare non solo le singole firme delle minacce, ma anche sistemi di analisi comportamentale in grado di rilevare le deviazioni dai normali processi dell\u2019utente e del sistema.<\/p>\n

Utilizzo dell\u2019IA in SIEM per rilevare la compromissione degli account<\/h2>\n

Come accennato nel post precedente<\/a>, per rilevare gli attacchi che coinvolgono la compromissione degli account abbiamo dotato il nostro sistema SIEM Kaspersky Unified Monitoring and Analysis Platform di un set di regole UEBA progettate per rilevare anomalie nei processi di autenticazione e attivit\u00e0 di rete e l\u2019esecuzione dei processi nelle workstation e nei server basati su Windows. Nell\u2019ultimo aggiornamento abbiamo proseguito lo sviluppo del sistema nella stessa direzione, aggiungendo l\u2019utilizzo di approcci basati sull\u2019IA.<\/p>\n

Il sistema crea un modello del comportamento normale dell\u2019utente durante l\u2019autenticazione e tiene traccia delle classiche deviazioni: orari di accesso atipici, catene di eventi insolite e tentativi di accesso anomali. Questo approccio consente a SIEM di rilevare sia i tentativi di autenticazione con credenziali rubate che l\u2019utilizzo di account gi\u00e0 compromessi, inclusi scenari complessi che potrebbero essere passati inosservati in passato.<\/p>\n

Anzich\u00e9 cercare singoli indicatori, il sistema analizza le deviazioni dai modelli normali. Ci\u00f2 consente il rilevamento tempestivo di attacchi complessi, riduce il numero di falsi positivi e abbatte i carichi di lavoro sui team SOC.<\/p>\n

In precedenza, quando si usavano le regole UEBA per rilevare le anomalie, era necessario creare pi\u00f9 regole che eseguissero lavori preliminari e generassero elenchi aggiuntivi di dati intermedi. Oggi, nella nuova versione di SIEM con un nuovo correlatore, \u00e8 possibile rilevare l\u2019hijacking dell\u2019account usando una singola regola specializzata.<\/p>\n

Altri aggiornamenti in Kaspersky Unified Monitoring and Analysis Platform<\/h2>\n

Pi\u00f9 complessa \u00e8 l\u2019infrastruttura e maggiore \u00e8 il volume degli eventi, pi\u00f9 critici saranno i requisiti per le prestazioni della piattaforma, la flessibilit\u00e0 della gestione degli accessi e la facilit\u00e0 delle operazioni quotidiane. Un moderno sistema SIEM non deve solo rilevare con precisione le minacce, ma anche rimanere \u201cresiliente\u201d senza la necessit\u00e0 di aggiornare costantemente le apparecchiature e ricostruire i processi. Pertanto, nella versione 4.2 abbiamo compiuto un altro passo avanti per rendere la piattaforma pi\u00f9 pratica e adattabile. Gli aggiornamenti riguardano l\u2019architettura, i meccanismi di rilevamento e l\u2019esperienza utente.<\/p>\n

Aggiunta di ruoli flessibili e controllo granulare degli accessi<\/h3>\n

Una delle principali innovazioni della nuova versione di SIEM \u00e8 un modello di ruolo flessibile. Adesso i clienti possono creare i propri ruoli per i diversi utenti del sistema, duplicare quelli esistenti e personalizzare un set di diritti di accesso per le attivit\u00e0 di specialisti ben individuati. Ci\u00f2 consente una differenziazione pi\u00f9 precisa delle responsabilit\u00e0 tra analisti SOC, amministratori e manager, riduce il rischio di privilegi eccessivi e riflette meglio i processi interni dell\u2019azienda nelle impostazioni SIEM.<\/p>\n

Nuovo correlatore e, di conseguenza, maggiore stabilit\u00e0 della piattaforma<\/h3>\n

Nella versione 4.2 \u00e8 stata introdotta una versione beta di un nuovo motore di correlazione (2.0). Elabora gli eventi pi\u00f9 velocemente e richiede meno risorse hardware. Per i clienti questo significa:<\/p>\n