ANTIVIRUS, FIREWALL E SIEM. QUAL È LA DIFFERENZA?

Sicurezza Informatica

redatto da Aryon Solutions | Cyber Security | 05-07-2018

Proteggere i dati è una priorità per tutte le aziende, le best practice prevedono l'utilizzo di soluzioni hardware e software come:

- antivirus 

- firewall 

- SIEM

Spesso, però, soprattutto per i non esperti del settore, capita di fare confusione tra questi tre sistemi, e di scegliere quindi la soluzione meno adatta per proteggere i dati aziendali. 

In realtà, c’è una marcata differenza tra antivirus, firewall e SIEM ed è fondamentale conoscerla.


Antivirus

In informatica, un virus è un programma malevolo  che “infetta” altri file del sistema e comincia a fare copie di se stesso. Come conseguenza, la macchina registra un calo di funzionalità e prestazioni, in quanto comporta uno spreco di RAM, CPU e spazio su disco fisso. A lungo andare, ne può risentire anche l’hardware.

Spesso abbreviato con la sigla AV, l’antivirus è un software che ha una duplice funzione:

  • Impedire che un virus possa entrare nel sistema e cominciare a duplicarsi;
  • Eliminare i programmi malevoli che hanno già infettato il sistema.

Per fare ciò, è importante che l’antivirus scelto si aggiorni di frequente, così da riconoscere e affrontare le possibili minacce.

 

Firewall

Come visto, un antivirus agisce nella macchina, che può essere, ad esempio, un computer o un server. Il  firewall svolge, per certi versi, una funzione  simile ma in maniera differente..

Firewall significa, letteralmente, “paratia antifuoco”. Si tratta di un elemento di difesa perimetrale di una rete informatica. In pratica, il firewall filtra il traffico tra una rete interna (o LAN, local area network, ad esempio la rete interna composta dai computer di un’azienda) e la rete esterna (che comprende, in buona sostanza, tutto internet).

Agendo da filtro tra il traffico in entrata e il traffico in uscita dalla rete interna alla rete esterna e viceversa, il firewall garantisce la sicurezza dell’intera LAN.

 

SIEM

Che cosa si intende per SIEM? SIEM è l’acronimo di “Security Information and Event Management” e definisce un prodotto costituito da software e/o servizi che unisce capacità di “Security Information Management” (SIM) a quelle di “Security Event Management” (SEM), il termine è stato coniato da Amrit Williams e Mark Nicolett nel 2005, quando entrambi lavoravano per Gartner. In italiano possiamo tradurlo come “Sistema di Gestione delle Informazioni e degli eventi di Sicurezza”

Volendo sintetizzare il ruolo svolto dalle due componenti: un SIM si occupa della parte di “Log management”, di attività di analisi e della produzione di report per aderire a ad esempio norme di compliance. D’altro canto, un SEM si occupa del monitoraggio in real-time degli eventi, dell’incident management (in ambito security)  per quanto riguarda eventi che accadono sulla rete, sui dispositivi di sicurezza, sui sistemi  o le applicazioni.

Le tecnologie SIEM aggregano dunque i dati corrispondenti agli eventi prodotti da dispositivi di sicurezza (firewall, IDS, IPS, ecc.), dalle infrastrutture di rete, da sistemi ed applicazioni. 

La fonte principale dei dati che vengono analizzati da un SIEM sono i log, tuttavia un SIEM non si limita a questo in quanto potrebbe essere in grado di elaborare dati sotto altre forme quali flussi Netflow o addirittura il vero e proprio traffico di rete. 

I dati “grezzi” devono poi essere contestualizzati ed in questo senso il SIEM deve essere in grado, dopo una fase di “normalizzazione” dei dati stessi, di correlare gli eventi provenienti dalle fonti più disparate calandoli nella “realtà” in cui sta operando che è fatta di utenti, asset, minacce e vulnerabilità dei sistemi. La fondamentale parte di correlazione, che rappresenta l’intelligenza del sistema, deve avvenire in tempo reale ed è l’arma fondamentale per chi si trova a gestire migliaia di eventi ed incidenti di sicurezza.