La natura critica della cybersecurity in settori come difesa, sanità, finanza e pubblica amministrazione rende la sovranità dei dati SIEM un aspetto essenziale. Queste organizzazioni devono bilanciare i vantaggi delle soluzioni SIEM basate su cloud con la necessità di mantenere severi controlli interni sulla sicurezza.
La situazione si fa ancor più urgente quando le soluzioni SIEM on-prem esistenti si avvicinano alla fine del ciclo di vita a causa di acquisizioni di fornitori, mettendo a rischio la continuità di infrastrutture di cybersecurity altamente personalizzate e su cui sono stati fatti investimenti significativi.
Bilanciare rischi e controllo
Le soluzioni SaaS offrono vantaggi come una riduzione dei costi di gestione, aggiornamenti più frequenti e una maggiore flessibilità nei costi operativi (OpEx). Tuttavia, non sono prive di rischi rilevanti.
I SIEM basati su SaaS si basano su infrastrutture cloud condivise e su pratiche di sicurezza di terze parti, aumentando il rischio di intercettazione dei dati e fughe, inclusi attacchi alla supply chain.
Inoltre, la dipendenza dalla connettività internet rende queste soluzioni vulnerabili ad attacchi DDoS. Anche i requisiti di conformità e residenza dei dati, come GDPR, CCPA, HIPAA e FedRAMP, non sono rispettati quando i dati vengono conservati al di fuori delle giurisdizioni locali.
Per le organizzazioni che danno priorità a un controllo profondo della sicurezza, alla sovranità dei dati e alla conformità ( specialmente per informazioni classificate, cartelle mediche o dati PCI) le soluzioni SIEM on-prem rappresentano un’opzione più sicura e interessante.
I SIEM on-prem sono un residuo del passato?
I dati suggeriscono il contrario. Secondo il rapporto IDC di dicembre 2023 sul mercato totale indirizzabile della Security Analytics (TAM) in EMEA, il mercato dei SIEM on-prem è destinato a crescere da 2,008 miliardi di dollari nel 2022 a 2,111 miliardi di dollari nel 2027.
Inoltre, Grand View Research evidenzia che il segmento SIEM on-prem si espanderà con un tasso di crescita annuale composto (CAGR) del 12,8% dal 2023 al 2030. Questa crescita è trainata dalla capacità dei SIEM on-prem di offrire un controllo totale sui dati, specialmente quelli storici a fini forensi, e funzioni amministrative critiche come il disaster recovery.
Perché scegliere ArcSight per il tuo SIEM on-prem?
Per le organizzazioni che danno priorità alla sicurezza, alla governance e alla sovranità dei dati, ArcSight on-prem rappresenta una scelta strategica. ArcSight ha un’esperienza consolidata nel tempo: nel 2025 festeggerà il suo 25° anniversario. Fondata il 3 maggio 2000, l’azienda ha lanciato il suo primo prodotto nel 2002 ed è stata riconosciuta come visionaria nel Magic Quadrant di Gartner per la gestione della sicurezza IT nel 2003, quando non c’erano ancora leader.
Il motore di correlazione in tempo reale di ArcSight è altamente personalizzabile, con un ampio ventaglio di campi, funzioni e categorie che consentono alle organizzazioni di rilevare e rispondere alle minacce in tempo reale, senza affidarsi a ricerche pianificate.
ArcSight offre un ampio supporto per i connettori, con oltre 400 connettori predefiniti per un’integrazione fluida tra vari domini della sicurezza, inclusi antivirus, database, ambienti cloud, server di posta, sistemi operativi, firewall, IDS/IPS, gestione delle identità e della rete e intelligence sulle minacce. Per esigenze specifiche, è possibile sviluppare ‘flex connectors’ personalizzati.
Inoltre, ArcSight include capacità SOAR come add-on gratuito, riducendo i costi di manutenzione del SIEM on-prem e migliorando il ritorno sugli investimenti (ROI). L’integrazione personalizzabile e senza soluzione di continuità con soluzioni di terze parti è essenziale per qualsiasi piattaforma SOAR.
ArcSight offre una copertura completa del MITRE ATT&CK: in una valutazione di GigaOM è stato trovato conforme a 10 su 10 delle tecniche comuni del MITRE ATT&CK. Consente inoltre l’importazione sicura di dati di threat intelligence e vulnerabilità da fornitori terzi senza esposizione al cloud, garantendo una protezione completa e sicura. La facilità di migrazione delle regole di correlazione e delle policy è un altro punto di forza di ArcSight, che permette una transizione senza interruzioni e la continuità delle operazioni quando si passa da un altro SIEM con tecnologia di correlazione simile.
ArcSight Recon semplifica la gestione dei log e la conformità grazie a potenti strumenti analitici, un’interfaccia intuitiva e un linguaggio di query efficiente, rendendo la piattaforma di gestione dei log veloce e scalabile.
Infine, ArcSight garantisce la gestione degli eventi anche sotto attacco, prevenendo la perdita di eventi durante picchi di eventi al secondo (EPS), anche in caso di attacchi DDoS, accogliendo temporanei picchi senza penalità oltre il limite di licenza.
Le voci dei clienti
“Le grandi capacità di integrazione dimostrate dal toolset ArcSight ci hanno permesso di creare un SIEM end-to-end conforme al MITRE ATT&CK, con nuove fonti di dati in ArcSight ESM, ulteriori casi d’uso e reportistica con ArcSight SOAR e una maggiore sicurezza complessiva con ArcSight Intelligence”, afferma Cihan Yuceer, responsabile del centro di difesa informatica di Turkcell.
Secondo Mark Beerends, responsabile del Security Operations Center di Rabobank, “ESM ci mostra eventi di sicurezza che non eravamo mai riusciti a rilevare prima. Siamo molto soddisfatti di ESM e sicuri di poter trovare minacce prima che compromettano la nostra rete o interrompano le attività aziendali. ArcSight offre un’assicurazione fondamentale contro i danni che i moderni cyber-attacchi possono infliggere a un’organizzazione”.
Infine, Emrecan Batar, specialista senior di sicurezza delle informazioni di Odeabank, sottolinea che, “piuttosto che scrivere più playbook per ciascun tipo di potenziale minaccia di sicurezza, utilizziamo un unico set di logica ramificata in ArcSight SOAR per aiutarci a chiudere il 33% dei casi senza alcun intervento umano”.