La Teoria e la Realtà del ROI del SIEM

SCRITTO DA

Andrii Bezverkhyi

CEO e co-fondatore

[post-views]

Agosto 16, 2018 · 17 min di lettura

Indice:

Molte cose sono state scritte sui SIEM, eppure la mia esperienza personale con questi meravigliosi strumenti è iniziata nel 2007. Oggi la tecnologia stessa ha più di 18 anni e il mercato dei SIEM è ormai maturo sotto ogni aspetto. Insieme a clienti, team e partner ho avuto il privilegio di partecipare attivamente a più di un centinaio di progetti SIEM in tutto il mondo. Insieme abbiamo costruito SOC da zero, implementato fonti di log critiche per SOX per rispettare scadenze auditive strette, resuscitato un’installazione SIEM abbandonata in mezza giornata per individuare indizi forensi e condotto messa a punto fine delle regole di correlazione anti-frode… e semplicemente preso una giusta quantità di birra insieme ad aziende di tutti i settori e parti del mondo discutendo storia di vittorie e sconfitte dei progetti SIEM. È noto che oltre 40 mila organizzazioni nel mondo dispongono di sistemi SIEM, quindi questa è una comunità piuttosto ampia e ovviamente un mercato. Ciò che è certo è che la storia è tutt’altro che finita poiché il concetto stesso di SIEM continua la sua evoluzione. La maggior parte delle organizzazioni che non sono indifferenti alla sicurezza informatica hanno già un SIEM in una forma o nell’altra. I confini tra le tecnologie SIEM sono sfumati: esistono la prima, la seconda e la terza generazione della piattaforma, sebbene affermare che IBM QRadar o Micro Focus ArcSight siano tecnologie di prima generazione e LogRhythm di seconda non sia del tutto corretto, poiché le tecnologie sono in costante evoluzione. Inoltre, sostenere che Splunk ed Elastic non siano un SIEM è errato poiché hanno molte proprietà e funzionalità SIEM.

Quindi come si uniscono SIEM e ROI? Se consideriamo il ROI dal punto di vista di qualsiasi business significherebbe o un profitto aggiuntivo o una riduzione dei costi. Si possono fare molti esempi sul ritorno dell’investimento nella sicurezza delle informazioni, sufficienti per scrivere un articolo separato, quindi per ora concentriamoci sul SIEM. È difficile credere che qualcuno investa in questi sistemi per guadagnare denaro, quindi restiamo con il motore della riduzione dei costi. Cerchiamo di capirlo.

Come appaiono i SIEM nelle nostre vite?
5 dr ivers di ROI fondamentali

Conformità
Archivio centrale di log
Analisi forense
Security Operations Center (SOC)
Eredità

SIEM per la conformità PCI, SOX e HIPAA

Molto spesso, i SIEM vengono acquistati da istituzioni finanziarie e banche poiché varie normative di conformità richiedono la raccolta e l’elaborazione dei dati di log. PCI DSS richiede la raccolta centrale dei dati di log, la loro memorizzazione e conservazione in forma non modificata, fornire una traccia di audit della loro integrità (un requisito molto importante che non tutti i SIEM possono soddisfare ancora oggi) e ovviamente monitorare gli eventi quotidianamente. Se dobbiamo rispettare SOX, è necessario monitorare e gestire gli incidenti di tutti i sistemi critici di SOX e, in base a questo, gli auditor o si fidano o non si fidano dei dati aziendali nei sistemi elaborati. Se gli incidenti non vengono gestiti, l’audit diventa molto più costoso. Un altro esempio è la conformità HIPAA con il requisito di mantenere una traccia di audit sull’accesso ai dati dei pazienti per un periodo fino a 5 anni. Questo influenza principalmente l’architettura del processamento dati SIEM: la flessibilità delle capacità di integrazione del sistema di terze parti, l’efficienza e la stabilità dell’aggregazione, gli algoritmi di compressione dati così come il controllo dell’integrità.

Quindi, quale tipo di ROI può generare un SIEM per la conformità? Il più chiaro è l’assenza di multe e sanzioni grazie al non solo seguire ma superare i requisiti delle normative. Questo rappresenta un eccellente ritorno sull’investimento dal SIEM poiché l’investimento nel progetto sarà probabilmente almeno 10 volte inferiore alla penalità per violazione della conformità. È consigliato creare un modello TCO quinquennale che includa tutte le spese come supporto, hardware, costo del software, costo del team, programma di formazione e di fidelizzazione. Quindi abbinare il TCO con i risparmi possibili sulle violazioni di conformità in base ai rischi che affrontate. Questo renderebbe il ROI giustificato non solo sulla carta e aiuterebbe a evitare errori di calcolo.

Archivio centrale di log

Il modo migliore per calcolare il ROI dall’uso del SIEM come archivio centrale di log è abbastanza semplice: determinare quali dati di log dobbiamo raccogliere e memorizzare, quanto spazio richiederanno, le specifiche hardware e il carico di lavoro per questo compito. È necessario considerare tutti i parametri dal spazio HDD al costo di 1 core CPU (specialmente le distribuzioni basate su cloud e virtualizzazione). Tutti i sistemi di gestione e SIEM dei log sono molto bravi a comprimere i dati di log con un’efficienza da 2X a oltre 10X, il che porta a risparmi diretti sull’archiviazione, anche se viene eseguito l’arricchimento e la normalizzazione dei dati. La capacità di un particolare SIEM di ottimizzare in modo granulare l’aggregazione dei dati di log e il filtraggio migliorerà direttamente l’efficienza di archiviazione e il ROI. L’aggregazione è presente in qualsiasi piattaforma SIEM matura, praticamente tutti i sistemi che vedi in Gartner hanno qualche tipo di aggregazione. Le capacità variano da fornitore a fornitore: molto spesso è solo un pulsante on/off, mentre in altre tecnologie abbiamo oltre 9000 parametri che possono essere configurati per adattarsi a qualsiasi infrastruttura.

I SIEM sono costruiti per supportare la ricerca rapida e la fornitura tempestiva di informazioni. Inoltre, utilizziamo la tecnologia per semplificare il backup e la gestione dei dati di log. Sorprendentemente, è molto più facile gestire un sistema di archiviazione log centralizzato piuttosto che curarsi di ciascuna fonte del log singolarmente. Gli archivi creati dai SIEM molto spesso hanno un controllo di integrità incorporato e sono difficili da manomettere: sono criptati o creati come un unico contenitore dove rompere l’integrità del contenitore non passa inosservato. Tutti i SIEM maturi controllano l’integrità di tali contenitori e la conservazione dei log.

Vediamo spesso come i progetti SIEM nascono sia come iniziative IT che di sicurezza principalmente per ragioni di risparmio sulla conservazione dei dati di log. Questo è particolarmente vero per le piattaforme Splunk ed Elasticsearch poiché entrambe sono più adatte per questo compito. Uno scenario tipico qui è quando il dipartimento IT ottiene supporto gestionale e finanziamenti per il progetto, ottiene la piattaforma e poi il team di sicurezza ottiene una licenza aggiuntiva come aggiornamento poiché l’integrazione delle tecnologie dallo stesso fornitore riduce il TCO e semplifica il supporto.

ROI sulle operazioni forensi proattive

Avere un archivio centralizzato sicuro di tutti i dati di log apre una strada per il ROI sulla forense: i log sono memorizzati in formato non modificato a prova di manomissione, supportano ricerche rapide, pivoting e tutto ciò è fattibile in un tempo ragionevole se abbiamo fatto il nostro impianto SIEM correttamente. Pertanto, la nostra indagine sugli incidenti può essere effettuata più velocemente e ottenere le prove diventa più semplice. Quando ci serve davvero questo? Beh, se la nostra esperienza di infosec ci ha insegnato qualcosa è che quando si verifica un incidente la maggior parte delle organizzazioni non ha esperti a tempo pieno per condurre un’indagine e questa responsabilità ricade in un modo o nell’altro sulla divisione sicurezza delle informazioni (o cyber). Solo le grandi organizzazioni e il settore pubblico possono permettersi di allocare un dipendente per queste finalità. E agli occhi del business, la forense è un costo significativo per l’azienda che non può essere evitato. Se il SIEM ha tutti i dati necessari, allora uno specialista CHFI condurrà un’indagine molto più veloce e si concentrerà sull’obiettivo principale – trovare l’avversario e le prove. È molto più facile condurre un’indagine quando i dati di log sono disponibili nel loro formato originale, rapporti predefiniti ed esportazioni esistono effettivamente e non impiegano giorni per essere ottenuti, dump di traffico (PCAP) sono disponibili e possiamo anche avere eventi di sicurezza sospetti alias statistiche su incidenti per costruire meglio il quadro completo. Nella situazione opposta, uno specialista forense sarà costretto a scavare a fondo e probabilmente a viaggiare sul posto e raccogliere personalmente i dati necessari dai server bit per bit. In quest’ultima situazione, il tempo per effettuare un’adeguata indagine aumenta ciò che direttamente aumenta i costi della forense o ne diminuisce la qualità fino a un livello dove il risultato finale può essere deludente. Se l’incidente non è mai accaduto è pressoché impossibile calcolare il ROI sulla forense proattiva. Anche se se guardiamo alla tendenza crescente delle violazioni dei dati, attacchi APT e statistiche sugli incidenti cyber e abbracciamo la realtà, ci rendiamo conto che prima o poi qualsiasi organizzazione viene violata. E subire una violazione inevitabilmente porta a impegnarsi in un’indagine forense direttamente o indirettamente per qualsiasi CISO.

SIEM e Forense nella vita reale

Qualche tempo fa abbiamo lavorato a stretto contatto con il nostro partner per investigare su un possibile attacco insider. Quando siamo arrivati in sede non c’era né SIEM né un sistema centrale di gestione dei log e proprio come nei classici qualcuno aveva cancellato i log ovunque ne avesse avuto la possibilità, i backup non erano stati eseguiti, gli ACL non c’erano, nessun file PCAP era disponibile. Abbiamo analizzato le immagini target, inviato dati al laboratorio per il recupero, fatto alcune navigazioni nel darknet e scavi. Di conseguenza la gestione del cliente ha pagato per 5 giorni di forense + tempo per la relazione e la presentazione, che hanno dimostrato le tracce e i danni dell’attacco insider, ma poiché l’azienda non aveva gestione dei log e SIEM era impossibile attribuire questo attacco a una persona specifica, quindi l’attribuzione è stata il modo migliore per finalizzare l’indagine. L’azienda avrebbe potuto investire più risorse nel recupero dati, ma la stima era un altro 30 giorni che a tutti gli effetti è un’impresa piuttosto costosa quindi non abbiamo davvero consigliato ciò. Il cliente era soddisfatto del risultato considerando che in realtà non abbiamo trovato nulla? Sì, hanno ottenuto i risultati di un’indagine ufficiale utilizzabile in tribunale. Anche se IMHO questo è un motivo molto costoso per verificare se un sistema SIEM è necessario in azienda.

C’è anche un piccolo esempio della storia di successo dell’ROI del SIEM nell’indagine di attacco APT nel 2015-2016, quando abbiamo agito come consulenti nell’indagine di incidenti che sembravano parte con l’attacco APT BlackEnergy. L’azienda target dell’APT stava eseguendo un’implementazione PoC di SIEM (in questo caso era Arcsight) che ha essenzialmente aiutato a trovare i codici di log degli eventi Microsoft che hanno mostrato la sequenza di installazione di un nuovo servizio e abbiamo scoperto come i driver malevoli sono stati iniettati nel sistema. Poiché tutti i log di audit sono stati eliminati sui sistemi attaccati (BlackEnergy e KillDisk) il SIEM stava funzionando su Unix e nel segmento isolato, quindi BlackEnergy non lo ha raggiunto (KillDisk per Unix non esisteva/ non esiste). Quindi in questo caso il SIEM ha aiutato a preservare le tracce dell’attacco ed è stato il primo indizio per iniziare l’indagine forense completa.

Misurare l’ROI del SOC

Il driver più comune per l’implementazione di un SIEM è costruire un centro per un monitoraggio proattivo degli incidenti di sicurezza al fine di identificarli tempestivamente e ridurre preventivamente i rischi. Quindi fondamentalmente costruire un SOC è una ragione comune per acquistare un SIEM. Il compito principale del sistema SIEM in un SOC è eseguire ogni tipo di correlazione di eventi e trovare ciò che un essere umano fisicamente non può a causa dei volumi di dati che devono essere analizzati. Oggigiorno i SIEM sono in grado di elaborare miliardi di eventi al giorno, centinaia di migliaia o addirittura più di un milione di EPS e fornire informazioni in una forma adatta per analisi rapide e con tutti gli strumenti di investigazione necessari. Soddisfare questi requisiti unisce Conformità, Forense e Archivio Centrale di Log attorno al SOC e li eleva a un livello completamente nuovo.

Determinare l’ROI del SOC è un grande argomento, tuttavia nelle sue basi è necessario monitorare e contare tutti gli incidenti rilevati e modellare i danni prevenuti in una fase iniziale. È necessario costruire e mantenere continuamente un modello di asset e rete dell’azienda, il costo e il valore degli asset IT, i rischi applicabili, idealmente costruire anche un modello CVSS. In base al costo degli incidenti su questi asset sarà possibile determinare il potenziale danno prevenuto. Il SIEM stesso inoltre risparmia il tempo degli analisti e aiuta a trovare quelle ore extra necessarie per altri compiti di sicurezza come rispondere a richieste di audit e gestione del rischio, eseguire analisi delle cause principali e indagini.

I casi d’uso SIEM fanno un patrimonio prezioso

L’ultimo caso che spesso vediamo è una situazione in cui qualcuno eredita il SIEM. Nessuno sa perché il sistema sia stato acquisito in primo luogo perché i dipendenti iniziali hanno lasciato, nuovi sono arrivati e questa situazione si espande a tutti i livelli, dai manager al personale sul campo. Immagina questo: arrivi a lavorare in una nuova organizzazione che abbia un SIEM. La direzione dice: “Abbiamo integrato tutti i log di audit e è costato all’azienda parecchie migliaia/milioni di dollari… Sicuramente puoi farci qualcosa? Voglio dire, il compito a portata di mano è abbastanza semplice, abbiamo documenti, la tecnologia è matura e tutto funziona quasi perfettamente! Quindi basta qualche ritocco qua e là e avremo una consapevolezza totale della sicurezza e visibilità della rete. Questo sarebbe molto utile!” Un progetto SIEM ambizioso o addirittura SOC dovrebbe essere iniziato con qualcosa di semplice. Questo è in realtà ROI nella sua forma più pura. Qui dobbiamo concentrarci su successi veloci per mostrare che la tecnologia è stata acquistata per una buona ragione. Per avere successo con questo compito è meglio scegliere casi d’uso già costruiti e testati per le tecnologie che avete nella vostra organizzazione e scegliere soluzioni mirate su minacce e rischi specifici che sono più attivi sul campo, come Ransomware, APT, Monitoraggio di Windows, VPN, sicurezza SSL. E poi dovremmo rapidamente regolarli per adattarli ai driver ROI.

Perché il ROI del SIEM è così buono in teoria eppure così lontano dalla realtà?

Una lezione dall’aver sorvegliato oltre un centinaio di implementazioni: solo perché un sistema SIEM è implementato in un’organizzazione non significa che raccolga tutti i dati pianificati e collegati durante la fase di integrazione iniziale. L’integrazione è un processo, chiamalo continuo se vuoi. E la mancanza di dati = assenza di ROI. E non si tratta solo di acquisizione: come qualsiasi sistema analitico il SIEM segue il principio “garbage in = garbage out”. In poche parole non produrrà i tuoi buoni risultati se le sfide dei dati vengono ignorate e in caso di audit di conformità, i dati richiesti potrebbero non essere disponibili se non vengono monitorati la Qualità dei Dati e l’Acquisizione dei Dati. Sappiamo anche che l’infrastruttura IT di qualsiasi azienda non è statica, l’architettura cambia costantemente man mano che nuovi servizi vengono introdotti e dismessi, il formato e il trasporto dei dati di log cambiano, la configurazione del firmware e del sistema operativo cambia e questo rende il parsing degli eventi per garantire la Qualità dei Dati un processo che deve essere continuamente perfezionato. Se la qualità non è controllata con almeno 0,25 FTE per il compito allora l’utilità dei dati diminuirà costantemente e al momento, diciamo, dell’audit PCI l’azienda potrebbe non passarlo. Problemi di performance possono anche portare a una situazione in cui i rapporti falliscono proprio quando ne hai bisogno e di solito è quando gli auditor o la gestione li richiedono “per ieri”. Questo è particolarmente critico per SOX.

Il SIEM non è autosufficiente: indipendentemente dal fatto che sia su software on premise o su SaaS ha bisogno di personale formato che sia parte del team interno o parte del servizio di outsourcing. Calcoli d’investimento errati accadono piuttosto spesso per i progetti SIEM. Gli investimenti nella tecnologia SIEM durante i primi 5 anni dovrebbero costituire solo il 20-30% del budget totale del progetto. È necessario investire in attrezzature e nel team, specialmente nella formazione, ritenzione del personale e scalabilità delle operazioni. Un altro errore è supporre che acquistare SIEM ridurrà significativamente il carico di lavoro, al contrario introdurrà in realtà una serie di nuovi compiti e competenze richieste. I tuoi esperti semplicemente ricevono l’opportunità di lavorare con enormi quantità di dati di sicurezza, analizzarli e dar loro significato per ridurre i rischi, qualcosa che era precedentemente impossibile. Pertanto, un’errata pianificazione delle risorse è un altro motivo per cui non è possibile ottenere un ROI dal SIEM.

Infine, un approccio all’implementazione dei Use Cases per SIEM richiede la comprensione che i casi d’uso non sono implementati come una cosa una tantum, e la loro qualità degraderà rapidamente se non vengono migliorati e ottimizzati continuamente. La soluzione più efficace e allo stesso tempo semplice è quella di utilizzare i casi d’uso già disponibili e non reinventare la ruota (casi per il monitoraggio di Windows, Cisco, antivirus, ecc.). È necessario concentrare gli sforzi del team sullo sviluppo di casi d’uso specifici per la tua organizzazione. Per verificare che stiamo costruendo i casi d’uso richiesti: se il caso d’uso può essere copiato nel SIEM di un’altra azienda e funzionerà lì con lo stesso valore, significa che è universale. E c’è un’alta probabilità che sia già disponibile come pacchetto freemium o commerciale che richiede nessun tuning minimo per produrre valore di sicurezza.

Pertanto, possiamo definire 5 processi che assicurano un ROI positivo dal SIEM

Monitoraggio e mantenimento dell’Acquisizione Dati e della Qualità dei Dati
Monitoraggio, mantenimento e miglioramento continuo dei Use Cases del SIEM
Pianificazione tecnica adeguata del progetto e dell’architettura
Pianificazione e regolazione dell’FTE in anticipo per prevenire il sovraccarico del team
Un piano chiaro per l’investimento nel team: formazione, ritenzione e sviluppo

Quindi qui abbiamo i modi principali per ottenere il ROI dal SIEM e alcune ragioni sul perché non sempre funzionano come previsto. Qual è la tua esperienza nell’ottenere ROI da un SIEM?

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis Prenota un incontro

Name	Descripiton
PHPSESSID	Preserves user session state across page requests. Cookie generated by applications based on the PHP language. This is a general purpose identifier used to maintain user session variables. It is normally a random generated number, how it is used can be specific to the site, but a good example is maintaining a logged-in status for a user between pages.
sp_i	Used to store information about authenticated User.
sp_r	Used to store information about authenticated User.
sp_a	Used to store information about authenticated User.

Name	Descripiton
tuuid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
tuuid_last_update	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
um	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
umeh	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded.
na_sc_x	Used by the social sharing platform AddThis to keep a record of parts of the site that has been visited in order to recommend other parts of the site.
APID	Collects anonymous data related to the user's visits to the website.
IDSYNC	Collects anonymous data related to the user's visits to the website.
_cc_aud	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_cc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_dc	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
_cc_id	Collects anonymous statistical data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The purpose is to segment the website's users according to factors such as demographics and geographical location, in order to enable media and marketing agencies to structure and understand their target groups to enable customised online advertising.
dpm	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
acs	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
clid	Collects anonymous data related to the user's visits to the website, such as the number of visits, average time spent on the website and what pages have been loaded, with the purpose of displaying targeted ads.
KRTBCOOKIE_#	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PUBMDCID	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
PugT	Registers a unique ID that identifies the user's device during return visits across websites that use the same ad network. The ID is used to allow targeted ads.
ssi	Registers a unique ID that identifies a returning user's device. The ID is used for targeted ads.
_tmid	Registers a unique ID that identifies the user's device upon return visits. The ID is used to target ads in video clips.
wam-sync	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
wui	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
AFFICHE_W	Used by the advertising platform Weborama to determine the visitor's interests based on pages visits, content clicked and other actions on the website.
B	Collects anonymous data related to the user's website visits, such as the number of visits, average time spent on the website and what pages have been loaded. The registered data is used to categorise the users' interest and demographical profiles with the purpose of customising the website content depending on the visitor.
1P_JAR	These cookies are used to gather website statistics, and track conversion rates.
APISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
HSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
NID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SAPISID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
SIDCC	Security cookie to protect users data from unauthorised access.
SSID	Google set a number of cookies on any page that includes a Google reCAPTCHA. While we have no control over the cookies set by Google, they appear to include a mixture of pieces of information to measure the number and behaviour of Google reCAPTCHA users.
__utmx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.
__utmxx	This cookie is associated with Google Website Optimizer, a tool designed to help site owners improve their wbesites. It is used to distinguish between two varaitions a webpage that might be shown to a visitor as part of an A/B split test. This helps site owners to detemine which version of a page performs better, and therefore helps to improve the website.

Name	Descripiton
_hjid	Hotjar cookie. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInSample	This cookie is associated with web analytics functionality and services from Hot Jar, a Malta based company. It uniquely identifies a visitor during a single browser session and indicates they are included in an audience sample.
intercom-id-[xxx]	This cookie is used by Intercom as a session so that users can continue a chat as they move through the site.
intercom-session-[xxx]	Used to keeping track of sessions and remember logins and conversations.
demdex	Via a unique ID that is used for semantic content analysis, the user's navigation on the website is registered and linked to offline data from surveys and similar registrations to display targeted ads.
CookieConsent	Stores the user's cookie consent state for the current domain.
__cfduid	Used by the content network, Cloudflare, to identify trusted web traffic.
ss	These cookies enable the website to provide enhanced functionality and personalisation . They may be set by us or by third party providers whose services we have added to our pages. These services may include the Live Chat facility, Contact Us form(s), the Product Quotation forms and submission process, and the Email Newsletter sign up functionality .

Name	Descripiton
_ga	This cookie name is asssociated with Google Universal Analytics - which is a significant update to Google's more commonly used analytics service. This cookie is used to distinguish unique users by assigning a randomly generated number as a client identifier. It is included in each page. Registers a unique ID that is used to generate statistical data on how the visitor uses the website. request in a site and used to calculate visitor, session and campaign data for the sites analytics reports. By default it is set to expire after 2 years, although this is customisable by website owners.
_gat	Used by Google Analytics to throttle request rate. This cookie name is associated with Google Universal Analytics, according to documentation it is used to throttle the request rate - limiting the collection of data on high traffic sites. It expires after 10 minutes.
_gid	This cookie name is asssociated with Google Universal Analytics. This appears to be a new cookie and as of Spring 2017 no information is available from Google. It appears to store and update a unique value for each page visited. Registers a unique ID that is used to generate statistical data on how the visitor uses the website.
IDE	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
r/collect	Used by Google DoubleClick to register and report the website user's actions after viewing or clicking one of the advertiser's ads with the purpose of measuring the efficacy of an ad and to present targeted ads to the user.
test_cookie	Used to check if the user's browser supports cookies.
collect	Used to send data to Google Analytics about the visitor's device and behaviour. Tracks the visitor across devices and marketing channels.
ads/user-lists/#	These cookies may be set through our site by our advertising partners. They may be used by those companies to build a profile of your interests and show you relevant adverts on other sites.
c	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
khaos	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
put_#	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpb	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
rpx	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.
tap.php	Registers anonymised user data, such as IP address, geographical location, visited websites, and what ads the user has clicked, with the purpose of optimising ad display based on the user's movement on websites that use the same ad network.

La Teoria e la Realtà del ROI del SIEM