In die gedagtes van onervare mense lyk die werk van 'n sekuriteitsadministrateur na 'n opwindende tweestryd tussen 'n anti-kraker en bose hackers wat voortdurend die korporatiewe netwerk binnedring. En ons held, in reële tyd, stoot gewaagde aanvalle af deur behendig en vinnig opdragte in te voer en tree uiteindelik as 'n briljante wenner uit.
Net soos 'n koninklike musketier met 'n sleutelbord in plaas van 'n swaard en 'n musket.
Maar in werklikheid lyk alles gewoon, pretensieloos, en selfs, kan 'n mens sê, vervelig.
Een van die hoofmetodes van analise is steeds om gebeurtenislogboeke te lees. Deeglike studie oor die onderwerp:
- wie probeer het om in te voer waar van waar, watter hulpbron hulle probeer het om toegang te verkry, hoe hulle hul regte om toegang tot die hulpbron te verkry bewys het;
- watter mislukkings, foute en bloot verdagte toevallighede daar was;
- wie en hoe die stelsel getoets het vir sterkte, geskandeerde poorte, geselekteerde wagwoorde;
- Ensovoorts ensovoorts…
Wel, wat de hel is romanse hier, God verhoed dat "jy nie aan die slaap raak terwyl jy bestuur nie."
Sodat ons spesialiste nie hul liefde vir kuns heeltemal verloor nie, word gereedskap vir hulle uitgevind om die lewe makliker te maak. Dit is allerhande ontleders (log ontleders), moniteringstelsels met kennisgewing van kritieke gebeurtenisse, en nog baie meer.
As jy egter 'n goeie hulpmiddel neem en dit met die hand aan elke toestel begin skroef, byvoorbeeld 'n internetpoort, sal dit nie so eenvoudig wees nie, nie so gerieflik nie, en, onder andere, moet jy addisionele kennis van heeltemal ander gebiede. Byvoorbeeld, waar om sagteware vir sulke monitering te plaas? Op 'n fisiese bediener, virtuele masjien, spesiale toestel? In watter vorm moet die data gestoor word? As 'n databasis gebruik word, watter een? Hoe om rugsteun uit te voer en is dit nodig om dit uit te voer? Hoe om te bestuur? Watter koppelvlak moet ek gebruik? Hoe om die stelsel te beskerm? Watter enkripsiemetode om te gebruik - en nog baie meer.
Dit is baie eenvoudiger as daar 'n sekere verenigde meganisme is wat die oplossing van al die genoemde kwessies op homself neem, wat die administrateur laat om streng binne die raamwerk van sy besonderhede te werk.
Volgens die gevestigde tradisie om die term "wolk" alles te noem wat nie op 'n gegewe gasheer geleë is nie, laat die Zyxel CNM SecuReporter-wolkdiens jou nie net toe om baie probleme op te los nie, maar bied ook gerieflike gereedskap
Wat is Zyxel CNM SecuReporter?
Dit is 'n intelligente ontledingsdiens met funksies van data-insameling, statistiese analise (korrelasie) en verslagdoening vir Zyxel-toerusting van die ZyWALL-lyn en hulle s'n. Dit bied die netwerkadministrateur 'n gesentraliseerde aansig van verskeie aktiwiteite op die netwerk.
Byvoorbeeld, aanvallers kan probeer om by 'n sekuriteitstelsel in te breek deur aanvalsmeganismes soos sluip, geteiken и aanhoudende. SecuReporter bespeur verdagte gedrag, wat die administrateur toelaat om die nodige beskermingsmaatreëls te tref deur ZyWALL op te stel.
Om sekuriteit te verseker is natuurlik ondenkbaar sonder konstante data-analise met waarskuwings in reële tyd. Jy kan pragtige grafieke teken soveel jy wil, maar as die administrateur nie bewus is van wat aan die gebeur is nie... Nee, dit kan beslis nie met SecuReporter gebeur nie!
Enkele vrae oor die gebruik van SecuReporter
Analytics
Eintlik is ontleding van wat gebeur die kern van die bou van inligtingsekuriteit. Deur gebeure te ontleed, kan 'n sekuriteitspesialis 'n aanval betyds voorkom of stop, asook gedetailleerde inligting vir rekonstruksie bekom om bewyse in te samel.
Wat bied "wolk-argitektuur"?
Hierdie diens is gebou op die Sagteware as 'n Diens (SaaS)-model, wat dit makliker maak om te skaal deur gebruik te maak van die krag van afgeleë bedieners, verspreide databergingstelsels, ensovoorts. Die gebruik van die wolkmodel laat jou toe om van hardeware en sagteware nuanses te abstraheer, en al jou pogings te wy om die beskermingsdiens te skep en te verbeter.
Dit stel die gebruiker in staat om die koste van die aankoop van toerusting vir berging, ontleding en voorsiening van toegang aansienlik te verminder, en dit is nie nodig om instandhoudingskwessies soos rugsteun, opdaterings, voorkoming van mislukking, ensovoorts te hanteer nie. Dit is genoeg om 'n toestel te hê wat SecuReporter ondersteun en die toepaslike lisensie.
BELANGRIK! Met 'n wolk-gebaseerde argitektuur kan sekuriteitsadministrateurs enige tyd en enige plek proaktief netwerkgesondheid monitor. Dit los die probleem op, ook met vakansies, siekteverlof, ensovoorts. Toegang tot toerusting, byvoorbeeld diefstal van 'n skootrekenaar waarvandaan toegang tot die SecuReporter-webkoppelvlak verkry is, sal ook niks oplewer nie, mits die eienaar daarvan nie sekuriteitsreëls oortree het nie, nie wagwoorde plaaslik gestoor het nie, ensovoorts.
Die wolkbestuuropsie is goed geskik vir beide mono-maatskappye wat in dieselfde stad geleë is en strukture met takke. Sulke liggingonafhanklikheid is nodig in 'n verskeidenheid industrieë, byvoorbeeld vir diensverskaffers of sagteware-ontwikkelaars wie se besigheid oor verskillende stede versprei is.
Ons praat baie oor die moontlikhede van analise, maar wat beteken dit?
Dit is verskeie analise-instrumente, byvoorbeeld, opsommings van die frekwensie van gebeure, lyste van die Top 100 hoof (regte en beweerde) slagoffers van 'n sekere gebeurtenis, logs wat spesifieke teikens vir aanval aandui, ensovoorts. Enigiets wat die administrateur help om verborge neigings te identifiseer en verdagte gedrag van gebruikers of dienste te identifiseer.
Wat van verslagdoening?
SecuReporter laat jou toe om die verslagvorm aan te pas en dan die resultaat in PDF-formaat te ontvang. Natuurlik, as jy wil, kan jy jou logo, verslagtitel, verwysings of aanbevelings in die verslag insluit. Dit is moontlik om verslae op die tyd van versoek of op 'n skedule te skep, byvoorbeeld een keer per dag, week of maand.
U kan die uitreiking van waarskuwings opstel met inagneming van die besonderhede van verkeer binne die netwerkinfrastruktuur.
Is dit moontlik om die gevaar van insiders te verminder of bloot slof?
Die spesiale Gebruiker Gedeeltelik Quotient-instrument stel die administrateur in staat om vinnig riskante gebruikers te identifiseer, sonder bykomende moeite en met inagneming van die afhanklikheid tussen verskillende netwerklogboeke of gebeurtenisse.
Dit wil sê, 'n in-diepte ontleding van alle gebeure en verkeer wat geassosieer word met gebruikers wat hulself as verdag bewys het, word uitgevoer.
Watter ander punte is tipies vir SecuReporter?
Maklike opstelling vir eindgebruikers (sekuriteitsadministrateurs).
Aktivering van SecuReporter in die wolk vind plaas deur 'n eenvoudige opstelprosedure. Hierna kry administrateurs onmiddellik toegang tot alle data-, ontledings- en verslagdoeningsinstrumente.
Multi-Tenants op 'n enkele wolkplatform - jy kan jou ontledings vir elke kliënt aanpas. Weereens, namate u kliëntebasis toeneem, laat die wolkargitektuur u toe om u beheerstelsel maklik aan te pas sonder om doeltreffendheid in te boet.
Databeskermingswette
BELANGRIK! Zyxel is baie sensitief vir internasionale en plaaslike wette en ander regulasies rakende die beskerming van persoonlike data, insluitend die GDPR en OESO Privaatheidsbeginsels. Ondersteun deur die Federale Wet "Op Persoonlike Data" gedateer 27.07.2006 Julie 152 No. XNUMX-FZ.
Om voldoening te verseker, het SecuReporter drie ingeboude privaatheidsbeskermingsopsies:
- nie-anonieme data - persoonlike data word volledig geïdentifiseer in ontleder, verslag en aflaaibare argieflogboeke;
- gedeeltelik anoniem - persoonlike data word vervang met hul kunsmatige identifiseerders in Argieflogboeke;
- heeltemal anoniem - persoonlike data word heeltemal geanonimiseer in Analyzer, Report en aflaaibare argieflogboeke.
Hoe aktiveer ek SecuReporter op my toestel?
Kom ons kyk na die voorbeeld van 'n ZyWall-toestel (in hierdie geval het ons 'n ZyWall 1100). Gaan na die instellingsafdeling (oortjie aan die regterkant met 'n ikoon in die vorm van twee ratte). Maak dan die Cloud CNM-afdeling oop en kies die SecuReporter-onderafdeling daarin.
Om die gebruik van die diens toe te laat, moet jy die Enable SecuReporter-element aktiveer. Daarbenewens is dit die moeite werd om die Sluit Verkeerslog-opsie in te gebruik om verkeerslogboeke te versamel en te ontleed.
Figuur 1. Aktivering van SecuReporter.
Die tweede stap is om statistieke te versamel. Dit word in die Monitering-afdeling gedoen (oortjie aan die regterkant met 'n ikoon in die vorm van 'n monitor).
Gaan dan na die afdeling UTM Statistiek, App Patrol subafdeling. Hier moet jy die Versamel Statistiek-opsie aktiveer.
Figuur 2. Aktivering van statistiekversameling.
Dit is dit, jy kan aan die SecuReporter-webkoppelvlak koppel en die wolkdiens gebruik.
BELANGRIK! SecuReporter het uitstekende dokumentasie in PDF-formaat. Jy kan dit aflaai vanaf .
Beskrywing van die SecuReporter-webkoppelvlak
Dit sal nie moontlik wees om hier 'n gedetailleerde beskrywing te gee van al die funksies wat SecuReporter aan 'n sekuriteitsadministrateur verskaf nie - daar is nogal baie daarvan vir een artikel.
Daarom sal ons ons beperk tot 'n kort beskrywing van die dienste wat die administrateur sien en waarmee hy voortdurend werk. So, leer weet waaruit die SecuReporter-webkonsole bestaan.
Kaart
Hierdie afdeling vertoon die geregistreerde toerusting, wat die stad, toestelnaam en IP-adres aandui. Wys inligting oor of die toestel aangeskakel is en wat die waarskuwingstatus is. Op die bedreigingskaart kan jy die bron van pakkies wat deur aanvallers gebruik word en die frekwensie van aanvalle sien.
Dashboard
Kort inligting oor die hoofaksies en 'n bondige analitiese oorsig vir die gespesifiseerde tydperk. Jy kan 'n tydperk van 7 dae tot 1 uur spesifiseer.
Figuur 3. Voorbeeld van die voorkoms van die Dashboard-afdeling.
Analyzer
Die naam spreek vanself. Dit is die konsole van die instrument met dieselfde naam, wat verdagte verkeer vir 'n geselekteerde tydperk diagnoseer, tendense in die opkoms van bedreigings identifiseer en inligting oor verdagte pakkies insamel. Ontleder is in staat om die mees algemene kwaadwillige kode op te spoor, asook om bykomende inligting rakende sekuriteitskwessies te verskaf.
Figuur 4. Voorbeeld van die voorkoms van die Ontleder-afdeling.
Rapporteer
In hierdie afdeling het die gebruiker toegang tot pasgemaakte verslae met 'n grafiese koppelvlak. Die vereiste inligting kan onmiddellik of op 'n geskeduleerde basis ingesamel en in 'n gerieflike aanbieding saamgestel word.
Waarskuwings
Dit is waar jy die waarskuwingstelsel instel. Drempels en verskillende ernsvlakke kan gekonfigureer word, wat dit makliker maak om afwykings en potensiële aanvalle te identifiseer.
Instelling
Wel, eintlik is instellings instellings.
Daarbenewens is dit opmerklik dat SecuReporter verskillende beskermingsbeleide kan ondersteun wanneer persoonlike data verwerk word.
Gevolgtrekking
Plaaslike metodes vir die ontleding van sekuriteitsverwante statistieke het hulself in beginsel redelik goed bewys.
Die omvang en erns van bedreigings neem egter elke dag toe. Die vlak van beskerming wat voorheen almal tevrede gestel het, word na 'n ruk taamlik swak.
Benewens die gelyste probleme, vereis die gebruik van plaaslike gereedskap sekere pogings om funksionaliteit te handhaaf (toerustinginstandhouding, rugsteun, ensovoorts). Daar is ook die probleem van afgeleë ligging – dit is nie altyd moontlik om die sekuriteitsadministrateur 24 uur, 7 dae per week in die kantoor te hou nie. Daarom moet u op een of ander manier veilige toegang tot die plaaslike stelsel van buite organiseer en dit self onderhou.
Die gebruik van wolkdienste laat jou toe om sulke probleme te vermy, en fokus spesifiek op die handhawing van die vereiste vlak van sekuriteit en beskerming teen indringers, sowel as oortredings van reëls deur gebruikers.
SecuReporter is net 'n voorbeeld van 'n suksesvolle implementering van so 'n diens.
Aksie
Vanaf vandag is daar 'n gesamentlike promosie tussen Zyxel en ons Gold Partner X-Com vir kopers van firewalls wat Secureporter ondersteun:
nuttige skakels
[1] .
[2] op die webwerf op die amptelike Zyxel-webwerf.
[3] .
Bron: will.com