في أذهان الأشخاص عديمي الخبرة، يبدو عمل مسؤول الأمن وكأنه مبارزة مثيرة بين المتسللين المناهضين للهاكر والمتسللين الأشرار الذين يغزوون شبكة الشركة باستمرار. ويقوم بطلنا، في الوقت الفعلي، بصد الهجمات الجريئة عن طريق إدخال الأوامر بمهارة وسرعة، ويظهر في النهاية كفائز لامع.
تمامًا مثل الفارس الملكي الذي يستخدم لوحة المفاتيح بدلاً من السيف والبندقية.
ولكن في الواقع، يبدو كل شيء عاديًا، ومتواضعًا، وحتى، يمكن للمرء أن يقول، مملًا.
إحدى طرق التحليل الرئيسية هي قراءة سجلات الأحداث. دراسة مستفيضة حول الموضوع:
- من حاول الدخول ومن أين، وما هو المورد الذي حاولوا الوصول إليه، وكيف أثبتوا حقوقهم في الوصول إلى المورد؛
- ما هي الإخفاقات والأخطاء والمصادفات المشبوهة ببساطة؛
- من وكيف قام باختبار النظام من حيث القوة والمنافذ الممسوحة ضوئيًا وكلمات المرور المحددة؛
- وهلم جرا وهكذا دواليك…
حسنًا، ما هي الرومانسية هنا، لا سمح الله "لا تغفو أثناء القيادة".
حتى لا يفقد المتخصصون لدينا حبهم للفن تمامًا، فقد تم اختراع أدوات لهم لتسهيل الحياة. هذه هي جميع أنواع المحللات (موزعي السجلات)، وأنظمة المراقبة مع إشعارات الأحداث الحرجة، وأكثر من ذلك بكثير.
ومع ذلك، إذا كنت تأخذ أداة جيدة وتبدأ في ربطها يدويًا بكل جهاز، على سبيل المثال، بوابة الإنترنت، فلن يكون الأمر بهذه البساطة، وليس مناسبًا جدًا، ومن بين أشياء أخرى، تحتاج إلى الحصول على معرفة إضافية من مختلف تمامًا المناطق. على سبيل المثال، أين يمكن وضع البرامج لمثل هذه المراقبة؟ على خادم فعلي، جهاز افتراضي، جهاز خاص؟ في أي شكل ينبغي تخزين البيانات؟ إذا تم استخدام قاعدة بيانات، أي منها؟ كيفية إجراء النسخ الاحتياطية وهل من الضروري تنفيذها؟ كيفية إدارة؟ ما هي الواجهة التي يجب أن أستخدمها؟ كيفية حماية النظام؟ ما هي طريقة التشفير التي يجب استخدامها - وأكثر من ذلك بكثير.
يكون الأمر أسهل بكثير عندما تكون هناك آلية موحدة معينة تأخذ على عاتقها حل جميع المشكلات المدرجة، مما يترك المسؤول للعمل بشكل صارم في إطار تفاصيله.
وفقًا للتقليد الراسخ المتمثل في تسمية مصطلح "سحابة" لكل شيء غير موجود على مضيف معين، فإن الخدمة السحابية Zyxel CNM SecuReporter لا تسمح لك بحل العديد من المشكلات فحسب، بل توفر أيضًا أدوات ملائمة
ما هو Zyxel CNM SecuReporter؟
هذه خدمة تحليلية ذكية مع وظائف جمع البيانات والتحليل الإحصائي (الارتباط) وإعداد التقارير لمعدات Zyxel الخاصة بخط ZyWALL ومعداتها. فهو يوفر لمسؤول الشبكة رؤية مركزية لمختلف الأنشطة على الشبكة.
على سبيل المثال، قد يحاول المهاجمون اقتحام نظام أمني باستخدام آليات الهجوم مثل متخفي، مستهدف и مستمر. يكتشف SecuReporter السلوك المشبوه، مما يسمح للمسؤول باتخاذ إجراءات الحماية اللازمة عن طريق تكوين ZyWALL.
وبطبيعة الحال، لا يمكن تصور ضمان الأمن دون التحليل المستمر للبيانات مع التحذيرات في الوقت الحقيقي. يمكنك رسم رسوم بيانية جميلة بقدر ما تريد، ولكن إذا لم يكن المسؤول على علم بما يحدث... لا، هذا بالتأكيد لا يمكن أن يحدث مع SecuReporter!
بعض الأسئلة حول استخدام SecuReporter
تحليلات
وفي الواقع فإن تحليل ما يحدث هو جوهر بناء أمن المعلومات. من خلال تحليل الأحداث، يمكن لأخصائي الأمن منع الهجوم أو إيقافه في الوقت المناسب، بالإضافة إلى الحصول على معلومات مفصلة لإعادة الإعمار من أجل جمع الأدلة.
ماذا توفر "الهندسة السحابية"؟
تم بناء هذه الخدمة على نموذج البرنامج كخدمة (SaaS)، مما يسهل التوسع باستخدام قوة الخوادم البعيدة، وأنظمة تخزين البيانات الموزعة، وما إلى ذلك. يتيح لك استخدام النموذج السحابي استخلاص الفروق الدقيقة في الأجهزة والبرامج، وتكريس كل جهودك لإنشاء خدمة الحماية وتحسينها.
يتيح ذلك للمستخدم تقليل تكلفة شراء معدات التخزين والتحليل وتوفير الوصول بشكل كبير، وليس هناك حاجة للتعامل مع مشكلات الصيانة مثل النسخ الاحتياطية والتحديثات ومنع الفشل وما إلى ذلك. يكفي أن يكون لديك جهاز يدعم SecuReporter والترخيص المناسب.
IMPORTANT! بفضل البنية المستندة إلى السحابة، يمكن لمسؤولي الأمان مراقبة صحة الشبكة بشكل استباقي في أي وقت وفي أي مكان. وهذا يحل المشكلة، بما في ذلك الإجازات والإجازات المرضية وما إلى ذلك. الوصول إلى المعدات، على سبيل المثال، سرقة جهاز كمبيوتر محمول تم الوصول من خلاله إلى واجهة الويب SecuReporter، لن يؤدي أيضًا إلى أي شيء، بشرط ألا ينتهك مالكه قواعد الأمان، ولم يخزن كلمات المرور محليًا، وما إلى ذلك.
يعد خيار الإدارة السحابية مناسبًا تمامًا لكل من الشركات الأحادية الموجودة في نفس المدينة والمباني ذات الفروع. يعد هذا الاستقلال في الموقع ضروريًا في مجموعة متنوعة من الصناعات، على سبيل المثال، لمقدمي الخدمات أو مطوري البرامج الذين تتوزع أعمالهم عبر مدن مختلفة.
نتحدث كثيرًا عن إمكانيات التحليل، لكن ماذا يعني هذا؟
وهي عبارة عن أدوات تحليلية متنوعة، على سبيل المثال، ملخصات تكرار الأحداث، وقوائم أفضل 100 ضحية رئيسية (حقيقية ومزعومة) لحدث معين، وسجلات تشير إلى أهداف محددة للهجوم، وما إلى ذلك. أي شيء يساعد المسؤول على تحديد الاتجاهات الخفية وتحديد السلوك المشبوه للمستخدمين أو الخدمات.
ماذا عن الإبلاغ؟
يسمح لك SecuReporter بتخصيص نموذج التقرير ومن ثم استلام النتيجة بتنسيق PDF. بالطبع، إذا كنت ترغب في ذلك، يمكنك تضمين شعارك أو عنوان التقرير أو المراجع أو التوصيات في التقرير. من الممكن إنشاء التقارير في وقت الطلب أو حسب جدول زمني مثلا مرة واحدة في اليوم أو الأسبوع أو الشهر.
يمكنك تكوين إصدار التحذيرات مع مراعاة تفاصيل حركة المرور داخل البنية التحتية للشبكة.
هل من الممكن تقليل الخطر من المطلعين أو مجرد السخافات؟
تسمح أداة User Partially Quotient الخاصة للمسؤول بالتعرف بسرعة على المستخدمين الخطرين، دون بذل جهد إضافي ومع مراعاة التبعية بين سجلات أو أحداث الشبكة المختلفة.
وهذا يعني أنه يتم إجراء تحليل متعمق لجميع الأحداث وحركة المرور المرتبطة بالمستخدمين الذين أظهروا أنهم مشبوهون.
ما هي النقاط الأخرى النموذجية لـSecuReporter؟
سهولة الإعداد للمستخدمين النهائيين (مسؤولي الأمان).
يتم تنشيط SecuReporter في السحابة من خلال إجراء إعداد بسيط. بعد ذلك، يتم منح المسؤولين على الفور حق الوصول إلى جميع البيانات وأدوات التحليل وإعداد التقارير.
المستأجرون المتعددون على منصة سحابية واحدة - يمكنك تخصيص تحليلاتك لكل عميل. مرة أخرى، مع زيادة قاعدة عملائك، تسمح لك البنية السحابية بتكييف نظام التحكم الخاص بك بسهولة دون التضحية بالكفاءة.
قوانين حماية البيانات
مهم! تعتبر Zyxel حساسة جدًا للقوانين الدولية والمحلية واللوائح الأخرى المتعلقة بحماية البيانات الشخصية، بما في ذلك اللائحة العامة لحماية البيانات ومبادئ الخصوصية لمنظمة التعاون الاقتصادي والتنمية. بدعم من القانون الاتحادي "بشأن البيانات الشخصية" بتاريخ 27.07.2006 يوليو 152 رقم XNUMX-FZ.
لضمان الامتثال، يحتوي SecuReporter على ثلاثة خيارات مدمجة لحماية الخصوصية:
- البيانات غير المجهولة - يتم تحديد البيانات الشخصية بالكامل في المحلل والتقرير وسجلات الأرشيف القابلة للتنزيل؛
- مجهول جزئيًا - يتم استبدال البيانات الشخصية بمعرفاتها المصطنعة في سجلات الأرشيف؛
- مجهول تمامًا - يتم إخفاء هوية البيانات الشخصية تمامًا في المحلل والتقرير وسجلات الأرشيف القابلة للتنزيل.
كيف أقوم بتفعيل SecuReporter على جهازي؟
دعونا نلقي نظرة على مثال جهاز ZyWall (في هذه الحالة لدينا ZyWall 1100). انتقل إلى قسم الإعدادات (علامة التبويب على اليمين مع أيقونة على شكل ترسين). بعد ذلك، افتح قسم Cloud CNM وحدد القسم الفرعي SecuReporter فيه.
للسماح باستخدام الخدمة، يجب عليك تنشيط عنصر تمكين SecuReporter. بالإضافة إلى ذلك، من المفيد استخدام خيار Include Traffic Log لجمع سجلات حركة المرور وتحليلها.
الشكل 1. تمكين SecuReporter.
الخطوة الثانية هي السماح بجمع الإحصائيات. يتم ذلك في قسم المراقبة (علامة التبويب الموجودة على اليمين مع أيقونة على شكل شاشة).
بعد ذلك، انتقل إلى قسم إحصائيات UTM، القسم الفرعي App Patrol. هنا تحتاج إلى تفعيل خيار جمع الإحصائيات.
الشكل 2. تمكين جمع الإحصاءات.
هذا كل شيء، يمكنك الاتصال بواجهة الويب SecuReporter واستخدام الخدمة السحابية.
IMPORTANT! لدى SecuReporter وثائق ممتازة بتنسيق PDF. يمكنك تنزيله من .
وصف واجهة الويب SecuReporter
لن يكون من الممكن هنا تقديم وصف تفصيلي لجميع الوظائف التي يوفرها SecuReporter لمسؤول الأمان - فهناك الكثير منها لمقالة واحدة.
لذلك سنقتصر على وصف مختصر للخدمات التي يراها المسؤول وما يعمل به باستمرار. لذلك، تعرف على ما تتكون منه وحدة تحكم الويب SecuReporter.
خريطة
يعرض هذا القسم المعدات المسجلة، مع الإشارة إلى المدينة واسم الجهاز وعنوان IP. يعرض معلومات حول ما إذا كان الجهاز قيد التشغيل وما هي حالة التحذير. على خريطة التهديدات، يمكنك رؤية مصدر الحزم التي يستخدمها المهاجمون وتكرار الهجمات.
لوحة المعلومات
معلومات موجزة عن الإجراءات الرئيسية ولمحة تحليلية موجزة للفترة المحددة. يمكنك تحديد فترة من 7 أيام إلى ساعة واحدة.
الشكل 3. مثال على مظهر قسم لوحة المعلومات.
محلل
الاسم يتحدث عن نفسه. هذه هي وحدة التحكم الخاصة بالأداة التي تحمل الاسم نفسه، والتي تعمل على تشخيص حركة المرور المشبوهة لفترة محددة، وتحديد الاتجاهات في ظهور التهديدات وجمع المعلومات حول الحزم المشبوهة. يستطيع Analyzer تتبع التعليمات البرمجية الضارة الأكثر شيوعًا، بالإضافة إلى توفير معلومات إضافية بخصوص المشكلات الأمنية.
الشكل 4. مثال على مظهر قسم المحلل.
تقرير
في هذا القسم، يتمتع المستخدم بإمكانية الوصول إلى التقارير المخصصة من خلال واجهة رسومية. يمكن جمع المعلومات المطلوبة وتجميعها في عرض تقديمي مناسب على الفور أو على أساس مجدول.
التنبيهات
هذا هو المكان الذي تقوم فيه بتكوين نظام التحذير. يمكن تكوين الحدود ومستويات الخطورة المختلفة، مما يسهل تحديد الحالات الشاذة والهجمات المحتملة.
جلسة
حسنًا، في الواقع، الإعدادات هي الإعدادات.
بالإضافة إلى ذلك، تجدر الإشارة إلى أن SecuReporter يمكنه دعم سياسات الحماية المختلفة عند معالجة البيانات الشخصية.
اختتام
لقد أثبتت الأساليب المحلية لتحليل الإحصاءات المتعلقة بالأمن نفسها بشكل جيد من حيث المبدأ.
ومع ذلك، فإن نطاق وشدة التهديدات يتزايدان كل يوم. مستوى الحماية الذي كان يرضي الجميع في السابق يصبح ضعيفًا إلى حد ما بعد مرور بعض الوقت.
بالإضافة إلى المشاكل المذكورة، يتطلب استخدام الأدوات المحلية بذل جهود معينة للحفاظ على الوظيفة (صيانة المعدات، والنسخ الاحتياطي، وما إلى ذلك). هناك أيضًا مشكلة الموقع البعيد - فليس من الممكن دائمًا إبقاء مسؤول الأمن في المكتب 24 ساعة، 7 أيام في الأسبوع. لذلك، تحتاج إلى تنظيم الوصول الآمن إلى النظام المحلي من الخارج بطريقة أو بأخرى والحفاظ عليه بنفسك.
يتيح لك استخدام الخدمات السحابية تجنب مثل هذه المشكلات، مع التركيز بشكل خاص على الحفاظ على المستوى المطلوب من الأمان والحماية من التطفل، فضلاً عن انتهاكات القواعد من قبل المستخدمين.
يعد SecuReporter مجرد مثال على التنفيذ الناجح لمثل هذه الخدمة.
عمل
بدءًا من اليوم، هناك عرض ترويجي مشترك بين Zyxel وشريكنا الذهبي X-Com لمشتري جدران الحماية التي تدعم Secureporter:
وصلات مفيدة
[1] .
[2] على الموقع على موقع Zyxel الرسمي.
[3] .
المصدر: www.habr.com