Ва ўяўленні неспрактыкаваных людзей праца адміністратара бяспекі выглядае як захапляльны паядынак антыхакера са злымі хакерамі, якія раз-пораз урываюцца ў карпаратыўную сетку. А наш герой у рэжым рэальнага часу спрытным і хуткім увядзеннем каманд адбівае дзёрзкія выпады і ў выніку выходзіць бліскучым пераможцам.
Прама каралеўскі мушкецёр з клавіятурай замест шпагі і мушкета.
А на справе ўсё выглядае штодзённа, немудрагеліста, і нават, можна сказаць, сумна.
Адным з галоўных метадаў аналізу да гэтага часу застаецца чытанне часопісаў рэгістрацыі падзей. Дбайнае вывучэнне на прадмет:
- хто адкуль куды спрабаваў увайсці, да якога рэсурсу спрабаваў атрымаць доступ, як даказваў свае правы на доступ да рэсурсу;
- якія былі збоі, памылкі і проста падазроныя супадзенні;
- хто і як спрабаваў сістэму на трываласць, сканаваў парты, падбіраў паролі;
- і гэтак далей і да таго падобнае…
Ну якая ж тут, да д'ябла, рамантыка, дай бог «не заснуць за рулём».
Каб нашы спецыялісты не страцілі канчаткова любоў да мастацтва, для іх вынаходзяць інструменты, якія палягчаюць жыццё. Гэта - разнастайныя аналізатары (парсеры логаў), сістэмы маніторынгу з абвесткай аб крытычных падзеях і многае іншае.
Аднак, калі ўзяць добрую прыладу і пачаць яго прыкручваць уручную да кожнай прылады, напрыклад, Інтэрнэт-шлюзу — гэта будзе не так проста, не так зручна, і апроч усяго іншага трэба валодаць дадатковымі ведамі з зусім розных абласцей. Напрыклад, дзе размяшчаць ПЗ для такога маніторынгу? На фізічным серверы, віртуальнай машыне, спецыяльным прыладзе? У якім выглядзе захоўваць даныя? Калі выкарыстоўваецца база даных, то якая? Як выконваць рэзервовае капіраванне і ці трэба яго выконваць? Як ажыццяўляць кіраванне? Які выкарыстоўваць інтэрфейс? Як абараніць сістэму? Які метад шыфравання выкарыстоўваць - і многае іншае.
Значна прасцей, калі ёсць нейкі адзіны механізм, які бярэ на сябе вырашэнне ўсіх пералічаных пытанняў, падаўшы адміністратару працу строга ў рамках яго спецыфікі.
Па традыцыі называць тэрмінам «воблака» усё, што не размяшчаецца на дадзеным хасце, хмарны сэрвіс Zyxel CNM SecuReporter дазваляе не толькі вырашыць многія праблемы, але дае зручныя інструменты.
Што такое Zyxel CNM SecuReporter?
Гэта інтэлектуальны сэрвіс аналітыкі з функцыямі збору дадзеных, статыстычнага аналізу (карэляцыі) і пабудовы справаздач для абсталявання Zyxel лінейкі ZyWALL і іх. Ён дае сеткаваму адміністратару цэнтралізаваную карціну розных дзеянняў у сетцы.
Напрыклад, зламыснікі могуць паспрабаваць узламаць сістэму абароны, выкарыстоўваючы механізмы нападаў тыпу stealthy, targeted и ўпарціцца. SecuReporter вылічае падазроныя паводзіны, што дае магчымасць адміністратару прыняць неабходныя меры абароны з дапамогай наладкі ZyWALL.
Зразумела, забеспячэнне бяспекі неймаверна без сталага аналіз дадзеных з выдачай папярэджанняў, у рэжыме рэальнага часу. Можна колькі заўгодна маляваць прыгожыя графікі, але калі адміністратар не ў курсе адбывалага… Не, такога з SecuReporter сапраўды не можа быць!
Некаторыя пытанні выкарыстання SecuReporter
Аналітыка
Уласнае, аналіз таго, што адбываецца, - гэта і ёсць стрыжань пабудовы інфармацыйнай бяспекі. Аналізуючы падзеі, спецыяліст па бяспецы можа прадухіліць ці своечасова спыніць атаку, а таксама атрымаць дэталёвую інфармацыю для рэканструкцыі з мэтай збору доказаў.
Што дае «хмарная архітэктура»?
Дадзены сэрвіс пабудаваны па мадэлі Software as a Service (SaaS), што дазваляе ўпрасіць маштабаванне, выкарыстоўваючы магутнасці выдаленых сервераў, размеркаваных сістэм захоўвання дадзеных і гэтак далей. Ужыванне хмарнай мадэлі дазваляе абстрагавацца ад апаратных і праграмных нюансаў, кінуўшы ўсе сілы менавіта на стварэнне і паляпшэнне сэрвісу абароны.
Карыстальніку гэта дазваляе істотна знізіць выдаткі на закуп абсталявання для захоўвання, аналізу і прадастаўлення доступу, а таксама няма патрэбы займацца апытаннямі абслугоўвання, такімі як рэзервовае капіраванне, абнаўленне, прафілактыка збояў і гэтак далей. Досыць мець прыладу, якое падтрымлівае працу з SecuReporter і адпаведную ліцэнзію.
ВАЖНА! Дзякуючы хмарнай архітэктуры адміністратары бяспекі могуць праактыўна весці маніторынг стану сеткі ў любы час і ў любым месцы. Гэта вырашае праблему, у тым ліку, і з водпускамі, бальнічнымі і гэтак далей. Доступ да абсталявання, напрыклад, крадзеж наўтбука, з якога вырабляўся доступ да web-інтэрфейсу SecuReporter, гэтак жа нічога не дасць, пры ўмове, што яго ўладальнік не парушаў правілы бяспекі, не захоўваў лакальна паролі і гэтак далей.
Варыянт хмарнага кіравання добра падыходзіць як для мона-кампаній, якія размяшчаюцца ў адным горадзе, так і для структур з філіяламі. Падобная незалежнасць ад месцазнаходжання патрэбна ў самых розных галінах, напрыклад, для сэрвіс-правайдэраў, або распрацоўшчыкаў праграмнага забеспячэння, бізнэс якіх размеркаваны па розных гарадах.
Вось мы шмат які гаворыцца пра магчымасці аналізу, а што пад гэтым разумеецца?
Гэта розныя прылады аналітыкі, напрыклад, зводкі частаты падзей, спісы Top-100 асноўных (рэальных і меркаваных) ахвяр вызначанай падзеі, часопісы з указаннем пэўных мэт для нападу і гэтак далей. Усё, што дапамагае адміністратару вызначыць утоеныя тэндэнцыі і вылічыць падазроныя паводзіны карыстачоў або службаў.
А што са справаздачнасцю?
У SecuReporter ёсць магчымасць наладзіць форму справаздач і потым атрымаць вынік у фармаце PDF. Зразумела, па жаданні можна ўбудаваць у справаздачу свой лагатып, назоў справаздачы, даведкі ці рэкамендацыі. Прадугледжана стварэнне справаздач у момант звароту або па раскладзе, напрыклад, раз у дзень, тыдзень ці месяц.
Можна наладзіць выдачу папярэджанняў з улікам спецыфікі трафіку ўнутры сеткавай інфраструктуры.
Ці можна знізіць небяспеку ад інсайдэраў ці проста разгільдзяяў?
Адмысловая прылада User Partially Quotient дазваляе адміністратару хутка вылічыць якія ствараюць рызыкі карыстачоў, без дадатковых высілкаў і з улікам залежнасці паміж рознымі сеткавымі часопісамі ці падзеямі.
Гэта значыць, праводзіцца паглыблены аналіз усіх падзей і трафіку, якія звязаны з карыстальнікамі, якія праявілі сябе падазрона.
Якія яшчэ моманты характэрны для SecuReporter?
Простая настройка для канчатковых карыстальнікаў (адміністратараў бяспекі).
Актывізацыя SecuReporter у воблаку адбываецца з дапамогай простай працэдуры налады. Пасля гэтага адміністратарам адразу падаецца доступ да ўсіх дадзеных, сродкам аналізу і справаздачнасці.
Multi-Tenants на адзінай хмарнай платформе – можна наладзіць сваю аналітыку для кожнага кліента. Ізноў жа пры павелічэнні кліенцкай базы дзякуючы хмарнай архітэктуры можна лёгка адаптаваць сістэму кантролю без шкоды для эфектыўнасці.
Законы аб абароне дадзеных
ВАЖНА! Zyxel вельмі трапятліва ставіцца да міжнародных і мясцовых законаў і іншых нарматыўных актаў аб абароне асабістых дадзеных, у тым ліку GDPR і OECD Privacy Principles. Падтрымлівае Федэральны закон "Аб персанальных дадзеных" ад 27.07.2006/152/XNUMX № XNUMX-ФЗ.
Каб забяспечыць адпаведнасць патрабаванням, у SecuReporter убудаваны тры опцыі абароны асабістых дадзеных:
- неананімныя дадзеныя - асабістыя дадзеныя цалкам ідэнтыфікуюцца ў Analyzer, Report і загружаных Archive Logs;
- часткова ананімныя – асабістыя дадзеныя замяняюць на іх штучныя ідэнтыфікатары ў Archive Logs;
- цалкам ананімныя - асабістыя дадзеныя цалкам ананімізуюцца ў Analyzer, Report і загружаных Archive Logs.
Як уключыць выкарыстанне SecuReporter на прыладзе?
Разгледзім на прыкладзе прылады ZyWall (у дадзеным выпадку ў нас ZyWall 1100). Заходзім у раздзел налады (укладка справа з абразком у выглядзе двух шасцяронак). Далей раскрываем раздзел Cloud CNM і ў ім выбіраемы падраздзел SecuReporter.
Для дазволу выкарыстання сэрвісу трэба актываваць элемент Enable SecuReporter. Дадаткова варта задзейнічаць опцыю Include Traffic Log для збору і аналізу часопісаў трафіку.
Малюнак 1. Уключэнне SecuReporter.
Другім крокам трэба дазволіць збор статыстыкі. Робіцца гэта ў раздзеле Monitoring (укладка справа з абразком у выглядзе манітора).
Далей пераходзім у раздзел UTM Statistics, падраздзел App Patrol. Тут неабходна актываваць опцыю Collect Statistics.
Малюнак 2. Уключэнне збору статыстыкі.
Усё, можна падлучацца да web-інтэрфейсу SecuReporter і задзейнічаць хмарны сэрвіс.
ВАЖНА! Для SecuReporter ёсць цудоўная дакументацыя ў фармаце PDF. Спампаваць яе можна па .
Апісанне Web-інтэрфейсу SecuReporter
Прывесці тут падрабязны аповяд аб усіх функцыях, якія падае SecuReporter адміністратару бяспекі не атрымаецца – іх дастаткова шмат для аднаго артыкула.
Таму абмяжуемся кароткім апісаннем сэрвісаў, якія бачыць адміністратар і з чым ён працуе ўвесь час. Такім чынам, знаёмцеся з чаго складаецца web-кансоль SecuReporter.
Map (Карта)
У дадзеным раздзеле адлюстроўваецца зарэгістраванае абсталяванне з указаннем горада, імя прылады, IP-адрасы. Выводзіцца інфармацыя аб тым, ці ўключана прылада, і які статут папярэджанняў. На карце Threat Map можна бачыць крыніцу пакетаў, якія выкарыстоўваюцца зламыснікамі, і частата нападаў.
прыборная панэль
Кароткая інфармацыя аб асноўных дзеяннях і сціснуты аналітычны агляд за азначаны перыяд. Можна пазначыць тэрмін ад 7 дзён і аж да 1 гадзіны.
Малюнак 3. Прыклад вонкавага выгляду часткі Dashboard.
Аналізатар
Назва гаворыць сама за сябе. Гэта кансоль аднайменнай прылады, якая дыягнастуе падазроны трафік за абраны перыяд, выяўляе тэндэнцыі з'яўлення пагроз і збірае інфармацыю аб падазроных пакетах. Analyzer здольны адсачыць найболей часта сустракаемы шкоднасны код, а таксама падаць дадатковую інфармацыю датычна праблем бяспекі.
Малюнак 4. Прыклад вонкавага выгляду часткі Analyzer.
Report (Справаздача)
У гэтай частцы карыстачу даступныя наладжвальныя справаздачы з графічным інтэрфейсам. Патрабаваная інфармацыя можа быць сабрана і сфарміравана ў выглядзе зручнага прадстаўлення неадкладна, або па складзеным раскладзе.
Alerts (Папярэджанні)
Тут праводзіцца настройка сістэмы папярэджанняў. Можна наладзіць парогавыя значэнні і розны ўзровень важнасці, што спрашчае працэс выяўлення анамалій і патэнцыйных нападаў.
Setting (Параметры)
Ну, уласна, наладкі і ёсць наладкі.
Дадаткова варта адзначыць, што SecuReporter можа падтрымліваць розныя палітыкі абароны пры апрацоўцы асабістых дадзеных.
Заключэнне
Лакальныя метады аналізу статыстыкі, злучанай з забеспячэннем бяспекі, у прынцыпе, нядрэнна сябе зарэкамендавалі.
Аднак дыяпазон і сур'ёзнасць пагроз павялічваюцца з кожным днём. Той узровень абароны, які раней усіх задавальняў, праз нейкі час становіцца ўжо слабаваты.
Акрамя пералічаных праблем, выкарыстанне лакальных сродкаў патрабуе пэўных намаганняў па падтрыманні працаздольнасці (абслугоўванне абсталявання, рэзервовае капіраванне і гэтак далей). Існуе і праблема выдаленага размяшчэння - не заўсёды атрымліваецца трымаць адміністратара бяспекі ў офісе 24 гадзіны 7 дзён у тыдзень. Таму трэба неяк арганізаваць бяспечны доступ да лакальнай сістэмы звонку і абслугоўваць гэта саматугам.
Ужыванне хмарных сэрвісаў дазваляе сысці ад падобных праблем, засяродзіўшыся менавіта на падтрыманні патрэбнага ўзроўня бяспекі і абароне ад уварванняў, а таксама парушэнняў правіл са боку карыстачоў.
SecuReporter - гэта як раз і ёсць прыклад удалай рэалізацыі такога сэрвісу.
Акцыя
З сённяшняга дня для пакупнікоў міжсеткавых экранаў, якія падтрымліваюць Secureporter дзейнічае сумесная акцыя Zyxel і нашага Залатога Партнёра кампаніі X-Com:
Карысныя спасылкі
[1] .
[2] на сайце на афіцыйным сайце Zyxel.
[3] .
Крыніца: habr.com