
В съзнанието на неопитни хора работата на администратора по сигурността изглежда като вълнуващ двубой между анти-хакер и зли хакери, които постоянно нахлуват в корпоративната мрежа. А нашият герой в реално време отблъсква дръзки атаки чрез ловко и бързо въвеждане на команди и в крайна сметка излиза като блестящ победител.
Точно като кралски мускетар с клавиатура вместо меч и мускет.
Но в действителност всичко изглежда обикновено, непретенциозно и дори, може да се каже, скучно.
Един от основните методи за анализ все още е четенето на журнали на събития. Задълбочено проучване по темата:
- кой от къде се е опитал да влезе, до какъв ресурс се е опитал да влезе, как е доказал правата си за достъп до ресурса;
- какви повреди, грешки и просто подозрителни съвпадения имаше;
- кой и как е тествал системата за здравина, сканирани портове, избрани пароли;
- И така нататък…
Е, какво, по дяволите, е тук романтика, не дай си Боже „да не заспите, докато шофирате“.
За да не изгубят напълно любовта на нашите специалисти към изкуството, за тях са измислени инструменти, които да улеснят живота им. Това са всички видове анализатори (парсери на журнали), системи за наблюдение с известяване за критични събития и много други.
Ако обаче вземете добър инструмент и започнете да го завинтвате ръчно към всяко устройство, например интернет шлюз, няма да е толкова просто, не толкова удобно и, наред с други неща, трябва да имате допълнителни знания от напълно различни области. Например, къде да поставите софтуер за такъв мониторинг? На физически сървър, виртуална машина, специално устройство? Под каква форма трябва да се съхраняват данните? Ако се използва база данни, коя? Как се правят архиви и необходимо ли е да се правят? Как да управляваме? Кой интерфейс трябва да използвам? Как да защитим системата? Кой метод на криптиране да използвате - и много повече.
Много по-просто е, когато има определен единен механизъм, който поема върху себе си решаването на всички изброени въпроси, оставяйки администратора да работи стриктно в рамките на своята специфика.
Според установената традиция да се нарича терминът „облак“ всичко, което не се намира на даден хост, облачната услуга Zyxel CNM SecuReporter ви позволява не само да решавате много проблеми, но също така предоставя удобни инструменти
Какво представлява Zyxel CNM SecuReporter?
Това е интелигентна аналитична услуга с функции за събиране на данни, статистически анализ (корелация) и отчитане за оборудване Zyxel от линията ZyWALL и тяхното. Той предоставя на мрежовия администратор централизиран изглед на различни дейности в мрежата.
Например, нападателите могат да се опитат да проникнат в система за сигурност, използвайки механизми за атака като крадлив, насочен и упорит. SecuReporter открива подозрително поведение, което позволява на администратора да предприеме необходимите защитни мерки чрез конфигуриране на ZyWALL.
Разбира се, гарантирането на сигурност е немислимо без постоянен анализ на данните с предупреждения в реално време. Можете да рисувате красиви графики колкото искате, но ако администраторът не е наясно какво се случва... Не, това определено не може да се случи със SecuReporter!
Някои въпроси относно използването на SecuReporter
Анализ
Всъщност анализът на случващото се е в основата на изграждането на информационна сигурност. Анализирайки събитията, специалистът по сигурността може да предотврати или спре навреме атака, както и да получи подробна информация за реконструкция с цел събиране на доказателства.
Какво предоставя „облачната архитектура“?
Тази услуга е изградена върху модела „Софтуер като услуга“ (SaaS), което улеснява мащабирането с помощта на мощността на отдалечени сървъри, разпределени системи за съхранение на данни и т.н. Използването на облачния модел ви позволява да се абстрахирате от хардуерните и софтуерните нюанси, като посветите всичките си усилия на създаването и подобряването на услугата за защита.
Това позволява на потребителя да намали значително разходите за закупуване на оборудване за съхранение, анализ и предоставяне на достъп и няма нужда да се занимава с проблеми с поддръжката като архивиране, актуализации, предотвратяване на повреди и т.н. Достатъчно е да имате устройство, което поддържа SecuReporter и съответния лиценз.
ВАЖНО! С облачна архитектура администраторите по сигурността могат проактивно да наблюдават изправността на мрежата по всяко време и навсякъде. Това решава проблема, включително с отпуски, болнични и т.н. Достъпът до оборудване, например кражба на лаптоп, от който е осъществен достъп до уеб интерфейса на SecuReporter, също няма да даде нищо, при условие че собственикът му не е нарушил правилата за сигурност, не е съхранявал пароли локално и т.н.
Опцията за управление на облак е много подходяща както за монокомпании, разположени в един град, така и за структури с клонове. Такава независимост на местоположението е необходима в различни индустрии, например за доставчици на услуги или разработчици на софтуер, чийто бизнес е разпределен в различни градове.
Говорим много за възможностите за анализ, но какво означава това?
Това са различни инструменти за анализ, например обобщения на честотата на събитията, списъци с Топ 100 основни (реални и предполагаеми) жертви на определено събитие, регистрационни файлове, показващи конкретни цели за атака и т.н. Всичко, което помага на администратора да идентифицира скрити тенденции и да идентифицира подозрително поведение на потребители или услуги.
Какво ще кажете за докладването?
SecuReporter ви позволява да персонализирате формуляра за отчет и след това да получите резултата в PDF формат. Разбира се, ако желаете, можете да вградите вашето лого, заглавие на доклада, препратки или препоръки в доклада. Възможно е да се създават отчети по време на заявка или по график, например веднъж на ден, седмица или месец.
Можете да конфигурирате издаването на предупреждения, като вземете предвид спецификата на трафика в мрежовата инфраструктура.
Възможно ли е да се намали опасността от вътрешни лица или просто мърлячи?
Специалният инструмент User Partially Quotient позволява на администратора бързо да идентифицира рискови потребители, без допълнителни усилия и като вземе предвид зависимостта между различни мрежови регистрационни файлове или събития.
Тоест, извършва се задълбочен анализ на всички събития и трафик, които са свързани с потребители, които са се показали като подозрителни.
Какви други точки са характерни за SecuReporter?
Лесна настройка за крайни потребители (администратори по сигурността).
Активирането на SecuReporter в облака става чрез проста процедура за настройка. След това администраторите незабавно получават достъп до всички данни, инструменти за анализ и отчети.
Мулти-наематели на една облачна платформа - можете да персонализирате своите анализи за всеки клиент. Отново, с нарастването на вашата клиентска база, облачната архитектура ви позволява лесно да адаптирате вашата система за контрол, без да жертвате ефективността.
Закони за защита на данните
ВАЖНО! Zyxel е много чувствителен към международните и местните закони и други разпоредби относно защитата на личните данни, включително GDPR и Принципите за поверителност на OECD. Поддържа се от Федералния закон „За личните данни“ от 27.07.2006 юли 152 г. № XNUMX-FZ.
За да гарантира съответствие, SecuReporter има три вградени опции за защита на поверителността:
- неанонимни данни - личните данни са напълно идентифицирани в Анализатор, Доклад и архивни регистрационни файлове за изтегляне;
- частично анонимни – личните данни се заменят с техните изкуствени идентификатори в Архивните дневници;
- напълно анонимни - личните данни са напълно анонимизирани в анализатор, отчет и архивни регистрационни файлове за изтегляне.
Как да активирам SecuReporter на моето устройство?
Нека да разгледаме примера на ZyWall устройство (в този случай имаме ZyWall 1100). Отидете в секцията с настройки (раздел вдясно с икона под формата на две зъбни колела). След това отворете раздела Cloud CNM и изберете подраздела SecuReporter в него.
За да разрешите използването на услугата, трябва да активирате елемента Enable SecuReporter. Освен това си струва да използвате опцията Включване на дневник на трафика, за да събирате и анализирате дневници на трафика.

Фигура 1. Активиране на SecuReporter.
Втората стъпка е да разрешите събирането на статистически данни. Това става в секцията Мониторинг (таб вдясно с икона под формата на монитор).
След това отидете в раздела UTM Statistics, подраздел App Patrol. Тук трябва да активирате опцията Събиране на статистика.

Фигура 2. Активиране на събирането на статистически данни.
Това е всичко, можете да се свържете с уеб интерфейса на SecuReporter и да използвате облачната услуга.
ВАЖНО! SecuReporter има отлична документация в PDF формат. Можете да го изтеглите от .
Описание на уеб интерфейса на SecuReporter
Тук няма да е възможно да дадем подробно описание на всички функции, които SecuReporter предоставя на администратора по сигурността - има доста от тях за една статия.
Затова ще се ограничим до кратко описание на услугите, които администраторът вижда и с какво работи постоянно. И така, запознайте се от какво се състои уеб конзолата на SecuReporter.
Карта
Този раздел показва регистрираното оборудване, като посочва града, името на устройството и IP адреса. Показва информация дали устройството е включено и какво е състоянието на предупреждението. На картата на заплахите можете да видите източника на пакетите, използвани от нападателите, и честотата на атаките.
Табло
Кратка информация за основните дейности и кратък аналитичен преглед за посочения период. Можете да посочите период от 7 дни до 1 час.

Фигура 3. Пример за изглед на секцията Табло.
анализатор
Името говори само за себе си. Това е конзолата на едноименния инструмент, който диагностицира подозрителен трафик за избран период, идентифицира тенденции в появата на заплахи и събира информация за подозрителни пакети. Анализаторът може да проследи най-често срещания злонамерен код, както и да предостави допълнителна информация относно проблеми със сигурността.

Фигура 4. Пример за изглед на секцията Анализатор.
Докладвай
В този раздел потребителят има достъп до персонализирани отчети с графичен интерфейс. Необходимата информация може да бъде събрана и компилирана в удобна презентация веднага или по график.
Сигнали
Това е мястото, където конфигурирате системата за предупреждение. Могат да се конфигурират прагове и различни нива на сериозност, което улеснява идентифицирането на аномалии и потенциални атаки.
Настройка
Е, всъщност настройките са си настройки.
Освен това си струва да се отбележи, че SecuReporter може да поддържа различни политики за защита при обработка на лични данни.
Заключение
Местните методи за анализиране на статистически данни, свързани със сигурността, по принцип са се доказали доста добре.
Обхватът и сериозността на заплахите обаче се увеличават всеки ден. Нивото на защита, което преди е удовлетворявало всички, става доста слабо след известно време.
В допълнение към изброените проблеми, използването на локални инструменти изисква определени усилия за поддържане на функционалността (поддръжка на оборудването, архивиране и т.н.). Съществува и проблемът с отдалеченото местоположение - не винаги е възможно администраторът по сигурността да остане в офиса 24 часа, 7 дни в седмицата. Следователно трябва по някакъв начин да организирате защитен достъп до локалната система отвън и да я поддържате сами.
Използването на облачни услуги ви позволява да избягвате подобни проблеми, като се фокусирате специално върху поддържането на необходимото ниво на сигурност и защита от прониквания, както и нарушения на правилата от потребителите.
SecuReporter е само пример за успешно внедряване на такава услуга.
Действие
От днес има съвместна промоция между Zyxel и нашия златен партньор X-Com за купувачи на защитни стени, които поддържат Secureporter:
Полезни връзки
[1] .
[2] на уебсайта на официалния уебсайт на Zyxel.
[3] .
Източник: www.habr.com
