U glavama neiskusnih ljudi, posao sigurnosnog administratora izgleda kao uzbudljiv duel između antihakera i zlih hakera koji neprestano upadaju u korporativnu mrežu. A naš junak u realnom vremenu odbija odvažne napade spretnim i brzim unosom komandi i na kraju izlazi kao briljantan pobjednik.
Baš kao kraljevski mušketir s tastaturom umjesto mača i muškete.
Ali u stvarnosti, sve izgleda obično, nepretenciozno, pa čak i, moglo bi se reći, dosadno.
Jedna od glavnih metoda analize je i dalje čitanje dnevnika događaja. Detaljna studija na ovu temu:
- ko je pokušao da uđe odakle odakle, kojem resursu je pokušao pristupiti, kako je dokazao svoja prava na pristup resursu;
- kakvi su propusti, greške i jednostavno sumnjive slučajnosti;
- ko je i kako testirao sistem na snagu, skenirao portove, birao lozinke;
- I tako dalje i tako dalje…
Pa kakva je tu dovraga romansa, ne daj Bože "da ne zaspiš dok voziš."
Kako naši stručnjaci ne bi potpuno izgubili ljubav prema umjetnosti, za njih su izmišljeni alati koji olakšavaju život. To su sve vrste analizatora (parseri dnevnika), sistemi za praćenje sa obaveštavanjem o kritičnim događajima i još mnogo toga.
Međutim, ako uzmete dobar alat i počnete ga ručno zašrafivati na svaki uređaj, na primjer, internetski gateway, to neće biti tako jednostavno, ne tako zgodno, a, između ostalog, morate imati dodatna znanja iz potpuno različitih oblasti. Na primjer, gdje postaviti softver za takvo praćenje? Na fizičkom serveru, virtuelnoj mašini, specijalnom uređaju? U kom obliku treba čuvati podatke? Ako se koristi baza podataka, koja? Kako napraviti sigurnosne kopije i da li ih je potrebno raditi? Kako upravljati? Koji interfejs da koristim? Kako zaštititi sistem? Koju metodu šifriranja koristiti - i još mnogo toga.
Mnogo je jednostavnije kada postoji određeni jedinstveni mehanizam koji na sebe preuzima rješavanje svih navedenih problema, ostavljajući administratoru da radi striktno u okviru svojih specifičnosti.
Prema ustaljenoj tradiciji nazivanja pojmom „oblak“ sve što se ne nalazi na datom hostu, usluga oblaka Zyxel CNM SecuReporter omogućava vam ne samo rješavanje mnogih problema, već pruža i praktične alate
Šta je Zyxel CNM SecuReporter?
Ovo je inteligentna analitička usluga sa funkcijama prikupljanja podataka, statističke analize (korelacije) i izvještavanja za Zyxel opremu ZyWALL linije i njihovu. On pruža mrežnom administratoru centralizirani pregled različitih aktivnosti na mreži.
Na primjer, napadači mogu pokušati provaliti u sigurnosni sistem koristeći mehanizme napada kao što su prikriveno, ciljano и istrajati. SecuReporter otkriva sumnjivo ponašanje, što omogućava administratoru da preduzme potrebne zaštitne mjere konfiguracijom ZyWALL-a.
Naravno, osiguranje sigurnosti je nezamislivo bez stalne analize podataka sa upozorenjima u realnom vremenu. Možete crtati lepe grafikone koliko god želite, ali ako administrator nije svestan šta se dešava... Ne, to se definitivno ne može desiti sa SecuReporterom!
Neka pitanja o korištenju SecuReportera
Analitika
Zapravo, analiza onoga što se dešava je srž izgradnje informacione sigurnosti. Analizom događaja, stručnjak za sigurnost može na vrijeme spriječiti ili zaustaviti napad, kao i dobiti detaljne informacije za rekonstrukciju u cilju prikupljanja dokaza.
Šta nudi „arhitektura oblaka“?
Ova usluga je izgrađena na modelu Softver kao usluga (SaaS), što olakšava skaliranje korištenjem snage udaljenih servera, distribuiranih sistema za pohranu podataka i tako dalje. Korištenje modela oblaka omogućava vam da apstrahujete od hardverskih i softverskih nijansi, posvećujući sve svoje napore kreiranju i poboljšanju usluge zaštite.
Ovo omogućava korisniku da značajno smanji troškove kupovine opreme za skladištenje, analizu i obezbeđivanje pristupa, a nema potrebe da se bavi pitanjima održavanja kao što su rezervne kopije, ažuriranja, prevencija kvarova i tako dalje. Dovoljno je imati uređaj koji podržava SecuReporter i odgovarajuću licencu.
VAŽNO! Sa arhitekturom zasnovanom na oblaku, sigurnosni administratori mogu proaktivno pratiti zdravlje mreže bilo kada i bilo gdje. Time se rješava problem, uključujući godišnji odmor, bolovanje i tako dalje. Pristup opremi, na primjer, krađa laptopa sa kojeg se pristupalo web interfejsu SecuReporter, također neće donijeti ništa, pod uslovom da njegov vlasnik nije prekršio sigurnosna pravila, nije pohranio lozinke lokalno i tako dalje.
Opcija upravljanja oblakom je pogodna i za monokompanije koje se nalaze u istom gradu i za strukture sa filijalama. Takva neovisnost o lokaciji potrebna je u različitim industrijama, na primjer, za pružaoce usluga ili programere softvera čije je poslovanje raspoređeno u različitim gradovima.
Mnogo pričamo o mogućnostima analize, ali šta to znači?
To su različiti analitički alati, na primjer, rezimei učestalosti događaja, liste 100 najvećih (stvarnih i navodnih) žrtava određenog događaja, zapisnici koji ukazuju na specifične mete za napad i tako dalje. Sve što pomaže administratoru da identificira skrivene trendove i identificira sumnjivo ponašanje korisnika ili usluga.
Šta je sa izvještavanjem?
SecuReporter vam omogućava da prilagodite obrazac izvještaja, a zatim dobijete rezultat u PDF formatu. Naravno, ako želite, u izvještaj možete ugraditi svoj logo, naslov izvještaja, reference ili preporuke. Moguće je kreirati izvještaje u trenutku zahtjeva ili po rasporedu, na primjer, jednom dnevno, sedmično ili mjesečno.
Možete konfigurirati izdavanje upozorenja uzimajući u obzir specifičnosti prometa unutar mrežne infrastrukture.
Da li je moguće smanjiti opasnost od insajdera ili jednostavno ljigavaca?
Posebna alatka User Partially Quotient omogućava administratoru da brzo identificira rizične korisnike, bez dodatnog napora i uzimajući u obzir ovisnost između različitih mrežnih dnevnika ili događaja.
Odnosno, vrši se dubinska analiza svih događaja i prometa koji su povezani sa korisnicima koji su se pokazali sumnjivim.
Koje su druge tačke tipične za SecuReporter?
Jednostavno podešavanje za krajnje korisnike (bezbednosne administratore).
Aktiviranje SecuReporter-a u oblaku odvija se kroz jednostavnu proceduru podešavanja. Nakon toga, administratorima se odmah daje pristup svim podacima, alatima za analizu i izvještavanje.
Multi-Tenants na jednoj platformi u oblaku - možete prilagoditi svoju analitiku za svakog klijenta. Opet, kako se vaša baza korisnika povećava, arhitektura oblaka vam omogućava da lako prilagodite svoj kontrolni sistem bez žrtvovanja efikasnosti.
Zakoni o zaštiti podataka
BITAN! Zyxel je vrlo osjetljiv na međunarodne i lokalne zakone i druge propise u vezi sa zaštitom ličnih podataka, uključujući GDPR i OECD principe privatnosti. Podržano Saveznim zakonom „O ličnim podacima“ od 27.07.2006. jula 152. br. XNUMX-FZ.
Kako bi osigurao usklađenost, SecuReporter ima tri ugrađene opcije zaštite privatnosti:
- neanonimni podaci - lični podaci su u potpunosti identifikovani u analizatoru, izveštajima i arhivskim evidencijama koje se mogu preuzeti;
- djelimično anonimni - lični podaci se zamjenjuju njihovim vještačkim identifikatorima u arhivskim evidencijama;
- potpuno anonimni - lični podaci su potpuno anonimni u Analyzeru, Report i arhivskim zapisnicima koji se mogu preuzeti.
Kako da omogućim SecuReporter na svom uređaju?
Pogledajmo primjer ZyWall uređaja (u ovom slučaju imamo ZyWall 1100). Idite na odjeljak postavki (kartica s desne strane sa ikonicom u obliku dva zupčanika). Zatim otvorite odjeljak Cloud CNM i odaberite pododjeljak SecuReporter u njemu.
Da biste dozvolili korištenje usluge, morate aktivirati element Enable SecuReporter. Dodatno, vrijedi koristiti opciju Uključi dnevnik prometa za prikupljanje i analizu prometnih dnevnika.
Slika 1. Omogućavanje SecuReportera.
Drugi korak je omogućavanje prikupljanja statističkih podataka. To se radi u odeljku Monitoring (kartica desno sa ikonicom u obliku monitora).
Zatim idite na odjeljak UTM statistika, pododjeljak App Patrol. Ovdje morate aktivirati opciju Prikupi statistiku.
Slika 2. Omogućavanje prikupljanja statistike.
To je to, možete se povezati na SecuReporter web sučelje i koristiti uslugu u oblaku.
VAŽNO! SecuReporter ima odličnu dokumentaciju u PDF formatu. Možete ga preuzeti sa .
Opis web interfejsa SecuReporter
Ovdje neće biti moguće dati detaljan opis svih funkcija koje SecuReporter pruža administratoru sigurnosti - ima ih dosta za jedan članak.
Stoga ćemo se ograničiti na kratak opis usluga koje administrator vidi i sa čime stalno radi. Dakle, upoznajte se od čega se sastoji SecuReporter web konzola.
Mapa
Ovaj odjeljak prikazuje registriranu opremu, navodeći grad, naziv uređaja i IP adresu. Prikazuje informacije o tome da li je uređaj uključen i koji je status upozorenja. Na mapi prijetnji možete vidjeti izvor paketa koje koriste napadači i učestalost napada.
Komandna tabla
Kratke informacije o glavnim akcijama i sažeti analitički pregled za navedeni period. Možete odrediti period od 7 dana do 1 sata.
Slika 3. Primjer izgleda odjeljka Dashboard.
Analizator
Ime govori za sebe. Ovo je konzola istoimenog alata koji dijagnosticira sumnjivi promet za odabrani period, identifikuje trendove u nastanku prijetnji i prikuplja informacije o sumnjivim paketima. Analyzer može pratiti najčešći zlonamjerni kod, kao i pružiti dodatne informacije u vezi sa sigurnosnim problemima.
Slika 4. Primjer izgleda odjeljka Analyzer.
Izvještaj
U ovom odeljku korisnik ima pristup prilagođenim izveštajima sa grafičkim interfejsom. Potrebne informacije mogu se prikupiti i sastaviti u zgodnu prezentaciju odmah ili po rasporedu.
Alerts
Ovdje možete konfigurirati sistem upozorenja. Mogu se konfigurisati pragovi i različiti nivoi ozbiljnosti, što olakšava identifikaciju anomalija i potencijalnih napada.
Podešavanje
Pa, zapravo, postavke su postavke.
Osim toga, vrijedno je napomenuti da SecuReporter može podržati različite politike zaštite prilikom obrade ličnih podataka.
zaključak
Lokalne metode za analizu sigurnosnih statistika u principu su se dobro pokazale.
Međutim, opseg i ozbiljnost prijetnji raste svakim danom. Nivo zaštite koji je prethodno zadovoljavao sve postaje prilično slab nakon nekog vremena.
Pored navedenih problema, upotreba lokalnih alata zahtijeva određene napore u održavanju funkcionalnosti (održavanje opreme, backup i sl.). Tu je i problem udaljene lokacije – nije uvijek moguće držati administratora sigurnosti u kancelariji 24 sata, 7 dana u nedelji. Stoga morate nekako izvana organizirati siguran pristup lokalnom sistemu i sami ga održavati.
Korištenje usluga u oblaku omogućava izbjegavanje ovakvih problema, fokusirajući se posebno na održavanje potrebnog nivoa sigurnosti i zaštite od upada, kao i kršenja pravila od strane korisnika.
SecuReporter je samo primjer uspješne implementacije ovakvog servisa.
Specials
Od danas počinje zajednička promocija između Zyxela i našeg Gold Partner X-Coma za kupce firewall-a koji podržavaju Secureporter:
korisni linkovi
[1] .
[2] na web stranici na službenoj web stranici Zyxela.
[3] .
izvor: www.habr.com