En la ment de persones sense experiència, la feina d'un administrador de seguretat sembla un duel emocionant entre un anti-hacker i malvats pirates informàtics que envaeixen constantment la xarxa corporativa. I el nostre heroi, en temps real, repel·leix els atacs agosarats introduint ordres amb habilitat i rapidesa i, finalment, emergeix com un brillant guanyador.
Igual que un mosqueter reial amb un teclat en lloc d'una espasa i un mosquetó.
Però, en realitat, tot sembla normal, sense pretensions i fins i tot, es podria dir, avorrit.
Un dels principals mètodes d'anàlisi segueix sent llegir els registres d'esdeveniments. Estudi exhaustiu sobre el tema:
- qui ha intentat entrar d'on d'on, a quin recurs han intentat accedir, com han demostrat els seus drets per accedir al recurs;
- quins errors, errors i casualitats simplement sospitoses hi va haver;
- qui i com va provar la força del sistema, els ports escanejats, les contrasenyes seleccionades;
- I així successivament i així successivament...
Bé, què dimonis és el romanç aquí, Déu n'hi do, "no t'adormis mentre condueixes".
Perquè els nostres especialistes no perdin completament l'amor per l'art, s'inventen eines perquè els facin la vida més fàcil. Es tracta de tot tipus d'analitzadors (analitzadors de registre), sistemes de monitorització amb notificació d'esdeveniments crítics i molt més.
Tanmateix, si agafeu una bona eina i comenceu a cargolar-la manualment a cada dispositiu, per exemple, una passarel·la d'Internet, no serà tan senzill, ni tan còmode i, entre altres coses, haureu de tenir coneixements addicionals d'una manera completament diferent. àrees. Per exemple, on col·locar el programari per a aquest seguiment? En un servidor físic, màquina virtual, dispositiu especial? En quina forma s'han d'emmagatzemar les dades? Si s'utilitza una base de dades, quina? Com es fan les còpies de seguretat i és necessari fer-les? Com gestionar? Quina interfície he d'utilitzar? Com protegir el sistema? Quin mètode de xifratge utilitzar i molt més.
És molt més senzill quan hi ha un determinat mecanisme unificat que s'encarrega de la solució de tots els problemes enumerats, deixant que l'administrador treballi estrictament en el marc de les seves especificitats.
D'acord amb la tradició establerta d'anomenar el terme "núvol" tot allò que no es troba en un host determinat, el servei al núvol Zyxel CNM SecuReporter us permet no només resoldre molts problemes, sinó que també ofereix eines convenients.
Què és Zyxel CNM SecuReporter?
Es tracta d'un servei d'anàlisi intel·ligent amb funcions de recollida de dades, anàlisi estadística (correlació) i reporting per als equips Zyxel de la línia ZyWALL i els seus. Proporciona a l'administrador de la xarxa una visió centralitzada de diverses activitats a la xarxa.
Per exemple, els atacants poden intentar entrar en un sistema de seguretat mitjançant mecanismes d'atac com ara sigilós, dirigit и persistir. SecuReporter detecta un comportament sospitós, cosa que permet a l'administrador prendre les mesures de protecció necessàries configurant ZyWALL.
Per descomptat, garantir la seguretat és impensable sense una anàlisi constant de dades amb avisos en temps real. Podeu dibuixar gràfics bonics tant com vulgueu, però si l'administrador no és conscient del que està passant... No, això no pot passar amb SecuReporter!
Algunes preguntes sobre l'ús de SecuReporter
Analítica
De fet, l'anàlisi del que està passant és el nucli de la construcció de seguretat de la informació. Mitjançant l'anàlisi dels esdeveniments, un especialista en seguretat pot prevenir o aturar un atac a temps, així com obtenir informació detallada per a la reconstrucció per tal de recollir proves.
Què aporta "l'arquitectura al núvol"?
Aquest servei es basa en el model de programari com a servei (SaaS), que facilita l'escala utilitzant la potència dels servidors remots, els sistemes d'emmagatzematge de dades distribuïts, etc. L'ús del model de núvol permet abstraure's dels matisos de maquinari i programari, dedicant tots els teus esforços a crear i millorar el servei de protecció.
Això permet a l'usuari reduir significativament el cost d'adquisició d'equips per a l'emmagatzematge, anàlisi i subministrament d'accés, i no cal tractar problemes de manteniment com ara còpies de seguretat, actualitzacions, prevenció d'errors, etc. N'hi ha prou amb tenir un dispositiu compatible amb SecuReporter i la llicència corresponent.
IMPORTANT! Amb una arquitectura basada en núvol, els administradors de seguretat poden controlar de manera proactiva la salut de la xarxa en qualsevol moment i en qualsevol lloc. Això resol el problema, fins i tot amb vacances, baixa per malaltia, etc. L'accés a l'equip, per exemple, el robatori d'un ordinador portàtil des del qual s'ha accedit a la interfície web de SecuReporter, tampoc donarà res, sempre que el seu propietari no infringeixi les normes de seguretat, no emmagatzemés contrasenyes localment, etc.
L'opció de gestió del núvol és molt adequada tant per a monoempreses situades a la mateixa ciutat com per a estructures amb sucursals. Aquesta independència d'ubicació és necessària en diverses indústries, per exemple, per a proveïdors de serveis o desenvolupadors de programari el negoci dels quals es distribueix entre diferents ciutats.
Parlem molt de les possibilitats d'anàlisi, però què vol dir això?
Es tracta de diverses eines d'anàlisi, per exemple, resums de la freqüència dels esdeveniments, llistes de les 100 principals víctimes (reals i suposades) d'un esdeveniment determinat, registres que indiquen objectius específics per a l'atac, etc. Qualsevol cosa que ajudi l'administrador a identificar tendències ocultes i identificar comportaments sospitosos dels usuaris o serveis.
Què passa amb els informes?
SecuReporter us permet personalitzar el formulari d'informe i després rebre el resultat en format PDF. Per descomptat, si ho desitja, podeu inserir el vostre logotip, títol de l'informe, referències o recomanacions a l'informe. És possible crear informes en el moment de la sol·licitud o en un calendari, per exemple, un cop al dia, setmana o mes.
Podeu configurar l'emissió d'avisos tenint en compte les especificitats del trànsit dins de la infraestructura de xarxa.
És possible reduir el perill dels insiders o simplement de les bagues?
L'eina especial User Partially Quotient permet a l'administrador identificar ràpidament els usuaris de risc, sense esforç addicional i tenint en compte la dependència entre diferents registres o esdeveniments de la xarxa.
És a dir, es realitza una anàlisi en profunditat de tots els esdeveniments i trànsit que s'associen a usuaris que s'han mostrat sospitosos.
Quins altres punts són típics de SecuReporter?
Fàcil configuració per als usuaris finals (administradors de seguretat).
L'activació de SecuReporter al núvol es fa mitjançant un procediment de configuració senzill. Després d'això, els administradors tenen accés immediata a totes les dades, eines d'anàlisi i informes.
Multi-inquilins en una única plataforma de núvol: podeu personalitzar les vostres analítiques per a cada client. De nou, a mesura que la vostra base de clients augmenta, l'arquitectura del núvol us permet adaptar fàcilment el vostre sistema de control sense sacrificar l'eficiència.
Lleis de protecció de dades
IMPORTANT! Zyxel és molt sensible a les lleis internacionals i locals i altres regulacions sobre la protecció de dades personals, inclosos el GDPR i els principis de privadesa de l'OCDE. Amb el suport de la Llei Federal "sobre dades personals" de 27.07.2006 de juliol de 152 núm. XNUMX-FZ.
Per garantir el compliment, SecuReporter té tres opcions de protecció de privadesa integrades:
- dades no anònimes: les dades personals s'identifiquen completament a l'analitzador, als informes i als registres d'arxiu que es poden descarregar;
- parcialment anònim: les dades personals es substitueixen pels seus identificadors artificials als registres d'arxiu;
- completament anònim: les dades personals estan completament anònimes a l'analitzador, als informes i als registres d'arxiu que es poden descarregar.
Com habilito SecuReporter al meu dispositiu?
Vegem l'exemple d'un dispositiu ZyWall (en aquest cas tenim un ZyWall 1100). Aneu a la secció de configuració (pestanya a la dreta amb una icona en forma de dues engranatges). A continuació, obriu la secció Cloud CNM i seleccioneu-hi la subsecció SecuReporter.
Per permetre l'ús del servei, heu d'activar l'element Habilita SecuReporter. A més, val la pena utilitzar l'opció Inclou registre de trànsit per recollir i analitzar els registres de trànsit.
Figura 1. Habilitació de SecuReporter.
El segon pas és permetre la recollida d'estadístiques. Això es fa a la secció Monitorització (pestanya a la dreta amb una icona en forma de monitor).
A continuació, aneu a la secció Estadístiques UTM, subsecció App Patrol. Aquí heu d'activar l'opció Recollida d'estadístiques.
Figura 2. Habilitació de la recollida d'estadístiques.
Això és tot, podeu connectar-vos a la interfície web de SecuReporter i utilitzar el servei al núvol.
IMPORTANT! SecuReporter té una excel·lent documentació en format PDF. Podeu descarregar-lo des de .
Descripció de la interfície web de SecuReporter
No serà possible donar aquí una descripció detallada de totes les funcions que SecuReporter ofereix a un administrador de seguretat: n'hi ha moltes per a un article.
Per tant, ens limitarem a fer una breu descripció dels serveis que veu l'administrador i amb què treballa constantment. Per tant, coneixeu en què consisteix la consola web SecuReporter.
Mapa
Aquesta secció mostra l'equip registrat, indicant la ciutat, el nom del dispositiu i l'adreça IP. Mostra informació sobre si el dispositiu està encès i quin és l'estat d'avís. Al mapa d'amenaces podeu veure l'origen dels paquets utilitzats pels atacants i la freqüència dels atacs.
Resum
Informació breu sobre les accions principals i una visió general analítica concisa per al període especificat. Podeu especificar un període de 7 dies a 1 hora.
Figura 3. Exemple de l'aparició de la secció Dashboard.
Analitzador
El nom parla per si mateix. Aquesta és la consola de l'eina del mateix nom, que diagnostica el trànsit sospitós durant un període seleccionat, identifica tendències en l'aparició d'amenaces i recopila informació sobre paquets sospitosos. Analyzer és capaç de fer un seguiment del codi maliciós més comú, així com de proporcionar informació addicional sobre problemes de seguretat.
Figura 4. Exemple de l'aparició de la secció Analitzador.
Informeu
En aquesta secció, l'usuari té accés a informes personalitzats amb una interfície gràfica. La informació requerida es pot recopilar i compilar en una presentació convenient immediatament o de manera programada.
Alertes
Aquí és on es configura el sistema d'avís. Es poden configurar llindars i diferents nivells de gravetat, facilitant la identificació d'anomalies i atacs potencials.
Configuració
Bé, en realitat, la configuració és la configuració.
A més, val la pena assenyalar que SecuReporter pot donar suport a diferents polítiques de protecció en el tractament de dades personals.
Conclusió
Els mètodes locals per analitzar les estadístiques relacionades amb la seguretat han demostrat, en principi, força bé.
Tanmateix, l'abast i la gravetat de les amenaces augmenten cada dia. El nivell de protecció que abans satisfia tothom es torna més aviat feble després d'un temps.
A més dels problemes enumerats, l'ús d'eines locals requereix certs esforços per mantenir la funcionalitat (manteniment d'equips, còpia de seguretat, etc.). També hi ha el problema de la ubicació remota: no sempre és possible mantenir l'administrador de seguretat a l'oficina les 24 hores, els 7 dies de la setmana. Per tant, cal organitzar d'alguna manera l'accés segur al sistema local des de l'exterior i mantenir-lo vosaltres mateixos.
L'ús de serveis al núvol us permet evitar aquests problemes, centrant-vos específicament en mantenir el nivell de seguretat i protecció necessaris contra intrusions, així com les infraccions de les normes per part dels usuaris.
SecuReporter és només un exemple d'una implementació reeixida d'aquest servei.
Acció
A partir d'avui, hi ha una promoció conjunta entre Zyxel i el nostre Gold Partner X-Com per als compradors de tallafocs compatibles amb Secureporter:
links útils
[1] .
[2] al lloc web del lloc web oficial de Zyxel.
[3] .
Font: www.habr.com