In a mente di e persone inesperte, u travagliu di un amministratore di sicurità s'assumiglia à un duellu eccitante trà un anti-pirate è i pirate pirate chì invadenu constantemente a reta corporativa. È u nostru eroe, in tempu reale, respinge l'attacchi audaci inserendu cumandamenti abilmente è rapidamente è in fine esce cum'è un vincitore brillanti.
Cum'è un moscheteer reale cù un teclatu invece di una spada è un moschettu.
Ma in rialità, tuttu pare ordinariu, senza pretensione, è ancu, si pò dì, noioso.
Unu di i metudi principali di analisi hè sempre di leghje i logs di l'avvenimenti. Studiu approfonditu nantu à u sughjettu:
- quale hà pruvatu à entre induve da induve, quale risorsa anu pruvatu à accede, cumu pruvucà i so diritti per accede à a risorsa;
- chì fallimenti, errori è simpliciamente coincidenze sospette ci eranu;
- quale è cumu hà pruvatu u sistema per a forza, i porti scannati, i password selezziunati;
- E cetara è cetara…
Ebbè, ciò chì diavule hè u romance quì, Diu ti pruibisce "ùn vi dorme micca mentre conduce".
Per chì i nostri specialisti ùn perde micca cumplettamente u so amore per l'arti, l'arnesi sò inventati per elli per fà a vita più faciule. Quessi sò tutti i tipi di analizzatori (parsers di log), sistemi di monitoraghju cù notificazione di avvenimenti critichi, è assai di più.
Tuttavia, s'è vo pigliate un bonu strumentu è cuminciate à sbuccà manualmente à ogni dispusitivu, per esempiu, una porta di Internet, ùn serà micca cusì simplice, micca cusì cunvene, è, trà l'altri cose, avete bisognu di avè cunniscenze supplementari da una manera completamente diversa. zoni. Per esempiu, induve mette u software per un tali monitoraghju? Nantu à un servitore fisicu, macchina virtuale, dispusitivu speciale? In quale forma deve esse guardatu i dati? Se una basa di dati hè utilizata, quale? Cumu fà una copia di salvezza è hè necessariu di eseguisce? Cumu gestisce? Qualessu interfaccia deve aduprà? Cumu prutegge u sistema? Chì metudu di criptografia aduprà - è assai di più.
Hè assai più simplice quandu ci hè un certu mecanismu unificatu chì piglia nantu à ellu stessu a suluzione di tutti i prublemi elencati, lascendu l'amministratore per travaglià strettu in u quadru di i so specifichi.
Sicondu a tradizione stabilita di chjamà u terminu "nuvola" tuttu ciò chì ùn hè micca situatu nantu à un òspite datu, u serviziu di nuvola Zyxel CNM SecuReporter permette micca solu di risolve parechji prublemi, ma ancu furnisce strumenti convenienti.
Cosa hè Zyxel CNM SecuReporter?
Questu hè un serviziu analiticu intelligente cù funzioni di cullizzioni di dati, analisi statistiche (correlazione) è rapportu per l'equipaggiu Zyxel di a linea ZyWALL è i soi. Fornisce à l'amministratore di a rete una vista centralizzata di diverse attività in a reta.
Per esempiu, l'attaccanti puderanu pruvà à penetrà in un sistema di sicurità usendu miccanismi di attaccu cum'è furtivo, miratu и s'intestanu. SecuReporter detecta un cumpurtamentu suspettu, chì permette à l'amministratore di piglià e misure protettive necessarie cunfigurà ZyWALL.
Di sicuru, assicurà a sicurità hè impensabile senza l'analisi di dati constante cù avvisi in tempu reale. Pudete disegnà belli grafici quant'è vo vulete, ma s'ellu l'amministratore ùn hè micca cuscente di ciò chì succede... Innò, questu definitu ùn pò micca succede cù SecuReporter!
Alcune dumande nantu à l'usu di SecuReporter
Analytics
In realtà, l'analisi di ciò chì succede hè u core di a custruzione di a sicurità di l'infurmazioni. Analizendu l'avvenimenti, un specialista in securità pò prevene o piantà un attaccu in u tempu, è ancu ottene infurmazioni detallate per a ricustruzzione per raccoglie evidenza.
Chì furnisce "architettura nuvola"?
Stu serviziu hè custruitu nantu à u mudellu Software as a Service (SaaS), chì facilita a scala cù u putere di i servitori remoti, i sistemi di almacenamiento di dati distribuiti, etc. L'usu di u mudellu di nuvola permette di astrazione da sfumature di hardware è software, dedicà tutti i vostri sforzi per creà è migliurà u serviziu di prutezzione.
Questu permette à l'utilizatori di riduce significativamente u costu di l'acquistu di l'equipaggiu per u almacenamentu, l'analisi è l'accessu, è ùn ci hè bisognu di trattà cun prublemi di mantenimentu cum'è backups, aghjurnamenti, prevenzione di fallimentu, etc. Hè abbastanza à avè un dispusitivu chì sustene SecuReporter è a licenza apprupriata.
IMPORTANTE! Cù una architettura basata in nuvola, l'amministratori di sicurezza ponu monitorà in modu proattivu a salute di a rete in ogni momentu è in ogni locu. Questu risolve u prublema, cumpresu cù vacanze, sick leave, etc. L'accessu à l'equipaggiu, per esempiu, u furtu di un laptop da quale l'interfaccia web di SecuReporter hè stata accessata, ùn hà micca cedutu nunda, sempre chì u so pruprietariu ùn hà micca violatu e regule di sicurità, ùn hà micca guardatu password in u locu, etc.
L'opzione di gestione di nuvola hè adattata per e duie mono-imprese situate in a listessa cità è strutture cù rami. Una tale indipendenza di u locu hè necessariu in una varietà di industrii, per esempiu, per i fornitori di servizii o sviluppatori di software chì a so attività hè distribuita in diverse cità.
Parlemu assai di e pussibilità di analisi, ma chì significa questu?
Quessi sò diversi strumenti analitici, per esempiu, riassuntu di a freccia di l'avvenimenti, listi di i Top 100 principali (reali è presunti) vittimi di un certu avvenimentu, logs chì indicanu miri specifichi per l'attaccu, etc. Tuttu ciò chì aiuta l'amministratore à identificà i tendenzi nascosti è identificà u cumpurtamentu suspettu di l'utilizatori o servizii.
E rappurtazioni ?
SecuReporter permette di persunalizà a forma di rapportu è dopu riceve u risultatu in formatu PDF. Di sicuru, se vulete, pudete incrustà u vostru logò, u titulu di rapportu, referenze o raccomandazioni in u rapportu. Hè pussibule di creà rapporti à u mumentu di a dumanda o nantu à un schedariu, per esempiu, una volta à ghjornu, settimana o mese.
Pudete cunfigurà l'emissione di avvisi tenendu in contu e specificità di u trafficu in l'infrastruttura di a rete.
Hè pussibule di riduce u periculu da insiders o solu slobs?
L'uttellu speciale User Quotient Parzialmente permette à l'amministratore di identificà rapidamente l'utilizatori risicatu, senza sforzu supplementu è tenendu in contu a dipendenza trà e diverse logs di rete o avvenimenti.
Vale à dì, una analisi approfondita di tutti l'avvenimenti è u trafficu chì sò assuciati cù l'utilizatori chì anu dimustratu per esse suspetti hè realizatu.
Chì altri punti sò tipici per SecuReporter?
Configurazione faciule per l'utilizatori finali (amministratori di sicurità).
L'attivazione di SecuReporter in u nuvulu si faci cù una prucedura simplice di installazione. Dopu questu, l'amministratori sò immediatamente datu l'accessu à tutti i dati, analisi è strumenti di rapportu.
Multi-inquilini nantu à una sola piattaforma cloud - pudete persunalizà a vostra analisi per ogni cliente. In novu, cum'è a vostra basa di clienti aumenta, l'architettura nuvola vi permette di adattà facilmente u vostru sistema di cuntrollu senza sacrificà l'efficienza.
Leggi di prutezzione di dati
IMPORTANTE ! Zyxel hè assai sensibile à e lege internaziunali è lucali è altri regulamenti in quantu à a prutezzione di e dati persunali, cumpresi u GDPR è i Principii di privacy di l'OCDE. Sustinutu da a Legge Federale "In Dati Personali" di u 27.07.2006 di lugliu di u 152 N ° XNUMX-FZ.
Per assicurà a conformità, SecuReporter hà trè opzioni di prutezzione di privacy integrate:
- dati non anonimi - i dati persunali sò completamente identificati in Analyzer, Report and Downloadable Archive Logs;
- parzialmente anonimu - i dati persunali sò rimpiazzati cù i so identificatori artificiali in Archive Logs;
- cumplettamente anonimu - i dati persunali sò completamente anonimi in l'Analyzer, Report è i registri d'archivi scaricabili.
Cumu attivà SecuReporter nant'à u mo dispusitivu?
Fighjemu l'esempiu di un dispositivu ZyWall (in questu casu avemu un ZyWall 1100). Andà à a sezione di paràmetri (tabulazione à a diritta cù una icona in forma di dui ingranaggi). Dopu, apre a sezione Cloud CNM è selezziunate a subsezzione SecuReporter in questu.
Per permette l'usu di u serviziu, deve attivà l'elementu Enable SecuReporter. Inoltre, vale a pena aduprà l'opzione Include Traffic Log per cullà è analizà i logs di trafficu.
Figura 1. Abilitazione di SecuReporter.
U sicondu passu hè di permette a cullizzioni di statistiche. Questu hè fattu in a sezione Monitoring (tabulazione à a diritta cù una icona in forma di monitor).
In seguitu, andate à a sezione Statistiche UTM, sottosezzione App Patrol. Quì avete bisognu di attivà l'opzione Collect Statistics.
Figura 2. Abilitazione di a cullezzione di statistiche.
Hè questu, pudete cunnette à l'interfaccia web SecuReporter è aduprà u serviziu di nuvola.
IMPORTANTE! SecuReporter hà una documentazione eccellente in formatu PDF. Pudete scaricà lu da .
Descrizzione di l'interfaccia web SecuReporter
Ùn serà micca pussibule di dà quì una descrizzione dettagliata di tutte e funzioni chì SecuReporter furnisce à un amministratore di sicurità - ci sò assai di elli per un articulu.
Dunque, ci limiteremu à una breve descrizzione di i servizii chì l'amministratore vede è ciò chì travaglia in constantemente. Allora, cunnosce ciò chì a cunsola web SecuReporter hè custituita.
Mappa
Questa sezione mostra l'equipaggiu registratu, indicà a cità, u nome di u dispositivu è l'indirizzu IP. Mostra infurmazione nantu à se u dispusitivu hè attivatu è quale hè u statu di avvisu. Nantu à a Mappa di Minaccia pudete vede a fonte di i pacchetti utilizati da l'attaccanti è a freccia di l'attacchi.
Escrivania
Breve infurmazione nantu à l'azzioni principali è una panoramica analitica concisa per u periodu specificatu. Pudete specificà un periodu da 7 ghjorni à 1 ora.
Figura 3. Esempiu di l'apparizione di a sezione Dashboard.
Analizzatore
U nomu parla per ellu stessu. Questa hè a cunsola di l'uttellu di u stessu nome, chì diagnostica u trafficu suspettu per un periudu selezziunatu, identifica tendenzi in l'emergenza di minacce è raccoglie infurmazioni nantu à i pacchetti suspetti. Analyzer hè capaci di seguità u codice maliziusu più cumuni, è ancu furnisce infurmazioni supplementari riguardanti prublemi di sicurità.
Figura 4. Esempiu di l'apparizione di a rùbbrica Analyzer.
Rapportu
In questa sezione, l'utilizatore hà accessu à rapporti persunalizati cù una interfaccia grafica. L'infurmazioni necessarii ponu esse raccolti è cumpilati in una presentazione cunvene immediatamente o nantu à una basa programata.
Alerts
Questu hè induve cunfigurate u sistema di avvisu. I soglia è i diversi livelli di gravità ponu esse cunfigurati, facendu più faciule per identificà anomalie è attacchi potenziali.
Paràmetru
Ebbè, in realtà, i paràmetri sò paràmetri.
Inoltre, vale a pena nutà chì SecuReporter pò sustene diverse pulitiche di prutezzione durante u processu di dati persunali.
cunchiusioni
I metudi lucali per analizà e statistiche relative à a sicurità anu, in principiu, pruvucatu abbastanza bè.
Tuttavia, a gamma è a gravità di e minacce aumentanu ogni ghjornu. U livellu di prutezzione chì prima satisfava tutti diventa piuttostu debule dopu qualchì tempu.
In più di i prublemi elencati, l'usu di l'arnesi lucali richiede certi sforzi per mantene a funziunalità (mantenimentu di l'equipaggiu, salvezza, etc.). Ci hè ancu u prublema di locu remota - ùn hè micca sempre pussibule di mantene l'amministratore di sicurità in l'uffiziu 24 ore, 7 ghjorni à settimana. Dunque, avete bisognu à urganizà un accessu sicuru à u sistema lucale da l'esternu è mantene ellu stessu.
L'usu di i servizii di nuvola permette di evità tali prublemi, cuncintratu specificamente à mantene u livellu necessariu di sicurità è prutezzione da intrusioni, è ancu violazioni di e regule da l'utilizatori.
SecuReporter hè solu un esempiu di implementazione successu di tali serviziu.
Stock
Da oghje, ci hè una prumuzione cumuna trà Zyxel è u nostru Gold Partner X-Com per i cumpratori di firewall chì supportanu Secureporter:
E ligami utili
[1] .
[2] nant'à u situ web ufficiale di Zyxel.
[3] .
Source: www.habr.com