V myslích nezkušených lidí vypadá práce bezpečnostního administrátora jako vzrušující souboj mezi anti-hackerem a zlými hackery, kteří neustále napadají podnikovou síť. A náš hrdina v reálném čase odpuzuje odvážné útoky obratným a rychlým zadáváním příkazů a nakonec vyjde jako skvělý vítěz.
Stejně jako královský mušketýr s klávesnicí místo meče a mušketou.
Ve skutečnosti ale vše vypadá obyčejně, neokázale a dokonce, dalo by se říci, nudně.
Jednou z hlavních metod analýzy je stále čtení protokolů událostí. Důkladná studie na toto téma:
- kdo se pokusil zadat odkud odkud, k jakému zdroji se pokusili získat přístup, jak prokázali svá práva k přístupu ke zdroji;
- jaké selhání, chyby a prostě podezřelé náhody tam byly;
- kdo a jak testoval systém na sílu, skenované porty, vybraná hesla;
- A tak dále a tak dále…
No, co je to sakra za romantiku, nedej bože „za jízdy neusneš“.
Aby naši specialisté úplně neztratili lásku k umění, jsou pro ně vynalezeny nástroje, které jim usnadní život. Jedná se o všemožné analyzátory (log parsery), monitorovací systémy s upozorněním na kritické události a mnoho dalšího.
Pokud však vezmete dobrý nástroj a začnete jej ručně šroubovat ke každému zařízení, například internetové bráně, nebude to tak jednoduché, ne tak pohodlné a mimo jiné musíte mít další znalosti z úplně jiných oblasti. Kam například umístit software pro takový monitoring? Na fyzickém serveru, virtuálním stroji, speciálním zařízení? V jaké formě by měla být data uložena? Pokud se používá databáze, která? Jak provádět zálohy a je nutné je provádět? jak řídit? Které rozhraní bych měl použít? Jak chránit systém? Jakou metodu šifrování použít – a mnohem více.
Mnohem jednodušší je, když existuje určitý jednotný mechanismus, který na sebe bere řešení všech uvedených problémů a nechává administrátora pracovat striktně v rámci svých specifik.
Cloudová služba Zyxel CNM SecuReporter umožňuje podle zavedené tradice nazývat termínem „cloud“ vše, co se nenachází na daném hostiteli, nejen vyřešit mnoho problémů, ale poskytuje také pohodlné nástroje.
Co je Zyxel CNM SecuReporter?
Jedná se o inteligentní analytickou službu s funkcemi sběru dat, statistické analýzy (korelace) a reportingu pro zařízení Zyxel řady ZyWALL a jejich. Poskytuje správci sítě centralizovaný pohled na různé aktivity v síti.
Útočníci se mohou například pokusit proniknout do bezpečnostního systému pomocí útočných mechanismů, jako je např tajný, cílený и vytrvalý. SecuReporter detekuje podezřelé chování, což umožňuje správci přijmout nezbytná ochranná opatření pomocí konfigurace ZyWALL.
Zajištění bezpečnosti je samozřejmě nemyslitelné bez neustálé analýzy dat s varováním v reálném čase. Můžete kreslit krásné grafy, jak chcete, ale pokud si administrátor není vědom toho, co se děje... Ne, se SecuReporterem se to rozhodně stát nemůže!
Několik otázek o používání SecuReporter
Analytika
Ve skutečnosti je analýza toho, co se děje, jádrem budování informační bezpečnosti. Analýzou událostí může bezpečnostní specialista zabránit nebo zastavit útok včas a také získat podrobné informace pro rekonstrukci za účelem shromáždění důkazů.
Co poskytuje „cloudová architektura“?
Tato služba je postavena na modelu Software as a Service (SaaS), který usnadňuje škálování pomocí výkonu vzdálených serverů, distribuovaných systémů pro ukládání dat a tak dále. Použití cloudového modelu vám umožňuje abstrahovat od hardwarových a softwarových nuancí a věnovat veškeré své úsilí vytváření a zlepšování služby ochrany.
To uživateli umožňuje výrazně snížit náklady na nákup vybavení pro ukládání, analýzu a poskytování přístupu a není třeba řešit problémy s údržbou, jako je zálohování, aktualizace, prevence poruch a tak dále. Stačí mít zařízení podporující SecuReporter a příslušnou licenci.
POZOR! S cloudovou architekturou mohou správci zabezpečení proaktivně monitorovat stav sítě kdykoli a kdekoli. Tím je problém vyřešen, včetně dovolené, nemocenské a tak dále. Přístup k zařízení, například krádež notebooku, ze kterého se přistupovalo k webovému rozhraní SecuReporter, také nic nepřinese, pokud jeho majitel neporušil bezpečnostní pravidla, neukládal hesla lokálně a podobně.
Možnost cloudové správy se dobře hodí jak pro mono-společnosti sídlící ve stejném městě, tak pro struktury s pobočkami. Taková nezávislost na místě je potřebná v různých průmyslových odvětvích, například pro poskytovatele služeb nebo vývojáře softwaru, jejichž podnikání je distribuováno v různých městech.
Hodně mluvíme o možnostech analýzy, ale co to znamená?
Jedná se o různé analytické nástroje, například přehledy četnosti událostí, seznamy Top 100 hlavních (skutečných i údajných) obětí určité události, protokoly označující konkrétní cíle útoku a podobně. Cokoli, co pomáhá správci identifikovat skryté trendy a identifikovat podezřelé chování uživatelů nebo služeb.
A co hlášení?
SecuReporter vám umožňuje přizpůsobit formulář zprávy a poté získat výsledek ve formátu PDF. Pokud chcete, můžete do zprávy samozřejmě vložit své logo, název zprávy, reference nebo doporučení. Reporty je možné vytvářet v době požadavku nebo podle plánu, například jednou za den, týden nebo měsíc.
Můžete nakonfigurovat vydávání varování s ohledem na specifika provozu v rámci síťové infrastruktury.
Je možné snížit nebezpečí ze strany zasvěcených osob nebo jednoduše lumpů?
Speciální nástroj User Partially Quotient umožňuje správci rychle identifikovat rizikové uživatele bez dalšího úsilí a s přihlédnutím k závislosti mezi různými síťovými protokoly nebo událostmi.
To znamená, že se provádí hloubková analýza všech událostí a provozu, které jsou spojeny s uživateli, kteří se projevili jako podezřelí.
Jaké další body jsou pro SecuReporter typické?
Snadné nastavení pro koncové uživatele (bezpečnostní administrátory).
Aktivace SecuReporter v cloudu probíhá pomocí jednoduchého postupu nastavení. Poté mají správci okamžitě přístup ke všem datovým, analytickým a reportovacím nástrojům.
Více nájemců na jedné cloudové platformě – můžete si přizpůsobit analýzy pro každého klienta. Opět, jak se vaše zákaznická základna rozrůstá, cloudová architektura vám umožňuje snadno přizpůsobit váš řídicí systém, aniž byste museli obětovat efektivitu.
Zákony na ochranu dat
DŮLEŽITÉ! Zyxel je velmi citlivý na mezinárodní a místní zákony a další předpisy týkající se ochrany osobních údajů, včetně GDPR a Zásad ochrany soukromí OECD. Podporováno federálním zákonem „O osobních údajích“ ze dne 27.07.2006. července 152 č. XNUMX-FZ.
Pro zajištění souladu má SecuReporter tři integrované možnosti ochrany soukromí:
- neanonymní údaje – osobní údaje jsou plně identifikovány v analyzátoru, zprávě a archivních protokolech ke stažení;
- částečně anonymní – osobní údaje jsou v Archivních protokolech nahrazeny jejich umělými identifikátory;
- zcela anonymní - osobní údaje jsou zcela anonymizovány v analyzátoru, zprávách a archivních protokolech ke stažení.
Jak povolím SecuReporter na svém zařízení?
Podívejme se na příklad zařízení ZyWall (v tomto případě máme ZyWall 1100). Přejděte do sekce nastavení (záložka vpravo s ikonou ve formě dvou ozubených kol). Dále otevřete sekci Cloud CNM a vyberte v ní podsekci SecuReporter.
Chcete-li povolit používání služby, musíte aktivovat prvek Enable SecuReporter. Kromě toho se vyplatí použít možnost Zahrnout protokol provozu ke shromažďování a analýze protokolů provozu.
Obrázek 1. Povolení SecuReporter.
Druhým krokem je povolení sběru statistik. To se provádí v sekci Monitorování (záložka vpravo s ikonou v podobě monitoru).
Dále přejděte do sekce Statistiky UTM, podsekce App Patrol. Zde je potřeba aktivovat možnost Sbírat statistiky.
Obrázek 2. Povolení sběru statistik.
To je vše, můžete se připojit k webovému rozhraní SecuReporter a používat cloudovou službu.
POZOR! SecuReporter má vynikající dokumentaci ve formátu PDF. Můžete si jej stáhnout z .
Popis webového rozhraní SecuReporter
Nebude zde možné podat podrobný popis všech funkcí, které SecuReporter poskytuje bezpečnostnímu správci - na jeden článek je jich poměrně hodně.
Omezíme se proto na stručný popis služeb, které správce vidí a s čím neustále pracuje. Seznamte se tedy s tím, z čeho se webová konzole SecuReporter skládá.
Mapa
Tato část zobrazuje registrované zařízení s uvedením města, názvu zařízení a IP adresy. Zobrazuje informace o tom, zda je zařízení zapnuté a jaký je stav varování. Na mapě hrozeb můžete vidět zdroj paketů používaných útočníky a frekvenci útoků.
Hlavní obrazovka
Stručné informace o hlavních akcích a stručný analytický přehled za uvedené období. Můžete zadat období od 7 dnů do 1 hodiny.
Obrázek 3. Příklad vzhledu sekce Dashboard.
Analyzátor
Název mluví sám za sebe. Jedná se o konzoli stejnojmenného nástroje, který diagnostikuje podezřelý provoz za zvolené období, identifikuje trendy ve výskytu hrozeb a sbírá informace o podezřelých paketech. Analyzer je schopen sledovat nejběžnější škodlivý kód a také poskytovat další informace týkající se bezpečnostních problémů.
Obrázek 4. Příklad vzhledu části Analyzátor.
Zpráva
V této sekci má uživatel přístup k vlastním sestavám s grafickým rozhraním. Požadované informace lze shromáždit a sestavit do pohodlné prezentace okamžitě nebo podle plánu.
Upozornění
Zde nakonfigurujete varovný systém. Lze konfigurovat prahové hodnoty a různé úrovně závažnosti, což usnadňuje identifikaci anomálií a potenciálních útoků.
Nastavení
No, ve skutečnosti, nastavení jsou nastavení.
Kromě toho stojí za zmínku, že SecuReporter může podporovat různé zásady ochrany při zpracování osobních údajů.
Závěr
Místní metody pro analýzu statistik souvisejících s bezpečností se v zásadě docela dobře osvědčily.
Rozsah a závažnost hrozeb se však každým dnem zvyšuje. Úroveň ochrany, která dříve vyhovovala všem, se po nějaké době poněkud oslabí.
Kromě uvedených problémů vyžaduje použití místních nástrojů určité úsilí pro zachování funkčnosti (údržba zařízení, zálohování atd.). Problémem je i vzdálené umístění – ne vždy je možné udržet bezpečnostního správce v kanceláři 24 hodin, 7 dní v týdnu. Proto musíte nějak zorganizovat bezpečný přístup k místnímu systému zvenčí a udržovat jej sami.
Využívání cloudových služeb vám umožňuje vyhnout se takovým problémům se zaměřením konkrétně na zachování požadované úrovně zabezpečení a ochrany před průniky a také porušováním pravidel ze strany uživatelů.
SecuReporter je jen příkladem úspěšné implementace takové služby.
Akce
Ode dneška probíhá společná propagace mezi Zyxelem a naším Gold Partnerem X-Com pro kupující firewallů, které podporují Secureporter:
Užitečné odkazy
[1] .
[2] na stránkách na oficiálních stránkách Zyxel.
[3] .
Zdroj: www.habr.com