I hovedet på uerfarne mennesker ligner en sikkerhedsadministrators arbejde en spændende duel mellem en anti-hacker og onde hackere, der konstant invaderer virksomhedens netværk. Og vores helt afviser i realtid dristige angreb ved behændigt og hurtigt at indtaste kommandoer og fremstår i sidste ende som en strålende vinder.
Ligesom en kongelig musketer med et tastatur i stedet for et sværd og en musket.
Men i virkeligheden ser alt almindeligt ud, uhøjtideligt og endda, kan man sige, kedeligt.
En af de vigtigste analysemetoder er stadig at læse hændelseslogfiler. Grundig undersøgelse af emnet:
- hvem forsøgte at indtaste hvorfra hvorfra, hvilken ressource de forsøgte at få adgang til, hvordan de beviste deres ret til at få adgang til ressourcen;
- hvilke fejl, fejl og simpelthen mistænkelige tilfældigheder der var;
- hvem og hvordan testede systemet for styrke, scannede porte, udvalgte adgangskoder;
- Og så videre og så videre...
Nå, hvad fanden er romantik her, Gud forbyde "du falder ikke i søvn, mens du kører."
For at vores specialister ikke helt skal miste deres kærlighed til kunst, er der opfundet værktøjer til dem for at gøre livet lettere. Det er alle slags analysatorer (log-parsere), overvågningssystemer med meddelelse om kritiske hændelser og meget mere.
Men hvis du tager et godt værktøj og begynder at skrue det manuelt til hver enhed, for eksempel en internetgateway, bliver det ikke så enkelt, ikke så praktisk, og du skal blandt andet have yderligere viden fra helt forskellige områder. Hvor skal man for eksempel placere software til sådan overvågning? På en fysisk server, virtuel maskine, speciel enhed? I hvilken form skal data opbevares? Hvis der bruges en database, hvilken? Hvordan udfører man sikkerhedskopier, og er det nødvendigt at udføre dem? Hvordan klarer man sig? Hvilken grænseflade skal jeg bruge? Hvordan beskytter man systemet? Hvilken krypteringsmetode man skal bruge – og meget mere.
Det er meget nemmere, når der er en vis samlet mekanisme, der påtager sig løsningen af alle de anførte problemer, og efterlader administratoren til at arbejde strengt inden for rammerne af hans detaljer.
Ifølge den etablerede tradition for at kalde udtrykket "sky" alt, hvad der ikke er placeret på en given vært, giver Zyxel CNM SecuReporter-skytjenesten dig ikke kun mulighed for at løse mange problemer, men giver også praktiske værktøjer
Hvad er Zyxel CNM SecuReporter?
Dette er en intelligent analysetjeneste med funktioner til dataindsamling, statistisk analyse (korrelation) og rapportering for Zyxel-udstyr fra ZyWALL-linjen og deres. Det giver netværksadministratoren et centraliseret overblik over forskellige aktiviteter på netværket.
For eksempel kan angribere forsøge at bryde ind i et sikkerhedssystem ved hjælp af angrebsmekanismer som snigende, målrettet и vedholdende. SecuReporter registrerer mistænkelig adfærd, hvilket giver administratoren mulighed for at træffe de nødvendige beskyttelsesforanstaltninger ved at konfigurere ZyWALL.
Selvfølgelig er det utænkeligt at sikre sikkerhed uden konstant dataanalyse med advarsler i realtid. Du kan tegne smukke grafer, så meget du vil, men hvis administratoren ikke er klar over, hvad der sker... Nej, det kan bestemt ikke ske med SecuReporter!
Nogle spørgsmål om brug af SecuReporter
Analytics
Faktisk er analyse af, hvad der sker, kernen i at opbygge informationssikkerhed. Ved at analysere hændelser kan en sikkerhedsspecialist forhindre eller stoppe et angreb i tide, samt indhente detaljerede oplysninger til rekonstruktion for at indsamle beviser.
Hvad giver "sky-arkitektur"?
Denne service er bygget på Software as a Service-modellen (SaaS), som gør det nemmere at skalere ved hjælp af kraften fra fjernservere, distribuerede datalagringssystemer og så videre. Brugen af cloud-modellen giver dig mulighed for at abstrahere fra hardware- og softwarenuancer og bruge alle dine kræfter på at skabe og forbedre beskyttelsestjenesten.
Dette giver brugeren mulighed for betydeligt at reducere omkostningerne ved køb af udstyr til opbevaring, analyse og levering af adgang, og der er ingen grund til at forholde sig til vedligeholdelsesproblemer såsom sikkerhedskopier, opdateringer, forebyggelse af fejl og så videre. Det er nok at have en enhed, der understøtter SecuReporter og den relevante licens.
VIGTIGT! Med en cloud-baseret arkitektur kan sikkerhedsadministratorer proaktivt overvåge netværkets sundhed når som helst og hvor som helst. Dette løser problemet, blandt andet med ferier, sygemeldinger og så videre. Adgang til udstyr, for eksempel tyveri af en bærbar computer, hvorfra SecuReporter-webgrænsefladen blev tilgået, vil heller ikke give noget, forudsat at dens ejer ikke overtrådte sikkerhedsregler, ikke gemte adgangskoder lokalt, og så videre.
Cloud management muligheden er velegnet til både mono-virksomheder beliggende i samme by og strukturer med filialer. En sådan lokationsuafhængighed er nødvendig i en række brancher, for eksempel for tjenesteudbydere eller softwareudviklere, hvis forretning er fordelt på tværs af forskellige byer.
Vi taler meget om analysernes muligheder, men hvad betyder det?
Disse er forskellige analyseværktøjer, for eksempel opsummeringer af hyppigheden af begivenheder, lister over de 100 vigtigste (virkelige og påståede) ofre for en bestemt begivenhed, logfiler, der angiver specifikke mål for angreb, og så videre. Alt, hvad der hjælper administratoren med at identificere skjulte tendenser og identificere mistænkelig adfærd hos brugere eller tjenester.
Hvad med rapportering?
SecuReporter giver dig mulighed for at tilpasse rapportformularen og derefter modtage resultatet i PDF-format. Hvis du ønsker det, kan du naturligvis integrere dit logo, rapporttitel, referencer eller anbefalinger i rapporten. Det er muligt at oprette rapporter på anmodningstidspunktet eller efter en tidsplan, for eksempel en gang om dagen, ugen eller måneden.
Du kan konfigurere udstedelsen af advarsler under hensyntagen til trafikspecifikationerne inden for netværksinfrastrukturen.
Er det muligt at mindske faren fra insidere eller blot sludder?
Det specielle User Partially Quotient-værktøj giver administratoren mulighed for hurtigt at identificere risikable brugere uden yderligere indsats og under hensyntagen til afhængigheden mellem forskellige netværkslogfiler eller hændelser.
Det vil sige, at der foretages en dybdegående analyse af alle hændelser og trafik, der er forbundet med brugere, der har vist sig mistænksomme.
Hvilke andre punkter er typiske for SecuReporter?
Nem opsætning for slutbrugere (sikkerhedsadministratorer).
Aktivering af SecuReporter i skyen sker gennem en simpel opsætningsprocedure. Herefter får administratorer straks adgang til alle data-, analyse- og rapporteringsværktøjer.
Multi-Tenants på en enkelt cloud-platform - du kan tilpasse dine analyser til hver klient. Igen, efterhånden som din kundebase vokser, giver cloud-arkitekturen dig mulighed for nemt at tilpasse dit kontrolsystem uden at ofre effektiviteten.
Databeskyttelseslove
VIGTIG! Zyxel er meget følsom over for internationale og lokale love og andre regler vedrørende beskyttelse af personlige data, herunder GDPR og OECD's privatlivsprincipper. Understøttet af den føderale lov "om personlige data" af 27.07.2006. juli 152 nr. XNUMX-FZ.
For at sikre overholdelse har SecuReporter tre indbyggede muligheder for beskyttelse af privatlivets fred:
- ikke-anonyme data - personlige data er fuldt identificeret i analysator, rapport og arkivlogfiler, der kan downloades;
- delvist anonym - personlige data erstattes med deres kunstige identifikatorer i Arkiv Logs;
- fuldstændig anonym - personlige data er fuldstændig anonymiseret i Analyzer, Rapport og downloadbare Arkiv Logs.
Hvordan aktiverer jeg SecuReporter på min enhed?
Lad os se på eksemplet med en ZyWall-enhed (i dette tilfælde har vi en ZyWall 1100). Gå til indstillingssektionen (fane til højre med et ikon i form af to gear). Åbn derefter Cloud CNM-sektionen og vælg SecuReporter-undersektionen i den.
For at tillade brugen af tjenesten skal du aktivere elementet Enable SecuReporter. Derudover er det værd at bruge indstillingen Inkluder trafiklog til at indsamle og analysere trafiklogfiler.
Figur 1. Aktivering af SecuReporter.
Det andet trin er at tillade statistikindsamling. Dette gøres i sektionen Overvågning (fane til højre med et ikon i form af en skærm).
Gå derefter til sektionen UTM-statistik, underafsnittet App Patrol. Her skal du aktivere muligheden Indsaml statistik.
Figur 2. Aktivering af statistikindsamling.
Det er det, du kan oprette forbindelse til SecuReporter-webgrænsefladen og bruge cloud-tjenesten.
VIGTIGT! SecuReporter har fremragende dokumentation i PDF-format. Du kan downloade den fra .
Beskrivelse af SecuReporter-webgrænsefladen
Det vil ikke være muligt her at give en detaljeret beskrivelse af alle de funktioner, som SecuReporter leverer til en sikkerhedsadministrator – der er ret mange af dem til én artikel.
Derfor vil vi begrænse os til en kort beskrivelse af de ydelser, som administratoren ser, og hvad han arbejder med konstant. Så få at vide, hvad SecuReporter-webkonsollen består af.
Kort
Dette afsnit viser det registrerede udstyr med angivelse af by, enhedsnavn og IP-adresse. Viser information om, hvorvidt enheden er tændt, og hvad advarselsstatus er. På trusselskortet kan du se kilden til pakker brugt af angribere og angrebshyppigheden.
Hovedmenu
Kort information om de vigtigste handlinger og en kortfattet analytisk oversigt for den angivne periode. Du kan angive en periode fra 7 dage til 1 time.
Figur 3. Eksempel på udseendet af Dashboard-sektionen.
Analyzer
Navnet taler for sig selv. Dette er konsollen til værktøjet af samme navn, som diagnosticerer mistænkelig trafik i en valgt periode, identificerer tendenser i fremkomsten af trusler og indsamler oplysninger om mistænkelige pakker. Analyzer er i stand til at spore den mest almindelige ondsindede kode samt give yderligere oplysninger om sikkerhedsproblemer.
Figur 4. Eksempel på udseendet af Analyzer-sektionen.
Rapport
I dette afsnit har brugeren adgang til tilpassede rapporter med en grafisk grænseflade. De nødvendige oplysninger kan indsamles og kompileres til en praktisk præsentation med det samme eller på en planlagt basis.
Advarsler
Det er her du konfigurerer advarselssystemet. Tærskler og forskellige sværhedsgrader kan konfigureres, hvilket gør det nemmere at identificere anomalier og potentielle angreb.
Indstilling
Nå, faktisk er indstillinger indstillinger.
Derudover er det værd at bemærke, at SecuReporter kan understøtte forskellige beskyttelsespolitikker ved behandling af personoplysninger.
Konklusion
Lokale metoder til at analysere sikkerhedsrelaterede statistikker har i princippet vist sig ret godt.
Men omfanget og alvoren af trusler stiger hver dag. Det beskyttelsesniveau, der tidligere tilfredsstillede alle, bliver ret svagt efter nogen tid.
Ud over de anførte problemer kræver brugen af lokale værktøjer en vis indsats for at vedligeholde funktionaliteten (vedligeholdelse af udstyr, backup og så videre). Der er også problemet med fjernplacering - det er ikke altid muligt at holde sikkerhedsadministratoren på kontoret 24 timer, 7 dage om ugen. Derfor skal du på en eller anden måde organisere sikker adgang til det lokale system udefra og vedligeholde det selv.
Brugen af cloud-tjenester giver dig mulighed for at undgå sådanne problemer, og fokuserer specifikt på at opretholde det nødvendige niveau af sikkerhed og beskyttelse mod indtrængen samt overtrædelser af regler fra brugere.
SecuReporter er blot et eksempel på en vellykket implementering af en sådan service.
Aktion
Fra i dag er der en fælles kampagne mellem Zyxel og vores Gold Partner X-Com for købere af firewalls, der understøtter Secureporter:
Nyttige links
[1] .
[2] på hjemmesiden på den officielle Zyxel hjemmeside.
[3] .
Kilde: www.habr.com