Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers

Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers
Für die meisten Menschen sieht die Arbeit eines Sicherheit Administrators wie ein faszinierendes Duell zwischen einem Anti-Hacker und bösen Hackern aus, die immer wieder in das Unternehmensnetzwerk eindringen. Unser Held kontert in Echtzeit mit geschicktem und schnellem Befehlseingeben die dreisten Angriffe und geht am Ende als strahlender Sieger hervor.
Ein wahrhaft königlicher Musketier mit einer Tastatur anstelle von Degen und Musketen.

In Wirklichkeit sieht alles jedoch gewöhnlich, unaufgeregt und sogar etwas langweilig aus.

Eine der Hauptmethoden der Analyse bleibt nach wie vor das Lesen von Protokolldateien. Eine sorgfältige Untersuchung von:

  • wer von wo versuchte, sich anzumelden, auf welche Ressource er Zugriff zu erhalten versuchte, wie er seine Zugriffsrechte auf die Ressource nachgewiesen hat;
  • was für Ausfälle, Fehler und einfach verdächtige Übereinstimmungen vorkamen;
  • wer und wie versuchte, die Systeme auf ihre Widerstandsfähigkeit zu testen, Ports scannte und Passwörter erratete;
  • und so weiter und so fort…

Aber wo bleibt da bitte die Romantik? Gut, wenn man nicht "hinterm Steuer einschläft".

Um das Interesse unserer Spezialisten an der Kunst zu bewahren, werden Werkzeuge entwickelt, die das Leben erleichtern. Dazu gehören verschiedene Analysatoren (Log-Parser), Überwachungssysteme mit Benachrichtigungen zu kritischen Ereignissen und vieles mehr.

Es ist jedoch nicht so einfach und komfortabel, ein gutes Werkzeug manuell an jedes Gerät, wie beispielsweise einen Internet-Gateway, anzuschließen. Darüber hinaus benötigt man Kenntnisse aus ganz unterschiedlichen Bereichen. Zum Beispiel: Wo soll die Software für solch eine Überwachung platziert werden? Auf einem physischen Server, einer virtuellen Maschine oder einem speziellen Gerät? In welcher Form sollen die Daten gespeichert werden? Bei der Verwendung einer Datenbank, welche sollte gewählt werden? Wie erfolgt das Backup und ist es notwendig? Wie wird das Management durchgeführt? Welches Interface sollte verwendet werden? Wie schützt man das System? Welche Verschlüsselungsmethode ist zu wählen – und vieles mehr.

Es ist viel einfacher, wenn es einen einheitlichen Mechanismus gibt, der alle genannten Fragen löst und dem Administrator die Arbeit innerhalb seines spezifischen Aufgabenbereichs ermöglicht.

Traditionell wird der Begriff „Cloud“ für alles verwendet, was nicht auf diesem Host verfügbar ist. Der Cloud-Dienst Zyxel CNM SecuReporter löst viele Probleme und bietet nützliche Tools an.

Was ist Zyxel CNM SecuReporter?

Es handelt sich um einen intelligenten Analyse-Service mit Funktionen zur Datensammlung, statistischen Analyse (Korrelation) und Berichtserstellung für Zyxel-Geräte der ZyWALL-Serie. Er bietet dem Netzwerkadministrator eine zentrale Ansicht verschiedener Aktivitäten im Netzwerk.
Zum Beispiel können Angreifer versuchen, das Sicherheitssystem durch Angriffe wie versteckte, gezielte und anhaltendezu kompromittieren. SecuReporter erkennt verdächtiges Verhalten, was dem Administrator ermöglicht, notwendige Schutzmaßnahmen durch Anpassungen an ZyWALL zu ergreifen.

Natürlich ist die Gewährleistung von Sicherheit ohne ständige Datenanalyse und die Ausgabe von Warnungen in Echtzeit undenkbar. Man kann noch so schöne Grafiken zeichnen, aber wenn der Administrator nicht informiert ist… Das kann mit SecuReporter definitiv nicht passieren!

Einige Fragen zur Nutzung von SecuReporter

Analyse

Eine eigene Analyse der Gegebenheiten bildet das Fundament der Informationssicherheit. Durch die Analyse von Ereignissen kann ein Sicherheitsspezialist Angriffe verhindern oder rechtzeitig stoppen sowie detaillierte Informationen zur Rekonstruktion und Beweissammlung erhalten.

Was bietet die "Cloud-Architektur"?

Dieser Service basiert auf dem Software-as-a-Service (SaaS)-Modell, das die Skalierung erleichtert, indem es die Ressourcen von Remote-Servern und verteilten Speichersystemen nutzt. Die Anwendung des Cloud-Modells ermöglicht es, sich von hardware- und softwareseitigen Feinheiten zu lösen und den gesamten Fokus auf die Schaffung und Verbesserung von Schutzdiensten zu legen.
Für den Benutzer bedeutet dies eine erhebliche Reduzierung der Kosten für den Kauf von Hardware zur Speicherung, Analyse und Bereitstellung von Zugriff, und es ist auch nicht mehr nötig, sich um Wartungsfragen wie Datensicherung, Updates, Fehlervorsorge usw. zu kümmern. Es reicht aus, ein Gerät zu haben, das mit SecuReporter arbeitet, und eine entsprechende Lizenz.

WICHTIG! Dank der Cloud-Architektur können Sicherheitsadministratoren den Zustand des Netzwerks proaktiv jederzeit und überall überwachen. Dies löst auch Probleme wie Urlaub, Krankheit und Ähnliches. Der Zugriff auf die Hardware, beispielsweise bei einem Laptop-Diebstahl, von dem aus auf die Web-Schnittstelle SecuReporter zugegriffen wurde, wird ebenfalls wenig nützen, sofern der Besitzer keine Sicherheitsrichtlinien verletzt hat, keine Passwörter lokal gespeichert hat und so weiter.

Die Option des Cloud-Managements eignet sich sowohl für monolithische Unternehmen in einer Stadt als auch für Organisationen mit Filialen. Diese Unabhängigkeit vom Standort ist in verschiedenen Branchen erforderlich, zum Beispiel für Serviceprovider oder Softwareentwickler, deren Geschäfte über verschiedene Städte verteilt sind.

Wir sprechen viel über Analysefähigkeiten, aber was genau bedeutet das?

Dies sind verschiedene Analysewerkzeuge, beispielsweise Ereignisfrequenzübersichten, Top-100-Listen von tatsächlichen und vermuteten Opfern eines bestimmten Ereignisses, Protokolle mit spezifischen Zielen für Angriffe usw. Alles, was dem Administrator hilft, verborgene Trends zu erkennen und verdächtiges Verhalten von Benutzern oder Diensten zu identifizieren.

Wie steht es um die Berichterstattung?

Mit SecuReporter können Sie das Berichtformat anpassen und die Ergebnisse im PDF-Format erhalten. Selbstverständlich können Sie auf Wunsch Ihr Logo, den Titel des Berichts, Informationen oder Empfehlungen im Bericht einfügen. Es besteht die Möglichkeit, Berichte bei Bedarf oder nach einem Zeitplan zu erstellen, zum Beispiel täglich, wöchentlich oder monatlich.

Die Warnungen können entsprechend den spezifischen Verkehrsbedingungen innerhalb der Netzwerkstruktur konfiguriert werden.

Kann das Risiko durch Insider oder einfach Nachlässige verringert werden?

Das spezielle Tool User Partially Quotient ermöglicht es dem Administrator, risikobehaftete Benutzer schnell zu identifizieren, ohne zusätzlichen Aufwand und unter Berücksichtigung der Abhängigkeiten zwischen verschiedenen Netzwerkprotokollen oder Ereignissen.

Das bedeutet, dass eine gründliche Analyse aller Ereignisse und des Verkehrs durchgeführt wird, die mit Benutzern in Verbindung stehen, die sich verdächtig verhalten haben.

Welche weiteren Aspekte sind charakteristisch für SecuReporter?

Einfache Einrichtung für Endbenutzer (Sicherheitsadministratoren).

Die Aktivierung von SecuReporter in der Cloud erfolgt durch ein einfaches Setup-Verfahren. Danach haben die Administratoren sofort Zugriff auf alle Daten, Analysewerkzeuge und Berichte.

Multi-Tenant auf einer einheitlichen Cloud-Plattform – die Analytik kann für jeden Kunden individuell angepasst werden. Mit der Cloud-Architektur lässt sich das Kontrollsystem einfach an eine wachsende Kundenbasis anpassen, ohne die Effizienz zu beeinträchtigen.

Datenschutzgesetze

WICHTIG! Zyxel legt großen Wert auf internationale und lokale Gesetze sowie andere Vorschriften zum Schutz personenbezogener Daten, einschließlich der DSGVO und der OECD-Prinzipien zum Datenschutz. Unterstützt das Bundesgesetz "Über personenbezogene Daten" vom 27.07.2006 Nr. 152-ФЗ.

Um die Compliance sicherzustellen, sind im SecuReporter drei Optionen zum Schutz personenbezogener Daten integriert:

  • nicht-anonyme Daten – persönliche Daten werden im Analyzer, Report und in den heruntergeladenen Archive Logs vollständig identifiziert;
  • teilweise anonyme – persönliche Daten werden in den Archive Logs durch künstliche Identifikatoren ersetzt;
  • vollständig anonyme – persönliche Daten werden im Analyzer, Report und in den heruntergeladenen Archive Logs vollständig anonymisiert.

Wie aktiviere ich die Nutzung von SecuReporter auf dem Gerät?

Nehmen wir als Beispiel das Gerät ZyWall (in diesem Fall haben wir die ZyWall 1100). Gehen Sie zu den Einstellungen (Tab rechts mit dem Icon von zwei Zahnrädern). Erweitern Sie dann den Bereich Cloud CNM und wählen Sie im Unterbereich SecuReporter aus.

Um die Nutzung des Dienstes zu erlauben, muss das Element Enable SecuReporter aktiviert werden. Zudem sollten Sie die Option Include Traffic Log zur Sammlung und Analyse der Traffic-Protokolle aktivieren.

Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers
Abbildung 1. Aktivierung von SecuReporter.

Im zweiten Schritt muss die Sammlung von Statistiken erlaubt werden. Dies geschieht im Bereich Monitoring (Tab rechts mit dem Icon eines Monitors).

Weiter geht's zum Bereich UTM Statistics, Unterbereich App Patrol. Hier muss die Option Collect Statistics aktiviert werden.

Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers
Abbildung 2. Aktivierung der Statistiksammlung.

Alles klar, jetzt können Sie sich mit der Web-Oberfläche von SecuReporter verbinden und den Cloud-Service nutzen.

WICHTIG! Für SecuReporter gibt es hervorragende Dokumentationen im PDF-Format. Sie können sie unter dieser Adresse herunterladen..

Beschreibung der Web-Oberfläche von SecuReporter
Es ist nicht möglich, alle Funktionen, die SecuReporter dem Sicherheitsadministrator bietet, ausführlich zu beschreiben – es sind einfach zu viele für einen Artikel.

Daher beschränken wir uns auf eine kurze Beschreibung der Services, die der Administrator sieht und mit denen er ständig arbeitet. Lassen Sie uns also einen Blick auf die Bestandteile der Web-Konsole von SecuReporter werfen.

Karte

In diesem Abschnitt wird die registrierte Hardware angezeigt, einschließlich Stadt, Gerätename und IP-Adresse. Informationen darüber, ob das Gerät aktiviert ist und welchen Status die Warnungen haben, werden angezeigt. In der Bedrohungskarte können die Quellen der durch Angreifer verwendeten Pakete sowie die Häufigkeit der Angriffe angezeigt werden.

Instrumententafel

Kurzübersicht über die Hauptaktionen und eine komprimierte analytische Zusammenfassung für den angegebenen Zeitraum. Sie können einen Zeitraum von 7 Tagen bis zu 1 Stunde angeben.

Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers
Abbildung 3. Beispiel für das Aussehen des Dashboard-Bereichs.

Analyzer

Der Name spricht für sich selbst. Es handelt sich um die Konsole des gleichnamigen Tools, das verdächtigen Datenverkehr über den ausgewählten Zeitraum diagnostiziert, Trends bei Bedrohungen identifiziert und Informationen über verdächtige Pakete sammelt. Der Analyzer kann den am häufigsten vorkommenden Schadcode verfolgen und bietet zusätzliche Informationen zu Sicherheitsproblemen.

Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers
Abbildung 4. Beispiel für das Erscheinungsbild des Bereichs Analyzer.

Report (Bericht)

In diesem Bereich stehen dem Benutzer anpassbare Berichte mit grafischer Benutzeroberfläche zur Verfügung. Die erforderlichen Informationen können sofort gesammelt und in einer benutzerfreundlichen Darstellung formatiert oder gemäß einem festgelegten Zeitplan erstellt werden.

Alerts (Warnungen)

Hier wird das Warnsystem konfiguriert. Es können Schwellenwerte und unterschiedliche Wichtigkeitsstufen festgelegt werden, was den Prozess der Identifizierung von Anomalien und potenziellen Angriffen erleichtert.

Setting (Einstellungen)

Nun, die Einstellungen sind genau das.

Es ist außerdem erwähnenswert, dass SecuReporter verschiedene Schutzrichtlinien bei der Verarbeitung personenbezogener Daten unterstützen kann.

Fazit

Lokale Methoden zur Analyse von sicherheitsbezogenen Statistiken haben sich grundsätzlich bewährt.

Jedoch nehmen Reichweite und Ernsthaftigkeit der Bedrohungen täglich zu. Das Schutzniveau, das früher für alle akzeptabel war, wird irgendwann zu schwach.

Neben den genannten Problemen erfordert der Einsatz lokaler Mittel auch einen bestimmten Aufwand für die Aufrechterhaltung der Funktionsfähigkeit (Geräteservice, Datensicherung usw.). Zudem gibt es das Problem der räumlichen Distanz – es ist nicht immer möglich, einen Sicherheitsadministrator rund um die Uhr im Büro zu haben. Daher muss ein sicherer Zugang zum lokalen System von außen organisiert und selbst betreut werden.

Die Nutzung von Cloud-Diensten ermöglicht es, diese Probleme zu vermeiden und sich auf die Aufrechterhaltung des erforderlichen Sicherheitsniveaus sowie den Schutz vor Eindringlingen und Regelverstößen durch Benutzer zu konzentrieren.

SecuReporter ist ein Beispiel für die erfolgreiche Implementierung eines solchen Dienstes.

Aktion

Ab sofort profitieren Käufer von Firewalls, die Secureporter unterstützen, von einer gemeinsamen Aktion von Zyxel und unserem Goldpartner X-Com:

Erhöhung der Netzwerksicherheit durch den Einsatz eines Cloud-Analyzers

Nützliche Links

[1] Unterstützte Geräte.
[2] Beschreibung von SecuReporter auf der offiziellen Website von Zyxel.
[3] Dokumentation zu SecuReporter.

Quelle: habr.com

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster