In den Köpfen unerfahrener Menschen gleicht die Arbeit eines Sicherheitsadministrators einem spannenden Duell zwischen einem Anti-Hacker und bösen Hackern, die ständig in das Unternehmensnetzwerk eindringen. Und unser Held wehrt waghalsige Angriffe in Echtzeit ab, indem er geschickt und schnell Befehle eingibt, und geht am Ende als brillanter Sieger hervor.
Genau wie ein königlicher Musketier mit Tastatur statt Schwert und Muskete.
Aber in Wirklichkeit sieht alles gewöhnlich, unprätentiös und sogar langweilig aus.
Eine der Hauptanalysemethoden ist nach wie vor das Auslesen von Ereignisprotokollen. Ausführliche Studie zum Thema:
- Wer hat versucht, von wo aus einzugeben, auf welche Ressource hat er versucht zuzugreifen, wie hat er sein Recht nachgewiesen, auf die Ressource zuzugreifen?
- welche Misserfolge, Irrtümer und einfach verdächtigen Zufälle gab es;
- wer und wie das System auf Stärke getestet, Ports gescannt und Passwörter ausgewählt hat;
- Und so weiter und so fort…
Nun, was zum Teufel ist hier Romantik, Gott bewahre, „du schläfst beim Autofahren nicht ein.“
Damit unsere Spezialisten die Liebe zur Kunst nicht völlig verlieren, werden für sie Werkzeuge erfunden, die ihnen das Leben erleichtern. Dies sind alle Arten von Analysatoren (Log-Parser), Überwachungssysteme mit Benachrichtigung über kritische Ereignisse und vieles mehr.
Wenn Sie jedoch ein gutes Werkzeug nehmen und damit beginnen, es manuell an jedes Gerät, zum Beispiel ein Internet-Gateway, zu schrauben, wird es nicht so einfach, nicht so bequem sein, und Sie müssen unter anderem über zusätzliche Kenntnisse von ganz anderem verfügen Bereiche. Wo soll beispielsweise Software für eine solche Überwachung platziert werden? Auf einem physischen Server, einer virtuellen Maschine, einem speziellen Gerät? In welcher Form sollen die Daten gespeichert werden? Wenn eine Datenbank verwendet wird, welche? Wie führt man Backups durch und ist es notwendig, diese durchzuführen? Wie man verwaltet? Welche Schnittstelle soll ich verwenden? Wie schützt man das System? Welche Verschlüsselungsmethode Sie verwenden sollten – und vieles mehr.
Viel einfacher ist es, wenn es einen bestimmten einheitlichen Mechanismus gibt, der die Lösung aller aufgeführten Probleme übernimmt und es dem Administrator überlässt, strikt im Rahmen seiner Besonderheiten zu arbeiten.
Gemäß der etablierten Tradition, den Begriff „Cloud“ alles zu nennen, was sich nicht auf einem bestimmten Host befindet, können Sie mit dem Cloud-Dienst Zyxel CNM SecuReporter nicht nur viele Probleme lösen, sondern auch praktische Tools bereitstellen
Was ist Zyxel CNM SecuReporter?
Dabei handelt es sich um einen intelligenten Analysedienst mit Funktionen zur Datenerfassung, statistischen Analyse (Korrelation) und Berichterstellung für Zyxel-Geräte der ZyWALL-Reihe und deren Produkte. Es bietet dem Netzwerkadministrator eine zentrale Ansicht verschiedener Aktivitäten im Netzwerk.
Angreifer können beispielsweise versuchen, mithilfe von Angriffsmechanismen wie … in ein Sicherheitssystem einzudringen heimlich, gezielt и ausdauernd. SecuReporter erkennt verdächtiges Verhalten, sodass der Administrator durch die Konfiguration von ZyWALL die erforderlichen Schutzmaßnahmen ergreifen kann.
Natürlich ist die Gewährleistung der Sicherheit ohne ständige Datenanalyse mit Warnungen in Echtzeit undenkbar. Sie können so viele schöne Grafiken zeichnen, wie Sie möchten, aber wenn der Administrator nicht weiß, was passiert ... Nein, das kann mit SecuReporter definitiv nicht passieren!
Einige Fragen zur Verwendung von SecuReporter
Analytics
Tatsächlich ist die Analyse des Geschehens der Kern des Aufbaus von Informationssicherheit. Durch die Analyse von Ereignissen kann ein Sicherheitsspezialist einen Angriff rechtzeitig verhindern oder stoppen sowie detaillierte Informationen zur Rekonstruktion erhalten, um Beweise zu sammeln.
Was bietet „Cloud-Architektur“?
Dieser Dienst basiert auf dem Software as a Service (SaaS)-Modell, das die Skalierung durch die Nutzung der Leistung von Remote-Servern, verteilten Datenspeichersystemen usw. erleichtert. Die Verwendung des Cloud-Modells ermöglicht es Ihnen, von Hardware- und Software-Nuancen zu abstrahieren und Ihre ganze Kraft der Erstellung und Verbesserung des Schutzdienstes zu widmen.
Dadurch kann der Benutzer die Kosten für die Anschaffung von Geräten zur Speicherung, Analyse und Bereitstellung des Zugriffs erheblich senken und muss sich nicht mit Wartungsproblemen wie Backups, Updates, Fehlervermeidung usw. befassen. Es genügt ein Gerät, das SecuReporter unterstützt, und die entsprechende Lizenz.
WICHTIG! Mit einer cloudbasierten Architektur können Sicherheitsadministratoren den Netzwerkzustand jederzeit und überall proaktiv überwachen. Dies löst das Problem, auch bei Urlaub, Krankheitsurlaub usw. Auch der Zugriff auf Geräte, beispielsweise der Diebstahl eines Laptops, von dem aus auf die SecuReporter-Weboberfläche zugegriffen wurde, bringt nichts, sofern der Besitzer nicht gegen Sicherheitsregeln verstoßen, Passwörter nicht lokal gespeichert hat usw.
Die Cloud-Management-Option eignet sich sowohl für Monounternehmen mit Sitz in derselben Stadt als auch für Strukturen mit Niederlassungen. Eine solche Standortunabhängigkeit wird in einer Vielzahl von Branchen benötigt, beispielsweise für Dienstleister oder Softwareentwickler, deren Geschäft über verschiedene Städte verteilt ist.
Wir reden viel über die Möglichkeiten der Analyse, aber was bedeutet das?
Hierbei handelt es sich um verschiedene Analysetools, beispielsweise Zusammenfassungen der Häufigkeit von Ereignissen, Listen der 100 wichtigsten (tatsächlichen und mutmaßlichen) Opfer eines bestimmten Ereignisses, Protokolle mit Angaben zu bestimmten Angriffszielen usw. Alles, was dem Administrator dabei hilft, versteckte Trends und verdächtiges Verhalten von Benutzern oder Diensten zu erkennen.
Wie sieht es mit der Berichterstattung aus?
Mit SecuReporter können Sie das Berichtsformular anpassen und das Ergebnis dann im PDF-Format erhalten. Selbstverständlich können Sie auf Wunsch Ihr Logo, den Berichtstitel, Referenzen oder Empfehlungen in den Bericht einbetten. Es ist möglich, Berichte auf Anfrage oder nach einem Zeitplan zu erstellen, beispielsweise einmal täglich, wöchentlich oder monatlich.
Sie können die Ausgabe von Warnungen unter Berücksichtigung der Besonderheiten des Datenverkehrs innerhalb der Netzwerkinfrastruktur konfigurieren.
Ist es möglich, die Gefahr durch Insider oder einfach nur Schlampen zu reduzieren?
Das spezielle Tool „User Partial Quotient“ ermöglicht es dem Administrator, riskante Benutzer schnell zu identifizieren, ohne zusätzlichen Aufwand und unter Berücksichtigung der Abhängigkeit zwischen verschiedenen Netzwerkprotokollen oder Ereignissen.
Das heißt, es wird eine eingehende Analyse aller Ereignisse und des Datenverkehrs durchgeführt, die mit Benutzern in Zusammenhang stehen, die sich als verdächtig erwiesen haben.
Welche weiteren Punkte sind typisch für SecuReporter?
Einfache Einrichtung für Endbenutzer (Sicherheitsadministratoren).
Die Aktivierung von SecuReporter in der Cloud erfolgt durch einen einfachen Einrichtungsvorgang. Danach erhalten Administratoren sofort Zugriff auf alle Daten-, Analyse- und Reporting-Tools.
Multi-Tenants auf einer einzigen Cloud-Plattform – Sie können Ihre Analysen für jeden Kunden anpassen. Auch hier gilt: Wenn Ihr Kundenstamm wächst, ermöglicht Ihnen die Cloud-Architektur eine einfache Anpassung Ihres Steuerungssystems ohne Einbußen bei der Effizienz.
Datenschutzgesetze
WICHTIG! Zyxel achtet sehr auf internationale und lokale Gesetze und andere Vorschriften zum Schutz personenbezogener Daten, einschließlich der DSGVO und der OECD-Datenschutzgrundsätze. Unterstützt durch das Bundesgesetz „Über personenbezogene Daten“ vom 27.07.2006. Juli 152 Nr. XNUMX-FZ.
Um die Einhaltung sicherzustellen, verfügt SecuReporter über drei integrierte Datenschutzoptionen:
- nicht anonyme Daten – personenbezogene Daten werden im Analysegerät, im Bericht und in herunterladbaren Archivprotokollen vollständig identifiziert;
- teilweise anonym – personenbezogene Daten werden durch ihre künstlichen Identifikatoren in Archivprotokollen ersetzt;
- Völlig anonym – persönliche Daten werden in Analyse-, Berichts- und herunterladbaren Archivprotokollen vollständig anonymisiert.
Wie aktiviere ich SecuReporter auf meinem Gerät?
Schauen wir uns das Beispiel eines ZyWall-Geräts an (in diesem Fall haben wir ein ZyWall 1100). Gehen Sie zum Abschnitt „Einstellungen“ (Registerkarte rechts mit einem Symbol in Form von zwei Zahnrädern). Öffnen Sie als Nächstes den Abschnitt „Cloud CNM“ und wählen Sie darin den Unterabschnitt „SecuReporter“ aus.
Um die Nutzung des Dienstes zu ermöglichen, müssen Sie das Element „SecuReporter aktivieren“ aktivieren. Darüber hinaus lohnt es sich, die Option „Verkehrsprotokoll einbeziehen“ zu verwenden, um Verkehrsprotokolle zu sammeln und zu analysieren.
Abbildung 1. SecuReporter aktivieren.
Der zweite Schritt besteht darin, die Statistikerfassung zuzulassen. Dies erfolgt im Bereich Monitoring (Reiter rechts mit einem Icon in Form eines Monitors).
Gehen Sie als Nächstes zum Abschnitt „UTM-Statistiken“, Unterabschnitt „App Patrol“. Hier müssen Sie die Option Statistiken sammeln aktivieren.
Abbildung 2. Statistikerfassung aktivieren.
Jetzt können Sie sich mit der SecuReporter-Weboberfläche verbinden und den Cloud-Service nutzen.
WICHTIG! SecuReporter verfügt über eine hervorragende Dokumentation im PDF-Format. Sie können es herunterladen unter .
Beschreibung der SecuReporter-Weboberfläche
Es ist hier nicht möglich, alle Funktionen, die SecuReporter einem Sicherheitsadministrator bietet, detailliert zu beschreiben – es sind ziemlich viele davon für einen Artikel.
Daher beschränken wir uns auf eine kurze Beschreibung der Dienste, die der Administrator sieht und womit er ständig arbeitet. Erfahren Sie also, woraus die SecuReporter-Webkonsole besteht.
Karte
In diesem Abschnitt werden die registrierten Geräte mit Angabe der Stadt, des Gerätenamens und der IP-Adresse angezeigt. Zeigt Informationen darüber an, ob das Gerät eingeschaltet ist und wie der Warnstatus lautet. Auf der Bedrohungskarte können Sie die Quelle der von Angreifern verwendeten Pakete und die Häufigkeit der Angriffe sehen.
Dashboard
Kurze Informationen zu den wichtigsten Maßnahmen und eine prägnante analytische Übersicht für den angegebenen Zeitraum. Sie können einen Zeitraum von 7 Tagen bis 1 Stunde angeben.
Abbildung 3. Beispiel für das Erscheinungsbild des Dashboard-Bereichs.
Analyzer
Der Name spricht für sich. Dabei handelt es sich um die Konsole des gleichnamigen Tools, das verdächtigen Datenverkehr für einen ausgewählten Zeitraum diagnostiziert, Trends bei der Entstehung von Bedrohungen erkennt und Informationen über verdächtige Pakete sammelt. Der Analyser ist in der Lage, den häufigsten Schadcode zu verfolgen und zusätzliche Informationen zu Sicherheitsproblemen bereitzustellen.
Abbildung 4. Beispiel für das Erscheinungsbild des Abschnitts „Analysator“.
Bericht
In diesem Abschnitt hat der Benutzer Zugriff auf benutzerdefinierte Berichte mit einer grafischen Oberfläche. Die erforderlichen Informationen können sofort oder zeitgesteuert gesammelt und in einer praktischen Präsentation zusammengestellt werden.
Warnungen
Hier konfigurieren Sie das Warnsystem. Schwellenwerte und unterschiedliche Schweregrade können konfiguriert werden, was die Erkennung von Anomalien und potenziellen Angriffen erleichtert.
Einstellung
Nun, eigentlich sind Einstellungen Einstellungen.
Darüber hinaus ist zu beachten, dass SecuReporter unterschiedliche Schutzrichtlinien bei der Verarbeitung personenbezogener Daten unterstützen kann.
Abschluss
Lokale Methoden zur Analyse sicherheitsrelevanter Statistiken haben sich prinzipiell recht gut bewährt.
Allerdings nehmen Umfang und Schwere der Bedrohungen täglich zu. Das Schutzniveau, das zuvor alle zufriedenstellte, wird mit der Zeit eher schwach.
Zusätzlich zu den aufgeführten Problemen erfordert der Einsatz lokaler Tools einen gewissen Aufwand zur Aufrechterhaltung der Funktionalität (Gerätewartung, Backup usw.). Hinzu kommt das Problem des entfernten Standorts – es ist nicht immer möglich, den Sicherheitsadministrator 24 Stunden am Tag, 7 Tage die Woche im Büro zu halten. Daher müssen Sie den sicheren Zugriff auf das lokale System von außen irgendwie organisieren und selbst warten.
Durch den Einsatz von Cloud-Diensten können Sie solche Probleme vermeiden, indem Sie sich gezielt auf die Aufrechterhaltung des erforderlichen Sicherheitsniveaus und den Schutz vor Eindringlingen sowie Regelverstößen durch Benutzer konzentrieren.
SecuReporter ist nur ein Beispiel für eine erfolgreiche Implementierung eines solchen Dienstes.
Aktion
Ab heute gibt es eine gemeinsame Aktion zwischen Zyxel und unserem Goldpartner X-Com für Käufer von Firewalls, die Secureporter unterstützen:
Nützliche Links
[1] .
[2] auf der Website auf der offiziellen Zyxel-Website.
[3] .
Source: habr.com