En la mensoj de nespertaj homoj, la laboro de sekureca administranto aspektas kiel ekscita duelo inter kontraŭ-hakisto kaj malbonaj hakistoj, kiuj konstante invadas la kompanian reton. Kaj nia heroo, en reala tempo, forpuŝas aŭdacajn atakojn per lerte kaj rapide enirante komandojn kaj finfine aperas kiel brila gajninto.
Same kiel reĝa muskedisto kun klavaro anstataŭ glavo kaj musketo.
Sed fakte ĉio aspektas ordinara, senpretenda, kaj eĉ, oni povus diri, enuiga.
Unu el la ĉefaj metodoj de analizo ankoraŭ legas eventojn. Detala studo pri la temo:
- kiu provis eniri de kie de kie, kian rimedon ili provis aliri, kiel ili pruvis siajn rajtojn aliri la rimedon;
- kiaj malsukcesoj, eraroj kaj simple suspektindaj koincidoj estis;
- kiu kaj kiel testis la sistemon pri forto, skanitaj havenoj, elektitaj pasvortoj;
- Kaj tiel plu kaj tiel plu...
Nu, kio diable estas am-afero ĉi tie, Dio gardu "vi ne endormiĝas dum veturado."
Por ke niaj specialistoj ne tute perdu sian amon al arto, iloj estas inventitaj por ili por faciligi la vivon. Ĉi tiuj estas ĉiaj analiziloj (log-analiziloj), monitoraj sistemoj kun sciigo pri kritikaj eventoj, kaj multe pli.
Tamen, se vi prenas bonan ilon kaj komencas ŝraŭbi ĝin permane al ĉiu aparato, ekzemple, Interreta enirejo, ĝi ne estos tiel simpla, ne tiel oportuna, kaj, interalie, vi devas havi pliajn scion de tute malsama. areoj. Ekzemple, kie loki programaron por tia monitorado? Sur fizika servilo, virtuala maŝino, speciala aparato? En kia formo la datumoj estu konservitaj? Se oni uzas datumbazon, kiu? Kiel fari sekurkopiojn kaj ĉu necesas plenumi ilin? Kiel administri? Kiun interfacon mi uzu? Kiel protekti la sistemon? Kiun ĉifradan metodon uzi - kaj multe pli.
Estas multe pli simple kiam ekzistas certa unueca mekanismo, kiu prenas sur sin la solvon de ĉiuj listigitaj aferoj, lasante la administranton labori strikte en la kadro de siaj specifaĵoj.
Laŭ la establita tradicio nomi la terminon "nubo" ĉion, kio ne troviĝas sur difinita gastiganto, la nuba servo Zyxel CNM SecuReporter permesas vin ne nur solvi multajn problemojn, sed ankaŭ provizas oportunajn ilojn.
Kio estas Zyxel CNM SecuReporter?
Ĉi tio estas inteligenta analiza servo kun funkcioj de kolekto de datumoj, statistika analizo (korelacio) kaj raportado por Zyxel-ekipaĵo de la linio ZyWALL kaj ilia. Ĝi provizas la retan administranton kun centralizita vido de diversaj agadoj en la reto.
Ekzemple, atakantoj povas provi eniri en sekurecan sistemon uzante atakmekanismojn kiel ŝtele, celita и persisti. SecuReporter detektas suspektindan konduton, kio permesas al la administranto preni la necesajn protektajn mezurojn agordante ZyWALL.
Kompreneble, certigi sekurecon estas nepensebla sen konstanta datuma analizo kun avertoj en reala tempo. Vi povas desegni belajn grafikaĵojn kiom vi volas, sed se la administranto ne konscias pri tio, kio okazas... Ne, tio certe ne povas okazi kun SecuReporter!
Kelkaj demandoj pri uzado de SecuReporter
Analitiko
Fakte, analizo de kio okazas estas la kerno de konstruado de informa sekureco. Analizante eventojn, sekureca specialisto povas malhelpi aŭ ĉesigi atakon ĝustatempe, kaj ankaŭ akiri detalajn informojn por rekonstruo por kolekti pruvojn.
Kion provizas "nuba arkitekturo"?
Ĉi tiu servo estas konstruita laŭ la modelo de Programaro kiel Servo (SaaS), kiu faciligas grimpi uzante la potencon de foraj serviloj, distribuitaj datumstokaj sistemoj ktp. La uzo de la nuba modelo permesas vin abstrakti de aparataro kaj programaro nuancoj, dediĉante ĉiujn viajn klopodojn por krei kaj plibonigi la protektoservon.
Ĉi tio permesas al la uzanto signife redukti la koston de aĉeto de ekipaĵo por stokado, analizo kaj provizo de aliro, kaj ne necesas trakti prizorgajn aferojn kiel sekurkopiojn, ĝisdatigojn, preventadon de malsukcesoj ktp. Sufiĉas havi aparaton kiu subtenas SecuReporter kaj la taŭgan permesilon.
GRAVA! Kun nub-bazita arkitekturo, sekurecaj administrantoj povas proaktive monitori retan sanon iam ajn kaj ie ajn. Ĉi tio solvas la problemon, inkluzive kun ferioj, malsanforpermeso, ktp. Aliro al ekipaĵo, ekzemple, ŝtelo de tekokomputilo de kiu la interfaco de SecuReporter estis alirita, ankaŭ ne donos ion ajn, kondiĉe ke ĝia posedanto ne malobservis sekurecajn regulojn, ne stokis pasvortojn loke, ktp.
La opcio pri nuba administrado taŭgas por ambaŭ unu-kompanioj situantaj en la sama urbo kaj strukturoj kun branĉoj. Tia loksendependeco estas bezonata en diversaj industrioj, ekzemple, por provizantoj de servoj aŭ programistoj, kies komerco estas distribuita tra malsamaj urboj.
Ni multe parolas pri la ebloj de analizo, sed kion tio signifas?
Ĉi tiuj estas diversaj analizaj iloj, ekzemple, resumoj de la ofteco de eventoj, listoj de la Supraj 100 ĉefaj (realaj kaj supozitaj) viktimoj de certa evento, protokoloj indikante specifajn celojn por atako, ktp. Ĉio, kio helpas la administranton identigi kaŝitajn tendencojn kaj identigi suspektindan konduton de uzantoj aŭ servoj.
Kio pri raportado?
SecuReporter permesas al vi personecigi la raportformularon kaj poste ricevi la rezulton en PDF-formato. Kompreneble, se vi deziras, vi povas enmeti vian emblemon, raporttitolon, referencojn aŭ rekomendojn en la raporton. Eblas krei raportojn en la momento de peto aŭ laŭ horaro, ekzemple, unufoje tage, semajnon aŭ monaton.
Vi povas agordi la emision de avertoj konsiderante la specifaĵoj de trafiko ene de la reto-infrastrukturo.
Ĉu eblas redukti la danĝeron de internuloj aŭ simple sloboj?
La speciala ilo de Uzanto Parte Kvociento permesas al la administranto rapide identigi riskajn uzantojn, sen plia peno kaj konsiderante la dependecon inter malsamaj retaj protokoloj aŭ eventoj.
Tio estas, profunda analizo de ĉiuj eventoj kaj trafiko, kiuj estas asociitaj kun uzantoj, kiuj montris sin suspektindaj.
Kiuj aliaj punktoj estas tipaj por SecuReporter?
Facila agordo por finaj uzantoj (sekurecaj administrantoj).
Aktivigo de SecuReporter en la nubo okazas per simpla agorda proceduro. Post ĉi tio, administrantoj tuj ricevas aliron al ĉiuj datumoj, analizoj kaj raportaj iloj.
Pluraj Luantoj sur ununura nuba platformo - vi povas agordi viajn analizojn por ĉiu kliento. Denove, ĉar via klientbazo pliiĝas, la nuba arkitekturo permesas al vi facile adapti vian kontrolsistemon sen oferi efikecon.
Leĝoj pri protekto de datumoj
GRAVA! Zyxel estas tre sentema al internaciaj kaj lokaj leĝoj kaj aliaj regularoj koncerne la protekton de personaj datumoj, inkluzive de la GDPR kaj OECD Privateca Principoj. Subtenata de la Federacia Leĝo "Pri Personaj Datumoj" datita la 27.07.2006-an de julio 152 n-ro XNUMX-FZ.
Por certigi konformecon, SecuReporter havas tri enkonstruitajn privatecan protekton:
- ne-anonimaj datumoj - personaj datumoj estas plene identigitaj en Analizilo, Raporto kaj elŝuteblaj Arkivaj Registroj;
- parte anonimaj - personaj datumoj estas anstataŭigitaj per siaj artefaritaj identigiloj en Arkivaj Protokoloj;
- tute anonimaj - personaj datumoj estas tute anonimigitaj en Analizilo, Raporto kaj elŝuteblaj Arkivaj Registroj.
Kiel mi ebligas SecuReporter sur mia aparato?
Ni rigardu la ekzemplon de ZyWall-aparato (en ĉi tiu kazo ni havas ZyWall 1100). Iru al la sekcio de agordoj (langeto dekstre kun ikono en formo de du dentaĵoj). Poste, malfermu la sekcion Cloud CNM kaj elektu la subsekcion SecuReporter en ĝi.
Por permesi la uzadon de la servo, vi devas aktivigi la elementon Enable SecuReporter. Aldone, indas uzi la opcion Inkluzivi Trafikan Protokolon por kolekti kaj analizi trafikajn protokolojn.
Figuro 1. Ebligi SecuReporter.
La dua paŝo estas permesi statistikan kolekton. Ĉi tio estas farita en la sekcio Monitorado (langeto dekstre kun ikono en formo de monitoro).
Poste, iru al la sekcio de UTM-Statistiko, subsekcio App Patrol. Ĉi tie vi devas aktivigi la opcion Kolekti Statistiko.
Figuro 2. Ebligo de statistika kolekto.
Jen ĝi, vi povas konektiĝi al la retinterfaco de SecuReporter kaj uzi la nuban servon.
GRAVA! SecuReporter havas bonegan dokumentadon en formato PDF. Vi povas elŝuti ĝin de .
Priskribo de la retinterfaco de SecuReporter
Ne eblos doni ĉi tie detalan priskribon de ĉiuj funkcioj, kiujn SecuReporter disponigas al sekureca administranto - estas sufiĉe multe da ili por unu artikolo.
Tial ni limigos nin al mallonga priskribo de la servoj kiujn la administranto vidas kaj kun kio li laboras konstante. Do, sciu el kio konsistas la retkonzolo SecuReporter.
Mapo
Ĉi tiu sekcio montras la registritan ekipaĵon, indikante la urbon, aparatan nomon kaj IP-adreson. Montras informojn pri ĉu la aparato estas ŝaltita kaj kia estas la averta stato. Sur la Minaca Mapo vi povas vidi la fonton de pakoj uzataj de atakantoj kaj la ofteco de atakoj.
Dashboard
Mallongaj informoj pri la ĉefaj agoj kaj konciza analiza superrigardo por la specifita periodo. Vi povas specifi periodon de 7 tagoj ĝis 1 horo.
Figuro 3. Ekzemplo de la aspekto de la Dashboard-sekcio.
Analizilo
La nomo parolas por si mem. Ĉi tiu estas la konzolo de la samnoma ilo, kiu diagnozas suspektindan trafikon por elektita periodo, identigas tendencojn en la apero de minacoj kaj kolektas informojn pri suspektindaj pakoj. Analizilo kapablas spuri la plej oftan malican kodon, kaj ankaŭ provizi pliajn informojn pri sekurecaj problemoj.
Figuro 4. Ekzemplo de la aspekto de la sekcio Analizilo.
Raporto
En ĉi tiu sekcio, la uzanto havas aliron al kutimaj raportoj kun grafika interfaco. La bezonataj informoj povas esti kolektitaj kaj kompilitaj en oportunan prezenton tuj aŭ laŭplane.
Atentigoj
Ĉi tie vi agordas la avertan sistemon. Sojloj kaj malsamaj severecniveloj povas esti agorditaj, faciligante identigi anomaliojn kaj eblajn atakojn.
Agordo
Nu, fakte, agordoj estas agordoj.
Aldone, indas noti, ke SecuReporter povas subteni malsamajn protektopolitikojn dum prilaborado de personaj datumoj.
konkludo
Lokaj metodoj por analizi sekurec-rilatajn statistikojn principe pruvis sin sufiĉe bone.
Tamen, la gamo kaj severeco de minacoj pliiĝas ĉiutage. La nivelo de protekto, kiu antaŭe kontentigis ĉiujn, fariĝas sufiĉe malforta post iom da tempo.
Krom la listigitaj problemoj, la uzo de lokaj iloj postulas certajn klopodojn por konservi funkciecon (ekipaĵprizorgado, sekurkopio, ktp). Ekzistas ankaŭ la problemo de fora loko - ne ĉiam eblas teni la sekurecan administranton en la oficejo 24 horojn, 7 tagojn semajne. Tial vi devas iel organizi sekuran aliron al la loka sistemo de ekstere kaj konservi ĝin mem.
La uzo de nubaj servoj permesas eviti tiajn problemojn, fokusante specife pri konservado de la bezonata nivelo de sekureco kaj protekto kontraŭ entrudiĝoj, kaj ankaŭ malobservojn de reguloj de uzantoj.
SecuReporter estas nur ekzemplo de sukcesa efektivigo de tia servo.
Specialaĵoj
Ekde hodiaŭ, ekzistas komuna reklamado inter Zyxel kaj nia Gold Partner X-Com por aĉetantoj de fajroŝirmiloj, kiuj subtenas Secureporter:
utilaj ligoj
[1] .
[2] en la retejo de la oficiala retejo de Zyxel.
[3] .
fonto: www.habr.com