En la mente de las personas sin experiencia, el trabajo de un administrador de seguridad parece un emocionante duelo entre un anti-hacker y piratas informáticos malvados que invaden constantemente la red corporativa. Y nuestro héroe, en tiempo real, repele ataques atrevidos ingresando órdenes con destreza y rapidez y, finalmente, emerge como un brillante ganador.
Como un mosquetero real con un teclado en lugar de espada y mosquete.
Pero en realidad todo parece normal, sin pretensiones e incluso, se podría decir, aburrido.
Uno de los principales métodos de análisis sigue siendo la lectura de registros de eventos. Estudio exhaustivo sobre el tema:
- quién intentó ingresar, dónde y desde dónde, a qué recurso intentó acceder, cómo demostró sus derechos para acceder al recurso;
- qué fracasos, errores y coincidencias simplemente sospechosas hubo;
- quién y cómo probó la solidez del sistema, escaneó puertos, seleccionó contraseñas;
- Y así sucesivamente y así sucesivamente…
Bueno, ¿qué diablos es el romance aquí? Dios no permita que "no te quedes dormido mientras conduces".
Para que nuestros especialistas no pierdan por completo el amor por el arte, se les inventan herramientas que les hacen la vida más fácil. Se trata de todo tipo de analizadores (analizadores de registros), sistemas de seguimiento con notificación de eventos críticos y mucho más.
Sin embargo, si toma una buena herramienta y comienza a atornillarla manualmente a cada dispositivo, por ejemplo, una puerta de enlace de Internet, no será tan simple, no tan conveniente y, entre otras cosas, necesitará tener conocimientos adicionales de completamente diferentes. áreas. Por ejemplo, ¿dónde colocar el software para dicho seguimiento? ¿En un servidor físico, máquina virtual, dispositivo especial? ¿De qué forma deben almacenarse los datos? Si se utiliza una base de datos, ¿cuál? ¿Cómo realizar copias de seguridad y es necesario realizarlas? ¿Como administrar? ¿Qué interfaz debo usar? ¿Cómo proteger el sistema? Qué método de cifrado utilizar y mucho más.
Es mucho más sencillo cuando existe un mecanismo unificado que se encarga de resolver todas las cuestiones enumeradas, dejando que el administrador trabaje estrictamente dentro del marco de sus especificidades.
De acuerdo con la tradición establecida de llamar al término "nube" todo lo que no está ubicado en un host determinado, el servicio en la nube Zyxel CNM SecuReporter le permite no solo resolver muchos problemas, sino que también proporciona herramientas convenientes.
¿Qué es Zyxel CNM SecuReporter?
Este es un servicio de análisis inteligente con funciones de recopilación de datos, análisis estadístico (correlación) y generación de informes para equipos Zyxel de la línea ZyWALL y los suyos. Proporciona al administrador de la red una vista centralizada de diversas actividades en la red.
Por ejemplo, los atacantes pueden intentar ingresar a un sistema de seguridad utilizando mecanismos de ataque como sigiloso, dirigido и persistente. SecuReporter detecta comportamientos sospechosos, lo que permite al administrador tomar las medidas de protección necesarias configurando ZyWALL.
Por supuesto, garantizar la seguridad es impensable sin un análisis constante de datos con advertencias en tiempo real. Puedes dibujar hermosos gráficos tanto como quieras, pero si el administrador no está al tanto de lo que está sucediendo... ¡No, esto definitivamente no puede suceder con SecuReporter!
Algunas preguntas sobre el uso de SecuReporter
Analítica
En realidad, el análisis de lo que está sucediendo es el núcleo de la construcción de seguridad de la información. Al analizar los eventos, un especialista en seguridad puede prevenir o detener un ataque a tiempo, así como obtener información detallada para su reconstrucción con el fin de recolectar evidencia.
¿Qué aporta la “arquitectura en la nube”?
Este servicio se basa en el modelo de software como servicio (SaaS), lo que facilita la escalabilidad utilizando la potencia de servidores remotos, sistemas de almacenamiento de datos distribuidos, etc. El uso del modelo en la nube le permite abstraerse de los matices de hardware y software, dedicando todos sus esfuerzos a crear y mejorar el servicio de protección.
Esto permite al usuario reducir significativamente el costo de compra de equipos para almacenamiento, análisis y provisión de acceso, y no es necesario lidiar con problemas de mantenimiento como copias de seguridad, actualizaciones, prevención de fallas, etc. Basta con tener un dispositivo compatible con SecuReporter y la licencia adecuada.
IMPORTANTE! Con una arquitectura basada en la nube, los administradores de seguridad pueden monitorear de manera proactiva el estado de la red en cualquier momento y lugar. Esto resuelve el problema, incluso con vacaciones, bajas por enfermedad, etc. El acceso al equipo, por ejemplo, el robo de una computadora portátil desde la cual se accedió a la interfaz web de SecuReporter, tampoco arrojará nada, siempre que su propietario no haya violado las reglas de seguridad, no haya almacenado contraseñas localmente, etc.
La opción de gestión en la nube es adecuada tanto para monoempresas ubicadas en la misma ciudad como para estructuras con sucursales. Esta independencia de ubicación es necesaria en una variedad de industrias, por ejemplo, para los proveedores de servicios o desarrolladores de software cuyo negocio está distribuido en diferentes ciudades.
Hablamos mucho de las posibilidades de análisis, pero ¿qué significa esto?
Se trata de diversas herramientas de análisis, por ejemplo, resúmenes de la frecuencia de los eventos, listas de las 100 principales víctimas (reales y supuestas) de un determinado evento, registros que indican objetivos específicos de ataque, etc. Todo lo que ayude al administrador a identificar tendencias ocultas e identificar comportamientos sospechosos de usuarios o servicios.
¿Qué pasa con los informes?
SecuReporter le permite personalizar el formulario del informe y luego recibir el resultado en formato PDF. Por supuesto, si lo desea, puede insertar su logotipo, título del informe, referencias o recomendaciones en el informe. Es posible crear informes en el momento de la solicitud o en un cronograma, por ejemplo, una vez al día, semana o mes.
Puede configurar la emisión de advertencias teniendo en cuenta las características específicas del tráfico dentro de la infraestructura de la red.
¿Es posible reducir el peligro de los iniciados o simplemente de los vagos?
La herramienta especial User Partially Quotient permite al administrador identificar rápidamente a los usuarios de riesgo, sin esfuerzo adicional y teniendo en cuenta la dependencia entre diferentes registros o eventos de red.
Es decir, se realiza un análisis en profundidad de todos los eventos y tráfico que están asociados a usuarios que se han mostrado sospechosos.
¿Qué otros puntos son típicos de SecuReporter?
Fácil configuración para usuarios finales (administradores de seguridad).
La activación de SecuReporter en la nube se produce mediante un sencillo procedimiento de configuración. Después de esto, los administradores tienen acceso inmediato a todos los datos, herramientas de análisis y generación de informes.
Multiinquilinos en una única plataforma en la nube: puede personalizar sus análisis para cada cliente. Nuevamente, a medida que aumenta su base de clientes, la arquitectura de la nube le permite adaptar fácilmente su sistema de control sin sacrificar la eficiencia.
Leyes de protección de datos
¡IMPORTANTE! Zyxel es muy sensible a las leyes locales e internacionales y otras regulaciones relacionadas con la protección de datos personales, incluido el RGPD y los principios de privacidad de la OCDE. Respaldado por la Ley Federal “Sobre Datos Personales” de 27.07.2006 de julio de 152 No. XNUMX-FZ.
Para garantizar el cumplimiento, SecuReporter tiene tres opciones de protección de privacidad integradas:
- datos no anónimos: los datos personales están completamente identificados en el Analizador, el Informe y los Registros de archivo descargables;
- parcialmente anónimo: los datos personales se reemplazan con sus identificadores artificiales en los registros de archivo;
- Completamente anónimo: los datos personales se anonimizan completamente en el Analizador, el Informe y los Registros de archivo descargables.
¿Cómo habilito SecuReporter en mi dispositivo?
Veamos el ejemplo de un dispositivo ZyWall (en este caso tenemos un ZyWall 1100). Ve al apartado de configuración (pestaña a la derecha con un icono en forma de dos engranajes). A continuación, abra la sección Cloud CNM y seleccione la subsección SecuReporter en ella.
Para permitir el uso del servicio, debe activar el elemento Habilitar SecuReporter. Además, vale la pena utilizar la opción Incluir registro de tráfico para recopilar y analizar registros de tráfico.
Figura 1. Habilitación de SecuReporter.
El segundo paso es permitir la recopilación de estadísticas. Esto se hace en la sección Monitoreo (pestaña a la derecha con un ícono en forma de monitor).
A continuación, vaya a la sección Estadísticas UTM, subsección App Patrol. Aquí debe activar la opción Recopilar estadísticas.
Figura 2. Habilitación de la recopilación de estadísticas.
Eso es todo, puede conectarse a la interfaz web de SecuReporter y utilizar el servicio en la nube.
IMPORTANTE! SecuReporter tiene una excelente documentación en formato PDF. Puedes descargarlo desde .
Descripción de la interfaz web de SecuReporter
No será posible dar aquí una descripción detallada de todas las funciones que SecuReporter proporciona a un administrador de seguridad; hay bastantes para un artículo.
Por tanto, nos limitaremos a una breve descripción de los servicios que ve el administrador y con qué trabaja constantemente. Entonces, conozca en qué consiste la consola web de SecuReporter.
Mapa
Esta sección muestra el equipo registrado, indicando la ciudad, nombre del dispositivo y dirección IP. Muestra información sobre si el dispositivo está encendido y cuál es el estado de advertencia. En el Mapa de amenazas puede ver el origen de los paquetes utilizados por los atacantes y la frecuencia de los ataques.
Panel De Control
Breve información sobre las principales acciones y una descripción analítica concisa para el período especificado. Puede especificar un período de 7 días a 1 hora.
Figura 3. Ejemplo de apariencia de la sección Dashboard.
Analizador
El nombre habla por sí solo. Se trata de la consola de la herramienta del mismo nombre, que diagnostica el tráfico sospechoso durante un período seleccionado, identifica tendencias en la aparición de amenazas y recopila información sobre paquetes sospechosos. Analyzer puede rastrear el código malicioso más común, así como proporcionar información adicional sobre problemas de seguridad.
Figura 4. Ejemplo de apariencia de la sección Analizador.
Informe
En esta sección el usuario tiene acceso a informes personalizados con una interfaz gráfica. La información requerida se puede recopilar y compilar en una presentación conveniente de forma inmediata o programada.
Alertas
Aquí es donde configuras el sistema de alerta. Se pueden configurar umbrales y diferentes niveles de gravedad, lo que facilita la identificación de anomalías y posibles ataques.
Configuración
Bueno, en realidad, las configuraciones son configuraciones.
Además, cabe señalar que SecuReporter puede admitir diferentes políticas de protección al procesar datos personales.
Conclusión
Los métodos locales para analizar estadísticas relacionadas con la seguridad, en principio, han demostrado su eficacia.
Sin embargo, la variedad y gravedad de las amenazas aumentan cada día. El nivel de protección que antes satisfacía a todo el mundo se vuelve bastante débil después de un tiempo.
Además de los problemas enumerados, el uso de herramientas locales requiere ciertos esfuerzos para mantener la funcionalidad (mantenimiento del equipo, respaldo, etc.). También existe el problema de la ubicación remota: no siempre es posible mantener al administrador de seguridad en la oficina las 24 horas, los 7 días de la semana. Por lo tanto, debe organizar de alguna manera el acceso seguro al sistema local desde el exterior y mantenerlo usted mismo.
El uso de servicios en la nube le permite evitar este tipo de problemas, centrándose específicamente en mantener el nivel requerido de seguridad y protección contra intrusiones, así como violaciones de las reglas por parte de los usuarios.
SecuReporter es sólo un ejemplo de una implementación exitosa de dicho servicio.
acción
A partir de hoy, hay una promoción conjunta entre Zyxel y nuestro Gold Partner X-Com para compradores de firewalls compatibles con Secureporter:
Enlaces de interés
[ 1 ] .
[ 2 ] en el sitio web en el sitio web oficial de Zyxel.
[ 3 ] .
Fuente: habr.com