Kogenematute inimeste meelest näeb turvaadministraatori töö välja põneva duellina häkkerivastase ja pidevalt korporatiivvõrku tungivate kurjade häkkerite vahel. Ja meie kangelane tõrjub reaalajas hulljulged rünnakud, sisestades osavalt ja kiiresti käske, ning osutub lõpuks suurepäraseks võitjaks.
Täpselt nagu kuninglik musketär, kellel on mõõga ja musketi asemel klaviatuur.
Kuid tegelikult näeb kõik välja tavaline, tagasihoidlik ja isegi, võib öelda, igav.
Üks peamisi analüüsimeetodeid on endiselt sündmuste logide lugemine. Selle teema põhjalik uurimine:
- kes püüdis kust kust sisestada, millisele ressursile ligi pääseda, kuidas tõestas oma õigusi ressursile ligi pääseda;
- millised ebaõnnestumised, vead ja lihtsalt kahtlased kokkusattumused seal olid;
- kes ja kuidas testis süsteemi tugevust, skaneeris porte, valis paroole;
- Ja nii edasi…
No mis kuradit siin romantikat on, jumal hoidku "sa ei maga sõidu ajal".
Et meie spetsialistid oma armastust kunsti vastu täielikult ei kaotaks, on nende jaoks leiutatud vahendid elu lihtsamaks tegemiseks. Need on kõikvõimalikud analüsaatorid (logi parserid), seiresüsteemid kriitilistest sündmustest teavitamisega ja palju muud.
Kui aga võtta mõni hea tööriist ja hakata seda igale seadmele, näiteks Interneti-lüüsile, käsitsi kruvima, pole see nii lihtne, mitte nii mugav ja muuhulgas peavad teil olema lisateadmised täiesti erinevatest alad. Näiteks kuhu selliseks jälgimiseks tarkvara paigutada? Füüsilises serveris, virtuaalmasinas, eriseadmes? Millisel kujul tuleks andmeid säilitada? Kui kasutatakse andmebaasi, siis millist? Kuidas teha varukoopiaid ja kas see on vajalik? Kuidas juhtida? Millist liidest peaksin kasutama? Kuidas süsteemi kaitsta? Millist krüpteerimismeetodit kasutada – ja palju muud.
Palju lihtsam on, kui on olemas teatud ühtne mehhanism, mis võtab enda peale kõigi loetletud küsimuste lahendamise, jättes administraatori tööle rangelt oma spetsiifika raames.
Vastavalt väljakujunenud traditsioonile kutsuda terminit "pilv" kõike, mis antud hostis ei asu, võimaldab Zyxel CNM SecuReporter pilveteenus mitte ainult lahendada paljusid probleeme, vaid pakub ka mugavaid tööriistu.
Mis on Zyxel CNM SecuReporter?
See on intelligentne analüütikateenus andmete kogumise, statistilise analüüsi (korrelatsiooni) ja aruandluse funktsioonidega ZyWALLi liini ja nende Zyxeli seadmete jaoks. See annab võrguadministraatorile tsentraliseeritud ülevaate erinevatest võrgutoimingutest.
Näiteks võivad ründajad proovida tungida turvasüsteemi, kasutades selliseid ründemehhanisme nagu hiiliv, sihipärane и püsivad. SecuReporter tuvastab kahtlase käitumise, mis võimaldab administraatoril ZyWALLi seadistades rakendada vajalikke kaitsemeetmeid.
Loomulikult on turvalisuse tagamine mõeldamatu ilma pideva andmeanalüüsita koos hoiatustega reaalajas. Saate joonistada ilusaid graafikuid nii palju kui soovite, kuid kui administraator ei ole toimuvaga kursis... Ei, seda ei saa SecuReporteriga kindlasti juhtuda!
Mõned küsimused SecuReporteri kasutamise kohta
Analytics
Tegelikult on infoturbe loomise tuum toimuva analüüsimine. Sündmusi analüüsides saab turvaspetsialist ründe õigeaegselt ära hoida või peatada, samuti saada tõendite kogumiseks üksikasjalikku teavet rekonstrueerimiseks.
Mida "pilvearhitektuur" pakub?
See teenus on üles ehitatud tarkvara kui teenusena (SaaS) mudelile, mis muudab skaleerimise lihtsamaks, kasutades kaugserverite, hajutatud andmesalvestussüsteemide ja nii edasi võimsust. Pilvemudeli kasutamine võimaldab abstraheerida riist- ja tarkvara nüanssidest, pühendades kõik oma jõupingutused kaitseteenuse loomisele ja täiustamisele.
See võimaldab kasutajal oluliselt vähendada seadmete ostmise kulusid ladustamiseks, analüüsiks ja juurdepääsu võimaldamiseks ning puudub vajadus tegeleda hooldusprobleemidega nagu varundamine, värskendused, rikete ennetamine jne. Piisab SecuReporterit toetavast seadmest ja vastavast litsentsist.
TÄHTIS! Pilvepõhise arhitektuuriga saavad turbeadministraatorid ennetavalt jälgida võrgu tervist igal ajal ja igal pool. See lahendab probleemi, sealhulgas puhkuse, haiguspuhkuse jms puhul. Juurdepääs seadmetele, näiteks sülearvuti vargus, millelt pääseti ligi SecuReporteri veebiliidesele, ei anna samuti midagi, eeldusel, et selle omanik ei rikkunud turvareegleid, ei salvestanud paroole kohapeal jne.
Pilvehalduse võimalus sobib hästi nii samas linnas asuvatele monoettevõtetele kui ka filiaalidega struktuuridele. Sellist asukohasõltumatust on vaja paljudes tööstusharudes, näiteks teenusepakkujate või tarkvaraarendajate jaoks, kelle äritegevus on jaotatud erinevatesse linnadesse.
Räägime palju analüüsivõimalustest, kuid mida see tähendab?
Need on erinevad analüüsitööriistad, näiteks sündmuste sageduse kokkuvõtted, teatud sündmuse 100 peamise (tegeliku ja väidetava) ohvri nimekirjad, logid, mis näitavad konkreetseid rünnaku sihtmärke jne. Kõik, mis aitab administraatoril tuvastada varjatud trende ja tuvastada kasutajate või teenuste kahtlast käitumist.
Aga aruandlus?
SecuReporter võimaldab teil kohandada aruande vormi ja seejärel saada tulemuse PDF-vormingus. Loomulikult võite soovi korral aruandesse manustada oma logo, aruande pealkirja, viiteid või soovitusi. Aruandeid on võimalik koostada päringu ajal või ajakava järgi, näiteks kord päevas, nädalas või kuus.
Saate konfigureerida hoiatuste väljastamise, võttes arvesse võrgu infrastruktuuri liikluse eripära.
Kas on võimalik vähendada siseringi või lihtsalt läpaka ohtu?
Spetsiaalne User Partly Quotient tööriist võimaldab administraatoril kiiresti tuvastada riskantsed kasutajad, ilma täiendava pingutuseta ja võttes arvesse sõltuvust erinevate võrgulogide või sündmuste vahel.
See tähendab, et viiakse läbi kõigi sündmuste ja liikluse põhjalik analüüs, mis on seotud end kahtlasena näidanud kasutajatega.
Millised muud punktid on SecuReporteri jaoks tüüpilised?
Lihtne seadistamine lõppkasutajatele (turvaadministraatoritele).
SecuReporteri aktiveerimine pilves toimub lihtsa häälestusprotseduuri kaudu. Pärast seda antakse administraatoritele kohe juurdepääs kõikidele andmetele, analüüsi- ja aruandlustööriistadele.
Mitu rentnikku ühel pilveplatvormil – saate kohandada oma analüüsi iga kliendi jaoks. Jällegi, kuna teie kliendibaas suureneb, võimaldab pilvearhitektuur teil oma juhtimissüsteemi hõlpsalt kohandada, ilma et peaksite tõhusust ohverdama.
Andmekaitse seadused
TÄHTIS! Zyxel on väga tundlik rahvusvaheliste ja kohalike seaduste ja muude isikuandmete kaitset puudutavate määruste suhtes, sealhulgas GDPR ja OECD privaatsuspõhimõtted. Toetab 27.07.2006. juuli 152. aasta föderaalseadus "Isikuandmete kohta" nr XNUMX-FZ.
Vastavuse tagamiseks on SecuReporteril kolm sisseehitatud privaatsuskaitse valikut:
- mitteanonüümsed andmed – isikuandmed on täielikult tuvastatud analüsaatoris, aruannetes ja allalaaditavates arhiivilogides;
- osaliselt anonüümne – isikuandmed asendatakse arhiivilogides nende tehisidentifikaatoritega;
- täiesti anonüümne – isikuandmed on analüsaatoris, aruannetes ja allalaaditavates arhiivilogides täielikult anonüümseks muudetud.
Kuidas lubada SecuReporter oma seadmes?
Vaatame ZyWall seadme näidet (sel juhul on meil ZyWall 1100). Minge seadete jaotisesse (paremal olev vahekaart kahe käigu kujul oleva ikooniga). Järgmisena avage jaotis Cloud CNM ja valige selles alamjaotis SecuReporter.
Teenuse kasutamise lubamiseks tuleb aktiveerida element Enable SecuReporter. Lisaks tasub liikluslogide kogumiseks ja analüüsimiseks kasutada valikut Include Traffic Log.
Joonis 1. SecuReporteri lubamine.
Teine samm on statistika kogumise lubamine. Seda tehakse jaotises Monitoring (paremal olev vahekaart monitori kujul oleva ikooniga).
Järgmisena minge jaotisse UTM-i statistika, rakenduste patrulli alamjaotis. Siin tuleb aktiveerida suvand Koguda statistikat.
Joonis 2. Statistika kogumise lubamine.
See on kõik, saate luua ühenduse SecuReporteri veebiliidesega ja kasutada pilveteenust.
TÄHTIS! SecuReporteril on suurepärane dokumentatsioon PDF-vormingus. Saate selle alla laadida aadressilt .
SecuReporteri veebiliidese kirjeldus
Siin ei ole võimalik üksikasjalikult kirjeldada kõiki funktsioone, mida SecuReporter turvaadministraatorile pakub - neid on ühe artikli jaoks üsna palju.
Seetõttu piirdume lühikirjeldusega teenustest, mida administraator näeb ja millega ta pidevalt töötab. Niisiis, saage teada, millest SecuReporteri veebikonsool koosneb.
Kaart
Selles jaotises kuvatakse registreeritud seadmed, näidates ära linna, seadme nime ja IP-aadressi. Kuvab teavet selle kohta, kas seade on sisse lülitatud ja milline on hoiatuse olek. Ohukaardil näete ründajate kasutatavate pakettide allikat ja rünnakute sagedust.
armatuurlaud
Lühike teave peamiste tegevuste kohta ja lühike analüütiline ülevaade määratud perioodi kohta. Saate määrata ajavahemiku 7 päeva kuni 1 tund.
Joonis 3. Näide armatuurlaua jaotise välimusest.
Analyzer
Nimi räägib enda eest. See on samanimelise tööriista konsool, mis diagnoosib valitud perioodi kahtlast liiklust, tuvastab ohtude ilmnemise trendid ja kogub teavet kahtlaste pakettide kohta. Analyzer suudab jälgida kõige levinumat pahatahtlikku koodi ning anda lisateavet turvaprobleemide kohta.
Joonis 4. Analüsaatori sektsiooni välimuse näide.
Aruanne
Selles jaotises on kasutajal juurdepääs kohandatud aruannetele graafilise liidesega. Vajaliku teabe saab koguda ja koondada mugavaks esitluseks kohe või ajakava alusel.
Märguanded
Siin saate konfigureerida hoiatussüsteemi. Läviväärtusi ja erinevaid raskusastmeid saab konfigureerida, mis teeb kõrvalekaldeid ja võimalikke rünnakuid lihtsamaks tuvastada.
Seadistamine
Tegelikult on seaded seaded.
Lisaks väärib märkimist, et SecuReporter võib isikuandmete töötlemisel toetada erinevaid kaitsepoliitikaid.
Järeldus
Kohalikud meetodid turvalisusega seotud statistika analüüsimiseks on end põhimõtteliselt üsna hästi tõestanud.
Ohtude ulatus ja raskusaste suureneb aga iga päevaga. Varem kõiki rahuldanud kaitsetase muutub mõne aja pärast üsna nõrgaks.
Lisaks loetletud probleemidele nõuab kohalike tööriistade kasutamine teatud pingutusi funktsionaalsuse säilitamiseks (seadmete hooldus, varundamine jne). Probleemiks on ka kaugasutamine – turvaadministraatorit ei ole alati võimalik ööpäevaringselt 24 päeva nädalas kontoris hoida. Seetõttu peate kuidagi korraldama turvalise juurdepääsu kohalikule süsteemile väljastpoolt ja seda ise hooldama.
Pilveteenuste kasutamine võimaldab selliseid probleeme vältida, keskendudes eelkõige vajaliku turvataseme säilitamisele ja kaitsele sissetungimise ning kasutajatepoolsete reeglite rikkumiste eest.
SecuReporter on vaid näide sellise teenuse edukast rakendamisest.
tegevus
Alates tänasest toimub Zyxeli ja meie Gold Partner X-Comi vahel ühine kampaania Secureporterit toetavate tulemüüride ostjatele:
Kasulikud lingid
[1] .
[2] Zyxeli ametlikul veebisaidil.
[3] .
Allikas: www.habr.com