در ذهن افراد بی تجربه، کار یک مدیر امنیتی مانند یک دوئل هیجان انگیز بین یک ضد هکر و هکرهای شیطانی است که دائماً به شبکه شرکت حمله می کنند. و قهرمان ما، در زمان واقعی، با وارد کردن ماهرانه و سریع دستورات، حملات جسورانه را دفع می کند و در نهایت به عنوان یک برنده درخشان ظاهر می شود.
درست مثل یک تفنگدار سلطنتی با کیبورد به جای شمشیر و تفنگ.
اما در واقعیت، همه چیز عادی، بی تکلف و حتی، شاید بتوان گفت، خسته کننده به نظر می رسد.
یکی از روشهای اصلی تجزیه و تحلیل، خواندن گزارشهای رویداد است. مطالعه کامل در مورد موضوع:
- چه کسی سعی کرد از کجا وارد شود، از کجا، به چه منبعی دسترسی داشته باشد، چگونه حقوق خود را برای دسترسی به منبع ثابت کرد.
- چه شکست ها، خطاها و تصادفات مشکوکی وجود داشت.
- چه کسی و چگونه سیستم را برای قدرت، پورت های اسکن شده، رمزهای عبور انتخاب شده آزمایش کرد.
- و به همین ترتیب، و غیره…
خوب، اینجا چه عاشقانه است، خدای ناکرده در رانندگی خوابتان نبرد.
برای اینکه متخصصان ما عشق خود را به هنر به طور کامل از دست ندهند، ابزارهایی برای آنها اختراع می شود تا زندگی را آسان تر کنند. اینها انواع تحلیلگرها (تجزیه کننده های ورود به سیستم)، سیستم های نظارتی با اطلاع رسانی رویدادهای مهم و موارد دیگر هستند.
با این حال، اگر یک ابزار خوب را بردارید و شروع به پیچاندن آن به صورت دستی به هر دستگاه، به عنوان مثال، یک دروازه اینترنتی کنید، آنقدر ساده و راحت نخواهد بود، و از جمله موارد دیگر، باید دانش اضافی از کاملاً متفاوت داشته باشید. مناطق. به عنوان مثال، نرم افزار برای چنین نظارتی را کجا قرار دهیم؟ در سرور فیزیکی، ماشین مجازی، دستگاه خاص؟ داده ها به چه شکلی باید ذخیره شوند؟ اگر از پایگاه داده استفاده می شود، کدام یک؟ چگونه می توانم پشتیبان گیری انجام دهم و آیا باید آنها را انجام دهم؟ چگونه مدیریت کنیم؟ از کدام رابط استفاده کنم؟ چگونه از سیستم محافظت کنیم؟ از کدام روش رمزگذاری استفاده شود - و خیلی بیشتر.
هنگامی که یک مکانیسم یکپارچه خاص وجود دارد که حل تمام موارد ذکر شده را به عهده می گیرد بسیار ساده تر است و مدیر را به کار می گذارد تا دقیقاً در چارچوب مشخصات خود کار کند.
با توجه به سنت رایج نامیدن اصطلاح "ابر" هر چیزی که در یک میزبان مشخص قرار ندارد، سرویس ابری Zyxel CNM SecuReporter به شما امکان می دهد نه تنها بسیاری از مشکلات را حل کنید، بلکه ابزارهای مناسبی را نیز ارائه می دهد.
Zyxel CNM SecuReporter چیست؟
این یک سرویس تجزیه و تحلیل هوشمند با توابع جمع آوری داده ها، تجزیه و تحلیل آماری (همبستگی) و گزارش برای تجهیزات Zyxel خط ZyWALL و آنها است. این یک دید متمرکز از فعالیت های مختلف در شبکه را در اختیار مدیر شبکه قرار می دهد.
برای مثال، مهاجمان ممکن است سعی کنند با استفاده از مکانیسمهای حمله به یک سیستم امنیتی نفوذ کنند مخفیانه، هدفمند и ادامه. SecuReporter رفتار مشکوک را شناسایی می کند، که به مدیر اجازه می دهد با پیکربندی ZyWALL اقدامات حفاظتی لازم را انجام دهد.
البته، تضمین امنیت بدون تجزیه و تحلیل مداوم داده ها با هشدار در زمان واقعی غیرقابل تصور است. شما می توانید نمودارهای زیبایی را هر چقدر که دوست دارید ترسیم کنید، اما اگر مدیر از آنچه در حال رخ دادن است آگاه نباشد ... نه، قطعاً با SecuReporter این اتفاق نمی افتد!
چند سوال در مورد استفاده از SecuReporter
علم تجزیه و تحلیل
در واقع، تجزیه و تحلیل آنچه در حال رخ دادن است، هسته اصلی امنیت اطلاعات ساختمان است. با تجزیه و تحلیل رویدادها، یک متخصص امنیتی می تواند از حمله به موقع جلوگیری یا متوقف کند و همچنین اطلاعات دقیقی را برای بازسازی به منظور جمع آوری شواهد به دست آورد.
"معماری ابر" چه چیزی را ارائه می دهد؟
این سرویس بر اساس مدل نرم افزار به عنوان سرویس (SaaS) ساخته شده است که مقیاس آن را با استفاده از قدرت سرورهای راه دور، سیستم های ذخیره سازی داده های توزیع شده و غیره آسان تر می کند. استفاده از مدل ابری به شما این امکان را می دهد که از تفاوت های ظریف سخت افزاری و نرم افزاری انتزاعی بگیرید و تمام تلاش خود را صرف ایجاد و بهبود سرویس حفاظت کنید.
این به کاربر اجازه می دهد تا هزینه خرید تجهیزات ذخیره سازی، تجزیه و تحلیل و ارائه دسترسی را به میزان قابل توجهی کاهش دهد و نیازی به پرداختن به مسائل تعمیر و نگهداری مانند پشتیبان گیری، به روز رسانی، جلوگیری از خرابی و غیره نیست. کافی است دستگاهی داشته باشید که از SecuReporter و لایسنس مناسب پشتیبانی کند.
مهم! با معماری مبتنی بر ابر، مدیران امنیتی می توانند سلامت شبکه را در هر زمان و هر مکان به طور فعال نظارت کنند. این مشکل را حل می کند، از جمله با تعطیلات، مرخصی استعلاجی، و غیره. دسترسی به تجهیزات، به عنوان مثال، سرقت لپ تاپی که از طریق آن به رابط وب SecuReporter دسترسی پیدا کرده است، نیز چیزی را به همراه نخواهد داشت، مشروط بر اینکه صاحب آن قوانین امنیتی را نقض نکرده باشد، رمزهای عبور را به صورت محلی ذخیره نکرده باشد و غیره.
گزینه مدیریت ابری برای هر دو شرکت تک واقع در همان شهر و ساختارهای دارای شعب مناسب است. چنین استقلال مکانی در صنایع مختلف مورد نیاز است، به عنوان مثال، برای ارائه دهندگان خدمات یا توسعه دهندگان نرم افزار که تجارت آنها در شهرهای مختلف توزیع شده است.
ما در مورد احتمالات تحلیل زیاد صحبت می کنیم، اما این به چه معناست؟
اینها ابزارهای تحلیلی مختلفی هستند، به عنوان مثال، خلاصهای از فراوانی رویدادها، فهرست 100 قربانی اصلی (واقعی و ادعایی) یک رویداد خاص، گزارشهایی که اهداف خاصی را برای حمله نشان میدهند و غیره. هر چیزی که به مدیر کمک کند روندهای پنهان را شناسایی کند و رفتار مشکوک کاربران یا خدمات را شناسایی کند.
در مورد گزارش دادن چطور؟
SecuReporter به شما امکان می دهد فرم گزارش را سفارشی کنید و سپس نتیجه را در قالب PDF دریافت کنید. البته در صورت تمایل می توانید لوگو، عنوان گزارش، مراجع یا توصیه های خود را در گزارش جاسازی کنید. امکان ایجاد گزارش در زمان درخواست یا بر اساس یک برنامه، به عنوان مثال، یک بار در روز، هفته یا ماه وجود دارد.
می توانید صدور اخطارها را با در نظر گرفتن مشخصات ترافیک در زیرساخت شبکه پیکربندی کنید.
آیا می توان خطر را از جانب خودی ها کاهش داد یا به سادگی slobs؟
ابزار ویژه User Partially Quotient به مدیر این امکان را می دهد تا بدون تلاش اضافی و در نظر گرفتن وابستگی بین گزارش ها یا رویدادهای مختلف شبکه، به سرعت کاربران پرخطر را شناسایی کند.
یعنی تجزیه و تحلیل عمیقی از تمام رویدادها و ترافیکی که با کاربرانی که خود را مشکوک نشان داده اند در ارتباط است.
چه نکات دیگری برای SecuReporter معمول است؟
راه اندازی آسان برای کاربران نهایی (مدیران امنیت).
فعال کردن SecuReporter در فضای ابری از طریق یک روش راه اندازی ساده انجام می شود. پس از این، مدیران بلافاصله به تمام داده ها، تجزیه و تحلیل و ابزارهای گزارش دسترسی دارند.
Multi-Tenants در یک پلتفرم ابری واحد - می توانید تجزیه و تحلیل خود را برای هر مشتری سفارشی کنید. باز هم، با افزایش پایگاه مشتریان شما، معماری ابری به شما این امکان را می دهد که به راحتی سیستم کنترل خود را بدون از دست دادن کارایی تطبیق دهید.
قوانین حفاظت از داده ها
مهم! Zyxel نسبت به قوانین بین المللی و محلی و سایر مقررات مربوط به حفاظت از داده های شخصی، از جمله اصول حفظ حریم خصوصی GDPR و OECD بسیار حساس است. پشتیبانی شده توسط قانون فدرال "در مورد داده های شخصی" مورخ 27.07.2006 ژوئیه 152 شماره XNUMX-FZ.
برای اطمینان از انطباق، SecuReporter دارای سه گزینه داخلی حفاظت از حریم خصوصی است:
- داده های غیر ناشناس - داده های شخصی به طور کامل در آنالیز، گزارش و گزارش های بایگانی قابل دانلود شناسایی می شوند.
- تا حدی ناشناس - داده های شخصی با شناسه های مصنوعی آنها در گزارش های آرشیو جایگزین می شود.
- کاملاً ناشناس - دادههای شخصی کاملاً در آنالیزور، گزارش و گزارشهای آرشیو قابل دانلود ناشناس میشوند.
چگونه SecuReporter را در دستگاه خود فعال کنم؟
بیایید به مثال یک دستگاه ZyWall نگاه کنیم (در این مورد ما یک ZyWall 1100 داریم). به قسمت تنظیمات (برگه سمت راست با نمادی به شکل دو چرخ دنده) بروید. سپس بخش Cloud CNM را باز کرده و زیربخش SecuReporter را در آن انتخاب کنید.
برای اجازه استفاده از سرویس، باید عنصر Enable SecuReporter را فعال کنید. علاوه بر این، ارزش استفاده از گزینه Include Traffic Log برای جمع آوری و تجزیه و تحلیل گزارش های ترافیک را دارد.
شکل 1. فعال کردن SecuReporter.
مرحله دوم اجازه جمع آوری آمار است. این کار در قسمت Monitoring (برگه سمت راست با نمادی به شکل مانیتور) انجام می شود.
سپس به بخش آمار UTM، زیربخش App Patrol بروید. در اینجا باید گزینه Collect Statistics را فعال کنید.
شکل 2. امکان جمع آوری آمار.
تمام است، می توانید به رابط وب SecuReporter متصل شوید و از سرویس ابری استفاده کنید.
مهم! SecuReporter دارای اسناد عالی در قالب PDF است. می توانید آن را از .
شرح رابط وب SecuReporter
در اینجا نمی توان شرح مفصلی از تمام عملکردهایی که SecuReporter به یک مدیر امنیتی ارائه می دهد ارائه کرد - تعداد زیادی از آنها برای یک مقاله وجود دارد.
بنابراین، ما به شرح مختصری از خدماتی که مدیر می بیند و آنچه دائماً با آنها کار می کند محدود می شویم. بنابراین، بدانید که کنسول وب SecuReporter از چه چیزی تشکیل شده است.
نقشه
این بخش تجهیزات ثبت شده را با نشان دادن شهر، نام دستگاه و آدرس IP نمایش می دهد. اطلاعاتی را در مورد روشن بودن دستگاه و وضعیت هشدار نمایش می دهد. در نقشه تهدید می توانید منبع بسته های استفاده شده توسط مهاجمان و تعداد حملات را مشاهده کنید.
داشبورد
اطلاعات مختصر در مورد اقدامات اصلی و یک مرور کلی تحلیلی مختصر برای دوره مشخص شده. شما می توانید یک دوره از 7 روز تا 1 ساعت را مشخص کنید.
شکل 3. نمونه ای از ظاهر بخش داشبورد.
آنالایزر
نام برای خودش صحبت می کند. این کنسول ابزاری به همین نام است که ترافیک مشکوک را برای یک دوره انتخاب شده تشخیص می دهد، روند ظهور تهدیدات را شناسایی می کند و اطلاعات بسته های مشکوک را جمع آوری می کند. آنالایزر قادر به ردیابی رایج ترین کدهای مخرب و همچنین ارائه اطلاعات اضافی در مورد مسائل امنیتی است.
شکل 4. نمونه ای از ظاهر بخش Analyzer.
گزارش
در این قسمت کاربر به گزارش های سفارشی با رابط گرافیکی دسترسی دارد. اطلاعات مورد نیاز را می توان فوراً یا بر اساس برنامه زمان بندی شده جمع آوری و در یک ارائه مناسب گردآوری کرد.
هشدارها
این جایی است که شما سیستم هشدار را پیکربندی می کنید. آستانه ها و سطوح مختلف شدت را می توان پیکربندی کرد و شناسایی ناهنجاری ها و حملات احتمالی را آسان تر می کند.
تنظیمات
خوب، در واقع، تنظیمات تنظیمات هستند.
علاوه بر این، شایان ذکر است که SecuReporter میتواند از سیاستهای حفاظتی مختلفی در هنگام پردازش دادههای شخصی پشتیبانی کند.
نتیجه
روش های محلی برای تجزیه و تحلیل آمارهای مربوط به امنیت، در اصل، خود را به خوبی ثابت کرده اند.
با این حال، دامنه و شدت تهدیدات هر روز در حال افزایش است. سطح حفاظتی که قبلاً همه را راضی می کرد پس از مدتی نسبتاً ضعیف می شود.
علاوه بر مشکلات ذکر شده، استفاده از ابزارهای محلی نیازمند تلاش های خاصی برای حفظ عملکرد (نگهداری تجهیزات، پشتیبان گیری و غیره) است. همچنین مشکل مکان یابی از راه دور وجود دارد - همیشه نمی توان سرپرست امنیتی را در دفتر 24 ساعته و 7 روز هفته نگه داشت. بنابراین، شما باید به نحوی دسترسی ایمن به سیستم محلی را از بیرون سازماندهی کنید و خودتان آن را حفظ کنید.
استفاده از خدمات ابری به شما امکان می دهد از چنین مشکلاتی جلوگیری کنید و به طور خاص بر حفظ سطح مورد نیاز امنیت و محافظت در برابر نفوذ و همچنین نقض قوانین توسط کاربران تمرکز کنید.
SecuReporter تنها نمونه ای از اجرای موفق چنین سرویسی است.
عمل
از امروز، یک تبلیغ مشترک بین Zyxel و Gold Partner X-Com برای خریداران فایروال هایی که از Secureporter پشتیبانی می کنند وجود دارد:
لینک های مفید
[1] .
[2] در وب سایت در وب سایت رسمی Zyxel.
[3] .
منبع: www.habr.com