Kokemattomien ihmisten mielessä tietoturvajärjestelmänvalvojan työ näyttää jännittävältä kaksintaistelulta hakkerin vastaisen ja jatkuvasti yritysverkkoon tunkeutuvien pahojen hakkerien välillä. Ja sankarimme torjuu reaaliajassa rohkeita hyökkäyksiä antamalla taitavasti ja nopeasti komentoja ja selviää lopulta loistavana voittajana.
Aivan kuin kuninkaallinen muskettisoturi, jolla on näppäimistö miekan ja musketin sijaan.
Mutta todellisuudessa kaikki näyttää tavalliselta, vaatimattomalta ja jopa, voisi sanoa, tylsältä.
Yksi tärkeimmistä analyysimenetelmistä on edelleen tapahtumalokien lukeminen. Perusteellinen tutkimus aiheesta:
- kuka yritti syöttää mistä mistä, mitä resurssia he yritti käyttää, miten he todistivat oikeutensa käyttää resurssia;
- mitä epäonnistumisia, virheitä ja yksinkertaisesti epäilyttäviä yhteensattumia siellä oli;
- kuka ja miten testasi järjestelmän vahvuuden, skannasivat portit, valitsi salasanat;
- Ja niin edelleen…
No, mitä helvettiä täällä on romantiikkaa, varjelkoon "et nukahda ajon aikana".
Jotta asiantuntijamme eivät täysin menettäisi rakkauttaan taiteeseen, heille on keksitty työkaluja elämän helpottamiseksi. Nämä ovat kaikenlaisia analysaattoreita (lokijäsentimiä), valvontajärjestelmiä kriittisten tapahtumien ilmoittamiseen ja paljon muuta.
Jos kuitenkin otat hyvän työkalun ja alat ruuvata sitä manuaalisesti jokaiseen laitteeseen, esimerkiksi Internet-yhdyskäytävään, se ei ole niin yksinkertaista, ei niin kätevää, ja sinulla on muun muassa oltava lisätietoa täysin eri laitteista. alueilla. Mihin esimerkiksi sijoittaa ohjelmisto tällaista valvontaa varten? Fyysisellä palvelimella, virtuaalikoneella tai erikoislaitteella? Missä muodossa tiedot tulee säilyttää? Jos tietokantaa käytetään, mitä? Kuinka tehdä varmuuskopioita ja onko niiden tekeminen tarpeellista? Kuinka hallita? Mitä käyttöliittymää minun pitäisi käyttää? Kuinka suojata järjestelmää? Mitä salausmenetelmää käytetään - ja paljon muuta.
Se on paljon yksinkertaisempaa, kun on olemassa tietty yhtenäinen mekanismi, joka ottaa itselleen ratkaisun kaikkiin lueteltuihin kysymyksiin jättäen järjestelmänvalvojan työskentelemään tiukasti oman erityispiirteensä puitteissa.
Vakiintuneen perinteen mukaan kutsua termiä "pilvi" kaikkea, mikä ei sijaitse tietyllä isännällä, Zyxel CNM SecuReporter -pilvipalvelu antaa sinun paitsi ratkaista monia ongelmia, mutta tarjoaa myös käteviä työkaluja.
Mikä on Zyxel CNM SecuReporter?
Tämä on älykäs analytiikkapalvelu, joka sisältää tiedonkeruun, tilastollisen analyysin (korrelaation) ja raportoinnin ZyWALL-linjan Zyxel-laitteille ja heidän omalleen. Se tarjoaa verkon ylläpitäjälle keskitetyn näkymän erilaisista verkon toiminnoista.
Hyökkääjät voivat esimerkiksi yrittää murtautua turvajärjestelmään käyttämällä hyökkäysmekanismeja, kuten salakavala, kohdennettu и itsepintainen. SecuReporter havaitsee epäilyttävän toiminnan, minkä ansiosta järjestelmänvalvoja voi ryhtyä tarvittaviin suojatoimenpiteisiin määrittämällä ZyWALLin.
Tietoturvan varmistaminen on tietysti mahdotonta ajatella ilman jatkuvaa tietojen analysointia ja varoituksia reaaliajassa. Voit piirtää kauniita kaavioita niin paljon kuin haluat, mutta jos ylläpitäjä ei ole tietoinen siitä, mitä tapahtuu... Ei, tämä ei todellakaan voi tapahtua SecuReporterilla!
Joitakin kysymyksiä SecuReporterin käytöstä
Analytics
Itse asiassa tapahtuvan analysointi on tietoturvan rakentamisen ydin. Analysoimalla tapahtumia tietoturva-asiantuntija voi estää tai pysäyttää hyökkäyksen ajoissa sekä saada yksityiskohtaista tietoa jälleenrakennusta varten todisteiden keräämiseksi.
Mitä "pilviarkkitehtuuri" tarjoaa?
Tämä palvelu perustuu Software as a Service (SaaS) -malliin, mikä helpottaa skaalausta etäpalvelimien, hajautettujen tiedontallennusjärjestelmien ja niin edelleen tehon avulla. Pilvimallin käytön avulla voit irrottautua laitteiston ja ohjelmiston vivahteista ja kohdistaa kaikki voimasi suojauspalvelun luomiseen ja parantamiseen.
Tämän ansiosta käyttäjä voi merkittävästi alentaa tallennus-, analysointi- ja käyttöoikeuksien tarjoamisen laitteiden hankintakustannuksia, eikä hänen tarvitse käsitellä ylläpitoongelmia, kuten varmuuskopiointia, päivityksiä, vikojen ehkäisyä ja niin edelleen. Riittää, että sinulla on SecuReporteria tukeva laite ja asianmukainen lisenssi.
TÄRKEÄÄ! Pilvipohjaisen arkkitehtuurin avulla tietoturvajärjestelmänvalvojat voivat seurata verkon tilaa ennakoivasti milloin ja missä tahansa. Tämä ratkaisee ongelman, mukaan lukien lomat, sairauslomat ja niin edelleen. Pääsy laitteisiin, esimerkiksi sellaisen kannettavan tietokoneen varastaminen, josta SecuReporter-verkkoliittymään käytiin, ei myöskään tuota mitään, jos sen omistaja ei ole rikkonut turvallisuussääntöjä, ei tallentanut salasanoja paikallisesti ja niin edelleen.
Pilvihallintavaihtoehto soveltuu hyvin sekä samassa kaupungissa sijaitseville monoyrityksille että rakenteille, joissa on sivukonttoreita. Tällaista sijaintiriippumattomuutta tarvitaan useilla toimialoilla, esimerkiksi palveluntarjoajilta tai ohjelmistokehittäjiltä, joiden liiketoiminta on hajautettu eri kaupunkeihin.
Puhumme paljon analyysimahdollisuuksista, mutta mitä tämä tarkoittaa?
Nämä ovat erilaisia analytiikkatyökaluja, esimerkiksi yhteenvedot tapahtumien esiintymistiheydestä, luettelot tietyn tapahtuman 100 suurimmasta (todellisesta ja väitetystä) uhrista, lokit, jotka osoittavat tietyt hyökkäyksen kohteet ja niin edelleen. Kaikki, mikä auttaa järjestelmänvalvojaa tunnistamaan piilotetut trendit ja tunnistamaan käyttäjien tai palveluiden epäilyttävän toiminnan.
Entä raportointi?
SecuReporterin avulla voit mukauttaa raporttilomaketta ja vastaanottaa tuloksen PDF-muodossa. Tietysti voit halutessasi upottaa raporttiin logosi, raportin otsikon, viittaukset tai suositukset. On mahdollista luoda raportteja pyynnöstä tai aikataulun mukaan, esimerkiksi kerran päivässä, viikossa tai kuukaudessa.
Voit määrittää varoitusten antamisen ottaen huomioon verkkoinfrastruktuurin liikenteen erityispiirteet.
Onko mahdollista vähentää sisäpiiriläisten tai yksinkertaisesti löysyyden aiheuttamaa vaaraa?
Erityinen User Partially Quotient -työkalu antaa järjestelmänvalvojalle mahdollisuuden tunnistaa riskialttiit käyttäjät nopeasti ilman ylimääräistä vaivaa ja ottamalla huomioon eri verkkolokien tai tapahtumien välisen riippuvuuden.
Toisin sanoen tehdään perusteellinen analyysi kaikista tapahtumista ja liikenteestä, jotka liittyvät epäilyttäviksi osoittaneisiin käyttäjiin.
Mitkä muut kohdat ovat tyypillisiä SecuReporterille?
Helppo asennus loppukäyttäjille (tietoturvajärjestelmänvalvojille).
SecuReporter aktivoidaan pilvessä yksinkertaisella asennusmenettelyllä. Tämän jälkeen järjestelmänvalvojille annetaan välittömästi pääsy kaikkiin tietoihin, analyysi- ja raportointityökaluihin.
Useita vuokralaisia yhdellä pilvialustalla – voit mukauttaa analytiikkasi kullekin asiakkaalle. Jälleen, kun asiakaskuntasi kasvaa, pilviarkkitehtuurin avulla voit helposti mukauttaa ohjausjärjestelmääsi tehokkuudesta tinkimättä.
Tietosuojalainsäädäntö
TÄRKEÄ! Zyxel on erittäin herkkä kansainvälisille ja paikallisille laeille ja muille henkilötietojen suojaa koskeville säännöksille, mukaan lukien GDPR ja OECD:n tietosuojaperiaatteet. Tuetaan liittovaltion henkilötiedoista 27.07.2006. heinäkuuta 152 annetulla lailla nro XNUMX-FZ.
Vaatimustenmukaisuuden varmistamiseksi SecuReporterissa on kolme sisäänrakennettua yksityisyyden suojausvaihtoehtoa:
- ei-anonyymit tiedot – henkilötiedot tunnistetaan täysin Analyzerissa, Raportissa ja ladattavissa arkistolokeissa;
- osittain anonyymi - henkilötiedot korvataan niiden keinotekoisilla tunnisteilla arkistolokeissa;
- täysin anonyymi – henkilökohtaiset tiedot anonymisoidaan täysin anonymisoinnissa, raporteissa ja ladattavissa arkistolokeissa.
Kuinka otan SecuReporterin käyttöön laitteellani?
Katsotaanpa esimerkkiä ZyWall-laitteesta (tässä tapauksessa meillä on ZyWall 1100). Siirry asetusosioon (oikealla oleva välilehti, jossa on kuvake kahden vaihteen muodossa). Avaa seuraavaksi Cloud CNM -osio ja valitse siitä SecuReporter-aliosio.
Jos haluat sallia palvelun käytön, sinun on aktivoitava Enable SecuReporter -elementti. Lisäksi kannattaa käyttää Include Traffic Log -vaihtoehtoa liikennelokien keräämiseen ja analysointiin.
Kuva 1. SecuReporterin käyttöönotto.
Toinen vaihe on tilastojen keräämisen salliminen. Tämä tehdään Monitoring-osiossa (oikealla välilehti, jossa kuvake monitorin muodossa).
Siirry seuraavaksi UTM-tilastot-osioon, App Patrol -alaosioon. Täällä sinun on aktivoitava Kerää tilastot -vaihtoehto.
Kuva 2. Tilastojen keräämisen ottaminen käyttöön.
Siinä kaikki, voit muodostaa yhteyden SecuReporter-verkkoliittymään ja käyttää pilvipalvelua.
TÄRKEÄÄ! SecuReporterilla on erinomainen dokumentaatio PDF-muodossa. Voit ladata sen osoitteesta .
SecuReporter-verkkoliittymän kuvaus
Tässä ei ole mahdollista antaa yksityiskohtaista kuvausta kaikista toiminnoista, joita SecuReporter tarjoaa tietoturvajärjestelmänvalvojalle - niitä on melko paljon yhdelle artikkelille.
Siksi rajoitamme lyhyen kuvauksen palveluista, joita ylläpitäjä näkee ja minkä parissa hän työskentelee jatkuvasti. Ota siis selvää, mistä SecuReporter-verkkokonsoli koostuu.
Kartta
Tässä osiossa näkyvät rekisteröidyt laitteet, joissa näkyy kaupunki, laitteen nimi ja IP-osoite. Näyttää tiedot siitä, onko laite päällä ja mikä varoitustila on. Uhkakartalla näet hyökkääjien käyttämien pakettien lähteen ja hyökkäystiheyden.
koontinäyttöön.
Lyhyt tiedot tärkeimmistä toimista ja ytimekäs analyyttinen katsaus määritellyltä ajanjaksolta. Voit määrittää ajanjakson 7 päivästä 1 tuntiin.
Kuva 3. Esimerkki Dashboard-osan ulkoasusta.
Analyzer
Nimi puhuu puolestaan. Tämä on samannimisen työkalun konsoli, joka diagnosoi epäilyttävän liikenteen valitulle ajanjaksolle, tunnistaa uhkien syntymisen trendit ja kerää tietoa epäilyttyvistä paketeista. Analyzer pystyy jäljittämään yleisimmät haittakoodit sekä antamaan lisätietoja tietoturvaongelmista.
Kuva 4. Esimerkki Analyzer-osan ulkoasusta.
Raportoi
Tässä osiossa käyttäjällä on pääsy mukautettuihin raportteihin graafisella käyttöliittymällä. Tarvittavat tiedot voidaan kerätä ja koota käteväksi esitykseksi välittömästi tai aikataulun mukaan.
Hälytykset
Tässä voit määrittää varoitusjärjestelmän. Kynnysarvot ja eri vakavuustasot voidaan määrittää, mikä helpottaa poikkeamien ja mahdollisten hyökkäysten tunnistamista.
Asetus
Itse asiassa asetukset ovat asetuksia.
Lisäksi on syytä huomata, että SecuReporter voi tukea erilaisia suojauskäytäntöjä henkilötietojen käsittelyssä.
Johtopäätös
Paikalliset menetelmät turvallisuuteen liittyvien tilastojen analysointiin ovat periaatteessa osoittautuneet varsin hyvin.
Uhkien määrä ja vakavuus kasvavat kuitenkin päivä päivältä. Suojaustaso, joka aiemmin tyydytti kaikkia, muuttuu jonkin ajan kuluttua melko heikoksi.
Lueteltujen ongelmien lisäksi paikallisten työkalujen käyttö vaatii tiettyjä ponnisteluja toimivuuden ylläpitämiseksi (laitteiden ylläpito, varmuuskopiointi jne.). Ongelmana on myös etäsijainti - aina ei ole mahdollista pitää turvapäällikköä toimistossa 24 tuntia, 7 päivää viikossa. Siksi sinun täytyy jotenkin järjestää suojattu pääsy paikalliseen järjestelmään ulkopuolelta ja ylläpitää sitä itse.
Pilvipalveluiden käyttö mahdollistaa tällaisten ongelmien välttämisen keskittymällä erityisesti vaaditun turvallisuustason ylläpitämiseen ja suojaukseen tunkeutumisilta sekä käyttäjien sääntörikkomuksilta.
SecuReporter on vain esimerkki tällaisen palvelun onnistuneesta toteutuksesta.
toiminta
Tästä päivästä alkaen Zyxelin ja Gold Partner X-Comin välillä on yhteinen kampanja Secureporteria tukevien palomuurien ostajille:
Hyödyllisiä linkkejä
[1] .
[2] Zyxelin virallisella verkkosivustolla.
[3] .
Lähde: will.com