Dans l'esprit des personnes inexpérimentées, le travail d'un administrateur de sécurité ressemble à un duel passionnant entre un anti-hacker et des pirates malveillants qui envahissent constamment le réseau de l'entreprise. Et notre héros, en temps réel, repousse les attaques audacieuses en entrant des commandes adroitement et rapidement et émerge finalement comme un brillant vainqueur.
Tout comme un mousquetaire royal avec un clavier au lieu d'une épée et d'un mousquet.
Mais en réalité, tout semble ordinaire, sans prétention et même, pourrait-on dire, ennuyeux.
L’une des principales méthodes d’analyse consiste toujours à lire les journaux d’événements. Etude approfondie sur le sujet :
- qui a essayé d'entrer, d'où et d'où, à quelle ressource il a essayé d'accéder, comment il a prouvé son droit d'accéder à la ressource ;
- quels échecs, erreurs et simplement coïncidences suspectes il y a eu ;
- qui et comment a testé la solidité du système, les ports analysés, les mots de passe sélectionnés ;
- Et ainsi de suite…
Eh bien, qu'est-ce que c'est que la romance ici, Dieu nous en préserve « vous ne vous endormez pas en conduisant ».
Pour que nos spécialistes ne perdent pas complètement leur amour de l'art, des outils sont inventés pour eux pour leur faciliter la vie. Il s'agit de toutes sortes d'analyseurs (analyseurs de journaux), de systèmes de surveillance avec notification d'événements critiques et bien plus encore.
Cependant, si vous prenez un bon outil et commencez à le visser manuellement sur chaque appareil, par exemple une passerelle Internet, ce ne sera pas si simple, pas si pratique et, entre autres, vous devrez avoir des connaissances supplémentaires dans des domaines complètement différents. zones. Par exemple, où placer le logiciel pour une telle surveillance ? Sur un serveur physique, une machine virtuelle, un périphérique spécial ? Sous quelle forme les données doivent-elles être stockées ? Si une base de données est utilisée, laquelle ? Comment effectuer des sauvegardes et est-il nécessaire de les effectuer ? Comment gérer? Quelle interface dois-je utiliser ? Comment protéger le système ? Quelle méthode de cryptage utiliser - et bien plus encore.
C'est beaucoup plus simple lorsqu'il existe un certain mécanisme unifié qui prend en charge la solution de tous les problèmes répertoriés, laissant l'administrateur travailler strictement dans le cadre de ses spécificités.
Selon la tradition établie consistant à appeler le terme « cloud » tout ce qui ne se trouve pas sur un hôte donné, le service cloud Zyxel CNM SecuReporter vous permet non seulement de résoudre de nombreux problèmes, mais fournit également des outils pratiques.
Qu'est-ce que Zyxel CNM SecuReporter ?
Il s'agit d'un service d'analyse intelligent avec des fonctions de collecte de données, d'analyse statistique (corrélation) et de reporting pour les équipements Zyxel de la gamme ZyWALL et les leurs. Il fournit à l'administrateur réseau une vue centralisée des diverses activités sur le réseau.
Par exemple, les attaquants peuvent tenter de pénétrer dans un système de sécurité en utilisant des mécanismes d'attaque tels que furtif, ciblé и persistant. SecuReporter détecte les comportements suspects, ce qui permet à l'administrateur de prendre les mesures de protection nécessaires en configurant ZyWALL.
Bien entendu, assurer la sécurité est impensable sans une analyse constante des données avec des avertissements en temps réel. Vous pouvez dessiner de beaux graphiques autant que vous le souhaitez, mais si l'administrateur n'est pas au courant de ce qui se passe... Non, cela ne peut certainement pas arriver avec SecuReporter !
Quelques questions sur l'utilisation de SecuReporter
Analytique
En fait, l’analyse de ce qui se passe est au cœur de la construction de la sécurité de l’information. En analysant les événements, un spécialiste de la sécurité peut prévenir ou arrêter une attaque à temps, ainsi qu'obtenir des informations détaillées pour la reconstruction afin de recueillir des preuves.
Qu’apporte « l’architecture cloud » ?
Ce service est construit sur le modèle Software as a Service (SaaS), qui facilite sa mise à l'échelle en utilisant la puissance des serveurs distants, des systèmes de stockage de données distribués, etc. L'utilisation du modèle cloud vous permet de faire abstraction des nuances matérielles et logicielles, en consacrant tous vos efforts à la création et à l'amélioration du service de protection.
Cela permet à l'utilisateur de réduire considérablement le coût d'achat d'équipements pour le stockage, l'analyse et la fourniture d'accès, et il n'est pas nécessaire de s'occuper des problèmes de maintenance tels que les sauvegardes, les mises à jour, la prévention des pannes, etc. Il suffit d'avoir un appareil prenant en charge SecuReporter et la licence appropriée.
IMPORTANT! Grâce à une architecture basée sur le cloud, les administrateurs de sécurité peuvent surveiller de manière proactive l'état du réseau à tout moment et en tout lieu. Cela résout le problème, notamment en ce qui concerne les vacances, les congés de maladie, etc. L'accès à l'équipement, par exemple le vol d'un ordinateur portable à partir duquel l'interface Web de SecuReporter a été accédée, ne rapportera rien non plus, à condition que son propriétaire n'ait pas violé les règles de sécurité, n'ait pas stocké les mots de passe localement, etc.
L'option de gestion cloud est bien adaptée aussi bien aux mono-entreprises situées dans la même ville qu'aux structures avec succursales. Une telle indépendance géographique est nécessaire dans de nombreux secteurs, par exemple pour les fournisseurs de services ou les développeurs de logiciels dont les activités sont réparties dans différentes villes.
On parle beaucoup des possibilités d’analyse, mais qu’est-ce que cela signifie ?
Il s'agit de divers outils d'analyse, par exemple des résumés de la fréquence des événements, des listes des 100 principales victimes (réelles et présumées) d'un certain événement, des journaux indiquant des cibles spécifiques d'attaque, etc. Tout ce qui aide l'administrateur à identifier les tendances cachées et à identifier les comportements suspects des utilisateurs ou des services.
Et le reporting ?
SecuReporter permet de personnaliser le formulaire de rapport puis de recevoir le résultat au format PDF. Bien entendu, si vous le souhaitez, vous pouvez intégrer votre logo, le titre du rapport, des références ou des recommandations dans le rapport. Il est possible de créer des rapports au moment de la demande ou selon un planning, par exemple une fois par jour, par semaine ou par mois.
Vous pouvez configurer l'émission d'avertissements en tenant compte des spécificités du trafic au sein de l'infrastructure réseau.
Est-il possible de réduire le danger provenant des initiés ou simplement des ploucs ?
L'outil spécial User Partially Quotient permet à l'administrateur d'identifier rapidement les utilisateurs à risque, sans effort supplémentaire et en tenant compte de la dépendance entre les différents journaux ou événements réseau.
Autrement dit, une analyse approfondie de tous les événements et du trafic associés aux utilisateurs qui se sont révélés suspects est effectuée.
Quels autres points sont typiques de SecuReporter ?
Configuration facile pour les utilisateurs finaux (administrateurs de sécurité).
L'activation de SecuReporter dans le cloud s'effectue via une procédure de configuration simple. Après cela, les administrateurs ont immédiatement accès à tous les outils de données, d'analyse et de reporting.
Multi-tenants sur une seule plateforme cloud : vous pouvez personnaliser vos analyses pour chaque client. Encore une fois, à mesure que votre clientèle augmente, l’architecture cloud vous permet d’adapter facilement votre système de contrôle sans sacrifier l’efficacité.
Lois sur la protection des données
IMPORTANT! Zyxel est très sensible aux lois et autres réglementations internationales et locales concernant la protection des données personnelles, y compris le RGPD et les principes de confidentialité de l'OCDE. Soutenu par la loi fédérale « sur les données personnelles » du 27.07.2006 juillet 152 n° XNUMX-FZ.
Pour garantir la conformité, SecuReporter dispose de trois options de protection de la vie privée intégrées :
- données non anonymes : les données personnelles sont entièrement identifiées dans l'analyseur, le rapport et les journaux d'archives téléchargeables ;
- partiellement anonyme - les données personnelles sont remplacées par leurs identifiants artificiels dans les journaux d'archives ;
- complètement anonyme - les données personnelles sont complètement anonymisées dans l'analyseur, le rapport et les journaux d'archives téléchargeables.
Comment puis-je activer SecuReporter sur mon appareil ?
Regardons l'exemple d'un appareil ZyWall (dans ce cas nous avons un ZyWall 1100). Allez dans la section des paramètres (onglet à droite avec une icône en forme de deux engrenages). Ensuite, ouvrez la section Cloud CNM et sélectionnez-y la sous-section SecuReporter.
Pour autoriser l'utilisation du service, vous devez activer l'élément Enable SecuReporter. De plus, il vaut la peine d'utiliser l'option Inclure le journal de trafic pour collecter et analyser les journaux de trafic.
Figure 1. Activation de SecuReporter.
La deuxième étape consiste à autoriser la collecte de statistiques. Cela se fait dans la section Surveillance (onglet à droite avec une icône en forme de moniteur).
Ensuite, accédez à la section Statistiques UTM, sous-section App Patrol. Ici, vous devez activer l'option Collecter les statistiques.
Figure 2. Activation de la collecte de statistiques.
Voilà, vous pouvez vous connecter à l'interface web de SecuReporter et utiliser le service cloud.
IMPORTANT! SecuReporter dispose d'une excellente documentation au format PDF. Vous pouvez le télécharger depuis .
Description de l'interface web de SecuReporter
Il ne sera pas possible de donner ici une description détaillée de toutes les fonctions que SecuReporter fournit à un administrateur de sécurité - il y en a beaucoup pour un seul article.
Par conséquent, nous nous limiterons à une brève description des services que l'administrateur voit et avec lesquels il travaille en permanence. Alors, découvrez en quoi consiste la console Web SecuReporter.
Carte
Cette section affiche l'équipement enregistré, indiquant la ville, le nom de l'appareil et l'adresse IP. Affiche des informations indiquant si l'appareil est allumé et quel est l'état d'avertissement. Sur la carte des menaces, vous pouvez voir la source des paquets utilisés par les attaquants et la fréquence des attaques.
Tableau de bord
Brèves informations sur les principales actions et un aperçu analytique concis pour la période spécifiée. Vous pouvez spécifier une période de 7 jours à 1 heure.
Figure 3. Exemple d'apparence de la section Tableau de bord.
Analyzer
Le nom parle de lui-même. Il s'agit de la console de l'outil du même nom, qui diagnostique le trafic suspect sur une période sélectionnée, identifie les tendances d'émergence des menaces et collecte des informations sur les paquets suspects. Analyzer est capable de suivre le code malveillant le plus courant et de fournir des informations supplémentaires sur les problèmes de sécurité.
Figure 4. Exemple d'apparence de la section Analyseur.
Rapport
Dans cette section, l'utilisateur a accès à des rapports personnalisés avec une interface graphique. Les informations requises peuvent être collectées et compilées dans une présentation pratique immédiatement ou sur une base programmée.
Alertes
C'est ici que vous configurez le système d'avertissement. Des seuils et différents niveaux de gravité peuvent être configurés, facilitant l'identification des anomalies et des attaques potentielles.
Paramètre
Eh bien, en fait, les paramètres sont des paramètres.
De plus, il convient de noter que SecuReporter peut prendre en charge différentes politiques de protection lors du traitement des données personnelles.
Conclusion
Les méthodes locales d’analyse des statistiques liées à la sécurité ont en principe fait leurs preuves.
Cependant, la portée et la gravité des menaces augmentent chaque jour. Le niveau de protection qui satisfaisait auparavant tout le monde devient plutôt faible après un certain temps.
En plus des problèmes répertoriés, l'utilisation d'outils locaux nécessite certains efforts de maintien des fonctionnalités (maintenance des équipements, sauvegarde, etc.). Il y a aussi le problème de l'emplacement distant : il n'est pas toujours possible de garder l'administrateur de sécurité au bureau 24 heures sur 7, XNUMX jours sur XNUMX. Par conséquent, vous devez d'une manière ou d'une autre organiser un accès sécurisé au système local depuis l'extérieur et le maintenir vous-même.
L'utilisation de services cloud permet d'éviter de tels problèmes, en se concentrant spécifiquement sur le maintien du niveau de sécurité et de protection requis contre les intrusions, ainsi que contre les violations des règles par les utilisateurs.
SecuReporter n'est qu'un exemple de mise en œuvre réussie d'un tel service.
Action
À partir d'aujourd'hui, il existe une promotion conjointe entre Zyxel et notre partenaire Gold X-Com pour les acheteurs de pare-feu prenant en charge Secureporter :
Liens utiles
.
sur le site Web officiel de Zyxel.
.
Source: habr.com