Na mente de persoas sen experiencia, o traballo dun administrador de seguridade parece un duelo emocionante entre un anti-hacker e os malvados hackers que invaden constantemente a rede corporativa. E o noso heroe, en tempo real, repele os ataques atrevidos introducindo comandos con habilidade e rapidez e, finalmente, emerxe como un brillante gañador.
Igual que un mosqueteiro real cun teclado en lugar dunha espada e un mosquete.
Pero, en realidade, todo parece normal, sen pretensións e mesmo, pódese dicir, aburrido.
Un dos principais métodos de análise segue sendo ler rexistros de eventos. Estudo exhaustivo sobre o tema:
- quen intentou entrar de onde de onde, a que recurso tentaron acceder, como demostraron os seus dereitos para acceder ao recurso;
- que fallos, erros e simples coincidencias sospeitosas houbo;
- quen e como probou a forza do sistema, os portos dixitalizados, os contrasinais seleccionados;
- E así por diante...
Ben, que diaños é o romance aquí, Deus non te libre de "non te quedas durmido mentres conduces".
Para que os nosos especialistas non perdan por completo o amor pola arte, invéntanse ferramentas para facilitarlles a vida. Trátase de todo tipo de analizadores (analizadores de rexistro), sistemas de monitorización con notificación de eventos críticos e moito máis.
Non obstante, se tomas unha boa ferramenta e comezas a atornillala manualmente a cada dispositivo, por exemplo, unha pasarela de Internet, non será tan sinxelo, non tan cómodo e, entre outras cousas, necesitas ter coñecementos adicionais de completamente diferentes. campos. Por exemplo, onde colocar o software para ese seguimento? Nun servidor físico, máquina virtual, dispositivo especial? En que forma deben almacenarse os datos? Se se utiliza unha base de datos, cal? Como realizar copias de seguridade e é necesario realizalas? Como xestionar? Que interface debo usar? Como protexer o sistema? Que método de cifrado usar e moito máis.
É moito máis sinxelo cando existe un determinado mecanismo unificado que asume a solución de todos os problemas enumerados, deixando ao administrador traballar estrictamente no marco das súas particularidades.
Segundo a tradición establecida de chamar ao termo "nube" todo o que non se atopa nun host determinado, o servizo na nube Zyxel CNM SecuReporter permítelle non só resolver moitos problemas, senón que tamén ofrece ferramentas convenientes.
Que é Zyxel CNM SecuReporter?
Trátase dun servizo de análise intelixente con funcións de recollida de datos, análise estatística (correlación) e informes para os equipos Zyxel da liña ZyWALL e os seus. Ofrece ao administrador da rede unha vista centralizada de varias actividades na rede.
Por exemplo, os atacantes poden tentar entrar nun sistema de seguridade usando mecanismos de ataque como furtivo, apuntado и persiste. SecuReporter detecta comportamentos sospeitosos, o que permite ao administrador tomar as medidas de protección necesarias configurando ZyWALL.
Por suposto, garantir a seguridade é impensable sen unha constante análise de datos con avisos en tempo real. Podes debuxar gráficos fermosos tanto como queiras, pero se o administrador non é consciente do que está a suceder... Non, isto definitivamente non pode ocorrer con SecuReporter!
Algunhas preguntas sobre o uso de SecuReporter
Analítica
En realidade, a análise do que está a suceder é o núcleo da construción da seguridade da información. Ao analizar os eventos, un especialista en seguridade pode previr ou deter un ataque a tempo, así como obter información detallada para a reconstrución co fin de recoller probas.
Que ofrece a "arquitectura en nube"?
Este servizo está construído sobre o modelo Software as a Service (SaaS), o que facilita a escalada utilizando a potencia dos servidores remotos, os sistemas de almacenamento de datos distribuídos, etc. O uso do modelo de nube permítelle abstraerse de matices de hardware e software, dedicando todos os seus esforzos a crear e mellorar o servizo de protección.
Isto permítelle ao usuario reducir significativamente o custo de compra de equipos para almacenamento, análise e provisión de acceso, e non hai necesidade de tratar problemas de mantemento como copias de seguridade, actualizacións, prevención de fallos, etc. É suficiente ter un dispositivo compatible con SecuReporter e a licenza adecuada.
IMPORTANTE! Cunha arquitectura baseada na nube, os administradores de seguridade poden supervisar de forma proactiva a saúde da rede en calquera momento e en calquera lugar. Isto resolve o problema, incluíndo vacacións, baixas por enfermidade, etc. O acceso a equipos, por exemplo, o roubo dun portátil desde o que se accedeu á interface web de SecuReporter, tampouco dará lugar a nada, sempre que o seu propietario non infrinxise as normas de seguridade, non almacenase contrasinais localmente, etc.
A opción de xestión da nube é moi adecuada tanto para monoempresas situadas na mesma cidade como para estruturas con sucursais. Esa independencia da localización é necesaria nunha variedade de industrias, por exemplo, para provedores de servizos ou desenvolvedores de software cuxo negocio se distribúe en diferentes cidades.
Falamos moito das posibilidades de análise, pero que significa isto?
Trátase de varias ferramentas de análise, por exemplo, resumos da frecuencia dos eventos, listas das 100 principais vítimas (reais e supostas) dun determinado evento, rexistros que indican obxectivos específicos para o ataque, etc. Calquera cousa que axude ao administrador a identificar tendencias ocultas e identificar comportamentos sospeitosos dos usuarios ou servizos.
Que hai de informar?
SecuReporter permítelle personalizar o formulario de informe e despois recibir o resultado en formato PDF. Por suposto, se o desexa, pode inserir o seu logotipo, título do informe, referencias ou recomendacións no informe. É posible crear informes no momento da solicitude ou nunha programación, por exemplo, unha vez ao día, semana ou mes.
Pode configurar a emisión de avisos tendo en conta as especificidades do tráfico dentro da infraestrutura de rede.
É posible reducir o perigo de persoas internas ou simplemente babas?
A ferramenta especial User Partially Quotient permite que o administrador identifique rapidamente os usuarios con risco, sen esforzo adicional e tendo en conta a dependencia entre os diferentes rexistros ou eventos da rede.
É dicir, realízase unha análise en profundidade de todos os eventos e tráficos que se asocian a usuarios que se mostraron sospeitosos.
Que outros puntos son típicos de SecuReporter?
Fácil configuración para usuarios finais (administradores de seguridade).
A activación de SecuReporter na nube realízase mediante un procedemento de configuración sinxelo. Despois diso, os administradores teñen acceso inmediatamente a todos os datos, ferramentas de análise e informes.
Multi-inquilinos nunha única plataforma de nube: podes personalizar as túas análises para cada cliente. De novo, a medida que aumenta a súa base de clientes, a arquitectura da nube permítelle adaptar facilmente o seu sistema de control sen sacrificar a eficiencia.
Leis de protección de datos
IMPORTANTE! Zyxel é moi sensible ás leis internacionais e locais e a outras normativas relativas á protección de datos persoais, incluíndo o GDPR e os Principios de privacidade da OCDE. Apoiado pola Lei Federal "sobre datos persoais" do 27.07.2006 de xullo de 152 n.o XNUMX-FZ.
Para garantir o cumprimento, SecuReporter ten tres opcións de protección de privacidade integradas:
- datos non anónimos: os datos persoais están completamente identificados no analizador, informes e rexistros de arquivo descargables;
- parcialmente anónimo: os datos persoais substitúense polos seus identificadores artificiais nos rexistros de arquivo;
- completamente anónimo: os datos persoais están completamente anónimos no analizador, informes e rexistros de arquivo descargables.
Como habilito SecuReporter no meu dispositivo?
Vexamos o exemplo dun dispositivo ZyWall (neste caso temos un ZyWall 1100). Vaia á sección de configuración (pestana á dereita cunha icona en forma de dúas engrenaxes). A continuación, abra a sección Cloud CNM e seleccione a subsección SecuReporter nela.
Para permitir o uso do servizo, debes activar o elemento Activar SecuReporter. Ademais, paga a pena usar a opción Incluír rexistro de tráfico para recoller e analizar rexistros de tráfico.
Figura 1. Activación de SecuReporter.
O segundo paso é permitir a recollida de estatísticas. Isto faise na sección Seguimento (pestana á dereita cunha icona en forma de monitor).
A continuación, vai á sección Estatísticas UTM, subsección App Patrol. Aquí cómpre activar a opción Recoller estatísticas.
Figura 2. Habilitación da recollida de estatísticas.
Isto é todo, podes conectarte á interface web de SecuReporter e usar o servizo na nube.
IMPORTANTE! SecuReporter ten unha excelente documentación en formato PDF. Podes descargalo desde .
Descrición da interface web de SecuReporter
Non será posible dar aquí unha descrición detallada de todas as funcións que SecuReporter ofrece a un administrador de seguridade: hai moitas para un artigo.
Polo tanto, limitarémonos a unha breve descrición dos servizos que ve o administrador e cos que traballa constantemente. Entón, coñece en que consiste a consola web SecuReporter.
Mapa
Esta sección mostra o equipo rexistrado, indicando a cidade, o nome do dispositivo e o enderezo IP. Mostra información sobre se o dispositivo está acendido e cal é o estado da advertencia. No mapa de ameazas podes ver a orixe dos paquetes utilizados polos atacantes e a frecuencia dos ataques.
panel de control
Breve información sobre as principais accións e unha breve panorámica analítica para o período especificado. Podes especificar un período de 7 días a 1 hora.
Figura 3. Exemplo de aparición da sección Dashboard.
Analizador
O nome fala por si só. Esta é a consola da ferramenta do mesmo nome, que diagnostica o tráfico sospeitoso durante un período seleccionado, identifica tendencias na aparición de ameazas e recolle información sobre paquetes sospeitosos. Analyzer é capaz de rastrexar o código malicioso máis común, ademais de proporcionar información adicional sobre problemas de seguridade.
Figura 4. Exemplo de aparición da sección Analizador.
Informe
Nesta sección, o usuario ten acceso a informes personalizados cunha interface gráfica. Pódese recoller e recompilar a información requirida nunha presentación conveniente de inmediato ou de forma programada.
Alertas
Aquí é onde configura o sistema de aviso. Pódense configurar limiares e diferentes niveis de gravidade, facilitando a identificación de anomalías e posibles ataques.
Configuración
Ben, en realidade, os axustes son axustes.
Ademais, cabe destacar que SecuReporter pode soportar diferentes políticas de protección ao procesar datos persoais.
Conclusión
Os métodos locais para analizar as estatísticas relacionadas coa seguridade demostraron, en principio, bastante ben.
Non obstante, o alcance e a gravidade das ameazas aumentan cada día. O nivel de protección que antes satisfacía a todos se fai bastante débil despois dun tempo.
Ademais dos problemas enumerados, o uso de ferramentas locais require certos esforzos para manter a funcionalidade (mantemento de equipos, copia de seguridade, etc.). Tamén está o problema da localización remota: non sempre é posible manter o administrador de seguridade na oficina 24 horas, 7 días á semana. Polo tanto, cómpre organizar dalgún xeito o acceso seguro ao sistema local desde o exterior e mantelo vostede mesmo.
O uso de servizos na nube permítelle evitar este tipo de problemas, centrándose especificamente en manter o nivel requirido de seguridade e protección contra as intrusións, así como as infraccións das normas por parte dos usuarios.
SecuReporter é só un exemplo de implementación exitosa deste servizo.
Acción
A partir de hoxe, hai unha promoción conxunta entre Zyxel e o noso Gold Partner X-Com para os compradores de firewalls compatibles con Secureporter:
Ligazóns útiles
[1] .
[2] no sitio web oficial de Zyxel.
[3] .
Fonte: www.habr.com