U glavama neiskusnih ljudi posao sigurnosnog administratora izgleda kao uzbudljiv dvoboj između antihakera i zlih hakera koji neprestano napadaju korporativnu mrežu. A naš junak, u stvarnom vremenu, odbija odvažne napade vještim i brzim unosom naredbi i na kraju izlazi kao briljantni pobjednik.
Baš kao kraljevski mušketir s tipkovnicom umjesto mača i muškete.
Ali u stvarnosti sve izgleda obično, nepretenciozno, pa čak i, moglo bi se reći, dosadno.
Jedna od glavnih metoda analize i dalje je čitanje dnevnika događaja. Detaljna studija na temu:
- tko je gdje i odakle pokušao ući, kojem je resursu pokušao pristupiti, kako je dokazao svoja prava na pristup resursu;
- koji su propusti, pogreške i jednostavno sumnjive slučajnosti bile;
- tko je i kako testirao snagu sustava, skenirao portove, birao lozinke;
- I tako dalje…
Pa, koja je tu romantika, ne daj Bože “da ne zaspiš u vožnji”.
Kako naši stručnjaci ne bi potpuno izgubili ljubav prema umjetnosti, za njih su izmišljeni alati koji olakšavaju život. To su sve vrste analizatora (log parsera), nadzorni sustavi s obavijesti o kritičnim događajima i još mnogo toga.
Međutim, ako uzmete dobar alat i počnete ga ručno pričvršćivati na svaki uređaj, na primjer, internetski pristupnik, to neće biti tako jednostavno, niti tako zgodno, a, između ostalog, morate imati dodatno znanje iz potpuno različitih područja. Na primjer, gdje postaviti softver za takav nadzor? Na fizičkom poslužitelju, virtualnom stroju, posebnom uređaju? U kojem obliku trebaju biti pohranjeni podaci? Ako se koristi baza podataka, koja? Kako napraviti backup i je li ga potrebno raditi? Kako upravljati? Koje sučelje trebam koristiti? Kako zaštititi sustav? Koju metodu šifriranja koristiti - i još mnogo toga.
Puno je jednostavnije kada postoji određeni unificirani mehanizam koji na sebe preuzima rješavanje svih navedenih pitanja, prepuštajući administratoru da radi strogo u okviru svojih specifičnosti.
Prema ustaljenoj tradiciji nazivanja pojmom "oblak" svega što se ne nalazi na određenom hostu, usluga oblaka Zyxel CNM SecuReporter omogućuje ne samo rješavanje mnogih problema, već također pruža praktične alate
Što je Zyxel CNM SecuReporter?
Ovo je inteligentna analitička usluga s funkcijama prikupljanja podataka, statističke analize (korelacije) i izvješćivanja za Zyxel opremu linije ZyWALL i njihove. Mrežnom administratoru pruža centralizirani pregled različitih aktivnosti na mreži.
Na primjer, napadači mogu pokušati provaliti u sigurnosni sustav koristeći mehanizme napada kao što su potajno, ciljano и uporan. SecuReporter detektira sumnjivo ponašanje, što omogućuje administratoru da poduzme potrebne zaštitne mjere konfiguriranjem ZyWALL-a.
Naravno, osiguranje sigurnosti nezamislivo je bez stalne analize podataka s upozorenjima u realnom vremenu. Možete crtati lijepe grafikone koliko god želite, ali ako administrator nije svjestan što se događa... Ne, to se definitivno ne može dogoditi sa SecuReporterom!
Neka pitanja o korištenju SecuReportera
Analitika
Zapravo, analiza onoga što se događa srž je izgradnje informacijske sigurnosti. Analizom događaja sigurnosni stručnjak može na vrijeme spriječiti ili zaustaviti napad, kao i dobiti detaljne podatke za rekonstrukciju radi prikupljanja dokaza.
Što pruža "arhitektura oblaka"?
Ova je usluga izgrađena na modelu softvera kao usluge (SaaS), koji olakšava skaliranje korištenjem snage udaljenih poslužitelja, distribuiranih sustava za pohranu podataka i tako dalje. Korištenje modela oblaka omogućuje vam apstrahiranje od hardverskih i softverskih nijansi, posvećujući sve svoje napore stvaranju i poboljšanju usluge zaštite.
Ovo korisniku omogućuje značajno smanjenje troškova nabave opreme za pohranu, analizu i pružanje pristupa, a nema potrebe baviti se pitanjima održavanja kao što su sigurnosne kopije, ažuriranja, prevencija kvarova i tako dalje. Dovoljno je imati uređaj koji podržava SecuReporter i odgovarajuću licencu.
VAŽNO! S arhitekturom temeljenom na oblaku, sigurnosni administratori mogu proaktivno nadzirati zdravlje mreže bilo kada i bilo gdje. Time se rješava problem, uključujući i godišnji odmor, bolovanje i tako dalje. Pristup opremi, na primjer, krađa prijenosnog računala s kojeg se pristupilo web sučelju SecuReporter, također neće dati ništa, pod uvjetom da njegov vlasnik nije prekršio sigurnosna pravila, nije lokalno pohranio lozinke i tako dalje.
Opcija upravljanja oblakom prikladna je i za mono-tvrtke koje se nalaze u istom gradu i za strukture s podružnicama. Takva neovisnost o lokaciji potrebna je u raznim industrijama, na primjer, za pružatelje usluga ili programere softvera čije je poslovanje raspoređeno u različitim gradovima.
Puno govorimo o mogućnostima analize, ali što to znači?
To su različiti analitički alati, na primjer, sažeci učestalosti događaja, popisi Top 100 glavnih (stvarnih i navodnih) žrtava određenog događaja, dnevnici koji označavaju određene mete za napad i tako dalje. Sve što pomaže administratoru identificirati skrivene trendove i identificirati sumnjivo ponašanje korisnika ili usluga.
Što je s izvješćivanjem?
SecuReporter vam omogućuje da prilagodite obrazac izvješća i zatim dobijete rezultat u PDF formatu. Naravno, ako želite, u izvješće možete ugraditi svoj logo, naslov izvješća, reference ili preporuke. Moguće je kreirati izvješća u trenutku zahtjeva ili prema rasporedu, na primjer, jednom dnevno, tjedno ili mjesečno.
Možete konfigurirati izdavanje upozorenja uzimajući u obzir specifičnosti prometa unutar mrežne infrastrukture.
Je li moguće smanjiti opasnost od insajdera ili jednostavno ljigavaca?
Poseban alat User Partially Quotient omogućuje administratoru da brzo identificira rizične korisnike, bez dodatnog napora i uzimajući u obzir ovisnost između različitih mrežnih zapisa ili događaja.
Odnosno, provodi se dubinska analiza svih događaja i prometa koji su povezani s korisnicima koji su se pokazali sumnjivima.
Koje su druge točke tipične za SecuReporter?
Jednostavno postavljanje za krajnje korisnike (sigurnosni administratori).
Aktivacija SecuReportera u oblaku odvija se kroz jednostavan postupak postavljanja. Nakon toga administratori odmah dobivaju pristup svim podacima, analizama i alatima za izvješćivanje.
Multi-Tenants na jednoj platformi u oblaku - možete prilagoditi svoju analitiku za svakog klijenta. Opet, kako se vaša baza korisnika povećava, arhitektura oblaka omogućuje vam jednostavnu prilagodbu sustava upravljanja bez žrtvovanja učinkovitosti.
Zakoni o zaštiti podataka
VAŽNO! Zyxel je vrlo osjetljiv na međunarodne i lokalne zakone i druge propise koji se odnose na zaštitu osobnih podataka, uključujući GDPR i OECD-ova načela privatnosti. Podržano Saveznim zakonom „O osobnim podacima” od 27.07.2006. srpnja 152. br. XNUMX-FZ.
Kako bi se osigurala usklađenost, SecuReporter ima tri ugrađene opcije zaštite privatnosti:
- neanonimni podaci - osobni podaci su u potpunosti identificirani u analizatoru, izvješću i arhivskim zapisima koji se mogu preuzeti;
- djelomično anonimno - osobni podaci zamijenjeni su njihovim umjetnim identifikatorima u Arhivskim zapisima;
- potpuno anonimno - osobni podaci potpuno su anonimizirani u Analyzeru, Reportu i arhivskim zapisima koji se mogu preuzeti.
Kako mogu omogućiti SecuReporter na svom uređaju?
Pogledajmo primjer ZyWall uređaja (u ovom slučaju imamo ZyWall 1100). Idite na odjeljak postavki (kartica s desne strane s ikonom u obliku dva zupčanika). Zatim otvorite odjeljak Cloud CNM i u njemu odaberite pododjeljak SecuReporter.
Kako biste dopustili korištenje usluge, morate aktivirati element Enable SecuReporter. Osim toga, vrijedi koristiti opciju Uključi prometni zapisnik za prikupljanje i analizu prometnih zapisa.
Slika 1. Omogućavanje SecuReportera.
Drugi korak je omogućiti prikupljanje statistike. To se radi u odjeljku Monitoring (kartica s desne strane s ikonom u obliku monitora).
Zatim idite na odjeljak UTM Statistika, pododjeljak App Patrol. Ovdje je potrebno aktivirati opciju Collect Statistics.
Slika 2. Omogućavanje prikupljanja statistike.
To je to, možete se spojiti na SecuReporter web sučelje i koristiti uslugu u oblaku.
VAŽNO! SecuReporter ima izvrsnu dokumentaciju u PDF formatu. Možete ga preuzeti sa .
Opis SecuReporter web sučelja
Ovdje neće biti moguće detaljno opisati sve funkcije koje SecuReporter pruža sigurnosnom administratoru - ima ih dosta za jedan članak.
Stoga ćemo se ograničiti na kratak opis usluga koje administrator vidi i s čime stalno radi. Dakle, upoznajte se od čega se sastoji SecuReporter web konzola.
Karta
Ovaj odjeljak prikazuje registriranu opremu, navodeći grad, naziv uređaja i IP adresu. Prikazuje informacije o tome je li uređaj uključen i koji je status upozorenja. Na Karti prijetnji možete vidjeti izvor paketa koje koriste napadači i učestalost napada.
Nadzorna ploča
Kratke informacije o glavnim radnjama i sažeti analitički pregled za navedeno razdoblje. Možete odrediti razdoblje od 7 dana do 1 sata.
Slika 3. Primjer izgleda sekcije Dashboard.
Analyzer
Ime govori samo za sebe. Riječ je o konzoli istoimenog alata koji dijagnosticira sumnjivi promet za odabrano razdoblje, identificira trendove u pojavi prijetnji i prikuplja podatke o sumnjivim paketima. Analyzer može pratiti najčešći zlonamjerni kod, kao i pružiti dodatne informacije o sigurnosnim problemima.
Slika 4. Primjer izgleda odjeljka Analizator.
izvješće
U ovom dijelu korisnik ima pristup prilagođenim izvješćima s grafičkim sučeljem. Tražene informacije mogu se prikupiti i sastaviti u prikladnu prezentaciju odmah ili prema rasporedu.
upozorenja
Ovdje konfigurirate sustav upozorenja. Moguće je konfigurirati pragove i različite razine ozbiljnosti, što olakšava prepoznavanje anomalija i potencijalnih napada.
Postavka
Pa, zapravo, postavke su postavke.
Dodatno, vrijedi napomenuti da SecuReporter može podržati različite politike zaštite prilikom obrade osobnih podataka.
Zaključak
Lokalne metode za analizu sigurnosnih statistika u načelu su se prilično dobro pokazale.
Međutim, opseg i ozbiljnost prijetnji se povećava svakim danom. Razina zaštite koja je prije zadovoljavala sve postaje prilično slaba nakon nekog vremena.
Uz navedene probleme, korištenje lokalnih alata zahtijeva određene napore za održavanje funkcionalnosti (održavanje opreme, backup i sl.). Tu je i problem udaljene lokacije - nije uvijek moguće držati sigurnosnog administratora u uredu 24 sata, 7 dana u tjednu. Stoga morate nekako organizirati siguran pristup lokalnom sustavu izvana i sami ga održavati.
Korištenje usluga u oblaku omogućuje izbjegavanje takvih problema, posebno se fokusirajući na održavanje potrebne razine sigurnosti i zaštite od upada, kao i kršenja pravila od strane korisnika.
SecuReporter je samo primjer uspješne implementacije takve usluge.
Akcija
Od danas postoji zajednička promocija između Zyxela i našeg zlatnog partnera X-Com za kupce vatrozida koji podržavaju Secureporter:
korisni linkovi
[1] .
[2] na web stranici na službenoj web stranici Zyxela.
[3] .
Izvor: www.habr.com