Í hugum óreynds fólks lítur starf öryggisstjóra út eins og spennandi einvígi milli andhakkara og vondra tölvuþrjóta sem ráðast stöðugt inn á fyrirtækjanetið. Og hetjan okkar, í rauntíma, hrindir frá sér áræðnum árásum með því að fara fimlega og fljótt inn skipanir og stendur að lokum uppi sem frábær sigurvegari.
Rétt eins og konunglegur musketer með lyklaborð í stað sverðs og musket.
En í raun og veru lítur allt út fyrir að vera venjulegt, tilgerðarlaust og jafnvel, mætti segja, leiðinlegt.
Ein helsta greiningaraðferðin er enn að lesa atburðaskrár. Ítarleg rannsókn á efninu:
- hverjir reyndu að slá inn hvaðan hvaðan, hvaða auðlind þeir reyndu að fá aðgang að, hvernig þeir sannuðu rétt sinn til að fá aðgang að auðlindinni;
- hvaða bilanir, villur og einfaldlega grunsamlegar tilviljanir voru;
- hver og hvernig prófaði kerfið með tilliti til styrkleika, skönnuð höfn, valin lykilorð;
- Og svo framvegis og svo framvegis…
Jæja, hvað í fjandanum er rómantík hér, Guð forði þér að "þú sofnar ekki á meðan þú keyrir."
Svo að sérfræðingar okkar missi ekki algjörlega ást sína á list, eru verkfæri fundin upp fyrir þá til að gera lífið auðveldara. Þetta eru alls kyns greiningartæki (log parsers), eftirlitskerfi með tilkynningu um mikilvæga atburði og margt fleira.
Hins vegar, ef þú tekur gott tól og byrjar að skrúfa það handvirkt á hvert tæki, til dæmis netgátt, verður það ekki svo einfalt, ekki svo þægilegt, og meðal annars þarftu að hafa viðbótarþekkingu frá allt öðrum svæði. Til dæmis, hvar á að setja hugbúnað fyrir slíkt eftirlit? Á líkamlegum netþjóni, sýndarvél, sérstöku tæki? Í hvaða formi á að geyma gögnin? Ef gagnagrunnur er notaður, hvern? Hvernig geri ég öryggisafrit og þarf ég að gera þær? Hvernig á að stjórna? Hvaða viðmót ætti ég að nota? Hvernig á að vernda kerfið? Hvaða dulkóðunaraðferð á að nota - og margt fleira.
Það er miklu einfaldara þegar það er ákveðið sameinað kerfi sem tekur á sig lausn allra upptalinna mála, sem skilur stjórnandanum eftir að vinna stranglega innan ramma sérstakra sinna.
Samkvæmt þeirri hefð að kalla hugtakið „ský“ allt sem ekki er staðsett á tilteknum gestgjafa, gerir Zyxel CNM SecuReporter skýjaþjónustan þér ekki aðeins kleift að leysa mörg vandamál, heldur býður einnig upp á þægileg verkfæri
Hvað er Zyxel CNM SecuReporter?
Þetta er snjöll greiningarþjónusta með gagnasöfnun, tölfræðilegri greiningu (fylgni) og skýrslugerð fyrir Zyxel búnað ZyWALL línunnar og þeirra. Það veitir netstjóranum miðlæga yfirsýn yfir ýmsar aðgerðir á netinu.
Til dæmis geta árásarmenn reynt að brjótast inn í öryggiskerfi með árásaraðferðum eins og laumuspil, skotmark и hverfa. SecuReporter greinir grunsamlega hegðun, sem gerir stjórnandanum kleift að grípa til nauðsynlegra verndarráðstafana með því að stilla ZyWALL.
Auðvitað er óhugsandi að tryggja öryggi án stöðugrar gagnagreiningar með viðvörunum í rauntíma. Þú getur teiknað falleg línurit eins mikið og þú vilt, en ef stjórnandinn er ekki meðvitaður um hvað er að gerast... Nei, þetta getur örugglega ekki gerst með SecuReporter!
Nokkrar spurningar um notkun SecuReporter
Analytics
Í raun er greining á því sem er að gerast kjarninn í uppbyggingu upplýsingaöryggis. Með því að greina atburði getur öryggissérfræðingur komið í veg fyrir eða stöðvað árás í tæka tíð, auk þess að fá ítarlegar upplýsingar til enduruppbyggingar til að safna sönnunargögnum.
Hvað veitir „skýjaarkitektúr“?
Þessi þjónusta er byggð á Software as a Service (SaaS) líkaninu, sem gerir það auðveldara að skala með því að nota kraft ytri netþjóna, dreifðra gagnageymslukerfa og svo framvegis. Notkun skýjalíkanssins gerir þér kleift að draga úr blæbrigðum vélbúnaðar og hugbúnaðar og verja öllum kröftum þínum í að búa til og bæta verndarþjónustuna.
Þetta gerir notandanum kleift að draga verulega úr kostnaði við kaup á búnaði til geymslu, greiningar og útvegun aðgangs og engin þörf er á að takast á við viðhaldsmál eins og öryggisafrit, uppfærslur, forvarnir gegn bilunum og svo framvegis. Það er nóg að hafa tæki sem styður SecuReporter og viðeigandi leyfi.
MIKILVÆGT! Með skýjatengdum arkitektúr geta öryggisstjórnendur fylgst með virkni netkerfisins hvenær sem er og hvar sem er. Þetta leysir vandann, meðal annars með orlof, veikindaleyfi og svo framvegis. Aðgangur að búnaði, til dæmis þjófnaði á fartölvu sem SecuReporter vefviðmótið var aðgengilegt úr, mun heldur engu skila, að því gefnu að eigandi hennar hafi ekki brotið öryggisreglur, ekki geymt lykilorð á staðnum o.s.frv.
Skýstjórnunarvalkosturinn hentar vel fyrir bæði einfyrirtæki staðsett í sömu borg og mannvirki með útibú. Slíkt staðsetningarsjálfstæði er nauðsynlegt í ýmsum atvinnugreinum, til dæmis fyrir þjónustuveitendur eða hugbúnaðarframleiðendur sem hafa viðskipti með mismunandi borgir.
Við tölum mikið um möguleika greiningar, en hvað þýðir þetta?
Þetta eru ýmis greiningartæki, til dæmis samantektir á tíðni atburða, listar yfir 100 helstu (raunveruleg og meint) fórnarlömb ákveðins atburðar, annálar sem gefa til kynna ákveðin skotmörk fyrir árás og svo framvegis. Allt sem hjálpar stjórnandanum að bera kennsl á falda þróun og bera kennsl á grunsamlega hegðun notenda eða þjónustu.
Hvað með að tilkynna?
SecuReporter gerir þér kleift að sérsníða skýrsluformið og fá síðan niðurstöðuna á PDF formi. Auðvitað, ef þú vilt, geturðu fellt lógóið þitt, skýrsluheiti, tilvísanir eða tillögur inn í skýrsluna. Hægt er að búa til skýrslur á þeim tíma sem óskað er eftir eða samkvæmt áætlun, til dæmis einu sinni á dag, viku eða mánuði.
Þú getur stillt útgáfu viðvarana með hliðsjón af sérkennum umferðar innan netkerfisins.
Er hægt að draga úr hættunni frá innherja eða einfaldlega slök?
Hið sérstaka tól fyrir notendahlutfall gerir stjórnandanum kleift að bera kennsl á áhættusöma notendur fljótt, án frekari fyrirhafnar og að teknu tilliti til ósjálfstæðis milli mismunandi netskrár eða atburða.
Það er, ítarleg greining á öllum atburðum og umferð sem tengist notendum sem hafa sýnt sig vera tortryggilega.
Hvaða önnur atriði eru dæmigerð fyrir SecuReporter?
Auðveld uppsetning fyrir notendur (öryggisstjórar).
Virkjun SecuReporter í skýinu á sér stað með einföldu uppsetningarferli. Eftir þetta fá stjórnendur strax aðgang að öllum gögnum, greiningar- og skýrslutólum.
Fjölleigjendur á einum skýjapalli - þú getur sérsniðið greiningar þínar fyrir hvern viðskiptavin. Aftur, eftir því sem viðskiptavinum þínum fjölgar, gerir skýjaarkitektúrinn þér kleift að aðlaga stjórnkerfið þitt auðveldlega án þess að fórna skilvirkni.
Persónuverndarlög
MIKILVÆGT! Zyxel er mjög viðkvæmt fyrir alþjóðlegum og staðbundnum lögum og öðrum reglugerðum varðandi vernd persónuupplýsinga, þar á meðal GDPR og persónuverndarreglum OECD. Stuðningur af alríkislögum „um persónuupplýsingar“ dagsettum 27.07.2006. júlí 152 nr. XNUMX-FZ.
Til að tryggja samræmi hefur SecuReporter þrjá innbyggða persónuverndarvalkosti:
- gögn sem ekki eru nafnlaus - persónuupplýsingar eru að fullu auðkenndar í greiningar-, skýrslu- og skjalasafnsskrám sem hægt er að hlaða niður;
- að hluta til nafnlaus - persónuupplýsingum er skipt út fyrir gervi auðkenni þeirra í skjalasafni;
- algjörlega nafnlaus - persónuleg gögn eru algjörlega nafnlaus í Analyzer, Report og niðurhalanlegum skjalaskrám.
Hvernig kveiki ég á SecuReporter á tækinu mínu?
Við skulum skoða dæmið um ZyWall tæki (í þessu tilfelli erum við með ZyWall 1100). Farðu í stillingarhlutann (flipi til hægri með tákni í formi tveggja gíra). Næst skaltu opna Cloud CNM hlutann og velja SecuReporter undirhlutann í honum.
Til að leyfa notkun á þjónustunni verður þú að virkja Enable SecuReporter þáttinn. Að auki er þess virði að nota valkostinn Taka með umferðarskrá til að safna og greina umferðarskrár.
Mynd 1. Virkja SecuReporter.
Annað skrefið er að leyfa söfnun tölfræði. Þetta er gert í Vöktunarhlutanum (flipi til hægri með tákni í formi skjás).
Næst skaltu fara í UTM tölfræðihlutann, App Patrol undirkafla. Hér þarftu að virkja valkostinn Safna tölfræði.
Mynd 2. Virkja tölfræðisöfnun.
Það er það, þú getur tengst SecuReporter vefviðmótinu og notað skýjaþjónustuna.
MIKILVÆGT! SecuReporter hefur framúrskarandi skjöl á PDF formi. Þú getur hlaðið því niður frá .
Lýsing á SecuReporter vefviðmóti
Ekki verður hægt að gefa hér nákvæma lýsingu á öllum þeim aðgerðum sem SecuReporter veitir öryggisstjóra - það er töluvert mikið af þeim fyrir eina grein.
Þess vegna munum við takmarka okkur við stutta lýsingu á þjónustunni sem stjórnandinn sér og því sem hann vinnur stöðugt með. Svo, kynntu þér hvað SecuReporter vefborðið samanstendur af.
Kort
Þessi hluti sýnir skráðan búnað og gefur til kynna borgina, heiti tækisins og IP-tölu. Sýnir upplýsingar um hvort kveikt sé á tækinu og hver viðvörunarstaðan er. Á ógnarkortinu geturðu séð uppruna pakka sem árásarmenn nota og tíðni árása.
Mælaborð
Stuttar upplýsingar um helstu aðgerðir og hnitmiðað greiningaryfirlit fyrir tilgreint tímabil. Þú getur tilgreint tímabil frá 7 dögum til 1 klukkustund.
Mynd 3. Dæmi um útlit Mælaborðshlutans.
Analyzer
Nafnið segir sig sjálft. Þetta er stjórnborð samnefnds tóls, sem greinir grunsamlega umferð í ákveðið tímabil, greinir þróun ógnanna og safnar upplýsingum um grunsamlega pakka. Analyzer er fær um að rekja algengasta illgjarna kóðann, auk þess að veita viðbótarupplýsingar varðandi öryggismál.
Mynd 4. Dæmi um útlit greiningarhlutans.
Skýrsla
Í þessum hluta hefur notandinn aðgang að sérsniðnum skýrslum með grafísku viðmóti. Hægt er að safna nauðsynlegum upplýsingum og setja saman í þægilega kynningu strax eða á áætlun.
Viðvaranir
Þetta er þar sem þú stillir viðvörunarkerfið. Hægt er að stilla þröskulda og mismunandi alvarleikastig, sem gerir það auðveldara að greina frávik og hugsanlegar árásir.
Stilling
Jæja, í raun eru stillingar stillingar.
Að auki er rétt að taka fram að SecuReporter getur stutt mismunandi verndarstefnur við vinnslu persónuupplýsinga.
Ályktun
Staðbundnar aðferðir til að greina öryggistengda tölfræði hafa í grundvallaratriðum reynst vel.
Hins vegar eykst umfang og alvarleiki ógnanna með hverjum deginum. Vörnin sem áður fullnægði öllum verður frekar veik eftir nokkurn tíma.
Til viðbótar við upptalin vandamál, krefst notkun staðbundinna verkfæra ákveðinna viðleitni til að viðhalda virkni (viðhald búnaðar, öryggisafrit og svo framvegis). Það er líka vandamál af fjarlægri staðsetningu - það er ekki alltaf hægt að hafa öryggisstjórann á skrifstofunni 24 tíma, 7 daga vikunnar. Þess vegna þarftu einhvern veginn að skipuleggja öruggan aðgang að staðbundnu kerfinu að utan og viðhalda því sjálfur.
Notkun skýjaþjónustu gerir þér kleift að forðast slík vandamál, með því að einbeita þér sérstaklega að því að viðhalda nauðsynlegu öryggisstigi og vernd gegn innbrotum, sem og brotum á reglum notenda.
SecuReporter er bara dæmi um árangursríka innleiðingu á slíkri þjónustu.
Action
Frá og með deginum í dag er sameiginleg kynning á milli Zyxel og Gold Partner X-Com fyrir kaupendur eldvegga sem styðja Secureporter:
gagnlegir krækjur
[1] .
[2] á vefsíðunni á opinberu Zyxel vefsíðunni.
[3] .
Heimild: www.habr.com