Nella mente delle persone inesperte, il lavoro di un amministratore della sicurezza sembra un avvincente duello tra un anti-hacker e gli hacker malvagi che invadono costantemente la rete aziendale. E il nostro eroe, in tempo reale, respinge gli attacchi audaci inserendo abilmente e rapidamente i comandi e alla fine emerge come un brillante vincitore.
Proprio come un moschettiere reale con una tastiera invece di una spada e un moschetto.
Ma in realtà, tutto sembra ordinario, senza pretese e persino, si potrebbe dire, noioso.
Uno dei principali metodi di analisi è ancora la lettura dei registri eventi. Studio approfondito sull'argomento:
- chi ha tentato di entrare, da dove, a quale risorsa ha tentato di accedere, come ha dimostrato il proprio diritto di accesso alla risorsa;
- quali fallimenti, errori e coincidenze semplicemente sospette ci sono stati;
- chi e come ha testato la robustezza del sistema, le porte scansionate, le password selezionate;
- E così via e così via…
Bene, che diavolo è il romanticismo qui, Dio non voglia "non ti addormenti mentre guidi".
Affinché i nostri specialisti non perdano completamente il loro amore per l'arte, vengono inventati strumenti per semplificare la vita. Si tratta di tutti i tipi di analizzatori (parser di log), sistemi di monitoraggio con notifica di eventi critici e molto altro.
Tuttavia, se prendi un buon strumento e inizi ad avvitarlo manualmente su ciascun dispositivo, ad esempio un gateway Internet, non sarà così semplice, non così conveniente e, tra le altre cose, dovrai avere conoscenze aggiuntive da persone completamente diverse le zone. Ad esempio, dove posizionare il software per tale monitoraggio? Su un server fisico, una macchina virtuale, un dispositivo speciale? In quale forma devono essere archiviati i dati? Se viene utilizzato un database, quale? Come eseguire i backup ed è necessario eseguirli? Come gestire? Quale interfaccia dovrei usare? Come proteggere il sistema? Quale metodo di crittografia utilizzare e molto altro ancora.
È molto più semplice quando esiste un certo meccanismo unificato che si assume la soluzione di tutte le questioni elencate, lasciando che l'amministratore lavori rigorosamente nell'ambito delle sue specificità.
Secondo la tradizione consolidata di chiamare con il termine "cloud" tutto ciò che non si trova su un determinato host, il servizio cloud Zyxel CNM SecuReporter consente non solo di risolvere molti problemi, ma fornisce anche strumenti convenienti
Cos'è Zyxel CNM SecuReporter?
Si tratta di un servizio di analisi intelligente con funzioni di raccolta dati, analisi statistica (correlazione) e reporting per le apparecchiature Zyxel della linea ZyWALL e le loro. Fornisce all'amministratore di rete una visione centralizzata delle varie attività sulla rete.
Ad esempio, gli aggressori potrebbero tentare di entrare in un sistema di sicurezza utilizzando meccanismi di attacco come furtivo, mirato и persistere. SecuReporter rileva comportamenti sospetti, che consentono all'amministratore di adottare le misure di protezione necessarie configurando ZyWALL.
Naturalmente garantire la sicurezza è impensabile senza un’analisi costante dei dati con avvisi in tempo reale. Puoi disegnare bellissimi grafici quanto vuoi, ma se l'amministratore non è a conoscenza di ciò che sta accadendo... No, questo sicuramente non può succedere con SecuReporter!
Alcune domande sull'utilizzo di SecuReporter
Analitica
In realtà, l’analisi di ciò che sta accadendo è il fulcro della costruzione della sicurezza delle informazioni. Analizzando gli eventi, uno specialista della sicurezza può prevenire o fermare in tempo un attacco, nonché ottenere informazioni dettagliate per la ricostruzione al fine di raccogliere prove.
Cosa offre l’“architettura cloud”?
Questo servizio si basa sul modello Software as a Service (SaaS), che semplifica la scalabilità utilizzando la potenza di server remoti, sistemi di archiviazione dati distribuiti e così via. L'utilizzo del modello cloud consente di astrarre dalle sfumature hardware e software, dedicando tutti i propri sforzi alla creazione e al miglioramento del servizio di protezione.
Ciò consente all'utente di ridurre significativamente i costi di acquisto delle apparecchiature per l'archiviazione, l'analisi e la fornitura di accesso e non è necessario occuparsi di problemi di manutenzione come backup, aggiornamenti, prevenzione dei guasti e così via. È sufficiente avere un dispositivo che supporti SecuReporter e la licenza adeguata.
IMPORTANTE! Con un'architettura basata su cloud, gli amministratori della sicurezza possono monitorare in modo proattivo lo stato della rete sempre e ovunque. Questo risolve il problema, anche con ferie, congedi per malattia e così via. Anche l'accesso alle apparecchiature, ad esempio il furto di un laptop da cui è stato effettuato l'accesso all'interfaccia web di SecuReporter, non produrrà nulla, a condizione che il suo proprietario non abbia violato le regole di sicurezza, non abbia memorizzato le password localmente e così via.
L'opzione di gestione in cloud ben si adatta sia alle mono-aziende ubicate nella stessa città che alle strutture con filiali. Tale indipendenza dalla sede è necessaria in una varietà di settori, ad esempio per i fornitori di servizi o gli sviluppatori di software la cui attività è distribuita in diverse città.
Si parla tanto delle possibilità di analisi, ma cosa significa?
Si tratta di vari strumenti di analisi, ad esempio riepiloghi della frequenza degli eventi, elenchi delle 100 principali vittime (reali e presunte) di un determinato evento, registri che indicano obiettivi specifici per l'attacco e così via. Tutto ciò che aiuta l'amministratore a identificare tendenze nascoste e identificare comportamenti sospetti di utenti o servizi.
E la segnalazione?
SecuReporter ti consente di personalizzare il modulo del report e quindi ricevere il risultato in formato PDF. Naturalmente, se lo desideri, puoi incorporare il tuo logo, il titolo del rapporto, i riferimenti o i suggerimenti nel rapporto. È possibile creare report al momento della richiesta o in base a una pianificazione, ad esempio una volta al giorno, alla settimana o al mese.
È possibile configurare l'emissione di avvisi tenendo conto delle specificità del traffico all'interno dell'infrastruttura di rete.
È possibile ridurre il pericolo degli addetti ai lavori o dei semplici cialtroni?
Lo speciale strumento User Partially Quotient consente all'amministratore di identificare rapidamente gli utenti a rischio, senza ulteriori sforzi e tenendo conto della dipendenza tra diversi log o eventi di rete.
Viene cioè effettuata un'analisi approfondita di tutti gli eventi e il traffico associati agli utenti che si sono rivelati sospetti.
Quali altri punti sono tipici di SecuReporter?
Configurazione semplice per gli utenti finali (amministratori della sicurezza).
L'attivazione di SecuReporter nel cloud avviene tramite una semplice procedura di setup. Successivamente, gli amministratori hanno immediatamente accesso a tutti i dati, agli strumenti di analisi e di reporting.
Multi-tenant su un'unica piattaforma cloud: puoi personalizzare le tue analisi per ciascun cliente. Ancora una volta, con l’aumento della base clienti, l’architettura cloud ti consente di adattare facilmente il tuo sistema di controllo senza sacrificare l’efficienza.
Leggi sulla protezione dei dati
IMPORTANTE! Zyxel è molto sensibile alle leggi internazionali e locali e ad altre normative relative alla protezione dei dati personali, inclusi il GDPR e i principi sulla privacy dell'OCSE. Supportato dalla legge federale “sui dati personali” del 27.07.2006 luglio 152 n. XNUMX-FZ.
Per garantire la conformità, SecuReporter dispone di tre opzioni di protezione della privacy integrate:
- dati non anonimi: i dati personali sono completamente identificati nell'analizzatore, nei report e nei registri di archivio scaricabili;
- parzialmente anonimo: i dati personali vengono sostituiti con i loro identificatori artificiali nei log di archivio;
- completamente anonimo: i dati personali sono completamente anonimizzati nell'analizzatore, nei report e nei registri di archivio scaricabili.
Come abilito SecuReporter sul mio dispositivo?
Consideriamo l'esempio di un dispositivo ZyWall (in questo caso abbiamo uno ZyWall 1100). Vai alla sezione delle impostazioni (scheda a destra con un'icona a forma di due ingranaggi). Successivamente, apri la sezione Cloud CNM e seleziona la sottosezione SecuReporter al suo interno.
Per consentire l'utilizzo del servizio è necessario attivare l'elemento Abilita SecuReporter. Inoltre, vale la pena utilizzare l'opzione Includi registro del traffico per raccogliere e analizzare i registri del traffico.
Figura 1. Abilitazione di SecuReporter.
Il secondo passaggio consiste nel consentire la raccolta delle statistiche. Questo viene fatto nella sezione Monitoraggio (scheda a destra con un'icona a forma di monitor).
Successivamente, vai alla sezione Statistiche UTM, sottosezione App Patrol. Qui è necessario attivare l'opzione Raccogli statistiche.
Figura 2. Abilitazione della raccolta delle statistiche.
È tutto, puoi connetterti all'interfaccia web di SecuReporter e utilizzare il servizio cloud.
IMPORTANTE! SecuReporter dispone di un'eccellente documentazione in formato PDF. Puoi scaricarlo da .
Descrizione dell'interfaccia web di SecuReporter
Non sarà possibile fornire qui una descrizione dettagliata di tutte le funzioni che SecuReporter fornisce all'amministratore della sicurezza: ce ne sono molte per un articolo.
Ci limiteremo quindi a una breve descrizione dei servizi che vede l'amministratore e con cosa lavora costantemente. Quindi, scopri in cosa consiste la console web SecuReporter.
Carta geografica
Questa sezione visualizza l'apparecchiatura registrata, indicando la città, il nome del dispositivo e l'indirizzo IP. Visualizza informazioni sull'eventuale accensione del dispositivo e sullo stato dell'avviso. Nella mappa delle minacce puoi vedere l'origine dei pacchetti utilizzati dagli aggressori e la frequenza degli attacchi.
Performance modelli/hostess
Brevi informazioni sulle azioni principali e una panoramica analitica sintetica per il periodo specificato. È possibile specificare un periodo compreso tra 7 giorni e 1 ora.
Figura 3. Esempio di aspetto della sezione Dashboard.
Analyzer
Il nome parla da solo. Si tratta della console dello strumento omonimo, che diagnostica il traffico sospetto per un periodo selezionato, identifica le tendenze nell'emergere di minacce e raccoglie informazioni sui pacchetti sospetti. L'analizzatore è in grado di tenere traccia del codice dannoso più comune e di fornire informazioni aggiuntive sui problemi di sicurezza.
Figura 4. Esempio dell'aspetto della sezione Analizzatore.
Rapporto
In questa sezione l'utente ha accesso a report personalizzati con interfaccia grafica. Le informazioni richieste possono essere raccolte e compilate in una comoda presentazione immediatamente o su base programmata.
Avvisi
Qui è dove si configura il sistema di allarme. È possibile configurare soglie e diversi livelli di gravità, facilitando l'identificazione di anomalie e potenziali attacchi.
Collocamento
Beh, in realtà, le impostazioni sono impostazioni.
Inoltre, vale la pena notare che SecuReporter può supportare diverse politiche di protezione durante il trattamento dei dati personali.
conclusione
I metodi locali per analizzare le statistiche relative alla sicurezza si sono, in linea di principio, dimostrati abbastanza efficaci.
Tuttavia, la portata e la gravità delle minacce aumentano ogni giorno. Il livello di protezione che prima soddisfaceva tutti diventa piuttosto debole dopo un po’ di tempo.
Oltre ai problemi elencati, l'utilizzo di strumenti locali richiede determinati sforzi per mantenere la funzionalità (manutenzione delle apparecchiature, backup e così via). Esiste anche il problema della sede remota: non è sempre possibile mantenere l'amministratore della sicurezza in ufficio 24 ore su 7, XNUMX giorni alla settimana. Pertanto, è necessario organizzare in qualche modo l'accesso sicuro al sistema locale dall'esterno e mantenerlo da soli.
L'utilizzo dei servizi cloud consente di evitare tali problemi, concentrandosi in particolare sul mantenimento del livello di sicurezza richiesto e di protezione dalle intrusioni, nonché dalle violazioni delle regole da parte degli utenti.
SecuReporter è solo un esempio di implementazione riuscita di tale servizio.
azione
A partire da oggi, c'è una promozione congiunta tra Zyxel e il nostro Gold Partner X-Com per gli acquirenti di firewall che supportano Secureporter:
Link utili
, .
, sul sito web sul sito ufficiale di Zyxel.
, .
Fonte: habr.com