クラウドアナライザーを使用してネットワークセキュリティレベルを向上

経験の浅い人の頭の中では、セキュリティ管理者の仕事は、反ハッカーと企業ネットワークに絶えず侵入する邪悪なハッカーの間のエキサイティングな決闘のように見えます。 そして、私たちのヒーローはリアルタイムで、巧みかつ迅速にコマンドを入力することで大胆な攻撃を撃退し、最終的には輝かしい勝者として浮上します。
剣とマスケット銃の代わりにキーボードを持った王立銃士のようなものです。

しかし実際には、すべてが平凡で、気取らず、退屈にさえ見えるかもしれません。

主な分析方法の XNUMX つは、やはりイベント ログの読み取りです。 主題についての徹底的な研究:

• 誰がどこから侵入しようとしたのか、どのリソースにアクセスしようとしたのか、リソースにアクセスする権利をどのように証明したのか。
• どのような失敗、エラー、そして単に疑わしい偶然があったのか。
• システムの強度、スキャンされたポート、選択されたパスワードを誰がどのようにテストしたか。
• などなど…

さて、ここでロマンスとは一体何ですか、神は「運転中に居眠りをしてはなりません」を禁じています。

私たちの専門家がアートへの愛情を完全に失わないように、彼らの生活を楽にするツールが発明されています。 これらは、あらゆる種類のアナライザー (ログ パーサー)、重大なイベントを通知する監視システムなどです。

ただし、優れたツールを使用して、インターネット ゲートウェイなどの各デバイスに手動でねじ込み始めると、それほど単純ではなく、それほど便利でもありません。また、とりわけ、まったく異なる分野からの追加の知識が必要になります。地域。 たとえば、そのような監視のためのソフトウェアをどこに配置するか? 物理サーバー、仮想マシン、特別なデバイス上でしょうか? データはどのような形式で保存する必要がありますか? データベースを使用する場合、どれを使用しますか? バックアップはどのように実行すればよいですか?また、バックアップを実行する必要がありますか? 管理方法は？ どのインターフェースを使用すればよいですか? システムを保護するにはどうすればよいですか? どの暗号化方式を使用するか、その他にもさまざまなことが考えられます。

リストされたすべての問題の解決策を引き受ける特定の統一メカニズムがあれば、管理者はその詳細の枠組み内で厳密に作業することができ、作業ははるかに簡単になります。

特定のホスト上に存在しないものすべてを「クラウド」という用語と呼ぶという確立された伝統に従って、Zyxel CNM SecuReporter クラウド サービスを使用すると、多くの問題を解決できるだけでなく、便利なツールも提供されます。

Zyxel CNM SecuReporter とは何ですか?

ZyWALLラインのZyxel機器およびその製品のデータ収集、統計分析（相関）、レポート機能を備えたインテリジェント分析サービスです。 ネットワーク管理者は、ネットワーク上のさまざまなアクティビティを一元的に確認できます。
たとえば、攻撃者は次のような攻撃メカニズムを使用してセキュリティ システムへの侵入を試みる可能性があります。 ステルス、ターゲットを絞った и 永続性。 SecuReporter は不審な動作を検出するため、管理者は ZyWALL を構成することで必要な保護措置を講じることができます。

もちろん、リアルタイムで警告を発する継続的なデータ分析なしには、セキュリティを確保することは考えられません。 いくらでも美しいグラフを描くことができますが、管理者が何が起こっているのかを認識していなければ…いえ、SecuReporter ではそんなことは絶対にあり得ません。

SecuReporter の使用に関するいくつかの質問

分析論

実際、何が起こっているかを分析することが、情報セキュリティ構築の中核です。 セキュリティ専門家はイベントを分析することで、攻撃を時間内に防止または停止できるだけでなく、証拠を収集するために再構築のための詳細な情報を取得することができます。

「クラウドアーキテクチャ」は何を提供するのでしょうか？

このサービスは、Software as a Service (SaaS) モデルに基づいて構築されており、リモート サーバーや分散データ ストレージ システムなどの機能を利用して簡単に拡張できます。 クラウド モデルを使用すると、ハードウェアとソフトウェアの微妙な違いを抽象化し、保護サービスの作成と改善に全力を注ぐことができます。
これにより、ユーザーは、ストレージ、分析、アクセスの提供のための機器の購入コストを大幅に削減でき、バックアップ、アップデート、障害予防などのメンテナンスの問題に対処する必要がなくなります。 SecuReporter をサポートするデバイスと適切なライセンスがあれば十分です。

重要！ クラウドベースのアーキテクチャにより、セキュリティ管理者はいつでもどこでもネットワークの健全性をプロアクティブに監視できます。 これにより、休暇や病気休暇などの問題が解決されます。 機器へのアクセス (たとえば、SecuReporter Web インターフェイスにアクセスしたラップトップの盗難) によっても、その所有者がセキュリティ ルールに違反していない、パスワードをローカルに保存していないなどの条件があれば、何も得られません。

クラウド管理オプションは、同じ都市にある単一企業と支店を持つ組織の両方に適しています。 このような場所の独立性は、さまざまな業界で必要とされています。たとえば、ビジネスが複数の都市に分散しているサービス プロバイダーやソフトウェア開発者などです。

私たちは分析の可能性についてよく話しますが、これは何を意味するのでしょうか?

これらはさまざまな分析ツールであり、たとえば、イベントの頻度の概要、特定のイベントの主な (実際の被害者と疑わしい) 被害者トップ 100 のリスト、特定の攻撃対象を示すログなどです。 管理者が隠れた傾向を特定し、ユーザーまたはサービスの不審な動作を特定するのに役立つもの。

報告についてはどうですか？

SecuReporter を使用すると、レポート フォームをカスタマイズし、結果を PDF 形式で受け取ることができます。 もちろん、必要に応じて、ロゴ、レポートのタイトル、参考文献、推奨事項をレポートに埋め込むことができます。 リクエスト時にレポートを作成したり、XNUMX 日に XNUMX 回、XNUMX 週間に XNUMX 回、XNUMX か月に XNUMX 回などのスケジュールに基づいてレポートを作成したりすることができます。

ネットワーク インフラストラクチャ内のトラフィックの詳細を考慮して、警告の発行を構成できます。

内部関係者や単なる怠け者による危険を減らすことは可能でしょうか?

特別な User Partially Quotient ツールを使用すると、管理者は追加の労力をかけずに、さまざまなネットワーク ログやイベント間の依存関係を考慮しながら、危険なユーザーを迅速に特定できます。

つまり、疑わしいと思われるユーザーに関連するすべてのイベントとトラフィックの詳細な分析が実行されます。

他に SecuReporter に特有の点は何ですか?

エンドユーザー（セキュリティ管理者）向けの簡単なセットアップ。

クラウドでの SecuReporter のアクティブ化は、簡単なセットアップ手順を通じて行われます。 この後、管理者はすぐにすべてのデータ、分析、レポート ツールにアクセスできるようになります。

単一のクラウド プラットフォーム上のマルチテナント - クライアントごとに分析をカスタマイズできます。 繰り返しになりますが、顧客ベースが増加しても、クラウド アーキテクチャにより、効率を犠牲にすることなく制御システムを簡単に適応させることができます。

データ保護法

重要！ Zyxel は、GDPR や OECD プライバシー原則など、個人データの保護に関する国際法、現地法、その他の規制に非常に敏感です。 27.07.2006 年 152 月 XNUMX 日付けの連邦法「個人データについて」No. XNUMX-FZ によってサポートされています。

コンプライアンスを確保するために、SecuReporter には XNUMX つのプライバシー保護オプションが組み込まれています。

• 非匿名データ - 個人データは、アナライザー、レポート、およびダウンロード可能なアーカイブ ログで完全に特定されます。
• 部分的に匿名 - 個人データはアーカイブ ログ内の人工的な識別子に置き換えられます。
• 完全に匿名 - 個人データは、アナライザー、レポート、およびダウンロード可能なアーカイブ ログで完全に匿名化されます。

デバイスで SecuReporter を有効にするにはどうすればよいですか?

ZyWall デバイスの例を見てみましょう (この場合は ZyWall 1100 です)。 設定セクションに移動します（XNUMXつの歯車の形のアイコンが付いている右側のタブ）。 次に、Cloud CNM セクションを開き、その中の SecuReporter サブセクションを選択します。

サービスの使用を許可するには、Enable SecuReporter 要素をアクティブにする必要があります。 さらに、トラフィック ログを収集して分析するには、[トラフィック ログを含める] オプションを使用する価値があります。

図 1. SecuReporter の有効化。

XNUMX 番目のステップは、統計収集を許可することです。 これは、「監視」セクション (モニターの形のアイコンが付いている右側のタブ) で行われます。

次に、UTM 統計セクションの App Patrol サブセクションに移動します。 ここでは、[統計の収集] オプションを有効にする必要があります。

図 2. 統計収集の有効化。

これで、SecuReporter Web インターフェイスに接続し、クラウド サービスを使用できるようになります。

重要！ SecuReporter には、PDF 形式の優れたドキュメントがあります。 からダウンロードできます この住所へ.

SecuReporter Web インターフェイスの説明
SecuReporter がセキュリティ管理者に提供するすべての機能の詳細をここで説明することはできません。XNUMX つの記事に非常に多くの機能が含まれています。

したがって、管理者が目にするサービスと、管理者が常に使用しているサービスの簡単な説明に限定します。 そこで、SecuReporter Web コンソールが何で構成されているかを理解してください。

地図

このセクションには、登録されている機器が表示され、都市、デバイス名、IP アドレスが示されます。 デバイスの電源がオンになっているかどうか、および警告ステータスがどのようなものであるかに関する情報が表示されます。 脅威マップでは、攻撃者が使用したパケットの送信元と攻撃の頻度を確認できます。

ダッシュボード

指定された期間の主なアクションに関する簡単な情報と簡潔な分析概要。 期間は 7 日から 1 時間まで指定できます。

図 3. [ダッシュボード] セクションの外観の例。

アナライザ

名前自体がそれを物語っています。 これは、選択した期間の不審なトラフィックを診断し、脅威の出現傾向を特定し、不審なパケットに関する情報を収集する同名のツールのコンソールです。 Analyzer は、最も一般的な悪意のあるコードを追跡できるほか、セキュリティ問題に関する追加情報も提供します。

図 4. Analyzer セクションの外観の例。

報告

このセクションでは、ユーザーはグラフィカル インターフェイスを使用してカスタム レポートにアクセスできます。 必要な情報を収集し、すぐに、またはスケジュールに基づいて便利なプレゼンテーションにまとめることができます。

アラート

ここで警告システムを設定します。 しきい値とさまざまな重大度レベルを構成できるため、異常や潜在的な攻撃を簡単に特定できます。

設定

まあ、実際のところ、設定は設定です。

さらに、SecuReporter は個人データを処理するときにさまざまな保護ポリシーをサポートできることも注目に値します。

まとめ

セキュリティ関連の統計を分析するためのローカルな方法は、原則として、非常にうまく機能していることが証明されています。

しかし、脅威の範囲と深刻度は日々増大しています。 以前は誰もが満足していた保護レベルは、しばらくするとかなり弱くなります。

リストされている問題に加えて、ローカル ツールを使用するには、機能を維持するために一定の努力 (機器のメンテナンス、バックアップなど) が必要です。 遠隔地という問題もあります。セキュリティ管理者を 24 時間年中無休でオフィスに常駐させることが常に可能であるとは限りません。 したがって、何らかの方法で外部からローカル システムへの安全なアクセスを構成し、それを自分で維持する必要があります。

クラウド サービスを使用すると、このような問題を回避でき、特に必要なレベルのセキュリティを維持し、侵入やユーザーによるルール違反からの保護に重点を置くことができます。

SecuReporter は、そのようなサービスの実装が成功した例にすぎません。

アクション

本日より、Secureporter をサポートするファイアウォールの購入者を対象に、Zyxel とゴールド パートナー X-Com との間で共同プロモーションが行われます。

便利なリンク集

【1] サポートされているデバイス.
【2] SecuReporterの説明 Zyxel公式サイトにて。
【3] SecuReporter に関するドキュメント.

出所： habr.com