Тәжірибесіз адамдардың санасында қауіпсіздік әкімшісінің жұмысы корпоративтік желіге үнемі басып кіретін анти-хакер мен зұлым хакерлер арасындағы қызықты жекпе-жек сияқты көрінеді. Біздің кейіпкеріміз нақты уақытта командаларды ептілікпен және жылдам енгізу арқылы батыл шабуылдарға тойтарыс береді және соңында керемет жеңімпаз ретінде шығады.
Қылыш пен мушкеттің орнына пернетақтасы бар король мушкетері сияқты.
Бірақ іс жүзінде бәрі қарапайым, қарапайым, тіпті, қызықсыз деп айтуға болады.
Талдаудың негізгі әдістерінің бірі әлі де оқиғалар журналдарын оқу болып табылады. Тақырып бойынша жан-жақты зерттеу:
- кім қайдан, қайдан кіруге тырысты, қандай ресурсқа кіруге тырысты, ресурсқа кіру құқықтарын қалай дәлелдеді;
- қандай сәтсіздіктер, қателер және жай күдікті сәйкестіктер болды;
- жүйенің күшін, сканерленген порттарды, таңдалған құпия сөздерді кім және қалай тексерді;
- Және тағы басқалар…
Бұл жерде романтика деген не, Құдай сақтасын, «көлік жүргізіп жатып ұйықтамайсың».
Мамандарымыздың өнерге деген сүйіспеншілігін толық жоғалтпау үшін олардың өмірін жеңілдететін құралдар ойлап табылды. Бұл анализаторлардың барлық түрлері (журнал талдаулары), маңызды оқиғалар туралы хабарлауы бар бақылау жүйелері және т.б.
Дегенмен, егер сіз жақсы құралды алып, оны әр құрылғыға, мысалы, Интернет шлюзіне қолмен бұра бастасаңыз, ол соншалықты қарапайым емес, соншалықты ыңғайлы болмайды және басқа нәрселермен қатар, сіз мүлдем басқа нәрселерден қосымша білім алуыңыз керек. аймақтар. Мысалы, мұндай бақылау үшін бағдарламалық қамтамасыз етуді қайда орналастыру керек? Физикалық серверде, виртуалды машинада, арнайы құрылғыда? Мәліметтерді қандай формада сақтау керек? Мәліметтер қоры пайдаланылса, қайсысы? Сақтық көшірмелерді қалай жасауға болады және оларды орындау қажет пе? Қалай басқару керек? Қандай интерфейсті пайдалануым керек? Жүйені қалай қорғауға болады? Қандай шифрлау әдісін қолдану керек - және т.б.
Барлық аталған мәселелерді шешуді өзіне алатын, әкімшіге оның ерекшеліктері шеңберінде қатаң жұмыс істеуге қалдыратын белгілі бір бірыңғай механизм болған кезде бұл әлдеқайда қарапайым.
Белгілі бір хостта орналаспағанның барлығын «бұлт» деп атаудың қалыптасқан дәстүріне сәйкес, Zyxel CNM SecuReporter бұлттық қызметі көптеген мәселелерді шешуге ғана емес, сонымен қатар ыңғайлы құралдарды ұсынады.
Zyxel CNM SecuReporter дегеніміз не?
Бұл ZyWALL желісінің Zyxel жабдығы мен олардың деректерін жинау, статистикалық талдау (корреляция) және есеп беру функциялары бар интеллектуалды аналитикалық қызмет. Ол желі әкімшісіне желідегі әртүрлі әрекеттердің орталықтандырылған көрінісін береді.
Мысалы, шабуылдаушылар сияқты шабуыл механизмдерін пайдаланып қауіпсіздік жүйесіне кіруге тырысуы мүмкін жасырын, мақсатты и тайсалмау. SecuReporter күдікті әрекетті анықтайды, бұл әкімшіге ZyWALL конфигурациялау арқылы қажетті қорғаныс шараларын қабылдауға мүмкіндік береді.
Әрине, нақты уақыт режимінде ескертулермен тұрақты деректерді талдаусыз қауіпсіздікті қамтамасыз ету мүмкін емес. Сіз қалағаныңызша әдемі графиктерді сала аласыз, бірақ әкімші не болып жатқанын білмесе... Жоқ, SecuReporter-де бұл мүмкін емес!
SecuReporter пайдалану туралы кейбір сұрақтар
аналитика
Шын мәнінде, не болып жатқанын талдау ақпараттық қауіпсіздікті құрудың өзегі болып табылады. Оқиғаларды талдай отырып, қауіпсіздік маманы дер кезінде шабуылдың алдын алады немесе тоқтата алады, сондай-ақ дәлелдемелерді жинау үшін қайта құру үшін толық ақпаратты ала алады.
«Бұлтты архитектура» не береді?
Бұл қызмет қашықтағы серверлердің, таратылған деректерді сақтау жүйелерінің және т.б. қуатын пайдаланып масштабтауды жеңілдететін Қызмет ретінде бағдарламалық қамтамасыз ету (SaaS) үлгісінде құрастырылған. Бұлтты модельді пайдалану барлық күш-жігеріңізді қорғау қызметін құруға және жақсартуға жұмсай отырып, аппараттық және бағдарламалық қамтамасыз ету нюанстарынан абстракциялауға мүмкіндік береді.
Бұл пайдаланушыға сақтау, талдау және қолжетімділікті қамтамасыз ету үшін жабдықты сатып алу құнын айтарлықтай төмендетуге мүмкіндік береді және сақтық көшірме жасау, жаңартулар, ақаулардың алдын алу және т.б. сияқты техникалық қызмет көрсету мәселелерімен айналысудың қажеті жоқ. SecuReporter-ті қолдайтын құрылғы және тиісті лицензия болса жеткілікті.
МАҢЫЗДЫ! Бұлтқа негізделген архитектура арқылы қауіпсіздік әкімшілері желі жағдайын кез келген уақытта, кез келген жерде белсенді түрде бақылай алады. Бұл мәселені шешеді, соның ішінде демалыстар, ауру демалысы және т.б. Жабдыққа қол жеткізу, мысалы, SecuReporter веб-интерфейсіне қол жеткізген ноутбукты ұрлау, егер оның иесі қауіпсіздік ережелерін бұзбаса, құпия сөздерді жергілікті жерде сақтамаса және т.б. ештеңе бермейді.
Бұлтты басқару опциясы бір қалада орналасқан моно-компаниялар үшін де, филиалдары бар құрылымдар үшін де қолайлы. Орналасқан жердің мұндай тәуелсіздігі әртүрлі салаларда қажет, мысалы, бизнесі әртүрлі қалаларда таратылатын қызмет провайдерлері немесе бағдарламалық жасақтаманы әзірлеушілер үшін.
Біз талдаудың мүмкіндіктері туралы көп айтамыз, бірақ бұл нені білдіреді?
Бұл әртүрлі талдау құралдары, мысалы, оқиғалар жиілігінің қорытындылары, белгілі бір оқиғаның 100 негізгі (нақты және болжамды) құрбандарының тізімдері, шабуылдың нақты нысандарын көрсететін журналдар және т.б. Әкімшіге жасырын трендтерді анықтауға және пайдаланушылардың немесе қызметтердің күдікті әрекетін анықтауға көмектесетін кез келген нәрсе.
Есеп беру туралы не деуге болады?
SecuReporter есеп пішінін теңшеуге, содан кейін нәтижені PDF пішімінде алуға мүмкіндік береді. Әрине, егер қаласаңыз, логотипті, есеп тақырыбын, сілтемелерді немесе ұсыныстарды есепке енгізуге болады. Есептерді сұрау кезінде немесе кесте бойынша, мысалы, күніне, аптасына немесе айына бір рет жасауға болады.
Желілік инфрақұрылым ішіндегі трафиктің ерекшеліктерін ескере отырып, ескертулерді беруді конфигурациялауға болады.
Қауіпті инсайдерлерден немесе жай ғана жалқаулардан азайту мүмкін бе?
Арнайы User Partally Quotient құралы әкімшіге қосымша күш жұмсамай және әртүрлі желі журналдары немесе оқиғалары арасындағы тәуелділікті ескере отырып, қауіпті пайдаланушыларды жылдам анықтауға мүмкіндік береді.
Яғни, өздерін күдікті ретінде көрсеткен пайдаланушылармен байланысты барлық оқиғалар мен трафикке терең талдау жүргізіледі.
SecuReporter үшін тағы қандай тармақтар тән?
Соңғы пайдаланушылар үшін оңай орнату (қауіпсіздік әкімшілері).
SecuReporter бағдарламасын бұлтта іске қосу қарапайым орнату процедурасы арқылы жүзеге асады. Осыдан кейін әкімшілерге барлық деректерге, талдау және есеп беру құралдарына бірден рұқсат беріледі.
Жалғыз бұлттық платформадағы көп жалға берушілер - әрбір клиент үшін талдауды теңшеуге болады. Тағы да, сіздің тұтынушы базаңыз ұлғайған сайын, бұлттық архитектура тиімділікті жоғалтпай басқару жүйесін оңай бейімдеуге мүмкіндік береді.
Деректерді қорғау туралы заңдар
МАҢЫЗДЫ! Zyxel жеке деректерді қорғауға қатысты халықаралық және жергілікті заңдар мен басқа ережелерге, соның ішінде GDPR және ЭЫДҰ Құпиялылық принциптеріне өте сезімтал. 27.07.2006 жылғы 152 шілдедегі № XNUMX-ФЗ «Жеке деректер туралы» Федералдық заңмен қолдау көрсетіледі.
Сәйкестікті қамтамасыз ету үшін SecuReporter-де үш кірістірілген құпиялылықты қорғау опциясы бар:
- анонимді емес деректер - жеке деректер анализаторда, есеп беруде және жүктеп алынатын мұрағат журналдарында толығымен сәйкестендіріледі;
- ішінара анонимді - жеке деректер Мұрағат журналдарында олардың жасанды идентификаторларымен ауыстырылады;
- толығымен анонимді - жеке деректер Analyzer, Report және жүктеп алынатын мұрағат журналдарында толығымен анонимделген.
Құрылғыда SecuReporter бағдарламасын қалай қосуға болады?
ZyWall құрылғысының мысалын қарастырайық (бұл жағдайда бізде ZyWall 1100 бар). Параметрлер бөліміне өтіңіз (оң жақтағы екі беріліс түріндегі белгішесі бар қойынды). Содан кейін Cloud CNM бөлімін ашыңыз және ондағы SecuReporter ішкі бөлімін таңдаңыз.
Қызметті пайдалануға рұқсат беру үшін SecuReporter қосу элементін белсендіру қажет. Сонымен қатар, трафик журналдарын жинау және талдау үшін «Трафик журналын қосу» опциясын пайдаланған жөн.
Сурет 1. SecuReporter қосу.
Екінші қадам - статистикалық мәліметтерді жинауға рұқсат беру. Бұл Мониторинг бөлімінде (монитор түріндегі белгішесі бар оң жақтағы қойындыда) орындалады.
Содан кейін UTM статистикасы бөліміне, Қолданбаларды патрульдік бөлімшеге өтіңіз. Мұнда сіз «Статистиканы жинау» опциясын белсендіруіңіз керек.
Сурет 2. Статистикалық жинақты қосу.
Міне, сіз SecuReporter веб-интерфейсіне қосылып, бұлттық қызметті пайдалана аласыз.
МАҢЫЗДЫ! SecuReporter бағдарламасында PDF пішіміндегі тамаша құжаттама бар. сайтынан жүктеп алуға болады .
SecuReporter веб-интерфейсінің сипаттамасы
Мұнда SecuReporter қауіпсіздік әкімшісіне ұсынатын барлық функциялардың егжей-тегжейлі сипаттамасын беру мүмкін емес - бір мақала үшін олардың саны өте көп.
Сондықтан, біз әкімші көретін және оның үнемі жұмыс істейтін қызметтерінің қысқаша сипаттамасымен шектелеміз. Сонымен, SecuReporter веб-консолі неден тұратынын біліңіз.
Карта
Бұл бөлім қаланы, құрылғы атауын және IP мекенжайын көрсете отырып, тіркелген жабдықты көрсетеді. Құрылғының қосылған-қосылмағаны және ескерту күйі туралы ақпаратты көрсетеді. Қауіп картасында сіз шабуылдаушылар пайдаланатын пакеттердің көзін және шабуылдардың жиілігін көре аласыз.
Dashboard
Негізгі әрекеттер туралы қысқаша ақпарат және көрсетілген кезеңдегі қысқаша аналитикалық шолу. Сіз 7 күннен 1 сағатқа дейінгі кезеңді көрсете аласыз.
Сурет 3. Бақылау тақтасы бөлімінің пайда болуының мысалы.
Анализатор
Аты өзі үшін сөйлейді. Бұл таңдалған кезеңдегі күдікті трафикті диагностикалайтын, қауіптердің пайда болу үрдістерін анықтайтын және күдікті пакеттер туралы ақпаратты жинайтын аттас құралдың консолі. Талдаушы ең көп таралған зиянды кодты бақылай алады, сонымен қатар қауіпсіздік мәселелеріне қатысты қосымша ақпаратты береді.
Сурет 4. Анализатор бөлімінің пайда болуының мысалы.
Есеп беру
Бұл бөлімде пайдаланушы графикалық интерфейсі бар теңшелетін есептерге қол жеткізе алады. Қажетті ақпаратты дереу немесе жоспарлы түрде ыңғайлы презентацияға жинауға және құрастыруға болады.
Ескертулер
Бұл жерде ескерту жүйесін конфигурациялайсыз. Шектерді және әртүрлі ауырлық деңгейлерін конфигурациялауға болады, бұл ауытқулар мен ықтимал шабуылдарды анықтауды жеңілдетеді.
Параметр
Шын мәнінде, параметрлер - бұл параметрлер.
Сонымен қатар, SecuReporter жеке деректерді өңдеу кезінде әртүрлі қорғау саясаттарын қолдайтынын атап өткен жөн.
қорытынды
Қауіпсіздікке қатысты статистиканы талдаудың жергілікті әдістері, негізінен, өзін жақсы дәлелдеді.
Дегенмен, қауіптердің ауқымы мен ауырлығы күн сайын артып келеді. Бұрын барлығын қанағаттандыратын қорғаныс деңгейі біраз уақыттан кейін әлсірейді.
Тізімделген мәселелерден басқа, жергілікті құралдарды пайдалану функционалдылықты сақтау үшін белгілі бір күш-жігерді қажет етеді (жабдыққа техникалық қызмет көрсету, сақтық көшірме жасау және т.б.). Сондай-ақ қашықтан орналасу мәселесі бар - қауіпсіздік әкімшісін аптасына 24 күн, тәулік бойы кеңседе ұстау әрдайым мүмкін емес. Сондықтан, сіз қандай да бір жолмен жергілікті жүйеге сырттан қауіпсіз кіруді ұйымдастырып, оны өзіңіз ұстауыңыз керек.
Бұлтты қызметтерді пайдалану қауіпсіздіктің қажетті деңгейін сақтауға және басып кіруден қорғауға, сондай-ақ пайдаланушылардың ережелерді бұзуына ерекше назар аудара отырып, мұндай проблемаларды болдырмауға мүмкіндік береді.
SecuReporter - мұндай қызметті сәтті енгізудің мысалы ғана.
Науқанды өткізу
Бүгіннен бастап Zyxel мен Gold Partner X-Com арасында Secureporter қолдайтын брандмауэрлерді сатып алушылар үшін бірлескен акция өтеді:
Пайдалы сілтемелер
[1] .
[2] Zyxel ресми сайтындағы веб-сайтта.
[3] .
Ақпарат көзі: www.habr.com