Тажрыйбасы жок адамдардын оюнда коопсуздук администраторунун иши корпоративдик тармакка тынымсыз басып кирген анти-хакер менен жаман хакерлердин ортосундагы кызыктуу дуэлге окшош. Ал эми биздин каарман, реалдуу убакытта, тайманбастык менен чабуулдарды тайманбастык менен жана тез буйруктарды киргизүү менен четке кагат жана акыры мыкты жеңүүчү катары чыгат.
Кылыч менен мушкеттин ордуна клавиатурасы бар падыша мушкетери сыяктуу.
Бирок, чындыгында, баары жөнөкөй, жөнөкөй, ал тургай, кызыксыз деп айтууга болот.
Анализдин негизги ыкмаларынын бири дагы эле окуялар журналдарын окуу. тема боюнча кылдат изилдөө:
- ким каяктан кирүүгө аракет кылган, кайсы ресурска кирүүгө аракет кылган, бул ресурска кирүү укугун кантип далилдеген;
- кандай каталар, каталар жана жөн эле шектүү кокустуктар болгон;
- системаны ким жана кантип сыналган, сканерленген порттор, тандалган сырсөздөр;
- Жана башкалар жана башкалар…
Ооба, бул жерде романтика деген эмне, Кудай сактасын, "айдап баратып уктабайсың".
Биздин адистер искусствого болгон сүйүүсүн толугу менен жоготуп албашы үчүн алар үчүн жашоону жеңилдетүү үчүн аспаптар ойлоп табылган. Бул анализаторлордун бардык түрлөрү (лог талдоочулар), критикалык окуялар жөнүндө кабарлоо менен мониторинг системалары жана башка көптөгөн нерселер.
Бирок, эгер сиз жакшы куралды алып, аны ар бир түзмөккө кол менен бура баштасаңыз, мисалы, Интернет шлюзи, ал анчалык жөнөкөй эмес, анчалык ыңгайлуу эмес жана башка нерселерден тышкары, такыр башка нерселерден кошумча билимге ээ болушуңуз керек. аймактар. Мисалы, мындай мониторинг үчүн программалык камсыздоону кайда жайгаштыруу керек? Физикалык серверде, виртуалдык машинада, атайын түзүлүштө? Маалыматтар кандай формада сакталышы керек? Эгерде маалымат базасы колдонулса, кайсынысы? Камдык көчүрмөнү кантип аткарам жана аларды жасоо керекпи? Кантип башкаруу керек? Кайсы интерфейсти колдонушум керек? Системаны кантип коргоо керек? Кайсы шифрлөө ыкмасын колдонуу керек - жана башкалар.
Бардык саналып өткөн маселелерди чечүүнү өзүнө алган, администраторду өзүнүн өзгөчөлүктөрүнүн алкагында так иштөөгө калтырган белгилүү бирдиктүү механизм болгондо алда канча жөнөкөй.
Белгиленген хостто жайгашпаган нерселердин бардыгын “булут” деп атаган салтка ылайык, Zyxel CNM SecuReporter булут кызматы көптөгөн маселелерди чечүүгө гана эмес, ыңгайлуу куралдарды да сунуштайт.
Zyxel CNM SecuReporter деген эмне?
Бул ZyWALL линиясынын жана алардын Zyxel жабдыктары үчүн маалыматтарды чогултуу, статистикалык талдоо (корреляция) жана отчеттуулук функциялары менен интеллектуалдык аналитика кызматы. Бул тармак администраторуна тармактагы ар кандай иш-аракеттерди борборлоштурулган көрүнүш менен камсыз кылат.
Мисалы, чабуулчулар сыяктуу чабуул механизмдерин колдонуу менен коопсуздук тутумуна кирүүгө аракет кылышы мүмкүн уурдалган, максаттуу и тырышуу. SecuReporter шектүү жүрүм-турумду аныктайт, бул администраторго ZyWALL конфигурациялоо аркылуу керектүү коргонуу чараларды көрүүгө мүмкүндүк берет.
Албетте, коопсуздукту камсыз кылуу реалдуу убакытта эскертүүлөр менен туруктуу маалыматтарды талдоосуз элестетүү мүмкүн эмес. Сиз каалагандай кооз графиктерди тартсаңыз болот, бирок администратор эмне болуп жатканын билбесе... Жок, SecuReporter менен мындай болушу мүмкүн эмес!
SecuReporterди колдонуу боюнча кээ бир суроолор
аналитикасы
Чындыгында, эмне болуп жатканын талдоо маалыматтык коопсуздукту куруунун өзөгү болуп саналат. Окуяларды талдоо менен коопсуздук боюнча адис өз убагында чабуулдун алдын алат же токтото алат, ошондой эле далилдерди чогултуу үчүн кайра куруу үчүн толук маалымат ала алат.
"Булут архитектурасы" эмнени камсыз кылат?
Бул кызмат Software as a Service (SaaS) моделине курулган, ал алыскы серверлердин, бөлүштүрүлгөн маалыматтарды сактоо тутумдарынын жана башкалардын күчүн колдонуу менен масштабды жеңилдетет. Булут моделин колдонуу бардык күч-аракетиңизди коргоо кызматын түзүүгө жана өркүндөтүүгө жумшап, аппараттык жана программалык нюанстардан абстракциялоого мүмкүндүк берет.
Бул колдонуучуга сактоо, талдоо жана жеткиликтүүлүктү камсыз кылуу үчүн жабдууларды сатып алуу баасын бир топ кыскартууга мүмкүндүк берет жана резервдик көчүрмөлөр, жаңыртуулар, бузулуулардын алдын алуу жана башкалар сыяктуу тейлөө маселелери менен алектенүүнүн кереги жок. Бул үчүн SecuReporterди колдогон аппарат жана тиешелүү лицензия болушу жетиштүү.
МААНИЛҮҮ! Булутка негизделген архитектура менен коопсуздук администраторлору тармактын ден соолугун каалаган убакта, каалаган жерде активдүү көзөмөлдөй алышат. Бул көйгөйдү чечет, анын ичинде каникулдар, ооруп калгандар жана башкалар. Жабдууга кирүү, мисалы, SecuReporter веб-интерфейсине кирген ноутбукту уурдоо да эч нерсе бербейт, эгерде анын ээси коопсуздук эрежелерин бузбаса, сырсөздөрдү локалдык түрдө сактабаса жана башкалар.
Булутту башкаруу опциясы бир шаарда жайгашкан моно-компанияларга да, филиалдары бар структураларга да ылайыктуу. Мындай жайгашуу көз карандысыздыгы ар түрдүү тармактарда, мисалы, бизнеси ар кайсы шаарларда бөлүштүрүлгөн кызмат көрсөтүүчүлөр же программалык камсыздоону иштеп чыгуучулар үчүн керек.
Биз анализдин мүмкүнчүлүктөрү жөнүндө көп айтабыз, бирок бул эмнени билдирет?
Бул ар кандай аналитикалык инструменттер, мисалы, окуялардын жыштыгынын кыскача баяндамалары, белгилүү бир окуянын Топ 100 негизги (чыныгы жана болжолдуу) курмандыктарынын тизмелери, чабуулдун конкреттүү буталарын көрсөткөн журналдар жана башкалар. Администраторго жашыруун тенденцияларды аныктоого жана колдонуучулардын же кызматтардын шектүү жүрүм-турумун аныктоого жардам берген бардык нерсе.
Кабарлоо жөнүндө эмне айтууга болот?
SecuReporter сизге отчеттун формасын ыңгайлаштырууга жана натыйжаны PDF форматында алууга мүмкүндүк берет. Албетте, эгер кааласаңыз, логотипти, отчеттун аталышын, шилтемелерди же сунуштарды отчетко киргизе аласыз. Отчетторду суроо-талап учурунда же график боюнча түзсө болот, мисалы, күнүнө, жумасына же айына бир жолу.
Тармактык инфраструктуранын ичиндеги трафиктин өзгөчөлүктөрүн эске алуу менен эскертүүлөрдү берүүнү конфигурациялай аласыз.
Инсайдерлердин коркунучун азайтуу мүмкүнбү же жөн эле шылдыңдообу?
Атайын User Partally Quotient куралы администраторго кооптуу колдонуучуларды тез аныктоого мүмкүндүк берет, кошумча күч жумшабастан жана ар кандай тармак журналдарынын же окуяларынын ортосундагы көз карандылыкты эске алуу менен.
Башкача айтканда, өзүн шектүү катары көрсөткөн колдонуучулар менен байланышкан бардык окуяларга жана трафикке терең талдоо жүргүзүлөт.
SecuReporter үчүн дагы кандай жагдайлар мүнөздүү?
Акыркы колдонуучулар үчүн оңой орнотуу (коопсуздук администраторлору).
Булуттагы SecuReporterди иштетүү жөнөкөй орнотуу процедурасы аркылуу ишке ашат. Андан кийин администраторлор дароо бардык маалыматтарга, талдоо жана отчеттуулук куралдарына мүмкүнчүлүк алышат.
Бир булут платформасында көп ижарачылар - ар бир кардар үчүн аналитикаңызды ыңгайлаштыра аласыз. Дагы бир жолу, кардар базаңыз көбөйгөн сайын, булут архитектурасы эффективдүүлүгүн жоготпостон башкаруу тутумуңузду оңой ыңгайлаштырууга мүмкүндүк берет.
Маалыматтарды коргоо мыйзамдары
МААНИЛҮҮ! Zyxel жеке маалыматтарды коргоо боюнча эл аралык жана жергиликтүү мыйзамдарга жана башка ченемдик укуктук актыларга, анын ичинде GDPR жана OECD Купуялык принциптерине өтө сезимтал. 27.07.2006-жылдын 152-июлундагы No XNUMX-ФЗ "Жеке маалыматтар жөнүндө" Федералдык Мыйзам менен колдоого алынган.
Шайкештикти камсыз кылуу үчүн, SecuReporterде купуялыкты коргоонун үч камтылган варианты бар:
- анонимдүү эмес маалыматтар - жеке маалыматтар толугу менен Анализатордо, Отчетто жана жүктөлүп алынуучу Архив журналдарында аныкталган;
- жарым-жартылай анонимдүү - жеке маалыматтар Архив журналдарында алардын жасалма идентификаторлору менен алмаштырылат;
- толугу менен анонимдүү - жеке маалыматтар толугу менен Анализатордо, Отчетто жана жүктөлүп алынуучу Архив журналдарында анонимдүү.
SecuReporterди түзмөгүмдө кантип иштетсем болот?
Келгиле, ZyWall түзүлүшүнүн мисалын карап көрөлү (бул учурда бизде ZyWall 1100 бар). Орнотуулар бөлүмүнө өтүңүз (оң жактагы эки тиштүү түрүндөгү сөлөкөтү бар өтмөк). Андан кийин, Cloud CNM бөлүмүн ачып, андагы SecuReporter бөлүмчөсүн тандаңыз.
Кызматты колдонууга уруксат берүү үчүн SecuReporterди иштетүү элементин активдештирүү керек. Андан тышкары, трафик журналдарын чогултуу жана талдоо үчүн Include Traffic Log опциясын колдонуу керек.
Сүрөт 1. SecuReporterди иштетүү.
Экинчи кадам - статистикалык маалыматтарды чогултууга уруксат берүү. Бул Мониторинг бөлүмүндө (монитор түрүндөгү сөлөкөтү бар оң жактагы өтмөк) жасалат.
Андан кийин, UTM Statistics бөлүмүнө, App Patrol бөлүмчөсүнө өтүңүз. Бул жерде сиз Статистиканы чогултуу опциясын жандырышыңыз керек.
2-сүрөт. Статистикалык маалыматтарды чогултууну иштетүү.
Болду, сиз SecuReporter веб-интерфейсине туташып, булут кызматын колдоно аласыз.
МААНИЛҮҮ! SecuReporter PDF форматындагы эң сонун документтерге ээ. Сиз аны жүктөп алсаңыз болот .
SecuReporter веб интерфейсинин сүрөттөлүшү
Бул жерде SecuReporter коопсуздук администраторуна берген бардык функциялардын кеңири сыпаттамасын берүү мүмкүн эмес - бир макала үчүн алардын саны абдан көп.
Ошондуктан, биз администратор көргөн кызматтардын жана ал дайыма эмне менен иштешкенин кыскача баяндоо менен чектелебиз. Ошентип, SecuReporter веб консолу эмнеден тураарын билип алыңыз.
Карта
Бул бөлүм шаарды, түзмөктүн атын жана IP дарегин көрсөтүү менен катталган жабдууларды көрсөтөт. Аппарат күйгүзүлгөн-күйгүзүлгөнү жана эскертүү статусу тууралуу маалыматты көрсөтөт. Коркунуч картасында сиз чабуулчулар колдонгон пакеттердин булагын жана чабуулдардын жыштыгын көрө аласыз.
бөлмө
Негизги иш-аракеттер жөнүндө кыскача маалымат жана көрсөтүлгөн мезгил үчүн кыскача аналитикалык сереп. Сиз 7 күндөн 1 саатка чейинки мөөнөттү белгилей аласыз.
3-сүрөт. Башкаруу тактасынын көрүнүшүнүн мисалы.
анализатор
аты өздөрү эле айтып турат. Бул тандалган мезгилдеги шектүү трафикти диагностикалоочу, коркунучтардын пайда болуу тенденцияларын аныктоочу жана шектүү пакеттер тууралуу маалыматты чогултуучу ушундай аталыштагы куралдын консолу. Анализатор эң кеңири таралган зыяндуу кодду көзөмөлдөй алат, ошондой эле коопсуздук маселелери боюнча кошумча маалымат берет.
Сүрөт 4. Анализатор бөлүмүнүн көрүнүшүнүн мисалы.
Баяндама
Бул бөлүмдө колдонуучу графикалык интерфейс менен ыңгайлаштырылган отчетторго кире алат. Керектүү маалыматты дароо же пландуу негизде чогултуп, ыңгайлуу презентацияга түзсө болот.
Alerts
Бул жерде сиз эскертүү системасын конфигурациялайсыз. Босоголорду жана ар кандай оордук даражаларын конфигурациялоого болот, бул аномалияларды жана мүмкүн болуучу чабуулдарды аныктоону жеңилдетет.
Орнотуу
Чынында, орнотуулар жөндөөлөр.
Кошумчалай кетсек, SecuReporter жеке маалыматтарды иштеп чыгууда ар кандай коргоо саясаттарын колдой аларын белгилей кетүү керек.
жыйынтыктоо
Коопсуздукка байланыштуу статистиканы талдоонун жергиликтүү ыкмалары, негизинен, өзүн абдан жакшы далилдеди.
Бирок, коркунучтардын диапазону жана катаалдыгы күн сайын өсүп жатат. Мурда бардыгын канааттандырган коргоо деңгээли бир нече убакыттан кийин алсыз болуп калат.
Тизмеге келтирилген көйгөйлөрдөн тышкары, жергиликтүү инструменттерди колдонуу функционалдуулукту сактоо үчүн белгилүү бир күч-аракетти талап кылат (жабдууларды тейлөө, резервдик көчүрүү жана башкалар). Алыскы жайгашуу маселеси дагы бар – коопсуздук администраторун офисте 24 саат, жумасына 7 күн кармап туруу дайыма эле мүмкүн боло бербейт. Ошондуктан, сиз кандайдыр бир жол менен сырттан локалдык системага коопсуз кирүүнү уюштуруп, аны өзүңүз кармашыңыз керек.
Булут кызматтарын колдонуу коопсуздуктун талап кылынган деңгээлин сактоого жана интрузиялардан коргоого, ошондой эле колдонуучулар тарабынан эрежелерди бузууга өзгөчө көңүл буруп, мындай көйгөйлөрдөн качууга мүмкүндүк берет.
SecuReporter мындай кызматты ийгиликтүү ишке ашыруунун бир мисалы гана.
акция
Бүгүнтөн баштап Zyxel менен биздин Gold Partner X-Com ортосунда Secureporterди колдогон брандмауэрлерди сатып алуучулар үчүн биргелешкен акция өткөрүлөт:
Пайдалуу шилтемелер
[1] .
[2] расмий Zyxel сайтындагы сайтында.
[3] .
Source: www.habr.com