Nepieredzējušu cilvēku prātos drošības administratora darbs izskatās kā aizraujošs duelis starp antihakeru un ļaunajiem hakeriem, kuri nemitīgi iebrūk korporatīvajā tīklā. Un mūsu varonis reāllaikā atvaira pārdrošus uzbrukumus, veikli un ātri ievadot komandas, un galu galā kļūst par izcilu uzvarētāju.
Gluži kā karaliskam musketierim ar klaviatūru zobena un musketes vietā.
Bet patiesībā viss izskatās parasts, nepretenciozs un pat, varētu teikt, garlaicīgs.
Viena no galvenajām analīzes metodēm joprojām ir notikumu žurnālu lasīšana. Rūpīga izpēte par šo tēmu:
- kurš no kurienes mēģināja ievadīt, kādam resursam mēģināja piekļūt, kā pierādīja savas tiesības piekļūt resursam;
- kādas tur bija neveiksmes, kļūdas un vienkārši aizdomīgas sakritības;
- kurš un kā pārbaudīja sistēmas izturību, skenēja portus, izvēlējās paroles;
- Un tā tālāk un tā tālāk…
Nu kas, pie velna, te ir romantika, nedod Dievs “braucot neaizmigt”.
Lai mūsu speciālisti pilnībā nezaudētu mīlestību pret mākslu, viņiem tiek izdomāti instrumenti, kas atvieglo dzīvi. Tie ir visa veida analizatori (log parseri), uzraudzības sistēmas ar kritisku notikumu paziņošanu un daudz kas cits.
Tomēr, ja paņemat labu instrumentu un sākat to manuāli pieskrūvēt katrai ierīcei, piemēram, interneta vārtejai, tas nebūs tik vienkārši, ne tik ērti, un, cita starpā, jums ir jābūt papildu zināšanām no pilnīgi dažādām ierīcēm. apgabali. Piemēram, kur ievietot programmatūru šādai uzraudzībai? Fiziskā serverī, virtuālajā mašīnā, īpašā ierīcē? Kādā formā dati ir jāuzglabā? Ja tiek izmantota datu bāze, kura? Kā veikt dublējumus un vai man tas ir jādara? Kā pārvaldīt? Kuru interfeisu man vajadzētu izmantot? Kā aizsargāt sistēmu? Kuru šifrēšanas metodi izmantot — un daudz ko citu.
Daudz vienkāršāk ir tad, ja ir noteikts vienots mehānisms, kas uzņemas visu uzskaitīto jautājumu risināšanu, administratoram liekot strādāt strikti savas specifikas ietvaros.
Saskaņā ar iedibināto tradīciju jēdzienu “mākonis” saukt par visu, kas neatrodas konkrētajā resursdatorā, mākoņpakalpojums Zyxel CNM SecuReporter ļauj ne tikai atrisināt daudzas problēmas, bet arī nodrošina ērtus rīkus.
Kas ir Zyxel CNM SecuReporter?
Šis ir inteliģents analītikas pakalpojums ar datu vākšanas, statistiskās analīzes (korelācijas) un ziņošanas funkcijām ZyWALL līnijas un viņu Zyxel aprīkojumam. Tas nodrošina tīkla administratoram centralizētu skatījumu uz dažādām darbībām tīklā.
Piemēram, uzbrucēji var mēģināt ielauzties drošības sistēmā, izmantojot tādus uzbrukuma mehānismus kā zaglīgs, mērķtiecīgs и saglabājas. SecuReporter atklāj aizdomīgu uzvedību, kas ļauj administratoram veikt nepieciešamos aizsardzības pasākumus, konfigurējot ZyWALL.
Protams, drošības nodrošināšana nav iedomājama bez pastāvīgas datu analīzes ar brīdinājumiem reāllaikā. Jūs varat zīmēt skaistus grafikus, cik vēlaties, bet, ja administrators nezina, kas notiek... Nē, tas noteikti nevar notikt ar SecuReporter!
Daži jautājumi par SecuReporter lietošanu
Analytics
Faktiski notiekošā analīze ir informācijas drošības veidošanas pamatā. Analizējot notikumus, drošības speciālists var savlaicīgi novērst vai apturēt uzbrukumu, kā arī iegūt detalizētu informāciju rekonstrukcijai, lai savāktu pierādījumus.
Ko sniedz “mākoņu arhitektūra”?
Šis pakalpojums ir balstīts uz programmatūras kā pakalpojuma (SaaS) modeli, kas atvieglo mērogošanu, izmantojot attālo serveru, sadalīto datu glabāšanas sistēmu u.c. jaudu. Mākoņu modeļa izmantošana ļauj abstrahēties no aparatūras un programmatūras niansēm, visus spēkus veltot aizsardzības servisa izveidei un uzlabošanai.
Tas ļauj lietotājam ievērojami samazināt izmaksas, iegādājoties aprīkojumu glabāšanai, analīzei un piekļuves nodrošināšanai, un nav jārisina uzturēšanas jautājumi, piemēram, dublēšana, atjauninājumi, kļūmju novēršana utt. Pietiek ar ierīci, kas atbalsta SecuReporter, un atbilstošu licenci.
SVARĪGI! Izmantojot mākoņa arhitektūras arhitektūru, drošības administratori var aktīvi uzraudzīt tīkla stāvokli jebkurā laikā un vietā. Tas atrisina problēmu, tostarp ar atvaļinājumiem, slimības atvaļinājumu utt. Piekļuve aprīkojumam, piemēram, klēpjdatora zādzība, no kura tika piekļūts SecuReporter tīmekļa interfeisam, arī neko nedos, ja tā īpašnieks nepārkāps drošības noteikumus, neuzglabāja paroles lokāli utt.
Mākoņu pārvaldības iespēja ir labi piemērota gan monouzņēmumiem, kas atrodas vienā pilsētā, gan struktūrām ar filiālēm. Šāda atrašanās vietas neatkarība ir nepieciešama dažādās nozarēs, piemēram, pakalpojumu sniedzējiem vai programmatūras izstrādātājiem, kuru bizness ir sadalīts dažādās pilsētās.
Mēs daudz runājam par analīzes iespējām, bet ko tas nozīmē?
Tie ir dažādi analītikas rīki, piemēram, notikumu biežuma kopsavilkumi, 100 populārāko (īsto un iespējamo) konkrēta notikuma upuru saraksti, žurnāli, kas norāda konkrētus uzbrukuma mērķus un tā tālāk. Jebkas, kas palīdz administratoram noteikt slēptās tendences un identificēt aizdomīgu lietotāju vai pakalpojumu uzvedību.
Kā ar ziņošanu?
SecuReporter ļauj pielāgot atskaites formu un pēc tam saņemt rezultātu PDF formātā. Protams, ja vēlaties, pārskatā varat iegult savu logotipu, pārskata nosaukumu, atsauces vai ieteikumus. Atskaites var izveidot pieprasījuma brīdī vai pēc grafika, piemēram, reizi dienā, nedēļā vai mēnesī.
Varat konfigurēt brīdinājumu izdošanu, ņemot vērā trafika specifiku tīkla infrastruktūrā.
Vai ir iespējams samazināt briesmas, ko rada iekšējie vai vienkārši slaisti?
Īpašais User Partially Quotient rīks ļauj administratoram ātri identificēt riskantos lietotājus, bez papildu piepūles un ņemot vērā atkarību starp dažādiem tīkla žurnāliem vai notikumiem.
Tas nozīmē, ka tiek veikta visu notikumu un trafika padziļināta analīze, kas ir saistīta ar lietotājiem, kuri izrādījušies aizdomīgi.
Kādi citi punkti ir raksturīgi SecuReporter?
Vienkārša iestatīšana gala lietotājiem (drošības administratoriem).
SecuReporter aktivizēšana mākonī notiek, izmantojot vienkāršu iestatīšanas procedūru. Pēc tam administratoriem nekavējoties tiek piešķirta piekļuve visiem datiem, analīzes un ziņošanas rīkiem.
Vairāki nomnieki vienā mākoņa platformā — varat pielāgot savu analīzi katram klientam. Atkal, pieaugot jūsu klientu lokam, mākoņa arhitektūra ļauj viegli pielāgot vadības sistēmu, nezaudējot efektivitāti.
Datu aizsardzības likumi
SVARĪGS! Zyxel ir ļoti jutīgs pret starptautiskajiem un vietējiem likumiem un citiem noteikumiem par personas datu aizsardzību, tostarp GDPR un ESAO privātuma principiem. Atbalstīts ar federālo likumu “Par personas datiem” 27.07.2006. gada 152. jūlijā Nr. XNUMX-FZ.
Lai nodrošinātu atbilstību, SecuReporter ir trīs iebūvētas privātuma aizsardzības iespējas:
- neanonīmi dati – personas dati ir pilnībā identificēti analizatorā, atskaitēs un lejupielādējamos arhīvu žurnālos;
- daļēji anonīmi - personas dati tiek aizstāti ar to mākslīgajiem identifikatoriem arhīva žurnālos;
- pilnīgi anonīmi — personas dati ir pilnībā anonimizēti analizatorā, ziņojumos un lejupielādējamos arhīvu žurnālos.
Kā savā ierīcē iespējot SecuReporter?
Apskatīsim ZyWall ierīces piemēru (šajā gadījumā mums ir ZyWall 1100). Dodieties uz iestatījumu sadaļu (cilne labajā pusē ar ikonu divu pārnesumu formā). Pēc tam atveriet sadaļu Cloud CNM un atlasiet tajā apakšsadaļu SecuReporter.
Lai atļautu izmantot pakalpojumu, ir jāaktivizē elements Enable SecuReporter. Turklāt ir vērts izmantot opciju Iekļaut satiksmes žurnālu, lai apkopotu un analizētu satiksmes žurnālus.
1. attēls. SecuReporter iespējošana.
Otrais solis ir statistikas vākšanas atļauja. Tas tiek darīts sadaļā Monitorings (cilne labajā pusē ar ikonu monitora formā).
Pēc tam dodieties uz sadaļu UTM statistika, apakšsadaļu App Patrol. Šeit jums jāaktivizē opcija Apkopot statistiku.
2. attēls. Statistikas vākšanas iespējošana.
Tas ir viss, varat izveidot savienojumu ar SecuReporter tīmekļa saskarni un izmantot mākoņpakalpojumu.
SVARĪGI! SecuReporter ir lieliska dokumentācija PDF formātā. Jūs varat to lejupielādēt no .
SecuReporter tīmekļa saskarnes apraksts
Šeit nebūs iespējams sniegt detalizētu aprakstu par visām funkcijām, kuras SecuReporter nodrošina drošības administratoram - vienam rakstam to ir diezgan daudz.
Tāpēc mēs aprobežosimies ar īsu aprakstu par pakalpojumiem, kurus administrators redz un ar ko viņš pastāvīgi strādā. Tātad, uzziniet, no kā sastāv SecuReporter tīmekļa konsole.
Karte
Šajā sadaļā tiek parādīts reģistrētais aprīkojums, norādot pilsētu, ierīces nosaukumu un IP adresi. Parāda informāciju par to, vai ierīce ir ieslēgta un kāds ir brīdinājuma statuss. Draudu kartē varat redzēt uzbrucēju izmantoto pakešu avotu un uzbrukumu biežumu.
Mans Profils
Īsa informācija par galvenajām darbībām un īss analītisks pārskats par norādīto periodu. Varat norādīt periodu no 7 dienām līdz 1 stundai.
3. attēls. Informācijas paneļa sadaļas izskata piemērs.
Analizators
Nosaukums runā pats par sevi. Šī ir tāda paša nosaukuma rīka konsole, kas noteiktā laika posmā diagnosticē aizdomīgu trafiku, identificē draudu rašanās tendences un apkopo informāciju par aizdomīgām paketēm. Analizators spēj izsekot visbiežāk sastopamajam kaitīgajam kodam, kā arī sniegt papildu informāciju par drošības problēmām.
4. attēls. Analizatora sadaļas izskata piemērs.
Ziņot
Šajā sadaļā lietotājs var piekļūt pielāgotiem pārskatiem ar grafisko interfeisu. Nepieciešamo informāciju var savākt un apkopot ērtā prezentācijā uzreiz vai pēc grafika.
Brīdinājumi
Šeit jūs konfigurējat brīdinājuma sistēmu. Var konfigurēt sliekšņus un dažādus smaguma līmeņus, kas atvieglo anomāliju un iespējamo uzbrukumu identificēšanu.
Iestatījums
Patiesībā iestatījumi ir iestatījumi.
Turklāt ir vērts atzīmēt, ka, apstrādājot personas datus, SecuReporter var atbalstīt dažādas aizsardzības politikas.
Secinājums
Vietējās metodes ar drošību saistītās statistikas analīzei principā ir sevi pierādījušas diezgan labi.
Tomēr draudu klāsts un smagums ar katru dienu palielinās. Aizsardzības līmenis, kas iepriekš apmierināja visus, pēc kāda laika kļūst diezgan vājš.
Papildus uzskaitītajām problēmām vietējo rīku izmantošana prasa zināmas pūles, lai uzturētu funkcionalitāti (iekārtu apkope, dublēšana utt.). Ir arī attālinātās atrašanās vietas problēma - ne vienmēr ir iespējams noturēt drošības administratoru birojā 24 stundas, 7 dienas nedēļā. Tāpēc jums ir kaut kā jāorganizē droša piekļuve vietējai sistēmai no ārpuses un jāuztur pašam.
Mākoņpakalpojumu izmantošana ļauj izvairīties no šādām problēmām, īpaši koncentrējoties uz nepieciešamā drošības līmeņa uzturēšanu un aizsardzību pret ielaušanos, kā arī lietotāju noteikumu pārkāpumiem.
SecuReporter ir tikai piemērs veiksmīgai šāda pakalpojuma ieviešanai.
Darbība
No šodienas Zyxel un mūsu zelta partneris X-Com ir kopīga akcija, kas paredzēta tādu ugunsmūru pircējiem, kuri atbalsta Secureporter:
Noderīgas saites
[1] .
[2] oficiālajā Zyxel tīmekļa vietnē.
[3] .
Avots: www.habr.com
