Во главите на неискусните луѓе, работата на администраторот за безбедност изгледа како возбудлив дуел помеѓу анти-хакери и зли хакери кои постојано ја напаѓаат корпоративната мрежа. И нашиот херој, во реално време, одбива смели напади со вешто и брзо внесување на команди и на крајот излегува како брилијантен победник.
Исто како кралски мускетар со тастатура наместо меч и мускет.
Но, во реалноста, сè изгледа обично, непретенциозно, па дури и, може да се каже, досадно.
Еден од главните методи на анализа е сè уште читање на дневници за настани. Темелно проучување на оваа тема:
- кој од каде се обидел да внесе, до кој ресурс се обидел да пристапи, како ги докажал своите права за пристап до ресурсот;
- какви неуспеси, грешки и едноставно сомнителни случајности имаше;
- кој и како го тестирал системот за јачина, скенирани порти, избрани лозинки;
- И така натаму и така натаму…
Па, по ѓаволите, романсата овде, не дај Боже „да не заспиеш додека возиш“.
За нашите специјалисти целосно да не ја изгубат љубовта кон уметноста, измислени се алатки за да им го олеснат животот. Тоа се сите видови на анализатори (лог парсери), системи за следење со известување за критични настани и многу повеќе.
Меѓутоа, ако земете добра алатка и почнете да ја навртувате рачно на секој уред, на пример, портата за Интернет, тоа нема да биде толку едноставно, не толку погодно и, меѓу другото, треба да имате дополнително знаење од сосема различни области. На пример, каде да поставите софтвер за такво следење? На физички сервер, виртуелна машина, специјален уред? Во каква форма треба да се складираат податоците? Ако се користи база на податоци, која? Како да направите резервни копии и дали е неопходно да се изведат? Како да управувате? Кој интерфејс треба да го користам? Како да се заштити системот? Кој метод за шифрирање да се користи - и многу повеќе.
Многу е поедноставно кога постои одреден унифициран механизам кој го презема на себе решавањето на сите наведени прашања, оставајќи го администраторот да работи строго во рамките на неговите специфики.
Според воспоставената традиција да се нарекува терминот „облак“ сè што не се наоѓа на даден домаќин, облак услугата Zyxel CNM SecuReporter ви овозможува не само да решите многу проблеми, туку и обезбедувате практични алатки
Што е Zyxel CNM SecuReporter?
Ова е интелигентна аналитичка услуга со функции за собирање податоци, статистичка анализа (корелација) и известување за Zyxel опремата на линијата ZyWALL и нивната. На мрежниот администратор му обезбедува централизиран преглед на различни активности на мрежата.
На пример, напаѓачите може да се обидат да упаднат во безбедносен систем користејќи механизми за напад како скришум, насочен и перзистираат. SecuReporter открива сомнително однесување, што му овозможува на администраторот да ги преземе потребните заштитни мерки со конфигурирање на ZyWALL.
Се разбира, обезбедувањето безбедност е незамисливо без постојана анализа на податоци со предупредувања во реално време. Можете да цртате убави графикони колку што сакате, но ако администраторот не е свесен што се случува... Не, ова дефинитивно не може да се случи со SecuReporter!
Неколку прашања за користење на SecuReporter
Анализа
Всушност, анализата на она што се случува е суштината на градењето на информациската безбедност. Со анализа на настаните, специјалист за безбедност може навреме да спречи или запре напад, како и да добие детални информации за реконструкција со цел да собере докази.
Што обезбедува „облак архитектура“?
Оваа услуга е изградена на моделот Software as a Service (SaaS), што го олеснува скалирањето користејќи ја моќта на оддалечените сервери, дистрибуираните системи за складирање податоци итн. Употребата на моделот на облак ви овозможува да се апстрахирате од хардверските и софтверските нијанси, посветувајќи ги сите ваши напори на создавање и подобрување на услугата за заштита.
Ова му овозможува на корисникот значително да ги намали трошоците за набавка на опрема за складирање, анализа и обезбедување пристап, и нема потреба да се занимава со прашања за одржување како што се резервни копии, ажурирања, спречување неуспеси итн. Доволно е да имате уред кој поддржува SecuReporter и соодветна лиценца.
ВАЖНО! Со архитектура базирана на облак, администраторите за безбедност можат проактивно да го следат здравјето на мрежата во секое време, на кое било место. Ова го решава проблемот, вклучително и со одмори, боледување итн. Пристапот до опрема, на пример, кражба на лаптоп од кој е пристапен до веб-интерфејсот SecuReporter, исто така нема да донесе ништо, под услов неговиот сопственик да не ги прекршил безбедносните правила, да не ги складирал лозинките локално итн.
Опцијата за управување со облак е добро прилагодена и за моно-компании лоцирани во ист град и за структури со филијали. Таквата независност на локацијата е потребна во различни индустрии, на пример, за даватели на услуги или развивачи на софтвер чиј бизнис е дистрибуиран низ различни градови.
Многу зборуваме за можностите за анализа, но што значи ова?
Тоа се различни аналитички алатки, на пример, резимеа на зачестеноста на настаните, списоци на Топ 100 главни (вистински и наводни) жртви на одреден настан, дневници што укажуваат на специфични цели за напад итн. Сè што му помага на администраторот да ги идентификува скриените трендови и да идентификува сомнително однесување на корисниците или услугите.
Што е со известувањето?
SecuReporter ви овозможува да го прилагодите формуларот за извештај и потоа да го добиете резултатот во PDF формат. Се разбира, ако сакате, можете да го вметнете вашето лого, наслов на извештајот, референци или препораки во извештајот. Можно е да се креираат извештаи во моментот на барање или според распоред, на пример, еднаш дневно, недела или месец.
Можете да го конфигурирате издавањето предупредувања земајќи ги предвид спецификите на сообраќајот во мрежната инфраструктура.
Дали е можно да се намали опасноста од инсајдери или едноставно шлаканици?
Специјалната алатка User Partially Quotient му овозможува на администраторот брзо да ги идентификува ризичните корисници, без дополнителен напор и земајќи ја предвид зависноста помеѓу различни мрежни дневници или настани.
Односно, се врши длабинска анализа на сите настани и сообраќај кои се поврзани со корисници кои се покажале како сомнителни.
Кои други точки се типични за SecuReporter?
Лесно поставување за крајните корисници (администратори за безбедност).
Активирањето на SecuReporter во облакот се случува преку едноставна процедура за поставување. По ова, администраторите веднаш добиваат пристап до сите податоци, алатки за анализа и известување.
Multi-Tenants на една облак платформа - можете да ја прилагодите вашата аналитика за секој клиент. Повторно, како што се зголемува вашата база на клиенти, архитектурата на облак ви овозможува лесно да го прилагодите вашиот контролен систем без да ја жртвувате ефикасноста.
Закони за заштита на податоци
ВАЖНО! Zyxel е многу чувствителен на меѓународните и локалните закони и други регулативи во врска со заштитата на личните податоци, вклучувајќи ги и принципите за приватност GDPR и OECD. Поддржано со Федералниот закон „За лични податоци“ од 27.07.2006 јули 152 година бр. XNUMX-ФЗ.
За да се обезбеди усогласеност, SecuReporter има три вградени опции за заштита на приватноста:
- неанонимни податоци - личните податоци се целосно идентификувани во Анализатор, Извештаи и архиви за преземање;
- делумно анонимни - личните податоци се заменуваат со нивните вештачки идентификатори во Архивските дневници;
- целосно анонимни - личните податоци се целосно анонимизирани во Анализатор, извештаи и архиви за преземање.
Како да го овозможам SecuReporter на мојот уред?
Да го погледнеме примерот на уред ZyWall (во овој случај имаме ZyWall 1100). Одете во делот за поставки (тазичето десно со икона во форма на две брзини). Следно, отворете го делот Cloud CNM и изберете ја потсекцијата SecuReporter во неа.
За да дозволите користење на услугата, мора да го активирате елементот Enable SecuReporter. Дополнително, вреди да се користи опцијата Include Traffic Log за собирање и анализа на сообраќајните дневници.
Слика 1. Овозможување SecuReporter.
Вториот чекор е да се дозволи собирање статистика. Ова е направено во делот Мониторинг (тазичето десно со икона во форма на монитор).
Следно, одете во делот Статистика на UTM, потсекција Патрола на апликации. Овде треба да ја активирате опцијата Collect Statistics.
Слика 2. Овозможување собирање статистика.
Тоа е сè, можете да се поврзете со веб-интерфејсот SecuReporter и да ја користите услугата облак.
ВАЖНО! SecuReporter има одлична документација во PDF формат. Можете да го преземете од .
Опис на веб-интерфејсот SecuReporter
Овде нема да биде можно да се даде детален опис на сите функции што SecuReporter ги обезбедува на администраторот за безбедност - има доста од нив за една статија.
Затоа, ќе се ограничиме на краток опис на услугите што ги гледа администраторот и со што работи постојано. Значи, запознајте се од што се состои веб-конзолата SecuReporter.
Карта
Овој дел ја прикажува регистрираната опрема, означувајќи го градот, името на уредот и IP адресата. Прикажува информации за тоа дали уредот е вклучен и каков е статусот на предупредување. На мапата за закани можете да го видите изворот на пакетите што ги користат напаѓачите и зачестеноста на нападите.
Профил
Кратки информации за главните активности и концизен аналитички преглед за наведениот период. Можете да наведете период од 7 дена до 1 час.
Слика 3. Пример за изгледот на делот Dashboard.
Анализатор
Името зборува само за себе. Ова е конзолата на истоимената алатка, која дијагностицира сомнителен сообраќај за одреден период, ги идентификува трендовите во појавата на закани и собира информации за сомнителни пакети. Анализаторот може да го следи најчестиот злонамерен код, како и да дава дополнителни информации за безбедносни прашања.
Слика 4. Пример за изгледот на делот Анализатор.
Извештај
Во овој дел, корисникот има пристап до сопствени извештаи со графички интерфејс. Потребните информации може да се соберат и состават во пригодна презентација веднаш или на закажана основа.
Известувања
Ова е местото каде што го конфигурирате системот за предупредување. Може да се конфигурираат прагови и различни нивоа на сериозност, што го олеснува идентификувањето на аномалиите и потенцијалните напади.
Поставување
Па, всушност, поставките се поставки.
Дополнително, вреди да се напомене дека SecuReporter може да поддржува различни политики за заштита при обработка на лични податоци.
Заклучок
Локалните методи за анализа на статистиката поврзана со безбедноста, во принцип, доста добро се докажаа.
Сепак, опсегот и сериозноста на заканите се зголемуваат секој ден. Нивото на заштита што претходно ги задоволуваше сите станува прилично слабо по некое време.
Покрај наведените проблеми, употребата на локални алатки бара одредени напори за одржување на функционалноста (одржување на опремата, резервна копија и слично). Постои и проблем со далечинската локација - не е секогаш можно да се задржи безбедносниот администратор во канцеларија 24 часа, 7 дена во неделата. Затоа, треба некако да организирате безбеден пристап до локалниот систем однадвор и сами да го одржувате.
Употребата на облак услуги ви овозможува да избегнете такви проблеми, фокусирајќи се конкретно на одржување на потребното ниво на безбедност и заштита од упади, како и прекршување на правилата од страна на корисниците.
SecuReporter е само пример за успешна имплементација на ваква услуга.
Акција
Почнувајќи од денес, постои заедничка промоција помеѓу Zyxel и нашиот Gold Partner X-Com за купувачи на заштитен ѕидови кои поддржуваат Secureporter:
Корисни линкови
[1] .
[2] на веб-страницата на официјалната веб-страница на Zyxel.
[3] .
Извор: www.habr.com