In de hoofden van onervaren mensen lijkt het werk van een beveiligingsbeheerder op een spannend duel tussen een anti-hacker en kwaadaardige hackers die voortdurend het bedrijfsnetwerk binnendringen. En onze held weert gewaagde aanvallen in realtime af door behendig en snel commando's in te voeren en komt uiteindelijk naar voren als een briljante winnaar.
Net als een koninklijke musketier met een toetsenbord in plaats van een zwaard en een musket.
Maar in werkelijkheid ziet alles er gewoon, pretentieloos en zelfs, zou je kunnen zeggen, saai uit.
Een van de belangrijkste analysemethoden is nog steeds het lezen van gebeurtenislogboeken. Grondige studie over het onderwerp:
- wie waar vandaan probeerde binnen te komen, tot welke hulpbron zij probeerden toegang te krijgen, hoe zij hun recht op toegang tot de hulpbron bewezen hebben;
- welke mislukkingen, fouten en eenvoudigweg verdachte toevalligheden er waren;
- wie en hoe het systeem heeft getest op sterkte, poorten heeft gescand, wachtwoorden heeft geselecteerd;
- Enzovoort…
Nou, wat is hier in godsnaam romantiek, God verhoede dat je niet in slaap valt tijdens het rijden.
Om ervoor te zorgen dat onze specialisten hun liefde voor de kunst niet helemaal verliezen, worden er voor hen hulpmiddelen bedacht om het leven gemakkelijker te maken. Dit zijn allerlei soorten analysers (logparsers), monitoringsystemen met melding van kritieke gebeurtenissen en nog veel meer.
Als u echter een goed hulpmiddel neemt en het handmatig op elk apparaat gaat schroeven, bijvoorbeeld een internetgateway, zal het niet zo eenvoudig en niet zo handig zijn, en heeft u onder andere aanvullende kennis nodig van totaal verschillende gebieden. Waar moet u bijvoorbeeld software voor dergelijke monitoring plaatsen? Op een fysieke server, virtuele machine, speciaal apparaat? In welke vorm moeten de gegevens worden opgeslagen? Als er een database wordt gebruikt, welke dan? Hoe maak ik back-ups en is het noodzakelijk om deze uit te voeren? Hoe te beheren? Welke interface moet ik gebruiken? Hoe het systeem beschermen? Welke versleutelingsmethode u moet gebruiken - en nog veel meer.
Het is veel eenvoudiger als er een bepaald uniform mechanisme is dat de oplossing van alle genoemde problemen op zich neemt, waarbij de beheerder strikt binnen het kader van zijn specifieke kenmerken kan werken.
Volgens de gevestigde traditie om de term ‘cloud’ alles te noemen wat zich niet op een bepaalde host bevindt, kunt u met de Zyxel CNM SecuReporter-cloudservice niet alleen veel problemen oplossen, maar ook handige tools bieden
Wat is Zyxel CNM SecuReporter?
Dit is een intelligente analyseservice met functies voor gegevensverzameling, statistische analyse (correlatie) en rapportage voor Zyxel-apparatuur van de ZyWALL-lijn en die van hen. Het biedt de netwerkbeheerder een gecentraliseerd overzicht van verschillende activiteiten op het netwerk.
Aanvallers kunnen bijvoorbeeld proberen in te breken in een beveiligingssysteem met behulp van aanvalsmechanismen zoals heimelijk, doelgericht и aanhoudend. SecuReporter detecteert verdacht gedrag, waardoor de beheerder de nodige beschermende maatregelen kan nemen door ZyWALL te configureren.
Het garanderen van de veiligheid is uiteraard ondenkbaar zonder constante data-analyse met waarschuwingen in realtime. Je kunt zoveel mooie grafieken tekenen als je wilt, maar als de beheerder niet weet wat er gebeurt... Nee, met SecuReporter kan dit zeker niet gebeuren!
Enkele vragen over het gebruik van SecuReporter
Analytics
Eigenlijk vormt de analyse van wat er gebeurt de kern van het opbouwen van informatiebeveiliging. Door gebeurtenissen te analyseren kan een beveiligingsspecialist een aanval op tijd voorkomen of stoppen, en gedetailleerde informatie verkrijgen voor reconstructie om bewijsmateriaal te verzamelen.
Wat biedt ‘cloudarchitectuur’?
Deze service is gebouwd op het Software as a Service (SaaS)-model, waardoor het eenvoudiger is om te schalen met behulp van de kracht van externe servers, gedistribueerde gegevensopslagsystemen, enzovoort. Door het gebruik van het cloudmodel kunt u abstractie maken van hardware- en softwarenuances en al uw inspanningen wijden aan het creëren en verbeteren van de beveiligingsservice.
Hierdoor kan de gebruiker de kosten voor de aanschaf van apparatuur voor opslag, analyse en toegang aanzienlijk verlagen, en hoeft hij zich niet bezig te houden met onderhoudsproblemen zoals back-ups, updates, het voorkomen van storingen, enzovoort. Het is voldoende om een apparaat te hebben dat SecuReporter ondersteunt en de juiste licentie.
BELANGRIJK! Met een cloudgebaseerde architectuur kunnen beveiligingsbeheerders altijd en overal proactief de netwerkstatus monitoren. Dit lost het probleem op, ook met vakanties, ziekteverlof, enzovoort. Toegang tot apparatuur, bijvoorbeeld diefstal van een laptop van waaruit toegang werd verkregen tot de SecuReporter-webinterface, levert ook niets op, op voorwaarde dat de eigenaar de beveiligingsregels niet heeft overtreden, geen wachtwoorden lokaal heeft opgeslagen, enzovoort.
De cloudbeheeroptie is zeer geschikt voor zowel monobedrijven in dezelfde stad als structuren met vestigingen. Een dergelijke locatie-onafhankelijkheid is nodig in een verscheidenheid aan sectoren, bijvoorbeeld voor dienstverleners of softwareontwikkelaars wier activiteiten over verschillende steden zijn verspreid.
We praten veel over de mogelijkheden van analyse, maar wat betekent dit?
Dit zijn verschillende analysetools, bijvoorbeeld samenvattingen van de frequentie van gebeurtenissen, lijsten van de Top 100 belangrijkste (echte en vermeende) slachtoffers van een bepaalde gebeurtenis, logboeken die specifieke aanvalsdoelen aangeven, enzovoort. Alles wat de beheerder helpt verborgen trends te identificeren en verdacht gedrag van gebruikers of diensten te identificeren.
Hoe zit het met de rapportage?
Met SecuReporter kunt u het rapportformulier aanpassen en het resultaat vervolgens in PDF-formaat ontvangen. Uiteraard kunt u desgewenst uw logo, rapporttitel, referenties of aanbevelingen in het rapport embedden. Het is mogelijk om rapporten te maken op het moment van aanvraag of volgens een schema, bijvoorbeeld één keer per dag, week of maand.
U kunt de afgifte van waarschuwingen configureren, rekening houdend met de specifieke kenmerken van het verkeer binnen de netwerkinfrastructuur.
Is het mogelijk om het gevaar van insiders of gewoon slobbers te verminderen?
Met de speciale User Partially Quotient-tool kan de beheerder risicovolle gebruikers snel identificeren, zonder extra inspanning en rekening houdend met de afhankelijkheid tussen verschillende netwerklogboeken of gebeurtenissen.
Dat wil zeggen dat er een diepgaande analyse wordt uitgevoerd van alle gebeurtenissen en verkeer die verband houden met gebruikers die zich verdacht hebben getoond.
Welke andere punten zijn typisch voor SecuReporter?
Eenvoudige installatie voor eindgebruikers (beveiligingsbeheerders).
Het activeren van SecuReporter in de cloud gebeurt via een eenvoudige installatieprocedure. Hierna krijgen beheerders direct toegang tot alle data-, analyse- en rapportagetools.
Multi-tenants op één cloudplatform: u kunt uw analyses voor elke klant aanpassen. Nogmaals, naarmate uw klantenbestand groter wordt, kunt u dankzij de cloudarchitectuur uw besturingssysteem eenvoudig aanpassen zonder dat dit ten koste gaat van de efficiëntie.
Wetten op het gebied van gegevensbescherming
BELANGRIJK! Zyxel is zeer gevoelig voor internationale en lokale wetten en andere regelgeving met betrekking tot de bescherming van persoonlijke gegevens, waaronder de AVG en de OESO-privacyprincipes. Ondersteund door de federale wet “Over persoonlijke gegevens” van 27.07.2006 juli 152 nr. XNUMX-FZ.
Om naleving te garanderen heeft SecuReporter drie ingebouwde opties voor privacybescherming:
- niet-anonieme gegevens - persoonlijke gegevens worden volledig geïdentificeerd in Analyzer, Report en downloadbare archieflogboeken;
- gedeeltelijk anoniem - persoonlijke gegevens worden vervangen door hun kunstmatige identificatiegegevens in archieflogboeken;
- volledig anoniem - persoonlijke gegevens worden volledig geanonimiseerd in Analyzer, Report en downloadbare archieflogboeken.
Hoe schakel ik SecuReporter in op mijn apparaat?
Laten we eens kijken naar het voorbeeld van een ZyWall-apparaat (in dit geval hebben we een ZyWall 1100). Ga naar het instellingengedeelte (tabblad aan de rechterkant met een pictogram in de vorm van twee tandwielen). Open vervolgens de sectie Cloud CNM en selecteer daarin de subsectie SecuReporter.
Om het gebruik van de dienst mogelijk te maken, moet u het element Enable SecuReporter activeren. Bovendien is het de moeite waard om de optie Verkeerslogboek opnemen te gebruiken om verkeerslogboeken te verzamelen en te analyseren.
Figuur 1. SecuReporter inschakelen.
De tweede stap is het toestaan van het verzamelen van statistieken. Dit gebeurt in de sectie Monitoring (tabblad aan de rechterkant met een pictogram in de vorm van een monitor).
Ga vervolgens naar de sectie UTM-statistieken, de subsectie App Patrol. Hier moet u de optie Statistieken verzamelen activeren.
Figuur 2. Statistieken verzamelen inschakelen.
Dat is alles, u kunt verbinding maken met de SecuReporter-webinterface en de cloudservice gebruiken.
BELANGRIJK! SecuReporter beschikt over uitstekende documentatie in PDF-formaat. Je kunt het downloaden van .
Beschrijving van de SecuReporter webinterface
Het zal niet mogelijk zijn om hier een gedetailleerde beschrijving te geven van alle functies die SecuReporter aan een beveiligingsbeheerder biedt - er zijn er nogal wat voor één artikel.
Daarom beperken we ons tot een korte beschrijving van de diensten die de beheerder ziet en waar hij voortdurend mee werkt. Ontdek dus waaruit de SecuReporter webconsole bestaat.
Kaart
In dit gedeelte wordt de geregistreerde apparatuur weergegeven, met vermelding van de stad, de apparaatnaam en het IP-adres. Geeft informatie weer over of het apparaat is ingeschakeld en wat de waarschuwingsstatus is. Op de Threat Map kunt u de bron zien van de pakketten die door aanvallers worden gebruikt en de frequentie van de aanvallen.
Overzicht
Beknopte informatie over de belangrijkste acties en een beknopt analytisch overzicht voor de opgegeven periode. U kunt een periode opgeven van 7 dagen tot 1 uur.
Figuur 3. Voorbeeld van het uiterlijk van de sectie Dashboard.
Analyzer
De naam spreekt voor zich. Dit is de console van de gelijknamige tool, die gedurende een geselecteerde periode verdacht verkeer diagnosticeert, trends in het ontstaan van bedreigingen identificeert en informatie over verdachte pakketten verzamelt. Analyzer kan de meest voorkomende kwaadaardige code traceren en aanvullende informatie geven over beveiligingsproblemen.
Figuur 4. Voorbeeld van het uiterlijk van de sectie Analyser.
Rapport
In deze sectie heeft de gebruiker toegang tot aangepaste rapporten met een grafische interface. De benodigde informatie kan direct of op een geplande basis worden verzameld en in een handige presentatie worden samengevoegd.
Waarschuwingen
Hier configureert u het waarschuwingssysteem. Drempels en verschillende ernstniveaus kunnen worden geconfigureerd, waardoor het gemakkelijker wordt om afwijkingen en potentiële aanvallen te identificeren.
Instelling
Nou ja, eigenlijk zijn instellingen instellingen.
Bovendien is het vermeldenswaard dat SecuReporter verschillende beveiligingsbeleidslijnen kan ondersteunen bij het verwerken van persoonlijke gegevens.
Conclusie
Lokale methoden voor het analyseren van veiligheidsgerelateerde statistieken hebben zich in principe behoorlijk goed bewezen.
Het bereik en de ernst van de bedreigingen worden echter elke dag groter. Het beschermingsniveau waar voorheen iedereen tevreden mee was, wordt na verloop van tijd nogal zwak.
Naast de genoemde problemen vereist het gebruik van lokale tools bepaalde inspanningen om de functionaliteit te behouden (onderhoud van apparatuur, back-up, enzovoort). Er is ook het probleem van locatie op afstand: het is niet altijd mogelijk om de beveiligingsbeheerder 24 uur per dag, 7 dagen per week op kantoor te houden. Daarom moet u op de een of andere manier veilige toegang tot het lokale systeem van buitenaf organiseren en deze zelf onderhouden.
Door het gebruik van cloudservices kunt u dergelijke problemen vermijden, waarbij u zich specifiek richt op het handhaven van het vereiste beveiligingsniveau en bescherming tegen indringers, evenals overtredingen van regels door gebruikers.
SecuReporter is slechts een voorbeeld van een succesvolle implementatie van een dergelijke dienst.
Actie
Vanaf vandaag is er een gezamenlijke actie tussen Zyxel en onze Gold Partner X-Com voor kopers van firewalls die Secureporter ondersteunen:
Nuttige links
[1] .
[2] op de website op de officiële Zyxel-website.
[3] .
Bron: www.habr.com