I hodet til uerfarne mennesker ser arbeidet til en sikkerhetsadministrator ut som en spennende duell mellom en anti-hacker og onde hackere som stadig invaderer bedriftens nettverk. Og helten vår, i sanntid, avviser dristige angrep ved å behendig og raskt legge inn kommandoer og fremstår til slutt som en strålende vinner.
Akkurat som en kongelig musketer med et tastatur i stedet for et sverd og en muskett.
Men i virkeligheten ser alt vanlig ut, upretensiøst og til og med, kan man si, kjedelig.
En av hovedmetodene for analyse er fortsatt å lese hendelseslogger. Grundig studie om emnet:
- hvem som prøvde å skrive inn hvor fra hvor, hvilken ressurs de prøvde å få tilgang til, hvordan de beviste rettighetene sine til å få tilgang til ressursen;
- hvilke feil, feil og rett og slett mistenkelige tilfeldigheter det var;
- hvem og hvordan testet systemet for styrke, skannede porter, utvalgte passord;
- Og så videre…
Vel, hva i helvete er romantikk her, Gud forby "du sovner ikke mens du kjører."
For at spesialistene våre ikke helt skal miste kjærligheten til kunst, er det oppfunnet verktøy for dem for å gjøre livet enklere. Dette er alle slags analysatorer (logg-parsere), overvåkingssystemer med varsling om kritiske hendelser og mye mer.
Men hvis du tar et godt verktøy og begynner å skru det manuelt til hver enhet, for eksempel en Internett-gateway, vil det ikke være så enkelt, ikke så praktisk, og du må blant annet ha ytterligere kunnskap fra helt andre områder. Hvor skal man for eksempel plassere programvare for slik overvåking? På en fysisk server, virtuell maskin, spesiell enhet? I hvilken form skal dataene lagres? Hvis en database brukes, hvilken? Hvordan utfører jeg sikkerhetskopiering og er det nødvendig å utføre dem? Hvordan administrere? Hvilket grensesnitt bør jeg bruke? Hvordan beskytte systemet? Hvilken krypteringsmetode du skal bruke - og mye mer.
Det er mye enklere når det er en viss enhetlig mekanisme som tar på seg løsningen av alle de oppførte problemene, og lar administratoren jobbe strengt innenfor rammen av hans spesifikke detaljer.
I henhold til den etablerte tradisjonen med å kalle begrepet "sky" alt som ikke er plassert på en gitt vert, lar Zyxel CNM SecuReporter skytjeneste deg ikke bare løse mange problemer, men gir også praktiske verktøy
Hva er Zyxel CNM SecuReporter?
Dette er en intelligent analysetjeneste med funksjoner for datainnsamling, statistisk analyse (korrelasjon) og rapportering for Zyxel-utstyr fra ZyWALL-linjen og deres. Det gir nettverksadministratoren en sentralisert oversikt over ulike aktiviteter på nettverket.
For eksempel kan angripere prøve å bryte seg inn i et sikkerhetssystem ved å bruke angrepsmekanismer som snikende, målrettet и vedvarende. SecuReporter oppdager mistenkelig oppførsel, som lar administratoren ta nødvendige beskyttelsestiltak ved å konfigurere ZyWALL.
Selvfølgelig er det utenkelig å sikre sikkerhet uten konstant dataanalyse med advarsler i sanntid. Du kan tegne vakre grafer så mye du vil, men hvis administratoren ikke er klar over hva som skjer... Nei, dette kan definitivt ikke skje med SecuReporter!
Noen spørsmål om bruk av SecuReporter
Analytics
Faktisk er analyse av hva som skjer kjernen i å bygge informasjonssikkerhet. Ved å analysere hendelser kan en sikkerhetsspesialist forhindre eller stoppe et angrep i tide, samt innhente detaljert informasjon for rekonstruksjon for å samle bevis.
Hva gir "skyarkitektur"?
Denne tjenesten er bygget på Software as a Service-modellen (SaaS), som gjør det enklere å skalere ved å bruke kraften til eksterne servere, distribuerte datalagringssystemer og så videre. Bruken av skymodellen lar deg abstrahere fra maskinvare- og programvarenyanser, og vie all din innsats til å skape og forbedre beskyttelsestjenesten.
Dette lar brukeren redusere kostnadene ved kjøp av utstyr for lagring, analyse og tilgangstilgang betydelig, og det er ikke nødvendig å håndtere vedlikeholdsproblemer som sikkerhetskopiering, oppdateringer, forebygging av feil og så videre. Det er nok å ha en enhet som støtter SecuReporter og riktig lisens.
VIKTIG! Med en skybasert arkitektur kan sikkerhetsadministratorer proaktivt overvåke nettverkshelsen når som helst og hvor som helst. Dette løser problemet, blant annet med ferier, sykemeldinger og så videre. Tilgang til utstyr, for eksempel tyveri av en bærbar PC som SecuReporter-nettgrensesnittet ble aksessert fra, vil heller ikke gi noe, forutsatt at eieren ikke brøt sikkerhetsregler, ikke lagret passord lokalt, og så videre.
Cloud management-alternativet er godt egnet for både mono-selskaper lokalisert i samme by og strukturer med filialer. Slik lokasjonsuavhengighet er nødvendig i en rekke bransjer, for eksempel for tjenesteleverandører eller programvareutviklere hvis virksomhet er distribuert på tvers av forskjellige byer.
Vi snakker mye om analysens muligheter, men hva betyr dette?
Dette er ulike analyseverktøy, for eksempel sammendrag av frekvensen av hendelser, lister over de 100 viktigste (virkelige og påståtte) ofrene for en bestemt hendelse, logger som indikerer spesifikke mål for angrep, og så videre. Alt som hjelper administratoren med å identifisere skjulte trender og identifisere mistenkelig oppførsel til brukere eller tjenester.
Hva med å rapportere?
SecuReporter lar deg tilpasse rapportskjemaet og deretter motta resultatet i PDF-format. Hvis du ønsker det, kan du selvfølgelig legge inn din logo, rapporttittel, referanser eller anbefalinger i rapporten. Det er mulig å lage rapporter på forespørselstidspunktet eller etter en tidsplan, for eksempel en gang om dagen, uken eller måneden.
Du kan konfigurere utstedelse av advarsler under hensyntagen til trafikkspesifikasjonene i nettverksinfrastrukturen.
Er det mulig å redusere faren fra innsidere eller rett og slett slaske?
Det spesielle User Partially Quotient-verktøyet lar administratoren raskt identifisere risikofylte brukere, uten ekstra innsats og tar hensyn til avhengigheten mellom ulike nettverkslogger eller hendelser.
Det vil si at det gjennomføres en dybdeanalyse av alle hendelser og trafikk som er knyttet til brukere som har vist seg mistenkelige.
Hvilke andre punkter er typiske for SecuReporter?
Enkelt oppsett for sluttbrukere (sikkerhetsadministratorer).
Aktivering av SecuReporter i skyen skjer gjennom en enkel oppsettsprosedyre. Etter dette får administratorer umiddelbart tilgang til alle data-, analyse- og rapporteringsverktøy.
Multi-Tenants på én enkelt skyplattform - du kan tilpasse analysene dine for hver klient. Igjen, ettersom kundebasen din øker, lar skyarkitekturen deg enkelt tilpasse kontrollsystemet ditt uten å ofre effektiviteten.
Databeskyttelseslover
VIKTIG! Zyxel er svært følsom overfor internasjonale og lokale lover og andre forskrifter angående beskyttelse av personopplysninger, inkludert GDPR og OECDs personvernprinsipper. Støttet av den føderale loven "On Personal Data" datert 27.07.2006. juli 152 nr. XNUMX-FZ.
For å sikre samsvar har SecuReporter tre innebygde alternativer for personvern:
- ikke-anonyme data - personopplysninger er fullstendig identifisert i analysator, rapport og nedlastbare arkivlogger;
- delvis anonym - personopplysninger erstattes med deres kunstige identifikatorer i arkivlogger;
- helt anonym - personopplysninger er fullstendig anonymisert i Analyzer, Report og nedlastbare Arkivlogger.
Hvordan aktiverer jeg SecuReporter på enheten min?
La oss se på eksemplet med en ZyWall-enhet (i dette tilfellet har vi en ZyWall 1100). Gå til innstillingsdelen (fanen til høyre med et ikon i form av to gir). Deretter åpner du Cloud CNM-delen og velger SecuReporter-underdelen i den.
For å tillate bruk av tjenesten, må du aktivere Enable SecuReporter-elementet. I tillegg er det verdt å bruke alternativet Inkluder trafikklogg for å samle inn og analysere trafikklogger.
Figur 1. Aktivering av SecuReporter.
Det andre trinnet er å tillate statistikkinnsamling. Dette gjøres i seksjonen Overvåking (fane til høyre med et ikon i form av en skjerm).
Deretter går du til UTM-statistikkseksjonen, underseksjonen App Patrol. Her må du aktivere alternativet Samle statistikk.
Figur 2. Aktivering av statistikkinnsamling.
Det er det, du kan koble til SecuReporter-nettgrensesnittet og bruke skytjenesten.
VIKTIG! SecuReporter har utmerket dokumentasjon i PDF-format. Du kan laste den ned fra .
Beskrivelse av SecuReporter-nettgrensesnittet
Det vil ikke være mulig å gi en detaljert beskrivelse av alle funksjonene som SecuReporter gir til en sikkerhetsadministrator her - det er ganske mange av dem for en artikkel.
Derfor vil vi begrense oss til en kort beskrivelse av tjenestene som administrator ser og hva han jobber med til stadighet. Så bli kjent med hva SecuReporter-nettkonsollen består av.
Kart
Denne delen viser det registrerte utstyret, med by, enhetsnavn og IP-adresse. Viser informasjon om hvorvidt enheten er slått på og hva advarselsstatusen er. På trusselkartet kan du se kilden til pakker brukt av angripere og frekvensen av angrep.
Dashbord
Kort informasjon om hovedhandlingene og en kortfattet analytisk oversikt for den angitte perioden. Du kan angi en periode fra 7 dager til 1 time.
Figur 3. Eksempel på utseendet til Dashboard-delen.
Analysator
Navnet taler for seg selv. Dette er konsollen til verktøyet med samme navn, som diagnostiserer mistenkelig trafikk for en valgt periode, identifiserer trender i fremveksten av trusler og samler inn informasjon om mistenkelige pakker. Analyzer er i stand til å spore den vanligste ondsinnede koden, samt gi tilleggsinformasjon angående sikkerhetsproblemer.
Figur 4. Eksempel på utseendet til analysatordelen.
Rapportere
I denne delen har brukeren tilgang til tilpassede rapporter med et grafisk grensesnitt. Den nødvendige informasjonen kan samles inn og settes sammen til en praktisk presentasjon umiddelbart eller på planlagt basis.
Varsler
Det er her du konfigurerer varslingssystemet. Terskler og ulike alvorlighetsnivåer kan konfigureres, noe som gjør det lettere å identifisere anomalier og potensielle angrep.
Innstilling
Vel, faktisk er innstillinger innstillinger.
I tillegg er det verdt å merke seg at SecuReporter kan støtte ulike beskyttelsespolicyer ved behandling av personopplysninger.
Konklusjon
Lokale metoder for å analysere sikkerhetsrelatert statistikk har i prinsippet vist seg ganske godt.
Imidlertid øker omfanget og alvorlighetsgraden av truslene hver dag. Beskyttelsesnivået som tidligere tilfredsstilte alle blir ganske svakt etter en tid.
I tillegg til de oppførte problemene, krever bruk av lokale verktøy en viss innsats for å opprettholde funksjonaliteten (vedlikehold av utstyr, sikkerhetskopiering og så videre). Det er også problemet med ekstern plassering - det er ikke alltid mulig å ha sikkerhetsadministratoren på kontoret 24 timer, 7 dager i uken. Derfor må du på en eller annen måte organisere sikker tilgang til det lokale systemet fra utsiden og vedlikeholde det selv.
Bruken av skytjenester lar deg unngå slike problemer, og fokuserer spesifikt på å opprettholde det nødvendige sikkerhetsnivået og beskyttelsen mot inntrenging, samt brudd på regler fra brukere.
SecuReporter er bare et eksempel på en vellykket implementering av en slik tjeneste.
Handling
Fra og med i dag er det en felles kampanje mellom Zyxel og vår gullpartner X-Com for kjøpere av brannmurer som støtter Secureporter:
Nyttige lenker
[1] .
[2] på nettstedet på det offisielle Zyxel-nettstedet.
[3] .
Kilde: www.habr.com