W oczach niedoświadczonych osób praca administratora bezpieczeństwa przypomina ekscytujący pojedynek antyhakera ze złymi hakerami, którzy nieustannie atakują sieć korporacyjną. A nasz bohater w czasie rzeczywistym odpiera śmiałe ataki, zręcznie i szybko wydając polecenia, i ostatecznie okazuje się genialnym zwycięzcą.
Zupełnie jak królewski muszkieter z klawiaturą zamiast miecza i muszkietu.
Ale w rzeczywistości wszystko wygląda zwyczajnie, bezpretensjonalnie, a nawet, można powiedzieć, nudno.
Jedną z głównych metod analizy jest w dalszym ciągu odczytywanie dzienników zdarzeń. Dokładne badania na ten temat:
- kto próbował wejść, skąd skąd, do jakiego zasobu próbował uzyskać dostęp, w jaki sposób udowodnił swoje prawo do dostępu do zasobu;
- jakie były awarie, błędy i po prostu podejrzane zbiegi okoliczności;
- kto i jak testował system pod kątem wytrzymałości, przeskanowanych portów, wybranych haseł;
- I tak dalej i tak dalej…
No cóż, do cholery, tu romans, broń Boże, „nie zasypia się podczas jazdy”.
Aby nasi specjaliści nie stracili całkowicie miłości do sztuki, wymyślane są dla nich narzędzia ułatwiające życie. Są to wszelkiego rodzaju analizatory (parsery logów), systemy monitorowania z powiadamianiem o zdarzeniach krytycznych i wiele więcej.
Jeśli jednak weźmiesz dobre narzędzie i zaczniesz je ręcznie przykręcać do każdego urządzenia, np. bramki internetowej, to nie będzie to ani takie proste, ani wygodne, a między innymi trzeba będzie mieć dodatkową wiedzę z zupełnie innych dziedzin obszary. Na przykład, gdzie umieścić oprogramowanie do takiego monitorowania? Na serwerze fizycznym, maszynie wirtualnej, specjalnym urządzeniu? W jakiej formie należy przechowywać dane? Jeśli używana jest baza danych, to która? Jak wykonywać kopie zapasowe i czy muszę je robić? Jak zarządzać? Którego interfejsu powinienem użyć? Jak chronić system? Którą metodę szyfrowania zastosować – i wiele więcej.
Jest to znacznie prostsze, gdy istnieje pewien ujednolicony mechanizm, który bierze na siebie rozwiązanie wszystkich wymienionych problemów, pozostawiając administratorowi pracę ściśle w ramach jego specyfiki.
Zgodnie z utrwaloną tradycją nazywania „chmurą” wszystkiego, co nie znajduje się na danym hoście, usługa chmurowa Zyxel CNM SecuReporter pozwala nie tylko rozwiązać wiele problemów, ale także udostępnia wygodne narzędzia
Co to jest Zyxel CNM SecuReporter?
Jest to inteligentna usługa analityczna z funkcjami gromadzenia danych, analizy statystycznej (korelacji) i raportowania dla urządzeń Zyxel z linii ZyWALL i innych. Zapewnia administratorowi sieci scentralizowany widok różnych działań w sieci.
Na przykład osoby atakujące mogą próbować włamać się do systemu bezpieczeństwa, korzystając z mechanizmów ataku takich jak dyskretny, ukierunkowany и uporczywy. SecuReporter wykrywa podejrzane zachowanie, co pozwala administratorowi podjąć niezbędne środki ochronne poprzez konfigurację ZyWALL.
Oczywiście zapewnienie bezpieczeństwa jest nie do pomyślenia bez ciągłej analizy danych wraz z ostrzeżeniami w czasie rzeczywistym. Możesz rysować piękne wykresy, ile chcesz, ale jeśli administrator nie jest świadomy tego, co się dzieje... Nie, to zdecydowanie nie może się zdarzyć w przypadku SecuReporter!
Kilka pytań dotyczących korzystania z SecuReporter
Analityka
Właściwie analiza tego, co się dzieje, jest podstawą budowania bezpieczeństwa informacji. Analizując zdarzenia, specjalista ds. bezpieczeństwa może w porę zapobiec lub zatrzymać atak, a także uzyskać szczegółowe informacje do rekonstrukcji w celu zebrania dowodów.
Co zapewnia „architektura chmurowa”?
Usługa ta opiera się na modelu Software as a Service (SaaS), co ułatwia skalowanie przy wykorzystaniu mocy zdalnych serwerów, rozproszonych systemów przechowywania danych i tak dalej. Zastosowanie modelu chmurowego pozwala na abstrakcję od niuansów sprzętowych i programowych, poświęcając cały swój wysiłek na stworzenie i udoskonalenie usługi ochrony.
Pozwala to użytkownikowi znacznie obniżyć koszty zakupu sprzętu do przechowywania, analizy i zapewniania dostępu, bez konieczności zajmowania się kwestiami konserwacyjnymi, takimi jak kopie zapasowe, aktualizacje, zapobieganie awariom i tak dalej. Wystarczy posiadać urządzenie obsługujące SecuReporter i odpowiednią licencję.
WAŻNE! Dzięki architekturze opartej na chmurze administratorzy bezpieczeństwa mogą aktywnie monitorować stan sieci w dowolnym miejscu i czasie. To rozwiązuje problem, w tym urlopy, zwolnienia lekarskie i tak dalej. Dostęp do sprzętu, np. kradzież laptopa, z którego uzyskano dostęp do interfejsu sieciowego SecuReporter, również nic nie da, pod warunkiem, że jego właściciel nie naruszył zasad bezpieczeństwa, nie przechowywał lokalnie haseł itp.
Opcja zarządzania w chmurze doskonale sprawdza się zarówno w przypadku pojedynczych firm zlokalizowanych w tym samym mieście, jak i struktur posiadających oddziały. Taka niezależność lokalizacyjna jest potrzebna w różnych branżach, na przykład w przypadku dostawców usług lub twórców oprogramowania, których działalność jest rozproszona w różnych miastach.
Dużo mówimy o możliwościach analizy, ale co to oznacza?
Są to różne narzędzia analityczne, na przykład podsumowania częstotliwości zdarzeń, listy 100 głównych (rzeczywistych i rzekomych) ofiar określonego zdarzenia, dzienniki wskazujące konkretne cele ataku i tak dalej. Wszystko, co pomaga administratorowi zidentyfikować ukryte trendy i zidentyfikować podejrzane zachowania użytkowników lub usług.
A co z raportowaniem?
SecuReporter pozwala dostosować formularz raportu, a następnie otrzymać wynik w formacie PDF. Oczywiście, jeśli chcesz, możesz osadzić w raporcie swoje logo, tytuł raportu, referencje lub rekomendacje. Możliwe jest tworzenie raportów na żądanie lub według harmonogramu, na przykład raz dziennie, tygodniowo lub miesięcznie.
Możesz skonfigurować emisję ostrzeżeń uwzględniając specyfikę ruchu w infrastrukturze sieciowej.
Czy można zmniejszyć zagrożenie ze strony osób wtajemniczonych lub po prostu niechlujów?
Specjalne narzędzie User Partially Quotient pozwala administratorowi szybko identyfikować ryzykownych użytkowników, bez dodatkowego wysiłku i biorąc pod uwagę zależności pomiędzy różnymi dziennikami sieciowymi lub zdarzeniami.
Oznacza to, że przeprowadzana jest dogłębna analiza wszystkich zdarzeń i ruchu powiązanego z użytkownikami, którzy okazali się podejrzani.
Jakie jeszcze punkty są typowe dla SecuReportera?
Łatwa konfiguracja dla użytkowników końcowych (administratorów bezpieczeństwa).
Aktywacja SecuReporter w chmurze odbywa się poprzez prostą procedurę konfiguracji. Następnie administratorzy natychmiast uzyskują dostęp do wszystkich narzędzi do danych, analiz i raportowania.
Wielu najemców na jednej platformie chmurowej — możesz dostosować swoje analizy dla każdego klienta. Ponownie, wraz ze wzrostem bazy klientów, architektura chmury umożliwia łatwe dostosowanie systemu sterowania bez utraty wydajności.
Przepisy dotyczące ochrony danych
WAŻNY! Zyxel jest bardzo wrażliwy na międzynarodowe i lokalne przepisy oraz inne regulacje dotyczące ochrony danych osobowych, w tym na RODO i Zasady ochrony prywatności OECD. Wspierane przez ustawę federalną „O danych osobowych” z dnia 27.07.2006 lipca 152 r. nr XNUMX-FZ.
Aby zapewnić zgodność, SecuReporter ma trzy wbudowane opcje ochrony prywatności:
- dane nieanonimowe – dane osobowe są w pełni identyfikowane w Analizatorze, Raporcie i Dziennikach Archiwalnych do pobrania;
- częściowo anonimowe – dane osobowe zostają zastąpione ich sztucznymi identyfikatorami w Logach Archiwalnych;
- całkowicie anonimowe – dane osobowe są całkowicie anonimowe w Analizatorze, Raporcie i Dziennikach Archiwalnych do pobrania.
Jak włączyć SecuReporter na moim urządzeniu?
Spójrzmy na przykład urządzenia ZyWall (w tym przypadku mamy ZyWall 1100). Przejdź do sekcji ustawień (zakładka po prawej stronie z ikoną w postaci dwóch kół zębatych). Następnie otwórz sekcję Cloud CNM i wybierz w niej podsekcję SecuReporter.
Aby umożliwić korzystanie z usługi, należy aktywować element Włącz SecuReporter. Dodatkowo warto skorzystać z opcji Uwzględnij dziennik ruchu, aby zbierać i analizować rejestry ruchu.
Rysunek 1. Włączanie SecuReportera.
Drugim krokiem jest umożliwienie gromadzenia statystyk. Robi się to w sekcji Monitoring (zakładka po prawej stronie z ikoną w postaci monitora).
Następnie przejdź do sekcji Statystyki UTM, podsekcji App Patrol. Tutaj musisz aktywować opcję Zbieraj statystyki.
Rysunek 2. Włączenie gromadzenia statystyk.
To wszystko, możesz połączyć się z interfejsem internetowym SecuReporter i korzystać z usługi w chmurze.
WAŻNE! SecuReporter posiada doskonałą dokumentację w formacie PDF. Można go pobrać z .
Opis interfejsu sieciowego SecuReporter
Nie sposób tutaj szczegółowo opisać wszystkich funkcji, jakie SecuReporter udostępnia administratorowi bezpieczeństwa – jest ich całkiem sporo jak na jeden artykuł.
Dlatego ograniczymy się do krótkiego opisu usług, które widzi administrator i nad czym stale pracuje. Dowiedz się zatem, z czego składa się konsola internetowa SecuReporter.
Mapa
W tej sekcji wyświetlany jest zarejestrowany sprzęt, ze wskazaniem miasta, nazwy urządzenia i adresu IP. Wyświetla informację o tym, czy urządzenie jest włączone i jaki jest stan ostrzeżenia. Na Mapie Zagrożeń możesz zobaczyć źródło pakietów wykorzystywanych przez atakujących oraz częstotliwość ataków.
Panel Użytkownika
Krótka informacja o głównych działaniach i zwięzły przegląd analityczny za określony okres. Można określić okres od 7 dni do 1 godziny.
Rysunek 3. Przykład wyglądu sekcji Dashboard.
Analizator
Nazwa mówi sama za siebie. Jest to konsola narzędzia o tej samej nazwie, które przez wybrany okres diagnozuje podejrzany ruch, identyfikuje trendy w pojawianiu się zagrożeń oraz zbiera informacje o podejrzanych pakietach. Analyzer jest w stanie wyśledzić najpopularniejszy złośliwy kod, a także dostarczyć dodatkowych informacji dotyczących problemów bezpieczeństwa.
Rysunek 4. Przykład wyglądu sekcji Analizator.
Raport
W tej sekcji użytkownik ma dostęp do własnych raportów za pomocą interfejsu graficznego. Wymagane informacje można zebrać i zestawić w wygodną prezentację natychmiast lub zgodnie z harmonogramem.
Alerty
Tutaj konfigurujesz system ostrzegania. Można skonfigurować progi i różne poziomy ważności, co ułatwia identyfikację anomalii i potencjalnych ataków.
Ustawienie
Właściwie ustawienia to ustawienia.
Dodatkowo warto zaznaczyć, że SecuReporter może wspierać różne polityki ochrony podczas przetwarzania danych osobowych.
wniosek
Lokalne metody analizy statystyk związanych z bezpieczeństwem w zasadzie sprawdziły się całkiem dobrze.
Jednak zasięg i dotkliwość zagrożeń zwiększają się z każdym dniem. Poziom ochrony, który wcześniej zadowalał wszystkich, po pewnym czasie staje się raczej słaby.
Oprócz wymienionych problemów korzystanie z narzędzi lokalnych wymaga pewnych wysiłków w celu utrzymania funkcjonalności (konserwacja sprzętu, tworzenie kopii zapasowych itp.). Istnieje również problem zdalnej lokalizacji – nie zawsze jest możliwe utrzymanie administratora bezpieczeństwa w biurze 24 godziny na dobę, 7 dni w tygodniu. Dlatego trzeba w jakiś sposób zorganizować bezpieczny dostęp do systemu lokalnego z zewnątrz i samodzielnie go utrzymywać.
Korzystanie z usług chmurowych pozwala uniknąć takich problemów, koncentrując się szczególnie na utrzymaniu wymaganego poziomu bezpieczeństwa i ochrony przed włamaniami, a także naruszeniami zasad przez użytkowników.
SecuReporter to tylko przykład udanego wdrożenia takiej usługi.
Akcja
Od dziś rozpoczyna się wspólna promocja pomiędzy Zyxel i naszym Złotym Partnerem X-Com dla nabywców zapór sieciowych obsługujących Secureporter:
Przydatne linki
[1] .
[2] na stronie internetowej oficjalnej witryny Zyxel.
[3] .
Źródło: www.habr.com