Na mente de pessoas inexperientes, o trabalho de um administrador de segurança parece um duelo emocionante entre um anti-hacker e hackers malvados que invadem constantemente a rede corporativa. E nosso herói, em tempo real, repele ataques ousados inserindo comandos com habilidade e rapidez e, finalmente, emerge como um vencedor brilhante.
Exatamente como um mosqueteiro real com teclado em vez de espada e mosquete.
Mas, na realidade, tudo parece comum, despretensioso e até, pode-se dizer, chato.
Um dos principais métodos de análise ainda é a leitura de logs de eventos. Estudo aprofundado sobre o assunto:
- quem tentou entrar de onde, qual recurso tentou acessar, como comprovou seu direito de acesso ao recurso;
- que falhas, erros e coincidências simplesmente suspeitas ocorreram;
- quem e como testou a resistência do sistema, portas verificadas, senhas selecionadas;
- E assim por diante…
Bem, que diabos é romance aqui, Deus me livre de “você não adormecer enquanto dirige”.
Para que nossos especialistas não percam completamente o amor pela arte, são inventadas ferramentas para facilitar sua vida. São todos os tipos de analisadores (analisadores de log), sistemas de monitoramento com notificação de eventos críticos e muito mais.
Porém, se você pegar uma boa ferramenta e começar a aparafusá-la manualmente em cada dispositivo, por exemplo, um gateway de Internet, não será tão simples, nem tão conveniente e, entre outras coisas, você precisará ter conhecimentos adicionais de completamente diferentes áreas. Por exemplo, onde colocar o software para esse monitoramento? Em um servidor físico, máquina virtual, dispositivo especial? De que forma os dados devem ser armazenados? Se um banco de dados for usado, qual? Como realizar backups e é necessário realizá-los? Como gerenciar? Qual interface devo usar? Como proteger o sistema? Qual método de criptografia usar – e muito mais.
É muito mais simples quando existe um determinado mecanismo unificado que assume a solução de todas as questões elencadas, cabendo ao administrador trabalhar estritamente dentro de suas especificidades.
Seguindo a tradição estabelecida de chamar o termo “nuvem” de tudo que não está localizado em um determinado host, o serviço de nuvem Zyxel CNM SecuReporter permite não apenas resolver muitos problemas, mas também fornece ferramentas convenientes
O que é Zyxel CNM SecuReporter?
Este é um serviço de análise inteligente com funções de coleta de dados, análise estatística (correlação) e relatórios para equipamentos Zyxel da linha ZyWALL e seus. Ele fornece ao administrador da rede uma visão centralizada de diversas atividades na rede.
Por exemplo, os invasores podem tentar invadir um sistema de segurança usando mecanismos de ataque como furtivo, direcionado и persistente. O SecuReporter detecta comportamentos suspeitos, o que permite ao administrador tomar as medidas de proteção necessárias configurando o ZyWALL.
É claro que garantir a segurança é impensável sem uma análise constante dos dados com avisos em tempo real. Você pode desenhar lindos gráficos o quanto quiser, mas se o administrador não estiver ciente do que está acontecendo... Não, isso definitivamente não pode acontecer com o SecuReporter!
Algumas dúvidas sobre o uso do SecuReporter
Analítica
Na verdade, a análise do que está acontecendo é o cerne da construção da segurança da informação. Ao analisar eventos, um especialista em segurança pode prevenir ou impedir um ataque a tempo, bem como obter informações detalhadas para reconstrução a fim de coletar evidências.
O que a “arquitetura em nuvem” oferece?
Este serviço é baseado no modelo Software as a Service (SaaS), o que facilita o dimensionamento usando o poder de servidores remotos, sistemas distribuídos de armazenamento de dados e assim por diante. A utilização do modelo de nuvem permite abstrair-se das nuances de hardware e software, dedicando todos os seus esforços à criação e melhoria do serviço de proteção.
Isso permite ao usuário reduzir significativamente o custo de aquisição de equipamentos para armazenamento, análise e fornecimento de acesso, e não há necessidade de lidar com questões de manutenção como backups, atualizações, prevenção de falhas e assim por diante. Basta ter um dispositivo compatível com SecuReporter e a licença adequada.
IMPORTANTE! Com uma arquitetura baseada em nuvem, os administradores de segurança podem monitorar proativamente a integridade da rede a qualquer hora e em qualquer lugar. Isso resolve o problema, inclusive com férias, licença médica e assim por diante. O acesso a equipamentos, por exemplo, o roubo de um laptop a partir do qual foi acessada a interface web do SecuReporter, também não renderá nada, desde que seu proprietário não tenha violado regras de segurança, não tenha armazenado senhas localmente e assim por diante.
A opção de gerenciamento em nuvem é adequada tanto para monoempresas localizadas na mesma cidade quanto para estruturas com filiais. Essa independência de localização é necessária em vários setores, por exemplo, para prestadores de serviços ou desenvolvedores de software cujos negócios estão distribuídos por diferentes cidades.
Falamos muito sobre as possibilidades de análise, mas o que isso significa?
São diversas ferramentas analíticas, por exemplo, resumos da frequência de eventos, listas das 100 principais vítimas (reais e supostas) de um determinado evento, registros indicando alvos específicos de ataque e assim por diante. Qualquer coisa que ajude o administrador a identificar tendências ocultas e comportamentos suspeitos de usuários ou serviços.
E quanto aos relatórios?
SecuReporter permite personalizar o formulário do relatório e depois receber o resultado em formato PDF. Claro, se desejar, você pode incorporar seu logotipo, título do relatório, referências ou recomendações ao relatório. É possível criar relatórios no momento da solicitação ou de forma agendada, por exemplo, uma vez por dia, semana ou mês.
Você pode configurar a emissão de avisos levando em consideração as especificidades do tráfego dentro da infraestrutura de rede.
É possível reduzir o perigo de pessoas de dentro ou simplesmente desleixados?
A ferramenta especial User Partially Quotient permite ao administrador identificar rapidamente usuários de risco, sem esforço adicional e levando em consideração a dependência entre diferentes logs ou eventos de rede.
Ou seja, é realizada uma análise aprofundada de todos os eventos e tráfegos associados aos usuários que se mostraram suspeitos.
Que outros pontos são típicos do SecuReporter?
Configuração fácil para usuários finais (administradores de segurança).
A ativação do SecuReporter na nuvem ocorre através de um procedimento simples de configuração. Depois disso, os administradores recebem acesso imediato a todos os dados, ferramentas de análise e relatórios.
Multilocatários em uma única plataforma de nuvem – você pode personalizar suas análises para cada cliente. Novamente, à medida que sua base de clientes aumenta, a arquitetura em nuvem permite adaptar facilmente seu sistema de controle sem sacrificar a eficiência.
Leis de proteção de dados
IMPORTANTE! A Zyxel é muito sensível às leis internacionais e locais e outros regulamentos relativos à proteção de dados pessoais, incluindo o GDPR e os Princípios de Privacidade da OCDE. Apoiado pela Lei Federal “Sobre Dados Pessoais” de 27.07.2006 de julho de 152 nº XNUMX-FZ.
Para garantir a conformidade, o SecuReporter possui três opções integradas de proteção de privacidade:
- dados não anônimos - os dados pessoais são totalmente identificados no Analyzer, Report e Archive Logs para download;
- parcialmente anônimo – os dados pessoais são substituídos por seus identificadores artificiais em Archive Logs;
- completamente anônimo - os dados pessoais são completamente anonimizados no Analisador, Relatório e Arquivo de Logs para download.
Como habilito o SecuReporter no meu dispositivo?
Vejamos o exemplo de um dispositivo ZyWall (neste caso temos um ZyWall 1100). Vá para a seção de configurações (guia à direita com um ícone em forma de duas engrenagens). Em seguida, abra a seção Cloud CNM e selecione a subseção SecuReporter nela.
Para permitir o uso do serviço, você deve ativar o elemento Enable SecuReporter. Além disso, vale a pena usar a opção Incluir log de tráfego para coletar e analisar logs de tráfego.
Figura 1. Habilitando o SecuReporter.
O segundo passo é permitir a coleta de estatísticas. Isso é feito na seção Monitoramento (aba à direita com um ícone em forma de monitor).
Em seguida, vá para a seção Estatísticas UTM, subseção App Patrol. Aqui você precisa ativar a opção Coletar Estatísticas.
Figura 2. Habilitando a coleta de estatísticas.
É isso, você pode se conectar à interface web do SecuReporter e usar o serviço em nuvem.
IMPORTANTE! SecuReporter possui excelente documentação em formato PDF. Você pode baixá-lo em .
Descrição da interface web do SecuReporter
Não será possível fornecer aqui uma descrição detalhada de todas as funções que o SecuReporter oferece a um administrador de segurança - há muitas delas para um artigo.
Portanto, nos limitaremos a uma breve descrição dos serviços que o administrador vê e com os quais trabalha constantemente. Então, conheça em que consiste o console web do SecuReporter.
Mapa
Esta seção exibe os equipamentos cadastrados, indicando a cidade, nome do dispositivo e endereço IP. Exibe informações sobre se o dispositivo está ligado e qual é o status do aviso. No Mapa de Ameaças você pode ver a origem dos pacotes usados pelos invasores e a frequência dos ataques.
Painel
Breve informação sobre as principais ações e uma visão analítica concisa para o período especificado. Você pode especificar um período de 7 dias a 1 hora.
Figura 3. Exemplo de aparência da seção Dashboard.
Analista
O nome fala por si. Trata-se do console da ferramenta de mesmo nome, que diagnostica tráfego suspeito por um período selecionado, identifica tendências de surgimento de ameaças e coleta informações sobre pacotes suspeitos. O Analyzer é capaz de rastrear os códigos maliciosos mais comuns, bem como fornecer informações adicionais sobre questões de segurança.
Figura 4. Exemplo da aparência da seção Analisador.
Relatório
Nesta seção o usuário tem acesso a relatórios customizados com interface gráfica. As informações necessárias podem ser coletadas e compiladas em uma apresentação conveniente, imediatamente ou de forma programada.
Alertas
É aqui que você configura o sistema de alerta. Limites e diferentes níveis de severidade podem ser configurados, facilitando a identificação de anomalias e possíveis ataques.
Contexto
Bem, na verdade, configurações são configurações.
Além disso, é importante notar que o SecuReporter pode suportar diferentes políticas de proteção no processamento de dados pessoais.
Conclusão
Os métodos locais de análise de estatísticas relacionadas com a segurança revelaram-se, em princípio, bastante eficazes.
No entanto, o alcance e a gravidade das ameaças aumentam a cada dia. O nível de proteção que anteriormente satisfazia a todos torna-se bastante fraco depois de algum tempo.
Além dos problemas listados, o uso de ferramentas locais requer certos esforços para manter a funcionalidade (manutenção de equipamentos, backup e assim por diante). Há também o problema da localização remota – nem sempre é possível manter o administrador de segurança no escritório 24 horas por dia, 7 dias por semana. Portanto, você precisa organizar de alguma forma o acesso seguro externo ao sistema local e mantê-lo você mesmo.
A utilização de serviços em nuvem permite evitar tais problemas, focando especificamente na manutenção do nível exigido de segurança e proteção contra invasões, bem como violações de regras por parte dos usuários.
SecuReporter é apenas um exemplo de implementação bem-sucedida de tal serviço.
Ação
A partir de hoje, há uma promoção conjunta entre a Zyxel e nosso Gold Partner X-Com para compradores de firewalls que suportam Secureporter:
Links úteis
[1] .
[2] no site no site oficial da Zyxel.
[3] .
Fonte: habr.com