În mintea oamenilor fără experiență, munca unui administrator de securitate arată ca un duel interesant între un anti-hacker și hackeri diabolici care invadează constant rețeaua corporativă. Iar eroul nostru, în timp real, respinge atacurile îndrăznețe introducând comenzi cu îndemânare și rapiditate și în cele din urmă iese ca un câștigător genial.
La fel ca un muschetar regal cu o tastatură în loc de o sabie și o muschetă.
Dar, în realitate, totul pare obișnuit, fără pretenții și chiar, s-ar putea spune, plictisitor.
Una dintre principalele metode de analiză este încă citirea jurnalelor de evenimente. Studiu aprofundat asupra subiectului:
- cine a încercat să intre de unde de unde, ce resursă a încercat să acceseze, cum și-au dovedit drepturile de acces la resursă;
- ce eșecuri, erori și pur și simplu coincidențe suspecte au existat;
- cine și cum a testat sistemul pentru rezistență, porturi scanate, parole selectate;
- Și așa mai departe și așa mai departe...
Ei bine, ce dracu este romantismul aici, Doamne ferește „nu adormi în timp ce conduci”.
Pentru ca specialiștii noștri să nu-și piardă complet dragostea pentru artă, sunt inventate instrumente pentru a le ușura viața. Acestea sunt tot felul de analizoare (parsere de jurnal), sisteme de monitorizare cu notificare a evenimentelor critice și multe altele.
Cu toate acestea, dacă luați un instrument bun și începeți să îl înșurubați manual pe fiecare dispozitiv, de exemplu, un gateway de internet, nu va fi atât de simplu, nu atât de convenabil și, printre altele, trebuie să aveți cunoștințe suplimentare de la complet diferit. zone. De exemplu, unde să plasați software-ul pentru o astfel de monitorizare? Pe un server fizic, mașină virtuală, dispozitiv special? Sub ce formă ar trebui stocate datele? Dacă se folosește o bază de date, care? Cum se efectuează backup-uri și este necesar să le efectueze? Cum să te descurci? Ce interfață ar trebui să folosesc? Cum să protejăm sistemul? Ce metodă de criptare să utilizați - și multe altele.
Este mult mai simplu atunci când există un anumit mecanism unificat care preia soluția tuturor problemelor enumerate, lăsând administratorul să lucreze strict în cadrul specificului său.
Conform tradiției consacrate de a numi termenul „nor” tot ceea ce nu se află pe o anumită gazdă, serviciul cloud Zyxel CNM SecuReporter vă permite nu numai să rezolvați multe probleme, ci oferă și instrumente convenabile.
Ce este Zyxel CNM SecuReporter?
Acesta este un serviciu inteligent de analiză cu funcții de colectare a datelor, analiză statistică (corelare) și raportare pentru echipamentele Zyxel din linia ZyWALL și ale acestora. Oferă administratorului de rețea o vizualizare centralizată a diferitelor activități din rețea.
De exemplu, atacatorii pot încerca să pătrundă într-un sistem de securitate folosind mecanisme de atac precum ascuns, vizat и persista. SecuReporter detectează comportamentul suspect, ceea ce permite administratorului să ia măsurile de protecție necesare prin configurarea ZyWALL.
Desigur, asigurarea securității este de neconceput fără o analiză constantă a datelor cu avertismente în timp real. Puteți desena grafice frumoase cât doriți, dar dacă administratorul nu este conștient de ceea ce se întâmplă... Nu, acest lucru cu siguranță nu se poate întâmpla cu SecuReporter!
Câteva întrebări despre utilizarea SecuReporter
Google Analytics
De fapt, analiza a ceea ce se întâmplă este miezul construirii securității informațiilor. Analizând evenimentele, un specialist în securitate poate preveni sau opri un atac la timp, precum și obține informații detaliate pentru reconstrucție în vederea strângerii probelor.
Ce oferă „arhitectura cloud”?
Acest serviciu este construit pe modelul Software as a Service (SaaS), ceea ce facilitează scalarea utilizând puterea serverelor la distanță, a sistemelor de stocare a datelor distribuite și așa mai departe. Utilizarea modelului cloud vă permite să faceți abstracție de la nuanțele hardware și software, dedicându-vă toate eforturile pentru crearea și îmbunătățirea serviciului de protecție.
Acest lucru permite utilizatorului să reducă semnificativ costul achiziționării de echipamente pentru stocare, analiză și furnizare de acces și nu este nevoie să se ocupe de probleme de întreținere, cum ar fi backup-uri, actualizări, prevenirea defecțiunilor și așa mai departe. Este suficient să aveți un dispozitiv care acceptă SecuReporter și licența corespunzătoare.
IMPORTANT! Cu o arhitectură bazată pe cloud, administratorii de securitate pot monitoriza în mod proactiv sănătatea rețelei oricând și oriunde. Acest lucru rezolvă problema, inclusiv cu concediile, concediile medicale și așa mai departe. Accesul la echipamente, de exemplu, furtul unui laptop de pe care s-a accesat interfața web SecuReporter, nu va aduce nimic, cu condiția ca proprietarul acestuia să nu încalce regulile de securitate, să nu stocheze parolele la nivel local și așa mai departe.
Opțiunea de management în cloud este potrivită atât pentru mono-companii situate în același oraș, cât și pentru structurile cu sucursale. O astfel de independență a locației este necesară într-o varietate de industrii, de exemplu, pentru furnizorii de servicii sau dezvoltatorii de software a căror activitate este distribuită în diferite orașe.
Vorbim mult despre posibilitățile de analiză, dar ce înseamnă asta?
Acestea sunt diverse instrumente de analiză, de exemplu, rezumate ale frecvenței evenimentelor, liste cu primele 100 de victime principale (reale și presupuse) ale unui anumit eveniment, jurnalele care indică ținte specifice pentru atac și așa mai departe. Orice lucru care ajută administratorul să identifice tendințele ascunse și să identifice comportamentul suspect al utilizatorilor sau serviciilor.
Ce zici de raportare?
SecuReporter vă permite să personalizați formularul de raport și apoi să primiți rezultatul în format PDF. Desigur, dacă doriți, puteți încorpora logo-ul, titlul raportului, referințele sau recomandările în raport. Este posibil să se creeze rapoarte în momentul solicitării sau conform unui program, de exemplu, o dată pe zi, săptămână sau lună.
Puteți configura emiterea de avertismente ținând cont de specificul traficului din infrastructura de rețea.
Este posibil să reduceți pericolul din interior sau pur și simplu slobs?
Instrumentul special User Partially Quotient permite administratorului să identifice rapid utilizatorii riscanți, fără efort suplimentar și ținând cont de dependența dintre diferitele jurnaluri sau evenimente din rețea.
Adică, se efectuează o analiză aprofundată a tuturor evenimentelor și traficului care sunt asociate cu utilizatorii care s-au dovedit a fi suspecti.
Ce alte puncte sunt tipice pentru SecuReporter?
Configurare ușoară pentru utilizatorii finali (administratori de securitate).
Activarea SecuReporter în cloud are loc printr-o procedură simplă de configurare. După aceasta, administratorilor li se oferă imediat acces la toate instrumentele de date, analiză și raportare.
Multi-Chiriași pe o singură platformă cloud - vă puteți personaliza analizele pentru fiecare client. Din nou, pe măsură ce baza dvs. de clienți crește, arhitectura cloud vă permite să vă adaptați cu ușurință sistemul de control fără a sacrifica eficiența.
Legile privind protecția datelor
IMPORTANT! Zyxel este foarte sensibil la legile internaționale și locale și la alte reglementări privind protecția datelor cu caracter personal, inclusiv GDPR și principiile OCDE de confidențialitate. Susținut de Legea federală „Cu privire la datele cu caracter personal” din 27.07.2006 iulie 152 nr. XNUMX-FZ.
Pentru a asigura conformitatea, SecuReporter are trei opțiuni de protecție a confidențialității încorporate:
- date non-anonime - datele personale sunt complet identificate în Analizor, Raport și jurnalele de arhivă descărcabile;
- parțial anonime - datele personale sunt înlocuite cu identificatorii lor artificiali în Jurnalele de arhivă;
- complet anonime - datele personale sunt complet anonimizate în Analizor, rapoarte și jurnalele de arhivă descărcabile.
Cum activez SecuReporter pe dispozitivul meu?
Să ne uităm la exemplul unui dispozitiv ZyWall (în acest caz avem un ZyWall 1100). Accesați secțiunea de setări (fila din dreapta cu o pictogramă sub formă de două roți dințate). Apoi, deschideți secțiunea Cloud CNM și selectați subsecțiunea SecuReporter din ea.
Pentru a permite utilizarea serviciului, trebuie să activați elementul Enable SecuReporter. În plus, merită să utilizați opțiunea Includeți jurnalul de trafic pentru a colecta și analiza jurnalele de trafic.
Figura 1. Activarea SecuReporter.
Al doilea pas este de a permite colectarea statisticilor. Acest lucru se face în secțiunea Monitorizare (fila din dreapta cu o pictogramă sub forma unui monitor).
Apoi, accesați secțiunea Statistici UTM, subsecțiunea App Patrol. Aici trebuie să activați opțiunea Colectați statistici.
Figura 2. Activarea colectării statisticilor.
Asta este, vă puteți conecta la interfața web SecuReporter și utilizați serviciul cloud.
IMPORTANT! SecuReporter are o documentație excelentă în format PDF. Îl poți descărca de pe .
Descrierea interfeței web SecuReporter
Nu va fi posibil să oferiți aici o descriere detaliată a tuturor funcțiilor pe care SecuReporter le oferă unui administrator de securitate - sunt destul de multe pentru un articol.
Prin urmare, ne vom limita la o scurtă descriere a serviciilor pe care administratorul le vede și cu ce lucrează în mod constant. Așadar, aflați în ce constă consola web SecuReporter.
Hartă
Această secțiune afișează echipamentul înregistrat, indicând orașul, numele dispozitivului și adresa IP. Afișează informații despre dacă dispozitivul este pornit și care este starea de avertizare. Pe Harta amenințărilor puteți vedea sursa pachetelor utilizate de atacatori și frecvența atacurilor.
Contul Meu
Informații scurte despre acțiunile principale și o prezentare analitică concisă pentru perioada specificată. Puteți specifica o perioadă de la 7 zile la 1 oră.
Figura 3. Exemplu de aspect al secțiunii Dashboard.
Analizor
Numele vorbește de la sine. Aceasta este consola instrumentului cu același nume, care diagnosticează traficul suspect pentru o perioadă selectată, identifică tendințele de apariție a amenințărilor și colectează informații despre pachetele suspecte. Analyzer este capabil să urmărească cel mai frecvent cod rău intenționat, precum și să ofere informații suplimentare cu privire la problemele de securitate.
Figura 4. Exemplu de aspect al secțiunii Analizor.
Raport
În această secțiune, utilizatorul are acces la rapoarte personalizate cu o interfață grafică. Informațiile necesare pot fi colectate și compilate într-o prezentare convenabilă imediat sau pe o bază programată.
Alerte
Aici configurați sistemul de avertizare. Pot fi configurate praguri și diferite niveluri de severitate, facilitând identificarea anomaliilor și a potențialelor atacuri.
Setare
Ei bine, de fapt, setările sunt setări.
În plus, este de remarcat faptul că SecuReporter poate suporta diferite politici de protecție atunci când procesează datele cu caracter personal.
Concluzie
Metodele locale de analiză a statisticilor legate de securitate s-au dovedit, în principiu, destul de bune.
Cu toate acestea, gama și severitatea amenințărilor cresc în fiecare zi. Nivelul de protecție care a satisfăcut anterior pe toată lumea devine destul de slab după ceva timp.
Pe lângă problemele enumerate, utilizarea instrumentelor locale necesită anumite eforturi pentru a menține funcționalitatea (întreținerea echipamentelor, backup și așa mai departe). Există și problema locației la distanță - nu este întotdeauna posibil să ții administratorul de securitate la birou 24 de ore din 7, XNUMX zile pe săptămână. Prin urmare, trebuie să organizați cumva accesul securizat la sistemul local din exterior și să îl întrețineți singur.
Utilizarea serviciilor cloud vă permite să evitați astfel de probleme, concentrându-vă în mod special pe menținerea nivelului necesar de securitate și protecție împotriva intruziunilor, precum și încălcarea regulilor de către utilizatori.
SecuReporter este doar un exemplu de implementare cu succes a unui astfel de serviciu.
Acțiune
Începând de astăzi, există o promoție comună între Zyxel și Gold Partner X-Com pentru cumpărătorii de firewall-uri care acceptă Secureporter:
Link-uri utile
[1] .
[2] pe site-ul de pe site-ul oficial Zyxel.
[3] .
Sursa: www.habr.com