V povedomí neskúsených ľudí vyzerá práca bezpečnostného administrátora ako vzrušujúci súboj medzi antihackerom a zlými hackermi, ktorí neustále napádajú podnikovú sieť. A náš hrdina v reálnom čase odráža odvážne útoky obratným a rýchlym zadávaním príkazov a nakoniec vyjde ako brilantný víťaz.
Presne ako kráľovský mušketier s klávesnicou namiesto meča a mušketou.
Ale v skutočnosti všetko vyzerá obyčajne, nenáročne a dokonca, dalo by sa povedať, nudne.
Jednou z hlavných metód analýzy je stále čítanie denníkov udalostí. Dôkladná štúdia na túto tému:
- kto sa pokúsil zadať odkiaľ, k akému zdroju sa pokúsil získať prístup, ako preukázal svoje práva na prístup k zdroju;
- aké zlyhania, chyby a jednoducho podozrivé náhody tam boli;
- kto a ako testoval systém na silu, skenované porty, vybrané heslá;
- A tak ďalej a tak ďalej…
No a čo je to tu do pekla romantika, nedajbože „nezaspíte počas jazdy“.
Aby naši špecialisti úplne nestratili lásku k umeniu, sú pre nich vynájdené nástroje, ktoré im uľahčia život. Ide o všetky druhy analyzátorov (log parsery), monitorovacie systémy s upozornením na kritické udalosti a mnohé ďalšie.
Ak však vezmete dobrý nástroj a začnete ho ručne priskrutkovať ku každému zariadeniu, napríklad k internetovej bráne, nebude to také jednoduché, pohodlné a okrem iného musíte mať ďalšie znalosti z úplne iných oblasti. Kde napríklad umiestniť softvér na takéto monitorovanie? Na fyzickom serveri, virtuálnom stroji, špeciálnom zariadení? V akej forme by sa mali údaje uchovávať? Ak sa používa databáza, ktorá? Ako vykonávať zálohy a je potrebné ich vykonávať? Ako riadiť? Ktoré rozhranie by som mal použiť? Ako chrániť systém? Akú metódu šifrovania použiť – a oveľa viac.
Je to oveľa jednoduchšie, keď existuje určitý jednotný mechanizmus, ktorý na seba preberá riešenie všetkých uvedených problémov a ponecháva správcu pracovať striktne v rámci svojich špecifík.
Podľa zavedenej tradície nazývať pojmom „cloud“ všetko, čo sa nenachádza na danom hostiteľovi, cloudová služba Zyxel CNM SecuReporter umožňuje nielen vyriešiť množstvo problémov, ale poskytuje aj pohodlné nástroje.
Čo je Zyxel CNM SecuReporter?
Ide o inteligentnú analytickú službu s funkciami zberu dát, štatistickej analýzy (korelácie) a reportingu pre zariadenia Zyxel radu ZyWALL a ich. Správcovi siete poskytuje centralizovaný pohľad na rôzne aktivity v sieti.
Útočníci sa môžu napríklad pokúsiť preniknúť do bezpečnostného systému pomocou útočných mechanizmov ako napr kradmý, cielený и vytrvalý. SecuReporter deteguje podozrivé správanie, čo umožňuje správcovi vykonať potrebné ochranné opatrenia konfiguráciou ZyWALL.
Samozrejme, zaistenie bezpečnosti je nemysliteľné bez neustálej analýzy údajov s varovaniami v reálnom čase. Môžete kresliť krásne grafy, koľko chcete, ale ak administrátor nevie, čo sa deje... Nie, toto sa so SecuReporterom rozhodne nemôže stať!
Niekoľko otázok o používaní SecuReporter
Analytika
V skutočnosti je analýza toho, čo sa deje, jadrom budovania informačnej bezpečnosti. Analýzou udalostí môže bezpečnostný špecialista včas zabrániť alebo zastaviť útok, ako aj získať podrobné informácie na rekonštrukciu s cieľom zhromaždiť dôkazy.
Čo poskytuje „cloudová architektúra“?
Táto služba je postavená na modeli Software as a Service (SaaS), ktorý uľahčuje škálovanie pomocou výkonu vzdialených serverov, distribuovaných systémov na ukladanie údajov atď. Použitie cloudového modelu vám umožňuje abstrahovať od hardvérových a softvérových nuancií a venovať všetko svoje úsilie vytváraniu a zlepšovaniu služby ochrany.
To umožňuje používateľovi výrazne znížiť náklady na nákup zariadenia na ukladanie, analýzu a poskytovanie prístupu a nie je potrebné riešiť problémy s údržbou, ako sú zálohy, aktualizácie, predchádzanie poruchám atď. Stačí mať zariadenie, ktoré podporuje SecuReporter a príslušnú licenciu.
DÔLEŽITÉ! Vďaka cloudovej architektúre môžu správcovia zabezpečenia proaktívne monitorovať stav siete kedykoľvek a kdekoľvek. Tým je problém vyriešený, a to aj s dovolenkou, práceneschopnosťou atď. Prístup k zariadeniu, napríklad krádež notebooku, z ktorého sa pristupovalo k webovému rozhraniu SecuReporter, tiež nič neprinesie, ak jeho majiteľ neporušil bezpečnostné pravidlá, neukladal heslá lokálne a pod.
Možnosť správy cloudu je vhodná pre mono-spoločnosti nachádzajúce sa v rovnakom meste, ako aj pre štruktúry s pobočkami. Takáto nezávislosť na mieste je potrebná v rôznych odvetviach, napríklad pre poskytovateľov služieb alebo vývojárov softvéru, ktorých podnikanie je distribuované v rôznych mestách.
Veľa hovoríme o možnostiach analýzy, ale čo to znamená?
Ide o rôzne analytické nástroje, napríklad súhrny frekvencie udalostí, zoznamy Top 100 hlavných (skutočných a údajných) obetí určitej udalosti, protokoly označujúce konkrétne ciele útoku atď. Čokoľvek, čo pomáha správcovi identifikovať skryté trendy a identifikovať podozrivé správanie používateľov alebo služieb.
A čo nahlasovanie?
SecuReporter vám umožňuje prispôsobiť formulár správy a potom získať výsledok vo formáte PDF. Samozrejme, ak chcete, môžete do správy vložiť svoje logo, názov správy, referencie alebo odporúčania. Reporty je možné vytvárať v čase požiadavky alebo podľa plánu, napríklad raz za deň, týždeň alebo mesiac.
Môžete nakonfigurovať vydávanie upozornení s prihliadnutím na špecifiká prevádzky v rámci sieťovej infraštruktúry.
Je možné znížiť nebezpečenstvo zo strany zasvätených alebo jednoducho len tak?
Špeciálny nástroj User Partially Quotient umožňuje správcovi rýchlo identifikovať rizikových používateľov bez ďalšieho úsilia a s prihliadnutím na závislosť medzi rôznymi sieťovými protokolmi alebo udalosťami.
To znamená, že sa vykonáva hĺbková analýza všetkých udalostí a návštevnosti, ktoré sú spojené s používateľmi, ktorí sa ukázali ako podozriví.
Aké ďalšie body sú typické pre SecuReporter?
Jednoduché nastavenie pre koncových používateľov (správcov zabezpečenia).
Aktivácia SecuReporter v cloude prebieha prostredníctvom jednoduchého postupu nastavenia. Po tomto získajú správcovia okamžite prístup ku všetkým údajom, analytickým a reportovacím nástrojom.
Viacerí nájomníci na jedinej cloudovej platforme – svoje analýzy si môžete prispôsobiť pre každého klienta. Opäť, keď sa vaša zákaznícka základňa zvyšuje, cloudová architektúra vám umožňuje jednoducho prispôsobiť váš riadiaci systém bez obetovania efektívnosti.
Zákony o ochrane údajov
DÔLEŽITÉ! Zyxel je veľmi citlivý na medzinárodné a miestne zákony a iné nariadenia týkajúce sa ochrany osobných údajov, vrátane GDPR a princípov ochrany súkromia OECD. Podporované federálnym zákonom „O osobných údajoch“ z 27.07.2006. júla 152 č. XNUMX-FZ.
Na zabezpečenie súladu má SecuReporter tri vstavané možnosti ochrany súkromia:
- neanonymné údaje – osobné údaje sú plne identifikované v analyzátore, správe a archívnych protokoloch na stiahnutie;
- čiastočne anonymné – osobné údaje sú v archívoch nahradené ich umelými identifikátormi;
- úplne anonymné – osobné údaje sú úplne anonymizované v analyzátore, správe a archívnych protokoloch na stiahnutie.
Ako povolím SecuReporter na svojom zariadení?
Pozrime sa na príklad zariadenia ZyWall (v tomto prípade máme ZyWall 1100). Prejdite do sekcie nastavení (karta vpravo s ikonou vo forme dvoch ozubených kolies). Ďalej otvorte sekciu Cloud CNM a vyberte v nej podsekciu SecuReporter.
Ak chcete povoliť používanie služby, musíte aktivovať prvok Enable SecuReporter. Okrem toho sa oplatí použiť možnosť Zahrnúť denník premávky na zhromažďovanie a analýzu denníkov premávky.
Obrázok 1. Povolenie SecuReporter.
Druhým krokom je umožnenie zberu štatistík. Toto sa vykonáva v časti Monitorovanie (záložka vpravo s ikonou v podobe monitora).
Ďalej prejdite do sekcie Štatistika UTM, podsekcia App Patrol. Tu je potrebné aktivovať možnosť Zhromažďovať štatistiku.
Obrázok 2. Povolenie zberu štatistík.
To je všetko, môžete sa pripojiť k webovému rozhraniu SecuReporter a používať cloudovú službu.
DÔLEŽITÉ! SecuReporter má vynikajúcu dokumentáciu vo formáte PDF. Môžete si ho stiahnuť z .
Popis webového rozhrania SecuReporter
Nebude tu možné uviesť podrobný popis všetkých funkcií, ktoré SecuReporter poskytuje bezpečnostnému správcovi - na jeden článok je ich pomerne veľa.
Preto sa obmedzíme na stručný popis služieb, ktoré správca vidí a s čím neustále pracuje. Spoznajte teda, z čoho pozostáva webová konzola SecuReporter.
Mapa
Táto časť zobrazuje registrované zariadenie s uvedením mesta, názvu zariadenia a adresy IP. Zobrazuje informácie o tom, či je zariadenie zapnuté a aký je stav varovania. Na mape hrozieb môžete vidieť zdroj paketov používaných útočníkmi a frekvenciu útokov.
Informačný panel
Stručné informácie o hlavných akciách a stručný analytický prehľad za uvedené obdobie. Môžete určiť obdobie od 7 dní do 1 hodiny.
Obrázok 3. Príklad vzhľadu sekcie Dashboard.
Analyzer
Názov hovorí sám za seba. Ide o konzolu rovnomenného nástroja, ktorá diagnostikuje podozrivú prevádzku za zvolené obdobie, identifikuje trendy vo výskyte hrozieb a zbiera informácie o podozrivých paketoch. Analyzer je schopný sledovať najbežnejší škodlivý kód, ako aj poskytnúť ďalšie informácie týkajúce sa bezpečnostných problémov.
Obrázok 4. Príklad vzhľadu časti analyzátora.
správa
V tejto časti má používateľ prístup k vlastným prehľadom s grafickým rozhraním. Požadované informácie je možné zhromaždiť a zostaviť do pohodlnej prezentácie okamžite alebo podľa plánu.
Upozornenia
Tu konfigurujete varovný systém. Je možné nakonfigurovať prahy a rôzne úrovne závažnosti, čo uľahčuje identifikáciu anomálií a potenciálnych útokov.
Nastavenie
Nastavenia sú vlastne nastavenia.
Okrem toho stojí za zmienku, že SecuReporter môže podporovať rôzne zásady ochrany pri spracovaní osobných údajov.
Záver
Miestne metódy na analýzu štatistík súvisiacich s bezpečnosťou sa v zásade celkom dobre osvedčili.
Rozsah a závažnosť hrozieb sa však každým dňom zvyšuje. Úroveň ochrany, ktorá predtým uspokojovala všetkých, sa po určitom čase značne oslabí.
Okrem uvedených problémov si používanie lokálnych nástrojov vyžaduje určité úsilie na udržanie funkčnosti (údržba zariadenia, zálohovanie atď.). Problémom je aj vzdialené umiestnenie – nie vždy je možné udržať bezpečnostného správcu v kancelárii 24 hodín, 7 dní v týždni. Preto musíte nejakým spôsobom zorganizovať bezpečný prístup k lokálnemu systému zvonku a udržiavať ho sami.
Využívanie cloudových služieb vám umožňuje vyhnúť sa takýmto problémom, pričom sa zameriava najmä na udržanie požadovanej úrovne bezpečnosti a ochrany pred prienikmi, ako aj porušovaním pravidiel zo strany používateľov.
SecuReporter je len príkladom úspešnej implementácie takejto služby.
Akcia
Od dnešného dňa prebieha spoločná akcia medzi Zyxelom a naším Gold Partnerom X-Com pre kupujúcich firewallov, ktoré podporujú Secureporter:
Užitočné odkazy
[1] .
[2] na stránke na oficiálnej stránke Zyxel.
[3] .
Zdroj: hab.com