V glavah neizkušenih ljudi je delo varnostnega skrbnika videti kot razburljiv dvoboj med antihekerjem in zlobnimi hekerji, ki nenehno vdirajo v korporativno omrežje. In naš junak v realnem času odbija drzne napade s spretnim in hitrim vnašanjem ukazov in na koncu izstopi kot sijajen zmagovalec.
Tako kot kraljevi mušketir s tipkovnico namesto meča in muškete.
Toda v resnici je vse videti običajno, nezahtevno in celo, lahko bi rekli, dolgočasno.
Eden glavnih načinov analize je še vedno branje dnevnikov dogodkov. Poglobljena študija na temo:
- kdo je skušal vstopiti, od kje, do katerega vira je poskušal dostopati, kako je dokazal svoje pravice do dostopa do vira;
- kakšne okvare, napake in preprosto sumljiva naključja so bila;
- kdo in kako je testiral trdnost sistema, skeniral vrata, izbral gesla;
- In tako naprej in tako naprej …
No, kaj za vraga je tukaj romantika, bog ne daj, da "med vožnjo ne zaspiš."
Da naši strokovnjaki ne bi povsem izgubili ljubezni do umetnosti, so zanje izumljena orodja, ki olajšajo življenje. To so vse vrste analizatorjev (razčlenjevalci dnevnikov), nadzorni sistemi z obveščanjem o kritičnih dogodkih in še veliko več.
Če pa vzamete dobro orodje in ga začnete ročno privijati na vsako napravo, na primer internetni prehod, ne bo tako preprosto, ne tako priročno in med drugim morate imeti dodatno znanje iz popolnoma različnih področja. Na primer, kam postaviti programsko opremo za takšno spremljanje? Na fizičnem strežniku, virtualnem stroju, posebni napravi? V kakšni obliki naj bodo podatki shranjeni? Če se uporablja zbirka podatkov, katera? Kako naredim varnostno kopiranje in ali ga moram narediti? Kako upravljati? Kateri vmesnik naj uporabim? Kako zaščititi sistem? Kateri način šifriranja uporabiti - in še veliko več.
Precej enostavneje je, če obstaja nek enoten mehanizem, ki nase prevzame reševanje vseh naštetih vprašanj, skrbniku pa prepušča delo strogo v okviru svojih specifik.
V skladu z uveljavljeno tradicijo, da se z izrazom "oblak" imenuje vse, kar se ne nahaja na določenem gostitelju, vam storitev v oblaku Zyxel CNM SecuReporter omogoča ne le reševanje številnih težav, temveč ponuja tudi priročna orodja
Kaj je Zyxel CNM SecuReporter?
To je inteligentna analitična storitev s funkcijami zbiranja podatkov, statistične analize (korelacije) in poročanja za opremo Zyxel linije ZyWALL in njihove. Skrbniku omrežja omogoča centraliziran pogled na različne dejavnosti v omrežju.
Napadalci lahko na primer poskušajo vdreti v varnostni sistem z uporabo napadalnih mehanizmov, kot je stealthy, targeted и obstojne. SecuReporter zazna sumljivo vedenje, kar administratorju omogoča, da izvede potrebne zaščitne ukrepe s konfiguracijo ZyWALL.
Seveda pa je zagotavljanje varnosti nepredstavljivo brez stalne analize podatkov z opozorili v realnem času. Lahko rišete lepe grafe, kolikor hočete, a če se administrator ne zaveda, kaj se dogaja ... Ne, to se zagotovo ne more zgoditi s SecuReporterjem!
Nekaj vprašanj o uporabi SecuReporter
Google Analytics
Pravzaprav je analiza dogajanja jedro gradnje informacijske varnosti. Z analizo dogodkov lahko varnostni strokovnjak pravočasno prepreči ali zaustavi napad ter pridobi podrobne podatke za rekonstrukcijo in zbiranje dokazov.
Kaj ponuja »arhitektura oblaka«?
Ta storitev je zgrajena na modelu programske opreme kot storitve (SaaS), ki olajša prilagajanje z uporabo moči oddaljenih strežnikov, porazdeljenih sistemov za shranjevanje podatkov itd. Uporaba modela v oblaku vam omogoča, da se abstrahirate od nians strojne in programske opreme ter vsa svoja prizadevanja posvetite ustvarjanju in izboljšanju storitve zaščite.
To uporabniku omogoča bistveno znižanje stroškov nakupa opreme za shranjevanje, analizo in zagotavljanje dostopa, poleg tega pa se mu ni treba ukvarjati z vzdrževalnimi težavami, kot so varnostne kopije, posodobitve, preprečevanje okvar ipd. Dovolj je, da imate napravo, ki podpira SecuReporter in ustrezno licenco.
POMEMBNO! Z arhitekturo, ki temelji na oblaku, lahko varnostni skrbniki proaktivno spremljajo stanje omrežja kadar koli in kjer koli. S tem se reši problem, tudi z dopusti, bolniškimi odsotnostmi ipd. Dostop do opreme, na primer kraja prenosnika, s katerega je bil dostopan do spletnega vmesnika SecuReporter, prav tako ne bo prinesel ničesar, pod pogojem, da njegov lastnik ni kršil varnostnih pravil, ni shranjeval gesel lokalno itd.
Možnost upravljanja v oblaku je zelo primerna tako za monopodjetja v istem mestu kot za strukture s podružnicami. Takšna neodvisnost od lokacije je potrebna v različnih panogah, na primer za ponudnike storitev ali razvijalce programske opreme, katerih poslovanje je razpršeno po različnih mestih.
Veliko govorimo o možnostih analize, ampak kaj to pomeni?
To so različna analitična orodja, na primer povzetki pogostosti dogodkov, seznami Top 100 glavnih (resničnih in domnevnih) žrtev določenega dogodka, dnevniki, ki označujejo specifične tarče za napad ipd. Vse, kar administratorju pomaga prepoznati skrite trende in prepoznati sumljivo vedenje uporabnikov ali storitev.
Kaj pa poročanje?
SecuReporter vam omogoča, da prilagodite obrazec za poročilo in nato prejmete rezultat v formatu PDF. Seveda, če želite, lahko v poročilo vdelate svoj logotip, naslov poročila, reference ali priporočila. Poročila je mogoče ustvariti ob zahtevi ali po urniku, na primer enkrat na dan, teden ali mesec.
Izdajanje opozoril lahko konfigurirate ob upoštevanju posebnosti prometa znotraj omrežne infrastrukture.
Ali je mogoče zmanjšati nevarnost insajderjev ali preprosto lenuhov?
Posebno orodje User Partially Quotient omogoča administratorju hitro identifikacijo tveganih uporabnikov, brez dodatnega truda in ob upoštevanju odvisnosti med različnimi omrežnimi dnevniki ali dogodki.
To pomeni, da se izvaja poglobljena analiza vseh dogodkov in prometa, ki je povezan z uporabniki, ki so se izkazali za sumljive.
Katere druge točke so značilne za SecuReporter?
Enostavna nastavitev za končne uporabnike (varnostne skrbnike).
SecuReporter v oblaku aktivirate s preprostim namestitvenim postopkom. Po tem dobijo skrbniki takoj dostop do vseh podatkov, analiz in orodij za poročanje.
Več najemnikov na eni sami platformi v oblaku – svojo analitiko lahko prilagodite za vsako stranko. Spet, ko se vaša baza strank povečuje, vam arhitektura v oblaku omogoča enostavno prilagajanje vašega nadzornega sistema brez žrtvovanja učinkovitosti.
Zakoni o varstvu podatkov
POMEMBNO! Zyxel je zelo občutljiv na mednarodne in lokalne zakone ter druge predpise glede varstva osebnih podatkov, vključno z GDPR in načeli zasebnosti OECD. Podprto z zveznim zakonom "O osebnih podatkih" z dne 27.07.2006. julija 152 št. XNUMX-FZ.
Za zagotavljanje skladnosti ima SecuReporter tri vgrajene možnosti zaščite zasebnosti:
- neanonimni podatki – osebni podatki so v celoti identificirani v analizatorju, poročilih in arhivskih dnevnikih, ki jih je mogoče naložiti;
- delno anonimni - osebni podatki se v Arhivskih dnevnikih nadomestijo z njihovimi umetnimi identifikatorji;
- popolnoma anonimno - osebni podatki so popolnoma anonimizirani v analizatorju, poročilih in arhivskih dnevnikih, ki jih je mogoče naložiti.
Kako omogočim SecuReporter v svoji napravi?
Poglejmo primer naprave ZyWall (v tem primeru imamo ZyWall 1100). Pojdite v razdelek z nastavitvami (zavihek na desni z ikono v obliki dveh zobnikov). Nato odprite razdelek Cloud CNM in v njem izberite pododdelek SecuReporter.
Če želite omogočiti uporabo storitve, morate aktivirati element Enable SecuReporter. Poleg tega se splača uporabiti možnost Vključi prometni dnevnik za zbiranje in analizo prometnih dnevnikov.
Slika 1. Omogočanje SecuReporter.
Drugi korak je omogočanje zbiranja statističnih podatkov. To storite v razdelku Nadzor (zavihek na desni z ikono v obliki monitorja).
Nato pojdite na razdelek UTM Statistics, podrazdelek App Patrol. Tukaj morate aktivirati možnost Zberi statistiko.
Slika 2. Omogočanje zbiranja statističnih podatkov.
To je to, lahko se povežete s spletnim vmesnikom SecuReporter in uporabljate storitev v oblaku.
POMEMBNO! SecuReporter ima odlično dokumentacijo v formatu PDF. Lahko ga prenesete iz .
Opis spletnega vmesnika SecuReporter
Tukaj ne bo mogoče podrobno opisati vseh funkcij, ki jih SecuReporter nudi skrbniku varnosti - za en članek jih je kar nekaj.
Zato se bomo omejili na kratek opis storitev, ki jih administrator vidi in s čim nenehno dela. Torej, spoznajte, kaj sestavlja spletna konzola SecuReporter.
Zemljevid
V tem razdelku je prikazana registrirana oprema z navedbo mesta, imena naprave in naslova IP. Prikaže informacije o tem, ali je naprava vklopljena in kakšno je stanje opozorila. Na zemljevidu groženj si lahko ogledate vir paketov, ki jih uporabljajo napadalci, in pogostost napadov.
Splošno
Kratke informacije o glavnih akcijah in jedrnat analitični pregled za navedeno obdobje. Določite lahko obdobje od 7 dni do 1 ure.
Slika 3. Primer izgleda razdelka Nadzorna plošča.
Analizator
Ime govori samo zase. Gre za konzolo istoimenskega orodja, ki za izbrano obdobje diagnosticira sumljiv promet, identificira trende v pojavu groženj in zbira podatke o sumljivih paketih. Analizator lahko sledi najpogostejši zlonamerni kodi in nudi dodatne informacije o varnostnih vprašanjih.
Slika 4. Primer izgleda razdelka Analizator.
Poročilo
V tem delu so uporabniku na voljo poročila po meri z grafičnim vmesnikom. Zahtevane informacije je mogoče zbrati in zbrati v priročno predstavitev takoj ali po načrtu.
Opozorila
Tukaj konfigurirate opozorilni sistem. Mejne vrednosti in različne stopnje resnosti je mogoče konfigurirati, kar olajša prepoznavanje anomalij in potencialnih napadov.
Nastavitev
No, pravzaprav so nastavitve nastavitve.
Poleg tega je treba omeniti, da lahko SecuReporter podpira različne politike zaščite pri obdelavi osebnih podatkov.
Zaključek
Lokalne metode za analizo varnostnih statistik so se načeloma zelo dobro izkazale.
Vendar se obseg in resnost groženj vsak dan povečujeta. Raven zaščite, ki je prej zadovoljila vse, čez nekaj časa postane precej šibka.
Poleg naštetih težav uporaba lokalnih orodij zahteva določene napore za vzdrževanje funkcionalnosti (vzdrževanje opreme, varnostno kopiranje ipd.). Tu je tudi problem oddaljene lokacije - ni vedno mogoče obdržati varnostnega skrbnika v pisarni 24 ur, 7 dni v tednu. Zato morate nekako organizirati varen dostop do lokalnega sistema od zunaj in ga vzdrževati sami.
Uporaba storitev v oblaku vam omogoča, da se izognete takšnim težavam, s posebnim poudarkom na vzdrževanju zahtevane ravni varnosti in zaščite pred vdori ter kršitvami pravil s strani uporabnikov.
SecuReporter je samo primer uspešne implementacije takšne storitve.
Akcija
Z današnjim dnem poteka skupna promocija med Zyxelom in našim zlatim partnerjem X-Com za kupce požarnih zidov, ki podpirajo Secureporter:
Uporabne povezave
[1] .
[2] na uradnem spletnem mestu Zyxel.
[3] .
Vir: www.habr.com