Në mendjet e njerëzve të papërvojë, puna e një administratori sigurie duket si një duel emocionues midis një anti-hakeri dhe hakerëve të këqij që pushtojnë vazhdimisht rrjetin e korporatës. Dhe heroi ynë, në kohë reale, zmbraps sulmet e guximshme duke futur me shkathtësi dhe shpejtësi komandat dhe në fund del si një fitues i shkëlqyer.
Ashtu si një musketist mbretëror me një tastierë në vend të një shpate dhe një musket.
Por në realitet, gjithçka duket e zakonshme, jo modeste dhe madje, mund të thuhet, e mërzitshme.
Një nga metodat kryesore të analizës është ende leximi i regjistrave të ngjarjeve. Studim i plotë mbi këtë temë:
- kush u përpoq të hynte nga ku, në cilin burim u përpoqën të aksesonin, si i vërtetuan të drejtat e tyre për të hyrë në burim;
- çfarë dështimesh, gabimesh dhe rastësish thjesht të dyshimta kishte;
- kush dhe si e testoi sistemin për forcën, portat e skanuara, fjalëkalimet e zgjedhura;
- Dhe kështu me radhë e kështu me radhë…
Epo, çfarë dreqin është romanca këtu, Zoti na ruajt "të mos të zërë gjumi gjatë vozitjes".
Në mënyrë që specialistët tanë të mos e humbin plotësisht dashurinë për artin, u shpikin mjete për ta bërë jetën më të lehtë. Këto janë të gjitha llojet e analizuesve (parsuesit e regjistrave), sistemet e monitorimit me njoftimin e ngjarjeve kritike dhe shumë më tepër.
Sidoqoftë, nëse merrni një mjet të mirë dhe filloni ta vidhosni manualisht në secilën pajisje, për shembull, një portë interneti, nuk do të jetë aq e thjeshtë, jo aq e përshtatshme dhe, ndër të tjera, duhet të keni njohuri shtesë nga krejtësisht të ndryshme zonave. Për shembull, ku të vendoset softueri për një monitorim të tillë? Në një server fizik, makinë virtuale, pajisje speciale? Në çfarë forme duhet të ruhen të dhënat? Nëse përdoret një bazë të dhënash, cila? Si të kryeni kopje rezervë dhe a është e nevojshme t'i kryeni ato? Si të menaxhoni? Cilin ndërfaqe duhet të përdor? Si të mbroni sistemin? Cila metodë e kriptimit të përdoret - dhe shumë më tepër.
Është shumë më e thjeshtë kur ekziston një mekanizëm i caktuar i unifikuar që merr mbi vete zgjidhjen e të gjitha çështjeve të listuara, duke e lënë administratorin të punojë në mënyrë rigoroze brenda kuadrit të specifikave të tij.
Sipas traditës së vendosur për të quajtur termin "cloud" gjithçka që nuk ndodhet në një host të caktuar, shërbimi cloud Zyxel CNM SecuReporter ju lejon jo vetëm të zgjidhni shumë probleme, por gjithashtu ofron mjete të përshtatshme
Çfarë është Zyxel CNM SecuReporter?
Ky është një shërbim analitik inteligjent me funksione të mbledhjes së të dhënave, analizës statistikore (korrelacionit) dhe raportimit për pajisjet Zyxel të linjës ZyWALL dhe të tyre. Ai i siguron administratorit të rrjetit një pamje të centralizuar të aktiviteteve të ndryshme në rrjet.
Për shembull, sulmuesit mund të përpiqen të depërtojnë në një sistem sigurie duke përdorur mekanizma sulmi si p.sh i fshehtë, i synuar и vazhdon. SecuReporter zbulon sjellje të dyshimta, e cila i lejon administratorit të marrë masat e nevojshme mbrojtëse duke konfiguruar ZyWALL.
Sigurisht, garantimi i sigurisë është i paimagjinueshëm pa analiza të vazhdueshme të të dhënave me paralajmërime në kohë reale. Ju mund të vizatoni grafikë të bukur sa të doni, por nëse administratori nuk është në dijeni të asaj që po ndodh... Jo, kjo definitivisht nuk mund të ndodhë me SecuReporter!
Disa pyetje rreth përdorimit të SecuReporter
Analitikë
Në fakt, analiza e asaj që po ndodh është thelbi i ndërtimit të sigurisë së informacionit. Duke analizuar ngjarjet, një specialist i sigurisë mund të parandalojë ose ndalojë një sulm në kohë, si dhe të marrë informacion të detajuar për rindërtim në mënyrë që të mbledhë prova.
Çfarë ofron "arkitektura e reve"?
Ky shërbim është ndërtuar në modelin Software as a Service (SaaS), i cili e bën më të lehtë shkallëzimin duke përdorur fuqinë e serverëve në distancë, sistemet e ruajtjes së të dhënave të shpërndara, etj. Përdorimi i modelit cloud ju lejon të abstraktoni nga nuancat e harduerit dhe softuerit, duke i kushtuar të gjitha përpjekjet tuaja krijimit dhe përmirësimit të shërbimit të mbrojtjes.
Kjo i lejon përdoruesit të zvogëlojë ndjeshëm koston e blerjes së pajisjeve për ruajtjen, analizën dhe sigurimin e aksesit, dhe nuk ka nevojë të merret me çështje të mirëmbajtjes si kopjet rezervë, përditësimet, parandalimi i dështimeve etj. Mjafton të keni një pajisje që mbështet SecuReporter dhe licencën e duhur.
KUJDES! Me një arkitekturë të bazuar në cloud, administratorët e sigurisë mund të monitorojnë në mënyrë proaktive shëndetin e rrjetit në çdo kohë, kudo. Kjo e zgjidh problemin, duke përfshirë pushimet, pushimet mjekësore, etj. Qasja në pajisje, për shembull, vjedhja e një laptopi nga i cili është aksesuar ndërfaqja e internetit SecuReporter, gjithashtu nuk do të japë asgjë, me kusht që pronari i tij të mos shkelë rregullat e sigurisë, të mos ruajë fjalëkalimet në vend, etj.
Opsioni i menaxhimit të cloud është i përshtatshëm si për mono-kompanitë e vendosura në të njëjtin qytet ashtu edhe për strukturat me degë. Një pavarësi e tillë e vendndodhjes nevojitet në një sërë industrish, për shembull, për ofruesit e shërbimeve ose zhvilluesit e programeve kompjuterike, biznesi i të cilëve shpërndahet nëpër qytete të ndryshme.
Ne flasim shumë për mundësitë e analizës, por çfarë do të thotë kjo?
Këto janë mjete të ndryshme analitike, për shembull, përmbledhje të shpeshtësisë së ngjarjeve, lista të 100 viktimave kryesore (të vërteta dhe të supozuara) të një ngjarjeje të caktuar, regjistrat që tregojnë objektiva specifike për sulm, etj. Çdo gjë që ndihmon administratorin të identifikojë tendencat e fshehura dhe të identifikojë sjelljen e dyshimtë të përdoruesve ose shërbimeve.
Po raportimi?
SecuReporter ju lejon të personalizoni formularin e raportit dhe më pas të merrni rezultatin në formatin PDF. Sigurisht, nëse dëshironi, mund të futni logon tuaj, titullin e raportit, referencat ose rekomandimet në raport. Është e mundur të krijohen raporte në kohën e kërkesës ose sipas një orari, për shembull, një herë në ditë, javë ose muaj.
Ju mund të konfiguroni lëshimin e paralajmërimeve duke marrë parasysh specifikat e trafikut brenda infrastrukturës së rrjetit.
A është e mundur të zvogëlohet rreziku nga të brendshmit apo thjesht nga slloqet?
Vegla speciale User Partially Quotient i lejon administratorit të identifikojë shpejt përdoruesit e rrezikshëm, pa përpjekje shtesë dhe duke marrë parasysh varësinë midis regjistrave ose ngjarjeve të ndryshme të rrjetit.
Kjo do të thotë, kryhet një analizë e thellë e të gjitha ngjarjeve dhe trafikut që lidhen me përdoruesit që janë treguar të dyshimtë.
Cilat pika të tjera janë tipike për SecuReporter?
Konfigurim i lehtë për përdoruesit fundorë (administratorët e sigurisë).
Aktivizimi i SecuReporter në cloud ndodh përmes një procedure të thjeshtë konfigurimi. Pas kësaj, administratorëve u jepet menjëherë akses në të gjitha të dhënat, analizat dhe mjetet e raportimit.
Multi-Tenants në një platformë të vetme cloud - ju mund të personalizoni analitikën tuaj për çdo klient. Përsëri, ndërsa baza juaj e klientit rritet, arkitektura e cloud ju lejon të përshtatni lehtësisht sistemin tuaj të kontrollit pa sakrifikuar efikasitetin.
Ligjet për mbrojtjen e të dhënave
E RËNDËSISHME! Zyxel është shumë i ndjeshëm ndaj ligjeve ndërkombëtare dhe vendore dhe rregulloreve të tjera në lidhje me mbrojtjen e të dhënave personale, duke përfshirë Parimet e Privatësisë GDPR dhe OECD. Mbështetur nga Ligji Federal "Për të Dhënat Personale" datë 27.07.2006 korrik 152 Nr. XNUMX-FZ.
Për të siguruar pajtueshmërinë, SecuReporter ka tre opsione të integruara të mbrojtjes së privatësisë:
- të dhëna jo anonime - të dhënat personale identifikohen plotësisht në Analizues, Raport dhe regjistrat e arkivit të shkarkueshëm;
- pjesërisht anonime - të dhënat personale zëvendësohen me identifikuesit e tyre artificialë në regjistrat e arkivit;
- krejtësisht anonime - të dhënat personale janë plotësisht të anonimizuara në Analizues, Raport dhe regjistrat e arkivit të shkarkueshëm.
Si mund ta aktivizoj SecuReporter në pajisjen time?
Le të shohim shembullin e një pajisjeje ZyWall (në këtë rast kemi një ZyWall 1100). Shkoni te seksioni i cilësimeve (skeda në të djathtë me një ikonë në formën e dy ingranazheve). Më pas, hapni seksionin Cloud CNM dhe zgjidhni nënseksionin SecuReporter në të.
Për të lejuar përdorimin e shërbimit, duhet të aktivizoni elementin Enable SecuReporter. Për më tepër, ia vlen të përdorni opsionin Include Traffic Log për të mbledhur dhe analizuar regjistrat e trafikut.
Figura 1. Aktivizimi i SecuReporter.
Hapi i dytë është lejimi i mbledhjes së statistikave. Kjo bëhet në seksionin Monitorimi (skeda në të djathtë me një ikonë në formën e një monitori).
Tjetra, shkoni te seksioni i Statistikave UTM, nënseksioni "App Patrol". Këtu duhet të aktivizoni opsionin Mblidhni Statistikat.
Figura 2. Mundësimi i mbledhjes së statistikave.
Kjo është ajo, ju mund të lidheni me ndërfaqen e internetit SecuReporter dhe të përdorni shërbimin cloud.
KUJDES! SecuReporter ka dokumentacion të shkëlqyer në formatin PDF. Mund ta shkarkoni nga .
Përshkrimi i ndërfaqes së internetit SecuReporter
Nuk do të jetë e mundur të jepet këtu një përshkrim i hollësishëm i të gjitha funksioneve që SecuReporter i ofron një administratori sigurie - ka mjaft prej tyre për një artikull.
Prandaj, do të kufizohemi në një përshkrim të shkurtër të shërbimeve që sheh administratori dhe me çfarë punon vazhdimisht. Pra, njihuni se çfarë përbëhet nga tastiera në internet SecuReporter.
Harta
Ky seksion shfaq pajisjet e regjistruara, duke treguar qytetin, emrin e pajisjes dhe adresën IP. Shfaq informacion nëse pajisja është e ndezur dhe cili është statusi i paralajmërimit. Në Hartën e Kërcënimeve mund të shihni burimin e paketave të përdorura nga sulmuesit dhe frekuencën e sulmeve.
Profili
Informacion i shkurtër në lidhje me veprimet kryesore dhe një pasqyrë analitike koncize për periudhën e specifikuar. Ju mund të specifikoni një periudhë nga 7 ditë në 1 orë.
Figura 3. Shembull i paraqitjes së seksionit Dashboard.
Analyzer
Emri flet vetë. Kjo është tastiera e mjetit me të njëjtin emër, i cili diagnostikon trafikun e dyshimtë për një periudhë të zgjedhur, identifikon tendencat në shfaqjen e kërcënimeve dhe mbledh informacione rreth paketave të dyshimta. Analizuesi është në gjendje të gjurmojë kodin keqdashës më të zakonshëm, si dhe të sigurojë informacion shtesë në lidhje me çështjet e sigurisë.
Figura 4. Shembull i paraqitjes së seksionit Analyzer.
Raportoni
Në këtë seksion, përdoruesi ka akses në raportet e personalizuara me një ndërfaqe grafike. Informacioni i kërkuar mund të mblidhet dhe përpilohet në një prezantim të përshtatshëm menjëherë ose në bazë të planifikuar.
Alarmet
Këtu ju konfiguroni sistemin e paralajmërimit. Mund të konfigurohen pragjet dhe nivelet e ndryshme të ashpërsisë, duke e bërë më të lehtë identifikimin e anomalive dhe sulmeve të mundshme.
Vendosja
Epo, në fakt, cilësimet janë cilësime.
Për më tepër, vlen të përmendet se SecuReporter mund të mbështesë politika të ndryshme mbrojtjeje gjatë përpunimit të të dhënave personale.
Përfundim
Metodat lokale për analizimin e statistikave të lidhura me sigurinë, në parim, e kanë provuar veten mjaft mirë.
Megjithatë, diapazoni dhe ashpërsia e kërcënimeve po rritet çdo ditë. Niveli i mbrojtjes që më parë i kënaqte të gjithë bëhet mjaft i dobët pas ca kohësh.
Përveç problemeve të listuara, përdorimi i mjeteve lokale kërkon disa përpjekje për të ruajtur funksionalitetin (mirëmbajtjen e pajisjeve, rezervimin, etj.). Ekziston edhe problemi i vendndodhjes në distancë - nuk është gjithmonë e mundur të mbash administratorin e sigurisë në zyrë 24 orë, 7 ditë në javë. Prandaj, duhet të organizoni disi qasje të sigurt në sistemin lokal nga jashtë dhe ta mirëmbani vetë.
Përdorimi i shërbimeve cloud ju lejon të shmangni probleme të tilla, duke u fokusuar veçanërisht në ruajtjen e nivelit të kërkuar të sigurisë dhe mbrojtjes nga ndërhyrjet, si dhe shkeljet e rregullave nga përdoruesit.
SecuReporter është vetëm një shembull i një zbatimi të suksesshëm të një shërbimi të tillë.
Veprim
Duke filluar nga sot, ka një promovim të përbashkët midis Zyxel dhe partnerit tonë Gold X-Com për blerësit e mureve të zjarrit që mbështesin Secureporter:
Lidhje të dobishme
[1] .
[2] në faqen e internetit në faqen zyrtare të Zyxel.
[3] .
Burimi: www.habr.com