У главама неискусних људи, посао администратора безбедности изгледа као узбудљив дуел између антихакера и злих хакера који непрестано упадају у корпоративну мрежу. А наш јунак, у реалном времену, одбија смеле нападе вештим и брзим уносом команди и на крају излази као сјајан победник.
Баш као краљевски мускетар са тастатуром уместо мача и мускете.
Али у стварности, све изгледа обично, непретенциозно, па чак и, могло би се рећи, досадно.
Једна од главних метода анализе је и даље читање дневника догађаја. Темељна студија на тему:
- ко је покушао да уђе одакле одакле, ком ресурсу су покушали да приступе, како су доказали своја права на приступ ресурсу;
- какви су пропусти, грешке и просто сумњиве случајности;
- ко је и како тестирао систем на снагу, скенирао портове, бирао лозинке;
- И тако даље и тако даље…
Па шта је овде дођавола романса, не дај Боже „да не заспиш док возиш“.
Да наши стручњаци не би потпуно изгубили љубав према уметности, за њих су измишљени алати који олакшавају живот. То су све врсте анализатора (парсери дневника), системи за праћење са обавештавањем о критичним догађајима и још много тога.
Међутим, ако узмете добар алат и почнете да га ручно зашрафите на сваки уређај, на пример, на интернет пролаз, то неће бити тако једноставно, не тако згодно, а између осталог, потребно је да имате додатна знања из потпуно различитих областима. На пример, где поставити софтвер за такво праћење? На физичком серверу, виртуелној машини, специјалном уређају? У ком облику треба чувати податке? Ако се користи база података, која? Како да направим резервне копије и да ли треба да их правим? Како управљати? Који интерфејс треба да користим? Како заштитити систем? Који метод шифровања користити - и још много тога.
Много је једноставније када постоји одређени јединствени механизам који на себе преузима решавање свих наведених питања, остављајући администратору да ради стриктно у оквиру својих специфичности.
Према устаљеној традицији називања појмом „облак“ све оно што се не налази на датом хосту, Зикел ЦНМ СецуРепортер цлоуд сервис омогућава не само да решите многе проблеме, већ и пружа практичне алате
Шта је Зикел ЦНМ СецуРепортер?
Ово је интелигентна аналитичка услуга са функцијама прикупљања података, статистичке анализе (корелације) и извештавања за Зикел опрему ЗиВАЛЛ линије и њихову. Он пружа администратору мреже централизовани преглед различитих активности на мрежи.
На пример, нападачи могу покушати да провале у безбедносни систем користећи механизме напада као што је прикривено, циљано и упоран. СецуРепортер открива сумњиво понашање, што омогућава администратору да предузме неопходне заштитне мере конфигурисањем ЗиВАЛЛ-а.
Наравно, осигурање безбедности је незамисливо без сталне анализе података са упозорењима у реалном времену. Можете цртати лепе графиконе колико год желите, али ако администратор није свестан шта се дешава... Не, то се дефинитивно не може десити са СецуРепортер-ом!
Нека питања о коришћењу СецуРепортер-а
Аналитика
Заправо, анализа онога што се дешава је срж изградње информационе безбедности. Анализом догађаја, стручњак за безбедност може на време да спречи или заустави напад, као и да добије детаљне информације за реконструкцију у циљу прикупљања доказа.
Шта пружа „архитектура облака“?
Ова услуга је изграђена на моделу софтвера као услуге (СааС), што олакшава скалирање коришћењем моћи удаљених сервера, дистрибуираних система за складиштење података и тако даље. Употреба модела облака вам омогућава да апстрахујете од хардверских и софтверских нијанси, посвећујући све своје напоре креирању и побољшању услуге заштите.
Ово омогућава кориснику да значајно смањи трошкове куповине опреме за складиштење, анализу и обезбеђивање приступа, а нема потребе да се бави питањима одржавања као што су резервне копије, ажурирања, превенција кварова и тако даље. Довољно је имати уређај који подржава СецуРепортер и одговарајућу лиценцу.
ВАЖНО! Са архитектуром заснованом на облаку, безбедносни администратори могу проактивно да прате здравље мреже било када и било где. Ово решава проблем, укључујући одморе, боловање и тако даље. Приступ опреми, на пример, крађа лаптопа са којег се приступало веб интерфејсу СецуРепортер, такође неће донети ништа, под условом да његов власник није прекршио безбедносна правила, није локално чувао лозинке и тако даље.
Опција управљања облаком је погодна и за монокомпаније које се налазе у истом граду и за структуре са филијалама. Таква независност од локације потребна је у различитим индустријама, на пример, за добављаче услуга или програмере софтвера чије је пословање распоређено у различитим градовима.
Много причамо о могућностима анализе, али шта то значи?
То су различити алати за аналитику, на пример, резимеи учесталости догађаја, листе 100 највећих (стварних и наводних) жртава одређеног догађаја, евиденције које указују на специфичне мете за напад и тако даље. Све што помаже администратору да идентификује скривене трендове и идентификује сумњиво понашање корисника или услуга.
Шта је са извештавањем?
СецуРепортер вам омогућава да прилагодите образац извештаја, а затим добијете резултат у ПДФ формату. Наравно, ако желите, можете да уградите свој лого, наслов извештаја, референце или препоруке у извештај. Могуће је креирати извештаје у тренутку захтева или по распореду, на пример, једном дневно, недељно или месечно.
Можете да конфигуришете издавање упозорења узимајући у обзир специфичности саобраћаја унутар мрежне инфраструктуре.
Да ли је могуће смањити опасност од инсајдера или једноставно љигаваца?
Специјална алатка Усер Партиалли Куотиент омогућава администратору да брзо идентификује ризичне кориснике, без додатног напора и узимајући у обзир зависност између различитих мрежних евиденција или догађаја.
Односно, врши се детаљна анализа свих догађаја и саобраћаја који су повезани са корисницима који су се показали сумњивим.
Које друге тачке су типичне за СецуРепортер?
Лако подешавање за крајње кориснике (безбедносне администраторе).
Активирање СецуРепортер-а у облаку се дешава кроз једноставну процедуру подешавања. Након тога, администраторима се одмах даје приступ свим алатима за податке, анализу и извештавање.
Више закупаца на једној платформи у облаку - можете прилагодити своју аналитику за сваког клијента. Опет, како се ваша база клијената повећава, архитектура облака вам омогућава да лако прилагодите свој контролни систем без жртвовања ефикасности.
Закони о заштити података
ВАЖНО! Зикел је веома осетљив на међународне и локалне законе и друге прописе у вези са заштитом личних података, укључујући ГДПР и ОЕЦД принципе приватности. Подржано Савезним законом „О личним подацима“ од 27.07.2006. јула 152. бр. XNUMX-ФЗ.
Да би осигурао усклађеност, СецуРепортер има три уграђене опције заштите приватности:
- неанонимни подаци – лични подаци су у потпуности идентификовани у анализатору, извештају и архивским евиденцијама које се могу преузети;
- делимично анонимни – лични подаци се замењују њиховим вештачким идентификаторима у архивским евиденцијама;
- потпуно анонимни - лични подаци су потпуно анонимни у анализатору, извештајима и архивским евиденцијама које се могу преузети.
Како да омогућим СецуРепортер на свом уређају?
Погледајмо пример ЗиВалл уређаја (у овом случају имамо ЗиВалл 1100). Идите на одељак са подешавањима (картица са десне стране са иконом у облику два зупчаника). Затим отворите одељак Цлоуд ЦНМ и изаберите пододељак СецуРепортер у њему.
Да бисте дозволили коришћење услуге, морате активирати елемент Енабле СецуРепортер. Поред тога, вреди користити опцију Укључи евиденцију саобраћаја за прикупљање и анализу евиденције саобраћаја.
Слика 1. Омогућавање СецуРепортер-а.
Други корак је омогућавање прикупљања статистичких података. Ово се ради у одељку Мониторинг (картица са десне стране са иконицом у облику монитора).
Затим идите на одељак УТМ статистика, пододељак Апп Патрол. Овде треба да активирате опцију Прикупи статистику.
Слика 2. Омогућавање прикупљања статистике.
То је то, можете се повезати на веб интерфејс СецуРепортер и користити услугу у облаку.
ВАЖНО! СецуРепортер има одличну документацију у ПДФ формату. Можете га преузети са .
Опис веб интерфејса СецуРепортер
Овде неће бити могуће дати детаљан опис свих функција које СецуРепортер пружа администратору безбедности - има их доста за један чланак.
Стога ћемо се ограничити на кратак опис услуга које администратор види и са чиме стално ради. Дакле, упознајте се од чега се састоји СецуРепортер веб конзола.
Мапа
Овај одељак приказује регистровану опрему, наводећи град, назив уређаја и ИП адресу. Приказује информације о томе да ли је уређај укључен и какав је статус упозорења. На мапи претњи можете видети извор пакета које користе нападачи и учесталост напада.
Kontrolna tabla
Кратке информације о главним акцијама и сажети аналитички преглед за наведени период. Можете одредити период од 7 дана до 1 сата.
Слика 3. Пример изгледа одељка Дасхбоард.
Анализер
Име говори за себе. Ово је конзола истоименог алата, који дијагностикује сумњиви саобраћај за одабрани период, идентификује трендове у настанку претњи и прикупља информације о сумњивим пакетима. Анализатор може да прати најчешћи злонамерни код, као и да пружи додатне информације у вези са безбедносним проблемима.
Слика 4. Пример изгледа одељка Анализатор.
Извештај
У овом одељку корисник има приступ прилагођеним извештајима са графичким интерфејсом. Потребне информације се могу прикупити и саставити у погодну презентацију одмах или по распореду.
Алертс
Овде конфигуришете систем упозорења. Могу се конфигурисати прагови и различити нивои озбиљности, што олакшава идентификацију аномалија и потенцијалних напада.
Подешавање
Па, у ствари, подешавања су подешавања.
Поред тога, вреди напоменути да СецуРепортер може подржати различите политике заштите приликом обраде личних података.
Закључак
Локалне методе за анализу безбедносних статистика су се, у принципу, прилично добро показале.
Међутим, опсег и озбиљност претњи се свакодневно повећавају. Ниво заштите који је претходно задовољавао све постаје прилично слаб након неког времена.
Поред наведених проблема, употреба локалних алата захтева одређене напоре у одржавању функционалности (одржавање опреме, прављење резервних копија и тако даље). Постоји и проблем удаљене локације – није увек могуће држати администратора обезбеђења у канцеларији 24 сата, 7 дана у недељи. Због тога морате некако да организујете сигуран приступ локалном систему споља и сами га одржавате.
Коришћење цлоуд сервиса вам омогућава да избегнете овакве проблеме, посебно се фокусирајући на одржавање потребног нивоа безбедности и заштите од упада, као и кршења правила од стране корисника.
СецуРепортер је само пример успешне имплементације оваквог сервиса.
Акција
Почевши од данас, постоји заједничка промоција између Зикел-а и нашег Голд Партнер Кс-Цом за купце заштитних зидова који подржавају Сецурепортер:
Корисни линкови
[КСНУМКС] .
[КСНУМКС] на веб локацији на званичном сајту Зикел-а.
[КСНУМКС] .
Извор: ввв.хабр.цом