I oerfarna människors medvetande ser en säkerhetsadministratörs arbete ut som en spännande duell mellan en anti-hacker och onda hackare som ständigt invaderar företagets nätverk. Och vår hjälte, i realtid, stöter bort vågade attacker genom att skickligt och snabbt ange kommandon och framstår i slutändan som en lysande vinnare.
Precis som en kunglig musketör med ett tangentbord istället för ett svärd och en musköt.
Men i verkligheten ser allt vanligt, opretentiöst ut och till och med, kan man säga, tråkigt.
En av de viktigaste analysmetoderna är fortfarande att läsa händelseloggar. Grundlig studie i ämnet:
- vem försökte ange varifrån varifrån, vilken resurs de försökte få tillgång till, hur de bevisade sin rätt att få tillgång till resursen;
- vilka misslyckanden, fel och helt enkelt misstänkta sammanträffanden som fanns;
- vem och hur testade systemet för styrka, skannade portar, valda lösenord;
- Och så vidare…
Tja, vad fan är romantik här, gud förbjude "du somnar inte när du kör."
För att våra specialister inte helt ska förlora sin kärlek till konst, uppfinns verktyg för att göra livet enklare. Dessa är alla typer av analysatorer (loggparsare), övervakningssystem med avisering av kritiska händelser och mycket mer.
Men om du tar ett bra verktyg och börjar skruva det manuellt till varje enhet, till exempel en Internet-gateway, blir det inte så enkelt, inte så bekvämt, och bland annat behöver du ha ytterligare kunskap från helt olika områden. Till exempel, var ska man placera programvara för sådan övervakning? På en fysisk server, virtuell maskin, speciell enhet? I vilken form ska uppgifterna lagras? Om en databas används, vilken? Hur gör man säkerhetskopior och är det nödvändigt att utföra dem? Hur ska man klara sig? Vilket gränssnitt ska jag använda? Hur skyddar man systemet? Vilken krypteringsmetod man ska använda – och mycket mer.
Det är mycket enklare när det finns en viss enhetlig mekanism som tar på sig lösningen av alla angivna problem, vilket låter administratören arbeta strikt inom ramen för sina detaljer.
Enligt den etablerade traditionen att kalla termen "moln" för allt som inte finns på en given värd, låter Zyxel CNM SecuReporter molntjänst dig inte bara lösa många problem, utan ger dig också praktiska verktyg
Vad är Zyxel CNM SecuReporter?
Detta är en intelligent analystjänst med funktioner för datainsamling, statistisk analys (korrelation) och rapportering för Zyxel-utrustning från ZyWALL-linjen och deras. Det ger nätverksadministratören en centraliserad bild av olika aktiviteter på nätverket.
Till exempel kan angripare försöka bryta sig in i ett säkerhetssystem med hjälp av attackmekanismer som smygande, riktad и ihållande. SecuReporter upptäcker misstänkt beteende, vilket gör att administratören kan vidta nödvändiga skyddsåtgärder genom att konfigurera ZyWALL.
Att säkerställa säkerhet är naturligtvis otänkbart utan konstant dataanalys med varningar i realtid. Du kan rita vackra grafer hur mycket du vill, men om administratören inte är medveten om vad som händer... Nej, detta kan definitivt inte hända med SecuReporter!
Några frågor om att använda SecuReporter
Analytics
Egentligen är analys av vad som händer kärnan i att bygga informationssäkerhet. Genom att analysera händelser kan en säkerhetsspecialist förhindra eller stoppa en attack i tid, samt få detaljerad information för rekonstruktion för att samla bevis.
Vad ger "molnarkitektur"?
Denna tjänst är byggd på Software as a Service-modellen (SaaS), vilket gör det lättare att skala med hjälp av kraften hos fjärrservrar, distribuerade datalagringssystem och så vidare. Användningen av molnmodellen låter dig abstrahera från hårdvaru- och mjukvarunyanser och ägna alla dina ansträngningar åt att skapa och förbättra skyddstjänsten.
Detta gör det möjligt för användaren att avsevärt minska kostnaderna för att köpa utrustning för lagring, analys och tillhandahållande av åtkomst, och det finns inget behov av att hantera underhållsfrågor som säkerhetskopiering, uppdateringar, förebyggande av fel och så vidare. Det räcker att ha en enhet som stöder SecuReporter och lämplig licens.
VIKTIGT! Med en molnbaserad arkitektur kan säkerhetsadministratörer proaktivt övervaka nätverkshälsan när som helst och var som helst. Detta löser problemet, bland annat med semester, sjukskrivning och så vidare. Tillgång till utrustning, till exempel stöld av en bärbar dator från vilken SecuReporters webbgränssnitt nås, kommer inte heller att ge någonting, förutsatt att dess ägare inte bröt mot säkerhetsregler, inte lagrade lösenord lokalt, och så vidare.
Molnhanteringsalternativet är väl lämpat för både mono-företag som ligger i samma stad och strukturer med filialer. Sådan platsoberoende behövs i en mängd olika branscher, till exempel för tjänsteleverantörer eller mjukvaruutvecklare vars verksamhet är fördelad över olika städer.
Vi pratar mycket om analysens möjligheter, men vad betyder detta?
Dessa är olika analysverktyg, till exempel sammanfattningar av frekvensen av händelser, listor över de 100 främsta (verkliga och påstådda) offren för en viss händelse, loggar som indikerar specifika mål för attack, och så vidare. Allt som hjälper administratören att identifiera dolda trender och identifiera misstänkt beteende hos användare eller tjänster.
Hur är det med rapporteringen?
SecuReporter låter dig anpassa rapportformuläret och sedan få resultatet i PDF-format. Om du vill kan du naturligtvis bädda in din logotyp, rapporttitel, referenser eller rekommendationer i rapporten. Det är möjligt att skapa rapporter vid förfrågan eller enligt ett schema, till exempel en gång om dagen, veckan eller månaden.
Du kan konfigurera utfärdandet av varningar med hänsyn till trafikspecifikationerna inom nätverksinfrastrukturen.
Är det möjligt att minska faran från insiders eller helt enkelt slarviga?
Det speciella verktyget User Partially Quotient låter administratören snabbt identifiera riskfyllda användare, utan extra ansträngning och med hänsyn till beroendet mellan olika nätverksloggar eller händelser.
Det vill säga att en fördjupad analys av alla händelser och trafik som är kopplade till användare som visat sig vara misstänksamma görs.
Vilka andra punkter är typiska för SecuReporter?
Enkel installation för slutanvändare (säkerhetsadministratörer).
Aktivering av SecuReporter i molnet sker genom en enkel installationsprocedur. Efter detta får administratörer omedelbart tillgång till all data, analys och rapporteringsverktyg.
Multi-Tenants på en enda molnplattform - du kan anpassa din analys för varje kund. Återigen, när din kundbas ökar, låter molnarkitekturen dig enkelt anpassa ditt kontrollsystem utan att offra effektiviteten.
Dataskyddslagar
VIKTIG! Zyxel är mycket lyhörd för internationella och lokala lagar och andra bestämmelser gällande skydd av personuppgifter, inklusive GDPR och OECD:s integritetsprinciper. Stöds av den federala lagen "Om personuppgifter" av den 27.07.2006 juli 152 nr XNUMX-FZ.
För att säkerställa efterlevnad har SecuReporter tre inbyggda integritetsskyddsalternativ:
- icke-anonyma data - personlig data identifieras fullständigt i analysator, rapport och nedladdningsbara arkivloggar;
- delvis anonym - personuppgifter ersätts med deras artificiella identifierare i arkivloggar;
- helt anonym - personuppgifter är helt anonymiserade i Analyzer, Rapport och nedladdningsbara Arkivloggar.
Hur aktiverar jag SecuReporter på min enhet?
Låt oss titta på exemplet med en ZyWall-enhet (i det här fallet har vi en ZyWall 1100). Gå till inställningssektionen (flik till höger med en ikon i form av två växlar). Öppna sedan avsnittet Cloud CNM och välj undersektionen SecuReporter i den.
För att tillåta användningen av tjänsten måste du aktivera elementet Enable SecuReporter. Dessutom är det värt att använda alternativet Inkludera trafiklogg för att samla in och analysera trafikloggar.
Figur 1. Aktivera SecuReporter.
Det andra steget är att tillåta statistikinsamling. Detta görs i avsnittet Övervakning (flik till höger med en ikon i form av en bildskärm).
Gå sedan till avsnittet UTM-statistik, underavsnittet App Patrol. Här måste du aktivera alternativet Samla in statistik.
Figur 2. Aktivera statistikinsamling.
Det är det, du kan ansluta till SecuReporters webbgränssnitt och använda molntjänsten.
VIKTIGT! SecuReporter har utmärkt dokumentation i PDF-format. Du kan ladda ner den från .
Beskrivning av SecuReporters webbgränssnitt
Det kommer inte att vara möjligt att här ge en detaljerad beskrivning av alla funktioner som SecuReporter tillhandahåller en säkerhetsadministratör - det finns ganska många av dem för en artikel.
Därför kommer vi att begränsa oss till en kort beskrivning av de tjänster som handläggaren ser och vad han ständigt arbetar med. Så ta reda på vad SecuReporters webbkonsol består av.
Karta
Det här avsnittet visar den registrerade utrustningen och anger stad, enhetsnamn och IP-adress. Visar information om huruvida enheten är påslagen och vad varningsstatusen är. På hotkartan kan du se källan till paket som används av angripare och frekvensen av attacker.
Dashboard
Kort information om de viktigaste åtgärderna och en kortfattad analytisk översikt för den angivna perioden. Du kan ange en period från 7 dagar till 1 timme.
Figur 3. Exempel på hur Dashboard-sektionen ser ut.
Analysator
Namnet talar för sig självt. Detta är konsolen för verktyget med samma namn, som diagnostiserar misstänkt trafik under en vald period, identifierar trender i uppkomsten av hot och samlar in information om misstänkta paket. Analyzer kan spåra den vanligaste skadliga koden, samt ge ytterligare information om säkerhetsproblem.
Figur 4. Exempel på hur analyssektionen ser ut.
Rapportera
I det här avsnittet har användaren tillgång till anpassade rapporter med ett grafiskt gränssnitt. Den nödvändiga informationen kan samlas in och sammanställas till en praktisk presentation omedelbart eller på schemalagd basis.
Varningar
Det är här du konfigurerar varningssystemet. Trösklar och olika svårighetsnivåer kan konfigureras, vilket gör det lättare att identifiera anomalier och potentiella attacker.
Miljö
Tja, faktiskt, inställningar är inställningar.
Dessutom är det värt att notera att SecuReporter kan stödja olika skyddspolicyer vid behandling av personuppgifter.
Slutsats
Lokala metoder för att analysera säkerhetsrelaterad statistik har i princip visat sig ganska väl.
Men omfattningen och svårighetsgraden av hot ökar varje dag. Den skyddsnivå som tidigare tillfredsställt alla blir ganska svag efter en tid.
Utöver de angivna problemen kräver användningen av lokala verktyg vissa ansträngningar för att upprätthålla funktionalitet (underhåll av utrustning, säkerhetskopiering och så vidare). Det finns också problemet med fjärrplacering - det är inte alltid möjligt att ha säkerhetsadministratören på kontoret 24 timmar om dygnet, 7 dagar i veckan. Därför måste du på något sätt organisera säker åtkomst till det lokala systemet utifrån och underhålla det själv.
Användningen av molntjänster gör att du kan undvika sådana problem, med fokus specifikt på att upprätthålla den erforderliga säkerhetsnivån och skyddet mot intrång, såväl som brott mot regler från användare.
SecuReporter är bara ett exempel på en framgångsrik implementering av en sådan tjänst.
Åtgärd
Från och med idag finns det en gemensam kampanj mellan Zyxel och vår Gold Partner X-Com för köpare av brandväggar som stöder Secureporter:
Användbara länkar
[1] .
[2] på webbplatsen på den officiella Zyxel-webbplatsen.
[3] .
Källa: will.com