Sa isip ng mga taong walang karanasan, ang gawain ng isang security administrator ay mukhang isang kapana-panabik na tunggalian sa pagitan ng isang anti-hacker at masasamang hacker na patuloy na lumusob sa corporate network. At ang ating bayani, sa totoong oras, ay nagtataboy sa matapang na pag-atake sa pamamagitan ng mabilis at mabilis na pagpasok ng mga command at sa huli ay lalabas bilang isang napakatalino na nagwagi.
Parang royal musketeer na may keyboard sa halip na espada at musket.
Ngunit sa katotohanan, ang lahat ay mukhang ordinaryo, hindi mapagpanggap, at kahit na, maaaring sabihin ng isa, boring.
Isa sa mga pangunahing paraan ng pagsusuri ay ang pagbabasa pa rin ng mga log ng kaganapan. Masusing pag-aaral sa paksa:
- na sinubukang pumasok kung saan mula saan, anong mapagkukunan ang sinubukan nilang i-access, kung paano nila pinatunayan ang kanilang mga karapatan na ma-access ang mapagkukunan;
- kung ano ang mga pagkabigo, mga pagkakamali at simpleng kahina-hinalang mga pagkakataon;
- sino at paano sinubukan ang system para sa lakas, mga na-scan na port, mga napiling password;
- At iba paβ¦
Well, what the hell is romance here, God forbid "hindi ka makatulog habang nagmamaneho."
Upang ang aming mga espesyalista ay hindi ganap na mawala ang kanilang pagmamahal sa sining, ang mga tool ay naimbento para sa kanila upang gawing mas madali ang buhay. Ito ang lahat ng uri ng mga analyzer (log parsers), monitoring system na may notification ng mga kritikal na kaganapan, at marami pang iba.
Gayunpaman, kung kukuha ka ng isang mahusay na tool at simulang i-screw ito nang manu-mano sa bawat aparato, halimbawa, isang gateway sa Internet, hindi ito magiging napakasimple, hindi masyadong maginhawa, at, bukod sa iba pang mga bagay, kailangan mong magkaroon ng karagdagang kaalaman mula sa ganap na naiiba. mga lugar. Halimbawa, saan ilalagay ang software para sa naturang pagsubaybay? Sa isang pisikal na server, virtual machine, espesyal na device? Sa anong anyo dapat itago ang data? Kung gumagamit ng database, alin? Paano magsagawa ng mga backup at kinakailangan bang gawin ang mga ito? Paano pamahalaan? Aling interface ang dapat kong gamitin? Paano protektahan ang sistema? Aling paraan ng pag-encrypt ang gagamitin - at marami pang iba.
Ito ay mas simple kapag mayroong isang tiyak na pinag-isang mekanismo na kukuha sa sarili ng solusyon ng lahat ng mga nakalistang isyu, na iniiwan ang administrator na magtrabaho nang mahigpit sa loob ng balangkas ng kanyang mga detalye.
Ayon sa itinatag na tradisyon ng pagtawag sa terminong "cloud" lahat ng bagay na hindi matatagpuan sa isang naibigay na host, ang Zyxel CNM SecuReporter cloud service ay nagbibigay-daan sa iyo hindi lamang upang malutas ang maraming mga problema, ngunit nagbibigay din ng mga maginhawang tool.
Ano ang Zyxel CNM SecuReporter?
Ito ay isang matalinong serbisyo ng analytics na may mga function ng pagkolekta ng data, pagsusuri sa istatistika (correlation) at pag-uulat para sa kagamitan ng Zyxel ng linyang ZyWALL at sa kanila. Nagbibigay ito sa administrator ng network ng isang sentralisadong pagtingin sa iba't ibang aktibidad sa network.
Halimbawa, maaaring subukan ng mga umaatake na pumasok sa isang sistema ng seguridad gamit ang mga mekanismo ng pag-atake tulad ng patago, tinatarget ΠΈ magpumilit. Nakikita ng SecuReporter ang kahina-hinalang pag-uugali, na nagpapahintulot sa administrator na gawin ang mga kinakailangang hakbang sa pagprotekta sa pamamagitan ng pag-configure ng ZyWALL.
Siyempre, ang pagtiyak ng seguridad ay hindi maiisip nang walang patuloy na pagsusuri ng data na may mga babala sa real time. Maaari kang gumuhit ng magagandang graph hangga't gusto mo, ngunit kung hindi alam ng administrator kung ano ang nangyayari... Hindi, tiyak na hindi ito mangyayari sa SecuReporter!
Ilang tanong tungkol sa paggamit ng SecuReporter
Analitika
Sa totoo lang, ang pagsusuri sa kung ano ang nangyayari ay ang ubod ng pagbuo ng seguridad ng impormasyon. Sa pamamagitan ng pagsusuri sa mga kaganapan, maaaring pigilan o ihinto ng isang espesyalista sa seguridad ang isang pag-atake sa oras, pati na rin makakuha ng detalyadong impormasyon para sa muling pagtatayo upang mangolekta ng ebidensya.
Ano ang ibinibigay ng "cloud architecture"?
Ang serbisyong ito ay binuo sa modelong Software as a Service (SaaS), na ginagawang mas madali ang pagsukat gamit ang kapangyarihan ng mga malalayong server, mga distributed na data storage system, at iba pa. Ang paggamit ng modelo ng ulap ay nagbibigay-daan sa iyo na mag-abstract mula sa mga nuances ng hardware at software, na ilalaan ang lahat ng iyong mga pagsisikap sa paglikha at pagpapabuti ng serbisyo ng proteksyon.
Nagbibigay-daan ito sa user na makabuluhang bawasan ang halaga ng pagbili ng kagamitan para sa pag-iimbak, pagsusuri at pagbibigay ng access, at hindi na kailangang harapin ang mga isyu sa pagpapanatili tulad ng mga backup, pag-update, pag-iwas sa pagkabigo, at iba pa. Ito ay sapat na magkaroon ng isang aparato na sumusuporta sa SecuReporter at ang naaangkop na lisensya.
MAHALAGA! Sa pamamagitan ng cloud-based na arkitektura, ang mga administrador ng seguridad ay maaaring aktibong subaybayan ang kalusugan ng network anumang oras, kahit saan. Malulutas nito ang problema, kabilang ang mga bakasyon, bakasyon sa sakit, at iba pa. Ang pag-access sa kagamitan, halimbawa, ang pagnanakaw ng isang laptop kung saan na-access ang web interface ng SecuReporter, ay hindi rin magbubunga ng anuman, sa kondisyon na ang may-ari nito ay hindi lumalabag sa mga panuntunan sa seguridad, hindi nag-imbak ng mga password nang lokal, at iba pa.
Ang pagpipilian sa pamamahala ng ulap ay angkop para sa parehong mga mono-kumpanya na matatagpuan sa parehong lungsod at mga istruktura na may mga sangay. Ang nasabing pagsasarili sa lokasyon ay kailangan sa iba't ibang industriya, halimbawa, para sa mga service provider o software developer na ang negosyo ay ipinamamahagi sa iba't ibang lungsod.
Marami kaming pinag-uusapan tungkol sa mga posibilidad ng pagsusuri, ngunit ano ang ibig sabihin nito?
Ito ay iba't ibang tool sa analytics, halimbawa, mga buod ng dalas ng mga kaganapan, mga listahan ng Nangungunang 100 pangunahing (totoo at di-umano'y) biktima ng isang partikular na kaganapan, mga log na nagpapahiwatig ng mga partikular na target para sa pag-atake, at iba pa. Anumang bagay na tumutulong sa administrator na matukoy ang mga nakatagong uso at matukoy ang kahina-hinalang gawi ng mga user o serbisyo.
Paano ang pag-uulat?
Pinapayagan ka ng SecuReporter na i-customize ang form ng ulat at pagkatapos ay matanggap ang resulta sa format na PDF. Siyempre, kung gusto mo, maaari mong i-embed ang iyong logo, pamagat ng ulat, mga sanggunian o rekomendasyon sa ulat. Posibleng gumawa ng mga ulat sa oras ng kahilingan o sa isang iskedyul, halimbawa, isang beses sa isang araw, linggo o buwan.
Maaari mong i-configure ang pagpapalabas ng mga babala na isinasaalang-alang ang mga detalye ng trapiko sa loob ng imprastraktura ng network.
Posible bang bawasan ang panganib mula sa mga tagaloob o simpleng slob?
Ang espesyal na tool ng User Partially Quotient ay nagbibigay-daan sa administrator na mabilis na matukoy ang mga peligrosong user, nang walang karagdagang pagsisikap at isinasaalang-alang ang dependency sa pagitan ng iba't ibang mga log ng network o mga kaganapan.
Ibig sabihin, isinasagawa ang isang malalim na pagsusuri sa lahat ng kaganapan at trapiko na nauugnay sa mga user na nagpakita ng kanilang sarili bilang kahina-hinala.
Ano ang iba pang mga punto na karaniwan para sa SecuReporter?
Madaling pag-setup para sa mga end user (mga administrator ng seguridad).
Ang pag-activate ng SecuReporter sa cloud ay nangyayari sa pamamagitan ng isang simpleng pamamaraan sa pag-setup. Pagkatapos nito, agad na binibigyan ng access ang mga administrator sa lahat ng data, pagsusuri at mga tool sa pag-uulat.
Multi-Tenants sa isang cloud platform - maaari mong i-customize ang iyong analytics para sa bawat kliyente. Muli, habang dumarami ang iyong customer base, binibigyang-daan ka ng cloud architecture na madaling iakma ang iyong control system nang hindi sinasakripisyo ang kahusayan.
Mga batas sa proteksyon ng data
MAHALAGA! Napakasensitibo ng Zyxel sa mga internasyonal at lokal na batas at iba pang mga regulasyon tungkol sa proteksyon ng personal na data, kabilang ang GDPR at OECD Privacy Principles. Sinusuportahan ng Pederal na Batas "Sa Personal na Data" na may petsang Hulyo 27.07.2006, 152 No. XNUMX-FZ.
Upang matiyak ang pagsunod, ang SecuReporter ay may tatlong built-in na opsyon sa proteksyon sa privacy:
- non-anonymous na data - ang personal na data ay ganap na natukoy sa Analyzer, Report at nada-download na Mga Log ng Archive;
- bahagyang hindi nagpapakilala - ang personal na data ay pinapalitan ng kanilang mga artipisyal na pagkakakilanlan sa Mga Log ng Archive;
- ganap na anonymous - ang personal na data ay ganap na hindi nagpapakilala sa Analyzer, Report at nada-download na Mga Log ng Archive.
Paano ko paganahin ang SecuReporter sa aking device?
Tingnan natin ang halimbawa ng isang ZyWall device (sa kasong ito mayroon tayong ZyWall 1100). Pumunta sa seksyon ng mga setting (tab sa kanan na may isang icon sa anyo ng dalawang gears). Susunod, buksan ang seksyong Cloud CNM at piliin ang subsection na SecuReporter dito.
Upang payagan ang paggamit ng serbisyo, dapat mong i-activate ang elementong Paganahin ang SecuReporter. Bukod pa rito, sulit na gamitin ang opsyong Isama ang Log ng Trapiko upang mangolekta at suriin ang mga log ng trapiko.
Figure 1. Paganahin ang SecuReporter.
Ang pangalawang hakbang ay payagan ang pagkolekta ng mga istatistika. Ginagawa ito sa seksyong Pagsubaybay (tab sa kanan na may icon sa anyo ng isang monitor).
Susunod, pumunta sa seksyong UTM Statistics, App Patrol subsection. Dito kailangan mong i-activate ang opsyong Collect Statistics.
Figure 2. Paganahin ang koleksyon ng mga istatistika.
Iyon lang, maaari kang kumonekta sa web interface ng SecuReporter at gamitin ang serbisyo sa ulap.
MAHALAGA! Ang SecuReporter ay may mahusay na dokumentasyon sa format na PDF. Maaari mong i-download ito mula sa .
Paglalarawan ng web interface ng SecuReporter
Hindi posible na magbigay dito ng isang detalyadong paglalarawan ng lahat ng mga pag-andar na ibinibigay ng SecuReporter sa isang tagapangasiwa ng seguridad - medyo marami sa kanila para sa isang artikulo.
Samakatuwid, lilimitahan namin ang aming sarili sa isang maikling paglalarawan ng mga serbisyo na nakikita ng administrator at kung ano ang palagi niyang pinagtatrabahuhan. Kaya, alamin kung ano ang binubuo ng SecuReporter web console.
Mapa
Ipinapakita ng seksyong ito ang nakarehistrong kagamitan, na nagsasaad ng lungsod, pangalan ng device, at IP address. Nagpapakita ng impormasyon tungkol sa kung naka-on ang device at kung ano ang status ng babala. Sa Threat Map makikita mo ang pinagmulan ng mga packet na ginagamit ng mga umaatake at ang dalas ng pag-atake.
Tapalodo
Maikling impormasyon tungkol sa mga pangunahing aksyon at isang maigsi na analytical na pangkalahatang-ideya para sa tinukoy na panahon. Maaari kang tumukoy ng panahon mula 7 araw hanggang 1 oras.
Figure 3. Halimbawa ng hitsura ng seksyon ng Dashboard.
Analyzer
Ang pangalan ay nagsasalita para sa sarili nito. Ito ang console ng tool na may parehong pangalan, na nag-diagnose ng kahina-hinalang trapiko para sa isang napiling panahon, kinikilala ang mga uso sa paglitaw ng mga banta at nangongolekta ng impormasyon tungkol sa mga kahina-hinalang packet. Nasusubaybayan ng Analyzer ang pinakakaraniwang nakakahamak na code, pati na rin magbigay ng karagdagang impormasyon tungkol sa mga isyu sa seguridad.
Larawan 4. Halimbawa ng hitsura ng seksyon ng Analyzer.
Ulat
Sa seksyong ito, may access ang user sa mga custom na ulat na may graphical na interface. Ang kinakailangang impormasyon ay maaaring kolektahin at i-compile sa isang maginhawang presentasyon kaagad o sa isang naka-iskedyul na batayan.
Mga alerto
Dito mo iko-configure ang sistema ng babala. Maaaring i-configure ang mga limitasyon at iba't ibang antas ng kalubhaan, na ginagawang mas madaling matukoy ang mga anomalya at potensyal na pag-atake.
Setting
Sa totoo lang, ang mga setting ay mga setting.
Bukod pa rito, nararapat na tandaan na maaaring suportahan ng SecuReporter ang iba't ibang mga patakaran sa proteksyon kapag nagpoproseso ng personal na data.
Konklusyon
Ang mga lokal na pamamaraan para sa pagsusuri ng mga istatistikang nauugnay sa seguridad, sa prinsipyo, ay napatunayang mabuti ang kanilang mga sarili.
Gayunpaman, ang saklaw at kalubhaan ng mga banta ay tumataas araw-araw. Ang antas ng proteksyon na dati ay nasiyahan sa lahat ay nagiging mahina pagkalipas ng ilang panahon.
Bilang karagdagan sa mga nakalistang problema, ang paggamit ng mga lokal na tool ay nangangailangan ng ilang partikular na pagsisikap upang mapanatili ang functionality (pagpapanatili ng kagamitan, backup, at iba pa). Mayroon ding problema sa malayong lokasyon - hindi laging posible na panatilihin ang tagapangasiwa ng seguridad sa opisina 24 na oras, 7 araw sa isang linggo. Samakatuwid, kailangan mong ayusin ang ligtas na pag-access sa lokal na sistema mula sa labas at panatilihin ito sa iyong sarili.
Ang paggamit ng mga serbisyo ng ulap ay nagbibigay-daan sa iyo upang maiwasan ang mga naturang problema, partikular na nakatuon sa pagpapanatili ng kinakailangang antas ng seguridad at proteksyon mula sa mga panghihimasok, pati na rin ang mga paglabag sa mga patakaran ng mga gumagamit.
Ang SecuReporter ay isang halimbawa lamang ng matagumpay na pagpapatupad ng naturang serbisyo.
Aksyon
Simula ngayon, may pinagsamang promosyon sa pagitan ng Zyxel at ng aming Gold Partner X-Com para sa mga mamimili ng mga firewall na sumusuporta sa Secureporter:
Kapaki-pakinabang na mga link
[1] .
[2] sa website sa opisyal na website ng Zyxel.
[3] .
Pinagmulan: www.habr.com