Deneyimsiz insanların zihninde, bir güvenlik yöneticisinin işi, bir anti-hacker ile kurumsal ağı sürekli istila eden kötü bilgisayar korsanları arasındaki heyecan verici bir düelloya benziyor. Ve kahramanımız, gerçek zamanlı olarak, komutları ustaca ve hızlı bir şekilde girerek cesur saldırıları püskürtür ve sonuçta harika bir kazanan olarak ortaya çıkar.
Tıpkı kılıç ve tüfek yerine klavye kullanan bir kraliyet silahşörü gibi.
Ancak gerçekte her şey sıradan, iddiasız ve hatta sıkıcı bile söylenebilir.
Ana analiz yöntemlerinden biri hala olay günlüklerini okumaktır. Konuyla ilgili kapsamlı çalışma:
- Kimin nereden nereye girmeye çalıştığı, hangi kaynağa erişmeye çalıştığı, kaynağa erişim hakkını nasıl kanıtladığı;
- ne tür başarısızlıklar, hatalar ve sadece şüpheli tesadüfler vardı;
- sistemin gücünü kim ve nasıl test etti, portları taradı, seçilen şifreleri;
- Vesaire vesaire…
Peki, burada romantizm nedir, Tanrı korusun, "araba kullanırken uyuyakalmazsın."
Uzmanlarımızın sanata olan sevgilerini tamamen kaybetmemeleri için, onlar için hayatı kolaylaştıracak araçlar icat ediliyor. Bunlar her türden analizör (günlük ayrıştırıcılar), kritik olayların bildirildiği izleme sistemleri ve çok daha fazlasıdır.
Bununla birlikte, iyi bir araç alıp onu her cihaza, örneğin bir İnternet ağ geçidine manuel olarak vidalamaya başlarsanız, bu o kadar basit olmayacak, o kadar da kullanışlı olmayacaktır ve diğer şeylerin yanı sıra, tamamen farklı kaynaklardan ek bilgiye sahip olmanız gerekir. alanlar. Örneğin, bu tür bir izleme için yazılım nereye yerleştirilmelidir? Fiziksel bir sunucuda, sanal makinede, özel bir cihazda mı? Veriler hangi biçimde saklanmalı? Bir veritabanı kullanılıyorsa hangisi? Yedekleme nasıl yapılır ve yapılması gerekli midir? Nasıl yönetilir? Hangi arayüzü kullanmalıyım? Sistem nasıl korunur? Hangi şifreleme yönteminin kullanılacağı ve çok daha fazlası.
Listelenen tüm sorunların çözümünü üstlenen ve yöneticinin kesinlikle kendi özellikleri çerçevesinde çalışmasına izin veren belirli bir birleşik mekanizmanın olması çok daha kolaydır.
Belirli bir ana bilgisayarda bulunmayan her şeye "bulut" terimini çağırma şeklindeki yerleşik geleneğe göre, Zyxel CNM SecuReporter bulut hizmeti yalnızca birçok sorunu çözmenize olanak sağlamakla kalmaz, aynı zamanda kullanışlı araçlar da sağlar
Zyxel CNM SecuReporter nedir?
Bu, ZyWALL serisinin Zyxel ekipmanları ve onlarınki için veri toplama, istatistiksel analiz (korelasyon) ve raporlama işlevlerine sahip akıllı bir analiz hizmetidir. Ağ yöneticisine ağdaki çeşitli etkinliklerin merkezi bir görünümünü sağlar.
Örneğin saldırganlar, aşağıdaki gibi saldırı mekanizmalarını kullanarak bir güvenlik sistemine sızmaya çalışabilir: gizli, hedefli и inat. SecuReporter şüpheli davranışları tespit ederek yöneticinin ZyWALL'u yapılandırarak gerekli koruyucu önlemleri almasına olanak tanır.
Elbette gerçek zamanlı uyarılarla sürekli veri analizi yapılmadan güvenliğin sağlanması düşünülemez. Dilediğiniz kadar güzel grafikler çizebilirsiniz ama eğer yönetici olan bitenden haberdar değilse... Hayır, SecuReporter'da bu kesinlikle olamaz!
SecuReporter'ı kullanmayla ilgili bazı sorular
Analytics
Aslında olup bitenlerin analizi, bilgi güvenliği oluşturmanın özüdür. Bir güvenlik uzmanı, olayları analiz ederek bir saldırıyı zamanında önleyebilir veya durdurabilir, ayrıca kanıt toplamak amacıyla yeniden yapılandırma için ayrıntılı bilgiler elde edebilir.
“Bulut mimarisi” ne sağlar?
Bu hizmet, uzak sunucuların, dağıtılmış veri depolama sistemlerinin vb. gücünü kullanarak ölçeklendirmeyi kolaylaştıran Hizmet Olarak Yazılım (SaaS) modeli üzerine kurulmuştur. Bulut modelinin kullanılması, donanım ve yazılım nüanslarından soyutlamanıza, tüm çabalarınızı koruma hizmeti oluşturmaya ve geliştirmeye ayırmanıza olanak tanır.
Bu, kullanıcının depolama, analiz ve erişim sağlanması için ekipman satın alma maliyetini önemli ölçüde azaltmasına olanak tanır ve yedekleme, güncelleme, arıza önleme vb. gibi bakım sorunlarıyla uğraşmaya gerek kalmaz. SecuReporter'ı destekleyen bir cihaza ve uygun lisansa sahip olmanız yeterlidir.
ÖNEMLİ! Bulut tabanlı bir mimariyle güvenlik yöneticileri ağ sağlığını her zaman, her yerde proaktif olarak izleyebilir. Bu, tatiller, hastalık izni vb. dahil olmak üzere sorunu çözer. Ekipmana erişim, örneğin SecuReporter web arayüzüne erişilen bir dizüstü bilgisayarın çalınması da, sahibinin güvenlik kurallarını ihlal etmemesi, şifreleri yerel olarak saklamaması vb. sürece hiçbir sonuç vermeyecektir.
Bulut yönetimi seçeneği hem aynı şehirde bulunan tek şirketler hem de şubeleri olan yapılar için çok uygundur. Bu tür bir konum bağımsızlığına, örneğin işleri farklı şehirlere dağılmış olan hizmet sağlayıcılar veya yazılım geliştiriciler için çeşitli sektörlerde ihtiyaç duyulmaktadır.
Analizin olasılıkları hakkında çok konuşuyoruz ama bu ne anlama geliyor?
Bunlar çeşitli analiz araçlarıdır; örneğin olayların sıklığının özetleri, belirli bir olayın ilk 100 ana (gerçek ve iddia edilen) kurbanının listeleri, saldırı için belirli hedefleri gösteren günlükler vb. Yöneticinin gizli eğilimleri belirlemesine ve kullanıcıların veya hizmetlerin şüpheli davranışlarını belirlemesine yardımcı olan her şey.
Raporlamaya ne dersiniz?
SecuReporter, rapor formunu özelleştirmenize ve ardından sonucu PDF formatında almanıza olanak tanır. Elbette dilerseniz logonuzu, rapor başlığınızı, referanslarınızı veya önerilerinizi rapora dahil edebilirsiniz. Talep anında veya bir programa göre örneğin günde, haftada veya ayda bir kez rapor oluşturmak mümkündür.
Ağ altyapısındaki trafiğin özelliklerini dikkate alarak uyarıların verilmesini yapılandırabilirsiniz.
İçeridekilerden veya sadece serserilerden kaynaklanan tehlikeyi azaltmak mümkün mü?
Özel Kullanıcı Kısmi Bölüm aracı, yöneticinin riskli kullanıcıları ek bir çaba harcamadan ve farklı ağ günlükleri veya olayları arasındaki bağımlılığı dikkate alarak hızlı bir şekilde belirlemesine olanak tanır.
Yani şüpheli olduğunu gösteren kullanıcılarla ilişkili tüm olayların ve trafiğin derinlemesine bir analizi gerçekleştirilir.
SecuReporter için başka hangi noktalar tipiktir?
Son kullanıcılar (güvenlik yöneticileri) için kolay kurulum.
SecuReporter'ın bulutta etkinleştirilmesi basit bir kurulum prosedürüyle gerçekleşir. Bundan sonra yöneticilere anında tüm verilere, analiz ve raporlama araçlarına erişim hakkı verilir.
Tek bir bulut platformunda Çoklu Kiracılar - analizlerinizi her müşteri için özelleştirebilirsiniz. Yine müşteri tabanınız arttıkça bulut mimarisi, verimlilikten ödün vermeden kontrol sisteminizi kolayca uyarlamanıza olanak tanır.
Veri koruma yasaları
ÖNEMLİ! Zyxel, GDPR ve OECD Gizlilik İlkeleri de dahil olmak üzere kişisel verilerin korunmasına ilişkin uluslararası ve yerel yasalara ve diğer düzenlemelere karşı çok hassastır. 27.07.2006 Temmuz 152 tarihli ve XNUMX-FZ sayılı “Kişisel Verilere İlişkin” Federal Kanun tarafından desteklenmektedir.
Uyumluluğu sağlamak için SecuReporter'ın üç yerleşik gizlilik koruma seçeneği vardır:
- anonim olmayan veriler - kişisel veriler Analizörde, Raporda ve indirilebilir Arşiv Günlüklerinde tam olarak tanımlanır;
- kısmen anonim - kişisel veriler Arşiv Günlüklerinde yapay tanımlayıcılarıyla değiştirilir;
- tamamen anonimdir - kişisel veriler Analizör, Rapor ve indirilebilir Arşiv Günlüklerinde tamamen anonimleştirilir.
Cihazımda SecuReporter'ı nasıl etkinleştiririm?
ZyWall cihazı örneğine bakalım (bu durumda elimizde bir ZyWall 1100 var). Ayarlar bölümüne gidin (sağdaki sekmede iki vites şeklinde bir simge bulunur). Daha sonra Cloud CNM bölümünü açın ve içindeki SecuReporter alt bölümünü seçin.
Hizmetin kullanımına izin vermek için SecuReporter'ı Etkinleştir öğesini etkinleştirmelisiniz. Ayrıca, trafik günlüklerini toplamak ve analiz etmek için Trafik Günlüğünü Dahil Et seçeneğini kullanmak faydalı olacaktır.
Şekil 1. SecuReporter'ı Etkinleştirme.
İkinci adım istatistik toplanmasına izin vermektir. Bu, İzleme bölümünde yapılır (monitör biçiminde bir simgenin bulunduğu sağdaki sekme).
Ardından UTM İstatistikleri bölümüne, Uygulama Devriyesi alt bölümüne gidin. Burada İstatistikleri Topla seçeneğini aktif hale getirmeniz gerekmektedir.
Şekil 2. İstatistik toplamanın etkinleştirilmesi.
İşte bu kadar, SecuReporter web arayüzüne bağlanıp bulut hizmetini kullanabilirsiniz.
ÖNEMLİ! SecuReporter, PDF formatında mükemmel belgelere sahiptir. Şuradan indirebilirsiniz .
SecuReporter web arayüzünün açıklaması
SecuReporter'ın bir güvenlik yöneticisine sağladığı tüm işlevlerin ayrıntılı bir açıklamasını burada vermek mümkün olmayacaktır - bir makale için oldukça fazla sayıda işlev vardır.
Bu nedenle yöneticinin gördüğü hizmetlerin ve sürekli neyle çalıştığının kısa bir açıklamasıyla kendimizi sınırlayacağız. SecuReporter web konsolunun nelerden oluştuğunu öğrenin.
Harita
Bu bölüm, şehri, cihaz adını ve IP adresini belirterek kayıtlı ekipmanı görüntüler. Cihazın açık olup olmadığına ve uyarı durumunun ne olduğuna ilişkin bilgileri görüntüler. Tehdit Haritası üzerinde saldırganların kullandığı paketlerin kaynağını ve saldırı sıklığını görebilirsiniz.
Kullanıcı Paneli
Ana eylemler hakkında kısa bilgi ve belirtilen döneme ilişkin kısa bir analitik genel bakış. 7 günden 1 saate kadar bir süre belirleyebilirsiniz.
Şekil 3. Kontrol Paneli bölümünün görünüm örneği.
analizör
Adı kendisi için konuşur. Bu, seçilen bir süre için şüpheli trafiği teşhis eden, tehditlerin ortaya çıkmasındaki eğilimleri belirleyen ve şüpheli paketler hakkında bilgi toplayan aynı adlı aracın konsoludur. Analizör, en yaygın kötü amaçlı kodları izleyebilmenin yanı sıra, güvenlik sorunlarıyla ilgili ek bilgiler de sağlayabilir.
Şekil 4. Analizör bölümünün görünüm örneği.
Rapor
Bu bölümde kullanıcı özel raporlara grafiksel bir arayüzle erişebilir. Gerekli bilgiler derhal veya planlı bir şekilde toplanıp uygun bir sunum halinde derlenebilir.
Uyarılar
Uyarı sistemini yapılandıracağınız yer burasıdır. Eşikler ve farklı önem düzeyleri yapılandırılabilir, böylece anormallikleri ve olası saldırıları tespit etmek daha kolay hale gelir.
Ayar
Aslında ayarlar ayarlardır.
Ayrıca SecuReporter'ın kişisel verileri işlerken farklı koruma politikalarını destekleyebildiğini de belirtmekte fayda var.
Sonuç
Güvenlikle ilgili istatistiklerin analizine yönelik yerel yöntemler prensipte kendilerini oldukça iyi kanıtlamıştır.
Ancak tehditlerin kapsamı ve şiddeti her geçen gün artıyor. Daha önce herkesi memnun eden koruma düzeyi bir süre sonra oldukça zayıflıyor.
Listelenen sorunlara ek olarak, yerel araçların kullanımı, işlevselliği sürdürmek için (ekipman bakımı, yedekleme vb.) belirli çabalar gerektirir. Ayrıca uzak konum sorunu da var; güvenlik yöneticisini haftanın 24 günü 7 saat ofiste tutmak her zaman mümkün olmuyor. Bu nedenle, yerel sisteme dışarıdan güvenli erişimi bir şekilde organize etmeniz ve bunu kendiniz sürdürmeniz gerekir.
Bulut hizmetlerinin kullanımı, özellikle gerekli güvenlik düzeyini korumaya ve izinsiz girişlere karşı korumanın yanı sıra kullanıcılar tarafından yapılan kural ihlallerine odaklanarak bu tür sorunlardan kaçınmanıza olanak tanır.
SecuReporter böyle bir hizmetin başarılı bir şekilde uygulanmasının yalnızca bir örneğidir.
eylem
Bugünden itibaren Zyxel ve Gold Ortağımız X-Com arasında Secureporter'ı destekleyen güvenlik duvarı alıcılarına yönelik ortak bir promosyon var:
Faydalı linkler
[1] .
[2] resmi Zyxel web sitesindeki web sitesinde.
[3] .
Kaynak: habr.com