У поданні недосвідчених людей робота адміністратора безпеки виглядає як захоплюючий поєдинок антихакера зі злими хакерами, які постійно вторгаються в корпоративну мережу. А наш герой у режим реального часу спритним та швидким введенням команд відбиває сміливі випади і в результаті виходить блискучим переможцем.
Прямо королівський мушкетер із клавіатурою замість шпаги та мушкета.
А насправді все виглядає повсякденно, невигадливо, і навіть, можна сказати, нудно.
Одним із головних методів аналізу досі залишається читання журналів реєстрації подій. Ретельне вивчення щодо:
- хто звідки куди намагався увійти, якого ресурсу намагався отримати доступ, як доводив свої права доступу до ресурсу;
- які були збої, помилки та просто підозрілі збіги;
- хто як пробував систему на міцність, сканував порти, підбирав паролі;
- і так далі і тому подібне…
Ну яка ж тут, до біса, романтика, дай боже «не заснути за кермом».
Щоб наші фахівці не втратили любов до мистецтва, для них винаходяться інструменти, що полегшують життя. Це всілякі аналізатори (парсери логів), системи моніторингу з оповіщенням про критичні події та багато іншого.
Однак, якщо взяти хороший інструмент і почати його прикручувати вручну до кожного пристрою, наприклад, Інтернет-шлюзу - це буде не так просто, не так зручно, і крім усього іншого потрібно мати додаткові знання з різних областей. Наприклад, де розміщувати програмне забезпечення для такого моніторингу? На фізичному сервері, віртуальній машині, спеціальному пристрої? Як зберігати дані? Якщо використовується база даних, яка? Як виконувати резервне копіювання та чи треба його виконувати? Як здійснювати управління? Який інтерфейс використовувати? Як захистити систему? Який метод шифрування використовувати – і багато іншого.
Набагато простіше, коли є якийсь єдиний механізм, який бере на себе вирішення всіх перелічених питань, надавши адміністратору роботу в рамках його специфіки.
За традицією називати терміном «хмара» все, що не розташовується на даному хості, хмарний сервіс Zyxel CNM SecuReporter дозволяє не тільки вирішити багато проблем, але надає зручні інструменти
Що таке Zyxel CNM SecuReporter?
Це інтелектуальний сервіс аналітики з функціями збору даних, статистичного аналізу (кореляції) та побудови звітів для обладнання Zyxel лінійки ZyWALL та їх. Він надає мережевому адміністратору централізовану картину різних дій у мережі.
Наприклад, зловмисники можуть спробувати зламати систему захисту, використовуючи механізми атак типу stealthy, targeted и упиратися. SecuReporter обчислює підозрілу поведінку, що дає можливість адміністратору вжити необхідних заходів захисту за допомогою налаштування ZyWALL.
Зрозуміло, забезпечення безпеки неможливо без постійного аналіз даних із видачею попереджень, як реального часу. Можна як завгодно малювати красиві графіки, але якщо адміністратор не в курсі того, що відбувається… Ні, такого з SecuReporter точно не може бути!
Деякі питання використання SecuReporter
Аналітика
Власне, аналіз того, що відбувається, — це і є стрижень побудови інформаційної безпеки. Аналізуючи події, фахівець із безпеки може запобігти або вчасно зупинити атаку, а також отримати детальну інформацію для реконструкції з метою збирання доказів.
Що дає «хмарна архітектура»?
Даний сервіс побудований за моделлю Software as a Service (SaaS), що дозволяє спростити масштабування, використовуючи потужності віддалених серверів, розподілених систем зберігання даних тощо. Застосування хмарної моделі дозволяє абстрагуватися від апаратних та програмних нюансів, кинувши всі сили саме на створення та покращення сервісу захисту.
Користувачеві це дозволяє суттєво знизити витрати на закупівлю обладнання для зберігання, аналізу та надання доступу, а також немає потреби займатися опитуваннями обслуговування, такими як резервне копіювання, оновлення, профілактика збоїв тощо. Достатньо мати пристрій, який підтримує роботу з SecuReporter та відповідну ліцензію.
ВАЖЛИВО! Завдяки хмарній архітектурі адміністратори безпеки можуть проактивно вести моніторинг стану мережі у будь-який час та у будь-якому місці. Це вирішує проблему, зокрема, і з відпустками, лікарняними тощо. Доступ до обладнання, наприклад, крадіжка ноутбука, з якого здійснювався доступ до web-інтерфейсу SecuReporter, також нічого не дасть, за умови, що його власник не порушував правила безпеки, не зберігав локально паролі і так далі.
Варіант хмарного керування добре підходить як для моно-компаній, що розташовуються в одному місті, так і для структур з філіями. Подібна незалежність від розташування потрібна в різних галузях, наприклад, для сервіс-провайдерів, або розробників програмного забезпечення, бізнес яких розподілений по різних містах.
Ми багато говоримо про можливості аналізу, а що під цим розуміється?
Це різні інструменти аналітики, наприклад, зведення частоти подій, списки Top-100 основних (реальних та передбачуваних) жертв певної події, журнали із зазначенням конкретних цілей для атаки тощо. Все, що допомагає адміністратору визначити приховані тенденції та обчислити підозрілу поведінку користувачів або служб.
А що зі звітністю?
У SecuReporter можна налаштувати форму звітів і потім отримати результат у форматі PDF. Зрозуміло, за бажанням можна вкласти у звіт свій логотип, назву звіту, довідки чи рекомендації. Передбачено створення звітів у момент звернення або за розкладом, наприклад, щодня, тиждень чи місяць.
Можна настроїти видачу попереджень з урахуванням специфіки трафіку в межах інфраструктури мережі.
Чи можна знизити небезпеку від інсайдерів чи просто розгильдяїв?
Спеціальний інструмент User Partially Quotient дозволяє адміністратору швидко обчислити користувачів, що створюють ризики, без додаткових зусиль і з урахуванням залежності між різними мережевими журналами або подіями.
Тобто проводиться поглиблений аналіз усіх подій та трафіку, які пов'язані з користувачами, які виявили себе підозріло.
Які ще моменти характерні для SecuReporter?
Просте налаштування для кінцевих користувачів (адміністраторів безпеки).
Активізація SecuReporter у хмарі відбувається за допомогою простої процедури налаштування. Після цього адміністраторам одразу надається доступ до всіх даних, засобів аналізу та звітності.
Multi-Tenants на єдиній хмарній платформі можна налаштувати свою аналітику для кожного клієнта. Знову ж таки, при збільшенні клієнтської бази завдяки хмарній архітектурі можна легко адаптувати систему контролю без шкоди для ефективності.
Закони про захист даних
ВАЖЛИВО! Zyxel дуже трепетно ставиться до міжнародних та місцевих законів та інших нормативних актів щодо захисту особистих даних, у тому числі GDPR та OECD Privacy Principles. Підтримує Федеральний закон «Про персональні дані» від 27.07.2006 № 152-ФЗ.
Щоб забезпечити відповідність вимогам, SecuReporter має три опції захисту особистих даних:
- неанонімні дані — особисті дані повністю ідентифікуються в Analyzer, Report та Archive Logs, що завантажуються;
- частково анонімні - особисті дані замінюють їх штучні ідентифікатори в Archive Logs;
- повністю анонімні — особисті дані повністю анонімізуються в Analyzer, Report та Archive Logs, що завантажуються.
Як увімкнути використання SecuReporter на пристрої?
Розглянемо з прикладу пристрою ZyWall (у разі у нас ZyWall 1100). Заходимо до розділу налаштування (вкладка праворуч з іконкою у вигляді двох шестерень). Далі розкриваємо розділ Cloud CNM та у ньому вибираємо підрозділ SecuReporter.
Щоб дозволити використання сервісу, потрібно активувати елемент Enable SecuReporter. Додатково варто використовувати опцію Include Traffic Log для збору та аналізу журналів трафіку.
Малюнок 1. Увімкнення SecuReporter.
Другим кроком потрібно дозволити збирання статистики. Робиться це у розділі Monitoring (вкладка праворуч із іконкою у вигляді монітора).
Далі переходимо до розділу UTM Statistics, підрозділ App Patrol. Тут необхідно активувати опцію Collect Statistics.
Малюнок 2. Увімкнення збору статистики.
Все, можна підключатися до web-інтерфейсу SecuReporter і використовувати хмарний сервіс.
ВАЖЛИВО! Для SecuReporter є чудова документація у форматі PDF. Завантажити її можна по .
Опис Web-інтерфейсу SecuReporter
Навести тут докладну розповідь про всі функції, які надає SecuReporter адміністратору безпеки, не вийде — їх досить багато для однієї статті.
Тому обмежимося коротким описом сервісів, які бачить адміністратор та з чим він працює постійно. Отже, знайомтесь із чого складається web-консоль SecuReporter.
Map (Карта)
У цьому розділі відображається зареєстроване обладнання із зазначенням міста, імені пристрою, IP-адреси. Відображається інформація про те, чи пристрій увімкнено, і який статус попереджень. На карті Threat Map можна бачити джерело пакетів, які застосовують зловмисники, та частота атак.
Інформаційна панель
Коротка інформація про основні дії та стислий аналітичний огляд за вказаний період. Можна вказати термін від 7 днів і до 1 години.
Рисунок 3. Приклад зовнішнього вигляду розділу Dashboard.
Аналізатор
Назва говорить сама за себе. Це консоль однойменного інструменту, який діагностує підозрілий трафік за вибраний період, виявляє тенденції появи загроз та збирає інформацію про підозрілі пакети. Analyzer здатний відстежити найпоширеніший шкідливий код, а також надати додаткову інформацію щодо проблем безпеки.
Рисунок 4. Приклад зовнішнього вигляду розділу Analyzer.
Report (Звіт)
У цьому розділі користувачеві доступні звіти, що настроюються з графічним інтерфейсом. Необхідна інформація може бути зібрана та сформована у вигляді зручного подання негайно, або за складеним розкладом.
Alerts (Попередження)
Тут здійснюється настроювання системи попереджень. Можна налаштувати порогові значення та різний рівень важливості, що спрощує процес виявлення аномалій та потенційних атак.
Setting (Параметри)
Ну, власне, налаштування і є налаштування.
Додатково слід зазначити, що SecuReporter може підтримувати різні політики захисту під час обробки особистих даних.
Висновок
Локальні методи аналізу статистики, пов'язаної із забезпеченням безпеки, в принципі непогано себе зарекомендували.
Однак діапазон та серйозність загроз збільшуються з кожним днем. Той рівень захисту, який раніше всіх влаштовував, через якийсь час стає слабким.
Крім перерахованих проблем, використання локальних засобів потребує певних зусиль щодо підтримки працездатності (обслуговування обладнання, резервне копіювання тощо). Існує і проблема віддаленого розташування - не завжди виходить тримати адміністратора безпеки в офісі 24 години 7 днів на тиждень. Тому потрібно якось організувати безпечний доступ до локальної системи ззовні та обслуговувати це самотужки.
Застосування хмарних сервісів дозволяє уникнути таких проблем, зосередившись саме на підтримці потрібного рівня безпеки та захисті від вторгнень, а також порушень правил з боку користувачів.
SecuReporter — це якраз і є прикладом вдалої реалізації такого сервісу.
Акція
З сьогоднішнього дня для покупців міжмережевих екранів, що підтримують Secureporter, діє спільна акція Zyxel і нашого Золотого Партнера компанії X-Com:
Корисні посилання
[1] .
[2] на сайті на офіційному сайті Zyxel.
[3] .
Джерело: habr.com