Trong suy nghĩ của những người thiếu kinh nghiệm, công việc của một quản trị viên bảo mật giống như một cuộc đọ sức thú vị giữa một anti-hacker và những hacker độc ác liên tục xâm chiếm mạng công ty. Và anh hùng của chúng ta, trong thời gian thực, đã đẩy lùi các cuộc tấn công táo bạo bằng cách nhập lệnh một cách khéo léo và nhanh chóng và cuối cùng trở thành người chiến thắng xuất sắc.
Giống như một người lính ngự lâm hoàng gia với bàn phím thay vì kiếm và súng hỏa mai.
Nhưng trên thực tế, mọi thứ trông bình thường, khiêm tốn và thậm chí có thể nói là nhàm chán.
Một trong những phương pháp phân tích chính vẫn là đọc nhật ký sự kiện. Nghiên cứu kỹ lưỡng về chủ đề:
- ai đã cố gắng truy cập từ đâu, từ đâu, họ đã cố truy cập tài nguyên gì, họ đã chứng minh quyền truy cập tài nguyên của mình như thế nào;
- đã có những thất bại, sai sót và sự trùng hợp đáng ngờ nào;
- ai và bằng cách nào đã kiểm tra độ mạnh của hệ thống, quét cổng, chọn mật khẩu;
- Vân vân và vân vân…
Chà, lãng mạn ở đây là cái quái gì vậy, Chúa cấm “bạn không được ngủ gật khi đang lái xe.”
Để các chuyên gia của chúng tôi không hoàn toàn mất đi tình yêu với nghệ thuật, các công cụ được phát minh ra dành cho họ để giúp cuộc sống trở nên dễ dàng hơn. Đây là tất cả các loại máy phân tích (trình phân tích nhật ký), hệ thống giám sát có thông báo về các sự kiện quan trọng, v.v.
Tuy nhiên, nếu bạn sử dụng một công cụ tốt và bắt đầu gắn nó theo cách thủ công vào từng thiết bị, chẳng hạn như cổng Internet, thì nó sẽ không đơn giản, không tiện lợi và ngoài những thứ khác, bạn cần phải có thêm kiến thức từ những thứ hoàn toàn khác nhau. khu vực. Ví dụ, đặt phần mềm để giám sát như vậy ở đâu? Trên máy chủ vật lý, máy ảo, thiết bị đặc biệt? Dữ liệu nên được lưu trữ ở dạng nào? Nếu sử dụng cơ sở dữ liệu thì cơ sở dữ liệu nào? Làm thế nào để thực hiện sao lưu và có cần thiết phải thực hiện chúng không? Làm thế nào để quản lý? Tôi nên sử dụng giao diện nào? Làm thế nào để bảo vệ hệ thống? Nên sử dụng phương pháp mã hóa nào - và hơn thế nữa.
Sẽ đơn giản hơn nhiều khi có một cơ chế thống nhất nhất định tự giải quyết tất cả các vấn đề được liệt kê, khiến quản trị viên phải làm việc nghiêm ngặt trong khuôn khổ các chi tiết cụ thể của mình.
Theo truyền thống gọi thuật ngữ “đám mây” là mọi thứ không nằm trên một máy chủ nhất định, dịch vụ đám mây Zyxel CNM SecuReporter cho phép bạn không chỉ giải quyết nhiều vấn đề mà còn cung cấp các công cụ tiện lợi
Zyxel CNM SecuReporter là gì?
Đây là dịch vụ phân tích thông minh với chức năng thu thập dữ liệu, phân tích thống kê (tương quan) và báo cáo cho thiết bị Zyxel thuộc dòng ZyWALL và của họ. Nó cung cấp cho quản trị viên mạng một cái nhìn tập trung về các hoạt động khác nhau trên mạng.
Ví dụ: kẻ tấn công có thể cố gắng đột nhập vào hệ thống bảo mật bằng các cơ chế tấn công như lén lút, có mục tiêu и cố chấp. SecuReporter phát hiện hành vi đáng ngờ, cho phép quản trị viên thực hiện các biện pháp bảo vệ cần thiết bằng cách định cấu hình ZyWALL.
Tất nhiên, việc đảm bảo an ninh là điều không thể tưởng tượng được nếu không phân tích dữ liệu liên tục kèm theo các cảnh báo trong thời gian thực. Bạn có thể vẽ những biểu đồ đẹp bao nhiêu tùy thích, nhưng nếu quản trị viên không biết chuyện gì đang xảy ra... Không, điều này chắc chắn không thể xảy ra với SecuReporter!
Một số câu hỏi về việc sử dụng SecuReporter
Analytics
Trên thực tế, việc phân tích những gì đang diễn ra là cốt lõi của việc xây dựng bảo mật thông tin. Bằng cách phân tích các sự kiện, chuyên gia bảo mật có thể ngăn chặn hoặc ngăn chặn kịp thời một cuộc tấn công, cũng như thu thập thông tin chi tiết để tái thiết nhằm thu thập bằng chứng.
“Kiến trúc đám mây” cung cấp những gì?
Dịch vụ này được xây dựng trên mô hình Phần mềm dưới dạng dịch vụ (SaaS), giúp mở rộng quy mô dễ dàng hơn bằng cách sử dụng sức mạnh của máy chủ từ xa, hệ thống lưu trữ dữ liệu phân tán, v.v. Việc sử dụng mô hình đám mây cho phép bạn loại bỏ các sắc thái phần cứng và phần mềm, dành mọi nỗ lực của mình để tạo và cải thiện dịch vụ bảo vệ.
Điều này cho phép người dùng giảm đáng kể chi phí mua thiết bị để lưu trữ, phân tích và cung cấp quyền truy cập, đồng thời không cần phải giải quyết các vấn đề bảo trì như sao lưu, cập nhật, ngăn ngừa lỗi, v.v. Chỉ cần có một thiết bị hỗ trợ SecuReporter và giấy phép phù hợp là đủ.
QUAN TRỌNG! Với kiến trúc dựa trên đám mây, quản trị viên bảo mật có thể chủ động theo dõi tình trạng mạng mọi lúc, mọi nơi. Điều này giải quyết được vấn đề, bao gồm cả việc nghỉ phép, nghỉ ốm, v.v. Việc truy cập vào thiết bị, chẳng hạn như đánh cắp máy tính xách tay mà từ đó giao diện web SecuReporter được truy cập, cũng sẽ không mang lại kết quả gì, miễn là chủ sở hữu của nó không vi phạm các quy tắc bảo mật, không lưu trữ mật khẩu cục bộ, v.v.
Tùy chọn quản lý đám mây rất phù hợp cho cả các công ty đơn lẻ nằm trong cùng thành phố và các công ty có chi nhánh. Sự độc lập về vị trí như vậy là cần thiết trong nhiều ngành công nghiệp, ví dụ như đối với các nhà cung cấp dịch vụ hoặc nhà phát triển phần mềm có hoạt động kinh doanh được phân bổ trên các thành phố khác nhau.
Chúng ta nói rất nhiều về khả năng phân tích, nhưng điều này có nghĩa là gì?
Đây là các công cụ phân tích khác nhau, chẳng hạn như bản tóm tắt về tần suất của các sự kiện, danh sách 100 nạn nhân chính (thực sự và bị cáo buộc) của một sự kiện nhất định, nhật ký chỉ ra các mục tiêu cụ thể để tấn công, v.v. Bất cứ điều gì giúp quản trị viên xác định các xu hướng tiềm ẩn và xác định hành vi đáng ngờ của người dùng hoặc dịch vụ.
Còn việc báo cáo thì sao?
SecuReporter cho phép bạn tùy chỉnh biểu mẫu báo cáo và sau đó nhận kết quả ở định dạng PDF. Tất nhiên, nếu muốn, bạn có thể nhúng logo, tiêu đề báo cáo, tài liệu tham khảo hoặc đề xuất của mình vào báo cáo. Có thể tạo báo cáo tại thời điểm yêu cầu hoặc theo lịch trình, ví dụ: mỗi ngày, một tuần hoặc một tháng.
Bạn có thể định cấu hình việc đưa ra cảnh báo có tính đến các thông tin cụ thể về lưu lượng truy cập trong cơ sở hạ tầng mạng.
Có thể giảm thiểu mối nguy hiểm từ người trong cuộc hay đơn giản là những kẻ lười biếng?
Công cụ đặc biệt Chỉ số một phần của người dùng cho phép quản trị viên nhanh chóng xác định những người dùng có rủi ro mà không cần nỗ lực thêm và có tính đến sự phụ thuộc giữa các nhật ký hoặc sự kiện mạng khác nhau.
Nghĩa là, một phân tích chuyên sâu về tất cả các sự kiện và lưu lượng truy cập có liên quan đến những người dùng tỏ ra nghi ngờ sẽ được thực hiện.
Những điểm nào khác điển hình cho SecuReporter?
Dễ dàng thiết lập cho người dùng cuối (quản trị viên bảo mật).
Kích hoạt SecuReporter trên đám mây diễn ra thông qua quy trình thiết lập đơn giản. Sau đó, quản trị viên ngay lập tức được cấp quyền truy cập vào tất cả các công cụ dữ liệu, phân tích và báo cáo.
Nhiều người thuê trên một nền tảng đám mây duy nhất - bạn có thể tùy chỉnh phân tích của mình cho từng khách hàng. Một lần nữa, khi cơ sở khách hàng của bạn tăng lên, kiến trúc đám mây cho phép bạn dễ dàng điều chỉnh hệ thống điều khiển của mình mà không làm giảm hiệu quả.
Luật bảo vệ dữ liệu
QUAN TRỌNG! Zyxel rất nhạy cảm với luật pháp quốc tế và địa phương cũng như các quy định khác liên quan đến việc bảo vệ dữ liệu cá nhân, bao gồm Nguyên tắc bảo mật GDPR và OECD. Được hỗ trợ bởi Luật Liên bang “Về Dữ liệu Cá nhân” ngày 27.07.2006 tháng 152 năm XNUMX Số XNUMX-FZ.
Để đảm bảo tuân thủ, SecuReporter có ba tùy chọn bảo vệ quyền riêng tư tích hợp:
- dữ liệu không ẩn danh - dữ liệu cá nhân được xác định đầy đủ trong Trình phân tích, Báo cáo và Nhật ký lưu trữ có thể tải xuống;
- ẩn danh một phần - dữ liệu cá nhân được thay thế bằng mã định danh nhân tạo trong Nhật ký lưu trữ;
- hoàn toàn ẩn danh - dữ liệu cá nhân được ẩn danh hoàn toàn trong Trình phân tích, Báo cáo và Nhật ký lưu trữ có thể tải xuống.
Làm cách nào để bật SecuReporter trên thiết bị của tôi?
Hãy xem ví dụ về thiết bị ZyWall (trong trường hợp này chúng ta có ZyWall 1100). Chuyển đến phần cài đặt (tab bên phải có biểu tượng hình hai bánh răng). Tiếp theo, mở phần Cloud CNM và chọn phần phụ SecuReporter trong đó.
Để cho phép sử dụng dịch vụ, bạn phải kích hoạt phần tử Enable SecuReporter. Ngoài ra, bạn nên sử dụng tùy chọn Bao gồm nhật ký lưu lượng truy cập để thu thập và phân tích nhật ký lưu lượng.
Hình 1. Kích hoạt SecuReporter.
Bước thứ hai là cho phép thu thập số liệu thống kê. Việc này được thực hiện trong phần Giám sát (tab ở bên phải có biểu tượng ở dạng màn hình).
Tiếp theo, đi đến phần Thống kê UTM, tiểu mục Tuần tra ứng dụng. Tại đây bạn cần kích hoạt tùy chọn Thu thập số liệu thống kê.
Hình 2. Cho phép thu thập số liệu thống kê.
Thế là xong, bạn có thể kết nối với giao diện web SecuReporter và sử dụng dịch vụ đám mây.
QUAN TRỌNG! SecuReporter có tài liệu tuyệt vời ở định dạng PDF. Bạn có thể tải nó xuống từ .
Mô tả giao diện web SecuReporter
Sẽ không thể đưa ra ở đây mô tả chi tiết về tất cả các chức năng mà SecuReporter cung cấp cho quản trị viên bảo mật - có khá nhiều chức năng cho một bài viết.
Do đó, chúng tôi sẽ giới hạn ở phần mô tả ngắn gọn về các dịch vụ mà quản trị viên nhìn thấy và những gì anh ta làm việc liên tục. Vì vậy, hãy tìm hiểu bảng điều khiển web SecuReporter bao gồm những gì.
Bản đồ
Phần này hiển thị thiết bị đã đăng ký, cho biết thành phố, tên thiết bị và địa chỉ IP. Hiển thị thông tin về việc thiết bị đã được bật hay chưa và trạng thái cảnh báo là gì. Trên Bản đồ mối đe dọa, bạn có thể thấy nguồn gói tin được kẻ tấn công sử dụng và tần suất các cuộc tấn công.
Bảng Điều Khiển (Dashboard)
Thông tin ngắn gọn về các hành động chính và tổng quan phân tích ngắn gọn trong khoảng thời gian được chỉ định. Bạn có thể chỉ định khoảng thời gian từ 7 ngày đến 1 giờ.
Hình 3. Ví dụ về giao diện của phần Bảng điều khiển.
Máy phân tích
Tên nói cho chính nó. Đây là bảng điều khiển của công cụ cùng tên, có chức năng chẩn đoán lưu lượng truy cập đáng ngờ trong một khoảng thời gian đã chọn, xác định xu hướng xuất hiện các mối đe dọa và thu thập thông tin về các gói đáng ngờ. Trình phân tích có thể theo dõi mã độc hại phổ biến nhất cũng như cung cấp thông tin bổ sung liên quan đến các vấn đề bảo mật.
Hình 4. Ví dụ về giao diện của phần Phân tích.
Báo cáo
Trong phần này, người dùng có quyền truy cập vào các báo cáo tùy chỉnh với giao diện đồ họa. Thông tin cần thiết có thể được thu thập và biên soạn thành một bản trình bày thuận tiện ngay lập tức hoặc theo lịch trình.
Cảnh báo
Đây là nơi bạn cấu hình hệ thống cảnh báo. Ngưỡng và mức độ nghiêm trọng khác nhau có thể được định cấu hình, giúp xác định các điểm bất thường và các cuộc tấn công tiềm ẩn dễ dàng hơn.
Cài đặt
Thực ra, cài đặt là cài đặt.
Ngoài ra, điều đáng chú ý là SecuReporter có thể hỗ trợ các chính sách bảo vệ khác nhau khi xử lý dữ liệu cá nhân.
Kết luận
Về nguyên tắc, các phương pháp cục bộ để phân tích số liệu thống kê liên quan đến bảo mật đã được chứng minh khá tốt.
Tuy nhiên, phạm vi và mức độ nghiêm trọng của các mối đe dọa đang gia tăng mỗi ngày. Mức độ bảo vệ mà trước đây khiến mọi người hài lòng sẽ trở nên khá yếu sau một thời gian.
Ngoài các vấn đề được liệt kê, việc sử dụng các công cụ cục bộ đòi hỏi những nỗ lực nhất định để duy trì chức năng (bảo trì thiết bị, sao lưu, v.v.). Ngoài ra còn có vấn đề về vị trí ở xa - không phải lúc nào cũng có thể giữ quản trị viên bảo mật ở văn phòng 24 giờ, 7 ngày một tuần. Do đó, bạn cần bằng cách nào đó tổ chức quyền truy cập an toàn vào hệ thống cục bộ từ bên ngoài và tự mình duy trì nó.
Việc sử dụng dịch vụ đám mây cho phép bạn tránh những vấn đề như vậy, đặc biệt tập trung vào việc duy trì mức độ bảo mật và bảo vệ cần thiết khỏi sự xâm nhập cũng như hành vi vi phạm quy tắc của người dùng.
SecuReporter chỉ là một ví dụ về việc triển khai thành công dịch vụ như vậy.
Hành động
Bắt đầu từ hôm nay, có một chương trình khuyến mãi chung giữa Zyxel và Đối tác Vàng X-Com của chúng tôi dành cho người mua tường lửa hỗ trợ Secureporter:
Liên kết hữu ích
[1] .
[2] trên trang web trên trang web chính thức của Zyxel.
[3] .
Nguồn: www.habr.com