在缺乏经验的人看来,安全管理员的工作看起来就像是反黑客与不断入侵企业网络的邪恶黑客之间的一场激动人心的对决。 我们的英雄通过灵活、快速地输入命令来实时击退大胆的攻击,并最终成为辉煌的胜利者。
就像皇家火枪手用键盘代替剑和步枪一样。
但实际上,一切看起来都很平常、朴实无华,甚至可以说是乏味。
主要分析方法之一仍然是读取事件日志。 对这个主题的深入研究:
- 谁试图从何处输入、他们试图访问什么资源、他们如何证明自己访问资源的权利;
- 其中有哪些失败、错误和可疑的巧合?
- 谁以及如何测试系统的强度、扫描端口、选择的密码;
- 等等等等…
好吧,这里的浪漫到底是什么,上帝禁止“你开车时不要睡着”。
为了让我们的专家不会完全失去对艺术的热爱,我们为他们发明了工具,让他们的生活更轻松。 这些是各种分析器(日志解析器)、具有关键事件通知的监控系统等等。
但是,如果您使用一个好的工具并开始手动将其拧到每个设备(例如互联网网关)上,那么事情就不会那么简单,也不会那么方便,除此之外,您还需要从完全不同的领域获得额外的知识地区。 例如,在哪里放置用于此类监控的软件? 在物理服务器、虚拟机、特殊设备上? 数据应该以什么形式存储? 如果使用数据库,使用哪一个? 如何进行备份以及是否有必要进行备份? 如何管理? 我应该使用哪个接口? 如何保护系统? 使用哪种加密方法 - 以及更多。
当有一个统一的机制来解决所有列出的问题时,事情就会简单得多,让管理员严格在他的具体框架内工作。
根据将不位于给定主机上的所有内容称为“云”的既定传统,Zyxel CNM SecuReporter 云服务不仅可以让您解决许多问题,还可以提供方便的工具
什么是 Zyxel CNM SecuReporter?
这是一项智能分析服务,具有针对 ZyWALL 系列及其相关合勤科技设备的数据收集、统计分析(关联)和报告功能。 它为网络管理员提供了网络上各种活动的集中视图。
例如,攻击者可能会尝试使用以下攻击机制闯入安全系统: 隐秘、有针对性 и 坚持。 SecuReporter 检测可疑行为,这使得管理员可以通过配置 ZyWALL 来采取必要的保护措施。
当然,如果没有持续的数据分析和实时警告,确保安全是不可想象的。 您可以随心所欲地绘制漂亮的图表,但如果管理员不知道发生了什么...不,SecuReporter 绝对不会发生这种情况!
关于使用SecuReporter的一些问题
Google Analytics(分析)
事实上,对正在发生的事情进行分析是构建信息安全的核心。 通过分析事件,安全专家可以及时预防或阻止攻击,并获取详细信息进行重建以收集证据。
“云架构”提供什么?
该服务基于软件即服务 (SaaS) 模型构建,可以更轻松地利用远程服务器、分布式数据存储系统等功能进行扩展。 使用云模型可以让您从硬件和软件的细微差别中抽象出来,将所有的精力都投入到创建和改进保护服务上。
这使得用户能够显着降低购买用于存储、分析和提供访问的设备的成本,并且无需处理备份、更新、故障预防等维护问题。 拥有支持 SecuReporter 的设备和适当的许可证就足够了。
重要! 借助基于云的架构,安全管理员可以随时随地主动监控网络健康状况。 这样就解决了问题,包括假期、病假等等。 访问设备(例如,访问 SecuReporter Web 界面的笔记本电脑被盗)也不会产生任何结果,前提是其所有者没有违反安全规则,没有在本地存储密码等。
云管理选项非常适合位于同一城市的单一公司和设有分支机构的结构。 许多行业都需要这种位置独立性,例如,对于业务分布在不同城市的服务提供商或软件开发商来说。
我们谈论了很多分析的可能性,但这意味着什么?
这些是各种分析工具,例如,事件频率的摘要、特定事件的前 100 个主要(真实的和所谓的)受害者列表、指示特定攻击目标的日志等。 任何可以帮助管理员识别隐藏趋势并识别用户或服务的可疑行为的内容。
举报呢?
SecuReporter 允许您自定义报告表格,然后接收 PDF 格式的结果。 当然,如果您愿意,您可以将您的徽标、报告标题、参考文献或建议嵌入到报告中。 可以在请求时或按计划创建报告,例如每天、每周或每月一次。
您可以根据网络基础设施内的流量细节来配置警告的发出。
是否有可能减少来自内部人士或懒惰者的危险?
特殊的用户偏商工具允许管理员快速识别有风险的用户,无需额外的工作,并考虑不同网络日志或事件之间的依赖性。
也就是说,对与表现出可疑的用户相关的所有事件和流量进行深入分析。
SecuReporter 的其他典型点还有哪些?
最终用户(安全管理员)可以轻松设置。
通过简单的设置过程即可在云中激活 SecuReporter。 此后,管理员可以立即访问所有数据、分析和报告工具。
单一云平台上的多租户 - 您可以为每个客户定制分析。 同样,随着您的客户群的增加,云架构允许您轻松调整您的控制系统,而不会牺牲效率。
数据保护法
重要的! 合勤科技对有关个人数据保护的国际和当地法律以及其他法规非常敏感,包括 GDPR 和 OECD 隐私原则。 受 27.07.2006 年 152 月 XNUMX 日第 XNUMX-FZ 号联邦法“个人数据”支持。
为了确保合规性,SecuReporter 内置了三个隐私保护选项:
- 非匿名数据 - 个人数据在分析器、报告和可下载的存档日志中得到充分识别;
- 部分匿名 - 个人数据被存档日志中的人工标识符替换;
- 完全匿名 - 个人数据在分析器、报告和可下载的存档日志中完全匿名。
如何在我的设备上启用 SecuReporter?
让我们看一下 ZyWall 设备的示例(在本例中我们有 ZyWall 1100)。 转到设置部分(右侧带有两个齿轮形式的图标的选项卡)。 接下来,打开 Cloud CNM 部分并选择其中的 SecuReporter 子部分。
要允许使用该服务,您必须激活启用 SecuReporter 元素。 此外,值得使用“包括流量日志”选项来收集和分析流量日志。
图 1. 启用 SecuReporter。
第二步是允许统计数据收集。 这是在“监控”部分(右侧带有监视器形式的图标的选项卡)中完成的。
接下来,转到 UTM 统计部分的 App Patrol 子部分。 在这里您需要激活收集统计数据选项。
图 2. 启用统计信息收集。
就这样,您可以连接到 SecuReporter Web 界面并使用云服务。
重要! SecuReporter 拥有 PDF 格式的优秀文档。 您可以从以下位置下载: .
SecuReporter Web 界面说明
在这里不可能详细描述 SecuReporter 为安全管理员提供的所有功能 - 一篇文章就包含了相当多的功能。
因此,我们将仅限于简要描述管理员看到的服务以及他经常使用的内容。 因此,了解 SecuReporter Web 控制台的组成部分。
地图
此部分显示已注册的设备,指示城市、设备名称和 IP 地址。 显示有关设备是否打开以及警告状态的信息。 在威胁地图上,您可以看到攻击者使用的数据包来源以及攻击频率。
卖家专用后台
有关主要行动的简要信息以及指定期间的简明分析概述。 您可以指定 7 天到 1 小时之间的时间段。
图 3.仪表板部分的外观示例。
分析仪
名字足以说明问题。 这是同名工具的控制台,可诊断选定时间段内的可疑流量、识别威胁出现的趋势并收集有关可疑数据包的信息。 分析器能够跟踪最常见的恶意代码,并提供有关安全问题的附加信息。
图 4. 分析器部分的外观示例。
报告
在此部分中,用户可以通过图形界面访问自定义报告。 可以立即或按计划收集所需信息并编译成方便的演示文稿。
警报
您可以在此处配置警告系统。 可以配置阈值和不同的严重性级别,从而更容易识别异常和潜在攻击。
环境
好吧,实际上,设置就是设置。
此外,值得注意的是,SecuReporter在处理个人数据时可以支持不同的保护策略。
结论
原则上,用于分析安全相关统计数据的本地方法已被证明非常有效。
然而,威胁的范围和严重性每天都在增加。 原本让大家满意的防护水平,随着时间的推移,变得相当弱了。
除了列出的问题之外,使用本地工具还需要付出一定的努力来维护功能(设备维护、备份等)。 还有远程位置的问题 - 安全管理员不可能每周 24 天 7 小时都在办公室。 因此,您需要以某种方式组织从外部对本地系统的安全访问并自行维护。
使用云服务可以让您避免此类问题,特别关注维持所需的安全级别并防止入侵以及用户违反规则。
SecuReporter 只是成功实施此类服务的一个示例。
折扣信息
从今天开始,Zyxel 和我们的金牌合作伙伴 X-Com 为支持 Secureporter 的防火墙买家推出联合促销活动:
有用的链接
[1] .
[2] 在 Zyxel 官方网站上。
[3] .
来源: habr.com