在缺乏經驗的人看來,安全管理員的工作看起來就像是反駭客與不斷入侵企業網路的邪惡駭客之間的一場激動人心的對決。我們的英雄透過靈活、快速地輸入命令來即時擊退大膽的攻擊,並最終成為輝煌的勝利者。
就像皇家火槍手用鍵盤代替劍和步槍一樣。
但實際上,一切看起來都很平常、樸實無華,甚至可以說是無聊。
主要分析方法之一仍然是讀取事件日誌。 對這個主題的深入研究:
- 誰試圖從何處輸入、他們試圖存取什麼資源、他們如何證明自己存取資源的權利;
- 其中有哪些失敗、錯誤和可疑的巧合?
- 誰以及如何測試系統的強度、掃描連接埠、選擇的密碼;
- 等等等等…
好吧,這裡的浪漫到底是什麼,上帝禁止「你開車時不要睡著」。
為了讓我們的專家不會完全失去對藝術的熱愛,我們為他們發明了工具,讓他們的生活更輕鬆。 這些是各種分析器(日誌解析器)、具有關鍵事件通知的監控系統等等。
但是,如果您使用一個好的工具並開始手動將其擰到每個設備(例如互聯網網關)上,那麼事情就不會那麼簡單,也不會那麼方便,除此之外,您還需要從完全不同的領域獲得額外的知識地區。 例如,在哪裡放置用於此類監控的軟體? 在實體伺服器、虛擬機器、特殊設備上? 資料應該以什麼形式儲存? 如果使用資料庫,使用哪一個? 如何進行備份以及是否有必要進行備份? 如何管理? 我應該使用哪個介面? 如何保護系統? 使用哪種加密方法 - 以及更多。
當有一個統一的機制來解決所有列出的問題時,事情就會簡單得多,讓管理員嚴格地在他的具體框架內工作。
根據將不位於給定主機上的所有內容稱為「雲端」的既定傳統,Zyxel CNM SecuReporter 雲端服務不僅可以讓您解決許多問題,還可以提供方便的工具
什麼是 Zyxel CNM SecuReporter?
這是一項智慧分析服務,具有針對 ZyWALL 系列及其相關合勤科技設備的資料收集、統計分析(關聯)和報告功能。 它為網路管理員提供了網路上各種活動的集中視圖。
例如,攻擊者可能會嘗試使用以下攻擊機制闖入安全系統: 隱密、有針對性 и 一貫。 SecuReporter 偵測可疑行為,這使得管理員可以透過設定 ZyWALL 來採取必要的保護措施。
當然,如果沒有持續的數據分析和即時警告,確保安全是不可想像的。 您可以隨心所欲地繪製漂亮的圖表,但如果管理員不知道發生了什麼...不,SecuReporter 絕對不會發生這種情況!
關於使用SecuReporter的一些問題
Google Analytics(分析)
事實上,分析正在發生的事情是建立資訊安全的核心。透過分析事件,安全專家可以及時預防或阻止攻擊,並獲取詳細資訊進行重建以收集證據。
“雲架構”提供什麼?
該服務基於軟體即服務 (SaaS) 模型構建,可更輕鬆地利用遠端伺服器、分散式資料儲存系統等功能進行擴展。 使用雲端模型可以讓您從硬體和軟體的細微差別中抽像出來,將所有的精力都投入到創建和改進保護服務上。
這使得用戶能夠大幅降低購買用於儲存、分析和提供存取的設備的成本,並且無需處理備份、更新、故障預防等維護問題。擁有支援 SecuReporter 的設備和適當的許可證就足夠了。
重要! 透過基於雲端的架構,安全管理員可以隨時隨地主動監控網路健康狀況。 這樣就解決了問題,包括假期、病假等等。 存取設備(例如,存取 SecuReporter Web 介面的筆記型電腦被盜)也不會產生任何結果,前提是其所有者沒有違反安全規則,沒有在本地儲存密碼等。
雲端管理選項非常適合位於同一城市的單一公司和設有分公司的結構。 許多行業都需要這種位置獨立性,例如,對於業務分佈在不同城市的服務提供者或軟體開發商來說。
我們談了很多分析的可能性,但這代表什麼?
這些是各種分析工具,例如,事件頻率的摘要、特定事件的前 100 個主要(真實的和所謂的)受害者清單、指示特定攻擊目標的日誌等。 任何可以幫助管理員識別隱藏趨勢並識別使用者或服務的可疑行為的內容。
檢舉呢?
SecuReporter 可讓您自訂報告表格,然後接收 PDF 格式的結果。當然,如果您願意,您可以將您的商標、報告標題、參考文獻或建議嵌入到報告中。可以在請求時或按計劃建立報告,例如每天、每週或每月一次。
您可以根據網路基礎架構內的流量細節來配置警告的發出。
是否有可能減少來自內部人士或懶惰者的危險?
特殊的用戶偏商工具可讓管理員快速識別有風險的用戶,無需額外的努力,並考慮到不同網路日誌或事件之間的依賴性。
也就是說,對與表現出可疑的用戶相關的所有事件和流量進行深入分析。
SecuReporter 的其他典型點還有哪些?
最終用戶(安全管理員)可以輕鬆設定。
透過簡單的設定過程即可在雲端中啟動 SecuReporter。 此後,管理員可以立即存取所有資料、分析和報告工具。
單一雲端平台上的多租戶 - 您可以為每位客戶客製化分析。同樣,隨著您的客戶群的增加,雲端架構允許您輕鬆調整您的控制系統,而不會犧牲效率。
資料保護法
重要的! 合勤科技對有關個人資料保護的國際和當地法律以及其他法規非常敏感,包括 GDPR 和 OECD 隱私原則。 受 27.07.2006 年 152 月 XNUMX 日第 XNUMX-FZ 號聯邦法「個人資料」支持。
為了確保合規性,SecuReporter 內建了三個隱私保護選項:
- 非匿名資料 - 個人資料在分析器、報告和可下載的存檔日誌中已充分識別;
- 部分匿名 - 個人資料被存檔日誌中的人工標識符取代;
- 完全匿名 - 個人資料在分析器、報告和可下載的存檔日誌中完全匿名。
如何在我的裝置上啟用 SecuReporter?
讓我們來看看 ZyWall 設備的範例(在本例中我們有 ZyWall 1100)。轉到設定部分(右側帶有兩個齒輪形式的圖示的選項卡)。接下來,開啟 Cloud CNM 部分並選擇其中的 SecuReporter 子部分。
若要允許使用該服務,您必須啟動啟用 SecuReporter 元素。 此外,值得使用「包括流量日誌」選項來收集和分析流量日誌。
圖 1. 啟用 SecuReporter。
第二步是允許統計資料收集。 這是在“監控”部分(右側帶有監視器形式的圖標的選項卡)中完成的。
接下來,前往 UTM 統計部分的 App Patrol 子部分。 在這裡您需要啟動收集統計資料選項。
圖 2. 啟用統計資訊收集。
就這樣,您可以連接到 SecuReporter Web 介面並使用雲端服務。
重要! SecuReporter 擁有 PDF 格式的優秀文件。您可以從以下位置下載: .
SecuReporter Web 介面說明
這裡不可能詳細描述 SecuReporter 為安全管理員提供的所有功能 - 一篇文章中有相當多的功能。
因此,我們將僅限於簡要描述管理員看到的服務以及他經常使用的內容。 因此,了解 SecuReporter Web 控制台的組成部分。
地圖
此部分顯示已註冊的設備,指示城市、設備名稱和 IP 位址。顯示有關設備是否開啟以及警告狀態的資訊。在威脅地圖上您可以看到攻擊者使用的資料包來源以及攻擊頻率。
我的帳戶
有關主要行動的簡要資訊以及指定期間的簡明分析概述。 您可以指定 7 天到 1 小時之間的時間段。
圖 3.儀表板部分的外觀範例。
分析儀
名字足以說明問題。 這是同名工具的控制台,可診斷選定時間段內的可疑流量、識別威脅出現的趨勢並收集有關可疑資料包的資訊。 分析器能夠追蹤最常見的惡意程式碼,並提供有關安全問題的附加資訊。
圖 4. 分析器部分的外觀範例。
報告
在此部分中,使用者可以透過圖形介面存取自訂報告。可以立即或按計劃收集所需資訊並編譯成方便的簡報。
警報
您可以在此處配置警告系統。可以配置閾值和不同的嚴重性級別,從而更容易識別異常和潛在攻擊。
環境
好吧,實際上,設定就是設定。
此外,值得注意的是,SecuReporter在處理個人資料時可以支援不同的保護策略。
結論
原則上,用於分析安全相關統計數據的本地方法已被證明非常有效。
然而,威脅的範圍和嚴重性每天都在增加。原本讓大家滿意的防護水平,隨著時間的推移,變得相當弱了。
除了列出的問題之外,使用本地工具還需要付出一定的努力來維護功能(設備維護、備份等)。 還有遠端位置的問題 - 安全管理員不可能每週 24 天 7 小時都在辦公室。 因此,您需要以某種方式組織從外部對本機系統的安全存取並自行維護。
使用雲端服務可以讓您避免此類問題,特別注意維持所需的安全等級並防止入侵以及使用者違反規則。
SecuReporter 只是成功實作此類服務的範例。
行動
從今天開始,Zyxel 和我們的金牌合作夥伴 X-Com 為支持 Secureporter 的防火牆買家推出聯合促銷活動:
有用的鏈接
[1] .
[2] 在 Zyxel 官方網站上。
[3] .
來源: www.habr.com