Aumente la seguridad de la red utilizando un analizador en la nube

En opinión de personas inexpertas, el trabajo del administrador de seguridad parece un emocionante duelo anti-piratas informáticos con piratas informáticos malvados que invaden constantemente la red corporativa. Y nuestro héroe, en tiempo real, presentando equipos de manera rápida e inteligente, desalienta los ataques atrevidos y, en última instancia, se convierte en un brillante ganador.
Mosquetero real correcto con un teclado en lugar de una espada y un mosquete.

Pero en realidad, todo parece ordinario, sin pretensiones e incluso, uno podría decir, aburrido.

Uno de los principales métodos de análisis sigue leyendo los registros de eventos. Un estudio exhaustivo sobre el tema:

• quién intentaba ingresar desde dónde, a qué recurso intentaba acceder, ya que demostró sus derechos para acceder al recurso;
• cuáles fueron los fracasos, errores y simplemente coincidencias sospechosas;
• quién y cómo probó la fortaleza del sistema, puertos escaneados, contraseñas seleccionadas;
• y así sucesivamente ...

Bueno, qué demonios es el romance aquí, Dios prohíbe "no quedarse dormido al volante".

Para que nuestros expertos no pierdan por completo su amor por el arte, se están inventando herramientas que les facilitan la vida. Estos son todo tipo de analizadores (analizadores de registros), sistemas de monitoreo con notificación de eventos críticos y mucho más.

Sin embargo, si toma una buena herramienta y comienza a atornillarla manualmente a cada dispositivo, por ejemplo, una puerta de enlace a Internet, no será tan simple, no tan conveniente, y además de todo lo demás, necesitará tener un conocimiento adicional de áreas completamente diferentes. Por ejemplo, ¿dónde colocar el software para dicha supervisión? ¿En un servidor físico, máquina virtual, dispositivo especial? ¿De qué forma almacenar datos? Si se usa una base de datos, ¿cuál? ¿Cómo hacer una copia de seguridad y debo hacerlo? ¿Cómo gestionarlo? ¿Qué interfaz usar? ¿Cómo proteger el sistema? Qué método de cifrado usar, y mucho más.

Es mucho más simple cuando hay un cierto mecanismo unificado que se encarga de la solución de todos estos problemas, proporcionando al administrador un trabajo estrictamente dentro de sus especificaciones.

Por tradición, para llamar al término "nube" todo lo que no se encuentra en este host, el servicio en la nube Zyxel CNM SecuReporter le permite no solo resolver muchos problemas, sino que también proporciona herramientas convenientes

¿Qué es el Zyxel CNM SecuReporter?

Este es un servicio de análisis inteligente con las funciones de recopilación de datos, análisis estadístico (correlación) e informes para el equipo Zyxel de la línea ZyWALL y para ellos. Proporciona al administrador de la red una imagen centralizada de las diversas actividades en la red.
Por ejemplo, los atacantes pueden intentar entrar en un sistema de seguridad utilizando mecanismos de ataque como sigiloso, selectivo y persistente . SecuReporter calcula el comportamiento sospechoso, lo que permite al administrador tomar las medidas de seguridad necesarias utilizando la configuración de ZyWALL.

Por supuesto, garantizar la seguridad es impensable sin un análisis constante de datos con la emisión de advertencias, en tiempo real. Puede dibujar gráficos hermosos arbitrariamente, pero si el administrador no está al tanto de lo que está sucediendo ... ¡No, esto definitivamente no puede suceder con SecuReporter!

Algunos problemas al usar SecuReporter

Analítica

El análisis adecuado de lo que está sucediendo es el núcleo de la construcción de la seguridad de la información. Al analizar los eventos, un especialista en seguridad puede prevenir o detener un ataque a tiempo, así como recibir información detallada para la reconstrucción con el fin de recolectar evidencia.

¿Qué da la "arquitectura de la nube"?

Este servicio se basa en el modelo de Software as a Service (SaaS), que le permite simplificar el escalado utilizando la potencia de servidores remotos, sistemas de almacenamiento distribuido, etc. El uso del modelo en la nube nos permite abstraernos de los matices de hardware y software, aportando toda nuestra fuerza para crear y mejorar un servicio de protección.
Esto permite al usuario reducir significativamente el costo de comprar equipos para almacenamiento, análisis y acceso, y no hay necesidad de participar en encuestas de servicio, como copias de seguridad, actualizaciones, prevención de fallas, etc. Es suficiente tener un dispositivo que admita SecuReporter y una licencia adecuada.

¡IMPORTANTE! Gracias a la arquitectura de la nube, los administradores de seguridad pueden monitorear proactivamente el estado de la red en cualquier momento y en cualquier lugar. Esto resuelve el problema, incluso con días festivos, baja por enfermedad, etc. El acceso al equipo, por ejemplo, el robo de una computadora portátil desde la cual se accedió a la interfaz web de SecuReporter, tampoco funcionará, siempre que su propietario no haya violado las reglas de seguridad, no haya almacenado contraseñas localmente, etc.

La opción de gestión de la nube es adecuada para monoempresas ubicadas en la misma ciudad, así como para estructuras con sucursales. Se necesita una independencia de ubicación similar en una amplia variedad de industrias, por ejemplo, para proveedores de servicios o desarrolladores de software cuyo negocio se distribuye en diferentes ciudades.

Hablamos mucho sobre las posibilidades de análisis, pero ¿qué se entiende por esto?

Estas son varias herramientas analíticas, por ejemplo, resumen de la frecuencia de los eventos, listas de las principales víctimas principales (reales y supuestas) de un evento determinado, registros que indican objetivos específicos para el ataque, etc. Todo eso ayuda al administrador a identificar tendencias ocultas y calcular el comportamiento sospechoso de los usuarios o servicios.

¿Qué hay de informar?

SecuReporter tiene la capacidad de personalizar el formulario de informe y luego obtener el resultado en formato PDF. Por supuesto, si lo desea, puede incrustar su logotipo en el informe, el nombre del informe, ayuda o recomendación. Es posible crear informes en el momento del contacto o en un horario, por ejemplo, una vez al día, semana o mes.

Puede configurar alertas para que sean específicas al tráfico dentro de la infraestructura de red.

¿Es posible reducir el peligro por parte de personas de adentro o solo de vagabundos?

La herramienta especial de cociente parcial del usuario permite al administrador calcular rápidamente los usuarios que asumen riesgos, sin esfuerzo adicional y teniendo en cuenta la relación entre diferentes registros o eventos en línea.

Es decir, se realiza un análisis en profundidad de todos los eventos y el tráfico asociados con los usuarios que se han mostrado sospechosamente.

¿Qué otros puntos son característicos de SecuReporter?

Fácil configuración para usuarios finales (administradores de seguridad).

SecuReporter se activa en la nube mediante un procedimiento de configuración simple. Después de esto, los administradores tienen acceso inmediato a todas las herramientas de datos, análisis e informes.

Multiinquilinos en una única plataforma en la nube: puede configurar sus análisis para cada cliente. Nuevamente, si aumenta su base de clientes gracias a la arquitectura de la nube, puede adaptar fácilmente el sistema de control sin sacrificar la eficiencia.

Leyes de protección de datos

¡IMPORTANTE! Zyxel es muy sensible a las leyes internacionales y locales y otras regulaciones sobre la protección de datos personales, incluidos los Principios de Privacidad de GDPR y OCDE. Apoya la Ley Federal "sobre datos personales" de fecha 27 de julio de 2006 No. 152-FZ.

Para garantizar el cumplimiento, SecuReporter tiene tres opciones de privacidad integradas:

• datos no anónimos: los datos personales se identifican por completo en el Analizador, el Informe y los Registros de archivo descargados;
• parcialmente anónimo: los datos personales se reemplazan con sus identificadores artificiales en los registros de archivo;
• completamente anónimo: los datos personales se anonimizan por completo en el Analizador, el Informe y los Registros de archivo descargables.

¿Cómo habilitar el uso de SecuReporter en el dispositivo?

Considere el ejemplo de un dispositivo ZyWall (en este caso, tenemos un ZyWall 1100). Vamos a la sección de configuración (pestaña a la derecha con un icono en forma de dos engranajes). Luego, abra la sección Cloud CNM y seleccione la subclave SecuReporter en ella.

Para habilitar el uso del servicio, debe activar el elemento Enable SecuReporter. Además, vale la pena usar la opción Incluir registro de tráfico para recopilar y analizar registros de tráfico.


Figura 1. Habilitación de SecuReporter.

El segundo paso es habilitar la recopilación de estadísticas. Esto se hace en la sección Monitoreo (pestaña a la derecha con un icono de monitor).

A continuación, vaya a la sección Estadísticas UTM, la subsección App Patrol. Aquí debe activar la opción Recopilar estadísticas.


Figura 2. Habilitación de la recopilación de estadísticas.

Todo, puede conectarse a la interfaz web de SecuReporter y utilizar el servicio en la nube.

¡IMPORTANTE! SecuReporter tiene una excelente documentación en PDF. Puede descargarlo en esta dirección .

Descripción de la interfaz web SecuReporter
No es posible proporcionar una historia detallada sobre todas las funciones que SecuReporter proporciona al administrador de seguridad; hay suficientes para un artículo.

Por lo tanto, nos limitamos a una breve descripción de los servicios que ve el administrador y con qué trabaja constantemente. Entonces, conozca en qué consiste la consola web SecuReporter.

Mapa

Esta sección muestra el equipo registrado con la ciudad, el nombre del dispositivo, la dirección IP. Se muestra información sobre si el dispositivo está encendido y el estado de las alertas. En el Mapa de amenazas, puede ver la fuente de los paquetes utilizados por los atacantes y la frecuencia de los ataques.

Tablero de instrumentos

Breve información sobre las principales acciones y una revisión analítica concisa para el período especificado. Puede especificar un período de 7 días y hasta 1 hora.


Figura 3. Un ejemplo de la apariencia de la sección Tablero.

Analizador

El nombre habla por sí mismo. Esta es la consola de la herramienta del mismo nombre que diagnostica el tráfico sospechoso durante un período seleccionado, detecta tendencias en la aparición de amenazas y recopila información sobre paquetes sospechosos. Analyzer puede rastrear el código malicioso más común, así como proporcionar información adicional sobre problemas de seguridad.


Figura 4. Un ejemplo de la apariencia de la sección Analizador.

Informe

En esta sección, el usuario puede acceder a informes personalizados con una interfaz gráfica. La información requerida se puede recopilar y generar en forma de una presentación conveniente de inmediato, o de acuerdo con un cronograma.

Alertas (Alertas)

Aquí puede configurar el sistema de advertencia. Se pueden configurar umbrales y diferentes niveles de gravedad, lo que simplifica el proceso de detección de anomalías y posibles ataques.

Ambientación

Bueno, en realidad, la configuración es la configuración.

Además, vale la pena señalar que SecuReporter puede admitir diferentes políticas de protección al procesar datos personales.

Conclusión

Los métodos locales para analizar estadísticas relacionadas con la seguridad, en principio, han funcionado bien.

Sin embargo, el alcance y la gravedad de las amenazas aumenta día a día. El nivel de protección que anteriormente se adaptaba a todos, después de un tiempo, ya se está debilitando.

Además de estos problemas, el uso de herramientas locales requiere ciertos esfuerzos para mantener la operatividad (mantenimiento del equipo, respaldo, etc.). También existe el problema de la ubicación remota: no siempre es posible mantener un administrador de seguridad en la oficina las 24 horas, los 7 días de la semana. Por lo tanto, debe organizar de alguna manera el acceso seguro al sistema local desde el exterior y mantenerlo por su cuenta.

El uso de servicios en la nube le permite alejarse de tales problemas, enfocándose específicamente en mantener el nivel deseado de seguridad y protección contra intrusiones, así como en violaciones de las reglas por parte de los usuarios.

SecuReporter es solo un ejemplo de implementación exitosa de dicho servicio.

Compartir

Desde hoy, para los compradores de firewalls que admiten Secureporter, una promoción conjunta de Zyxel y nuestro Gold Partner de X-Com:

Enlaces utiles

[1] Dispositivos compatibles .
[2] Descripción de SecuReporter en el sitio web en el sitio web oficial de Zyxel.
[3] Documentación para SecuReporter .