Erhöhen Sie die Netzwerksicherheit mithilfe eines Cloud-Analysators

Nach Ansicht unerfahrener Personen sieht die Arbeit des Sicherheitsadministrators wie ein aufregendes Anti-Hacker-Duell mit bösen Hackern aus, die ständig in das Unternehmensnetzwerk eindringen. Und unser Held, der Teams in Echtzeit geschickt und schnell einführt, entmutigt gewagte Angriffe und tritt letztendlich als brillanter Gewinner hervor.
Rechter königlicher Musketier mit einer Tastatur anstelle eines Schwertes und einer Muskete.

Aber in Wirklichkeit sieht alles gewöhnlich, unprätentiös und sogar langweilig aus.

Eine der wichtigsten Analysemethoden ist das Lesen von Ereignisprotokollen. Eine gründliche Studie zu diesem Thema:

• wer versuchte von wo einzutreten, auf welche Ressource versuchte zuzugreifen, als er seine Rechte zum Zugriff auf die Ressource bewies;
• Was waren die Fehler, Irrtümer und nur verdächtigen Zufälle?
• Wer und wie hat das System auf Stärke, gescannte Ports und ausgewählte Passwörter geprüft?
• und so weiter und so fort ...

Nun, was zum Teufel ist Romantik hier, Gott bewahre, "nicht am Steuer einzuschlafen".

Damit unsere Experten ihre Liebe zur Kunst nicht völlig verlieren, werden Werkzeuge für sie erfunden, die das Leben leichter machen. Dies sind alle Arten von Analysatoren (Log Parser), Überwachungssysteme mit Benachrichtigung über kritische Ereignisse und vieles mehr.

Wenn Sie jedoch ein gutes Werkzeug nehmen und es manuell an jedes Gerät anschrauben, z. B. ein Internet-Gateway, ist es nicht so einfach, nicht so bequem, und zusätzlich zu allem anderen benötigen Sie zusätzliches Wissen aus ganz anderen Bereichen. Wo zum Beispiel Software für eine solche Überwachung platzieren? Auf einem physischen Server, einer virtuellen Maschine, einem speziellen Gerät? In welcher Form sollen Daten gespeichert werden? Wenn eine Datenbank verwendet wird, welche? Wie kann ich sichern und muss ich es tun? Wie zu verwalten? Welche Schnittstelle soll verwendet werden? Wie schütze ich das System? Welche Verschlüsselungsmethode verwendet werden soll - und vieles mehr.

Es ist viel einfacher, wenn es einen bestimmten einheitlichen Mechanismus gibt, der die Lösung all dieser Probleme übernimmt und dem Administrator die Arbeit ermöglicht, die genau seinen Besonderheiten entspricht.

Um den Begriff „Cloud“ als alles zu bezeichnen, was sich nicht auf diesem Host befindet, können Sie mit dem Zyxel CNM SecuReporter-Cloud-Service nicht nur viele Probleme lösen, sondern auch praktische Tools bereitstellen

Was ist der Zyxel CNM SecuReporter?

Dies ist ein intelligenter Analysedienst mit den Funktionen Datenerfassung, statistische Analyse (Korrelation) und Berichterstellung für Zyxel-Geräte der ZyWALL-Linie und diese. Es bietet dem Netzwerkadministrator ein zentrales Bild der verschiedenen Aktivitäten im Netzwerk.
Angreifer können beispielsweise versuchen, mithilfe von Angriffsmechanismen wie Stealthy, Targeted und Persistent in ein Sicherheitssystem einzudringen . SecuReporter berechnet verdächtiges Verhalten, wodurch der Administrator mithilfe der ZyWALL-Konfiguration die erforderlichen Sicherheitsmaßnahmen ergreifen kann.

Natürlich ist die Gewährleistung der Sicherheit ohne ständige Datenanalyse mit der Ausgabe von Warnungen in Echtzeit undenkbar. Sie können beliebig schöne Grafiken zeichnen, aber wenn der Administrator nicht weiß, was passiert ... Nein, mit SecuReporter kann dies definitiv nicht passieren!

Einige Probleme mit SecuReporter

Analytik

Die richtige Analyse des Geschehens ist der Kern des Aufbaus von Informationssicherheit. Durch die Analyse von Ereignissen kann ein Sicherheitsspezialist einen Angriff rechtzeitig verhindern oder stoppen sowie detaillierte Informationen zur Rekonstruktion erhalten, um Beweise zu sammeln.

Was bietet „Cloud-Architektur“?

Dieser Dienst basiert auf dem Modell von Software as a Service (SaaS), mit dem Sie die Skalierung mithilfe von Remote-Servern, verteilten Speichersystemen usw. vereinfachen können. Die Verwendung des Cloud-Modells ermöglicht es uns, von Hardware- und Software-Nuancen zu abstrahieren und all unsere Kraft in die Erstellung und Verbesserung eines Schutzdienstes zu stecken.
Auf diese Weise kann der Benutzer die Kosten für den Kauf von Geräten für Speicherung, Analyse und Zugriff erheblich senken, und es ist nicht erforderlich, Service-Umfragen wie Sicherungen, Aktualisierungen, Fehlervermeidung usw. durchzuführen. Es reicht aus, ein Gerät zu haben, das SecuReporter unterstützt, und eine entsprechende Lizenz.

WICHTIG! Dank der Cloud-Architektur können Sicherheitsadministratoren den Netzwerkstatus jederzeit und überall proaktiv überwachen. Dies löst das Problem, einschließlich Urlaub, Krankheitstage und so weiter. Der Zugriff auf Geräte, z. B. der Diebstahl eines Laptops, von dem aus auf die SecuReporter-Weboberfläche zugegriffen wurde, funktioniert ebenfalls nicht, vorausgesetzt, der Eigentümer hat nicht gegen Sicherheitsregeln verstoßen, keine Kennwörter lokal gespeichert usw.

Die Cloud-Management-Option eignet sich gut für Mono-Unternehmen in derselben Stadt sowie für Strukturen mit Niederlassungen. Eine ähnliche Standortunabhängigkeit ist in einer Vielzahl von Branchen erforderlich, beispielsweise für Dienstleister oder Softwareentwickler, deren Geschäft auf verschiedene Städte verteilt ist.

Wir reden viel über die Möglichkeiten der Analyse, aber was ist damit gemeint?

Hierbei handelt es sich um verschiedene Analysetools, die beispielsweise die Häufigkeit von Ereignissen, Listen der Top-100-Hauptopfer (echte und mutmaßliche Opfer) eines bestimmten Ereignisses, Protokolle mit spezifischen Zielen für den Angriff usw. zusammenfassen. All dies hilft dem Administrator, versteckte Trends zu identifizieren und das verdächtige Verhalten von Benutzern oder Diensten zu berechnen.

Was ist mit der Berichterstattung?

SecuReporter kann das Berichtsformular anpassen und das Ergebnis dann im PDF-Format abrufen. Wenn Sie möchten, können Sie natürlich Ihr Logo in den Bericht, den Namen des Berichts, die Hilfe oder die Empfehlung einbetten. Es ist möglich, Berichte zum Zeitpunkt des Kontakts oder nach einem Zeitplan zu erstellen, z. B. einmal am Tag, in der Woche oder im Monat.

Sie können Warnungen so konfigurieren, dass sie spezifisch für den Datenverkehr innerhalb der Netzwerkinfrastruktur sind.

Ist es möglich, die Gefahr durch Insider oder nur Slobs zu reduzieren?

Mit dem speziellen Tool "User Partially Quotient" kann der Administrator risikobehaftete Benutzer ohne zusätzlichen Aufwand und unter Berücksichtigung der Beziehung zwischen verschiedenen Online-Protokollen oder -Ereignissen schnell berechnen.

Das heißt, es wird eine eingehende Analyse aller Ereignisse und des Datenverkehrs durchgeführt, die Benutzern zugeordnet sind, die sich verdächtig gezeigt haben.

Welche anderen Punkte sind für SecuReporter charakteristisch?

Einfache Einrichtung für Endbenutzer (Sicherheitsadministratoren).

SecuReporter wird in der Cloud mit einem einfachen Setup-Verfahren aktiviert. Danach erhalten Administratoren sofort Zugriff auf alle Daten-, Analyse- und Berichterstellungstools.

Multi-Tenants auf einer einzigen Cloud-Plattform - Sie können Ihre Analysen für jeden Client konfigurieren. Wenn Sie Ihren Kundenstamm dank der Cloud-Architektur vergrößern, können Sie das Steuerungssystem problemlos anpassen, ohne die Effizienz zu beeinträchtigen.

Datenschutzgesetze

WICHTIG! Zyxel reagiert sehr empfindlich auf internationale und lokale Gesetze und andere Vorschriften zum Schutz personenbezogener Daten, einschließlich der Datenschutzgrundsätze der DSGVO und der OECD. Unterstützt das Bundesgesetz „Über personenbezogene Daten“ vom 27. Juli 2006 Nr. 152-FZ.

Um die Konformität sicherzustellen, verfügt SecuReporter über drei integrierte Datenschutzoptionen:

• Nicht anonyme Daten - Persönliche Daten werden in Analyzer, Report und heruntergeladenen Archivprotokollen vollständig identifiziert.
• teilweise anonym - personenbezogene Daten werden in Archivprotokollen durch ihre künstlichen Kennungen ersetzt;
• vollständig anonym - personenbezogene Daten werden in Analyzer, Report und herunterladbaren Archivprotokollen vollständig anonymisiert.

Wie aktiviere ich die Verwendung von SecuReporter auf dem Gerät?

Betrachten Sie das Beispiel eines ZyWall-Geräts (in diesem Fall haben wir eine ZyWall 1100). Wir gehen zum Einstellungsbereich (Registerkarte rechts mit einem Symbol in Form von zwei Zahnrädern). Öffnen Sie als Nächstes den Abschnitt Cloud CNM und wählen Sie den darin enthaltenen Unterschlüssel SecuReporter aus.

Um die Nutzung des Dienstes zu aktivieren, müssen Sie das Element Enable SecuReporter aktivieren. Darüber hinaus lohnt es sich, die Option Verkehrsprotokoll einschließen zu verwenden, um Verkehrsprotokolle zu sammeln und zu analysieren.


Abbildung 1. Aktivieren von SecuReporter.

Der zweite Schritt besteht darin, die Statistiksammlung zu aktivieren. Dies erfolgt im Abschnitt Überwachung (Registerkarte rechts mit einem Monitorsymbol).

Wechseln Sie als Nächstes zum Abschnitt UTM-Statistik, dem Unterabschnitt App Patrol. Hier müssen Sie die Option Statistik sammeln aktivieren.


Abbildung 2. Aktivieren der Statistiksammlung.

Alles, Sie können eine Verbindung zur SecuReporter-Weboberfläche herstellen und den Cloud-Dienst verwenden.

WICHTIG! SecuReporter verfügt über eine hervorragende PDF-Dokumentation. Sie können es unter dieser Adresse herunterladen.

Beschreibung des SecuReporter-Webinterfaces
Es ist nicht möglich, dem Sicherheitsadministrator einen detaillierten Überblick über alle Funktionen zu geben, die SecuReporter bereitstellt - es gibt genug davon für einen Artikel.

Daher beschränken wir uns auf eine kurze Beschreibung der Dienste, die der Administrator sieht und mit denen er ständig arbeitet. Erfahren Sie also, woraus die SecuReporter-Webkonsole besteht.

Karte

In diesem Abschnitt werden die registrierten Geräte mit Stadt, Gerätename und IP-Adresse angezeigt. Es werden Informationen darüber angezeigt, ob das Gerät eingeschaltet ist und welchen Status die Warnungen haben. Auf der Bedrohungskarte sehen Sie die Quelle der von den Angreifern verwendeten Pakete und die Häufigkeit der Angriffe.

Dashboard

Kurze Informationen zu den wichtigsten Maßnahmen und eine kurze analytische Überprüfung für den angegebenen Zeitraum. Sie können einen Zeitraum von 7 Tagen und bis zu 1 Stunde festlegen.


Abbildung 3. Ein Beispiel für das Erscheinungsbild des Dashboard-Abschnitts.

Analysator

Der Name spricht für sich. Dies ist die Konsole des gleichnamigen Tools, das verdächtigen Datenverkehr für einen ausgewählten Zeitraum diagnostiziert, Trends beim Auftreten von Bedrohungen erkennt und Informationen über verdächtige Pakete sammelt. Analyzer kann den häufigsten Schadcode verfolgen und zusätzliche Informationen zu Sicherheitsproblemen bereitstellen.


Abbildung 4. Ein Beispiel für das Erscheinungsbild des Analysatorabschnitts.

Bericht

In diesem Abschnitt kann der Benutzer über eine grafische Oberfläche auf benutzerdefinierte Berichte zugreifen. Die erforderlichen Informationen können sofort oder nach einem Zeitplan in Form einer praktischen Präsentation gesammelt und generiert werden.

Warnungen (Warnungen)

Hier können Sie das Warnsystem konfigurieren. Schwellenwerte und verschiedene Schweregrade können konfiguriert werden, was das Erkennen von Anomalien und potenziellen Angriffen vereinfacht.

Einstellung

Nun, eigentlich sind die Einstellungen die Einstellungen.

Darüber hinaus ist zu beachten, dass SecuReporter bei der Verarbeitung personenbezogener Daten unterschiedliche Schutzrichtlinien unterstützen kann.

Fazit

Lokale Methoden zur Analyse sicherheitsrelevanter Statistiken haben sich im Prinzip bewährt.

Die Reichweite und Schwere der Bedrohungen nimmt jedoch von Tag zu Tag zu. Das Schutzniveau, das bisher nach einiger Zeit für alle geeignet war, wird bereits eher schwach.

Zusätzlich zu diesen Problemen erfordert die Verwendung lokaler Tools bestimmte Anstrengungen zur Aufrechterhaltung der Funktionsfähigkeit (Gerätewartung, Sicherung usw.). Es gibt auch das Problem des Remote-Standorts: Es ist nicht immer möglich, einen Sicherheitsadministrator 24 Stunden und 7 Tage die Woche im Büro zu halten. Daher müssen Sie den sicheren Zugriff auf das lokale System von außen irgendwie organisieren und es selbst warten.

Durch die Verwendung von Cloud-Diensten können Sie sich von solchen Problemen lösen und sich speziell auf die Aufrechterhaltung des gewünschten Sicherheitsniveaus und Schutzes vor Eindringlingen sowie auf Verstöße gegen die Regeln durch Benutzer konzentrieren.

SecuReporter ist nur ein Beispiel für die erfolgreiche Implementierung eines solchen Dienstes.

Teilen

Für Käufer von Firewalls, die Secureporter unterstützen, gilt ab heute eine gemeinsame Aktion von Zyxel und unserem Gold-Partner von X-Com:

Nützliche Links

[1] Unterstützte Geräte .
[2] Beschreibung von SecuReporter auf der Website der offiziellen Zyxel-Website.
[3] Dokumentation für SecuReporter .