Augmentez la sécurité du réseau en utilisant un analyseur cloud

De l'avis de personnes inexpérimentées, le travail de l'administrateur de la sécurité ressemble à un duel anti-hacker passionnant avec des pirates malveillants, qui envahissent de temps en temps le réseau de l'entreprise. Et notre héros en temps réel, qui présente intelligemment et rapidement les équipes, décourage les attaques audacieuses et finit par devenir un brillant gagnant.
Mousquetaire royal droit avec un clavier au lieu d'une épée et d'un mousquet.

Mais en réalité, tout semble ordinaire, sans prétention et même, pourrait-on dire, ennuyeux.

L'une des principales méthodes d'analyse consiste toujours à lire les journaux d'événements. Une étude approfondie sur le sujet:

• qui tentait d'entrer par où, à quelle ressource tentait d'accéder, car il prouvait ses droits d'accès à la ressource;
• quels ont été les échecs, les erreurs et les coïncidences suspectes;
• qui et comment a essayé la solidité du système, les ports scannés, les mots de passe sélectionnés;
• et ainsi de suite et ainsi de suite ...

Eh bien, qu'est-ce que c'est que la romance ici, Dieu ne plaise "à ne pas s'endormir au volant".

Pour que nos experts ne perdent pas complètement leur amour de l'art, des outils sont inventés pour eux qui leur facilitent la vie. Il s'agit de toutes sortes d'analyseurs (analyseurs de journaux), de systèmes de surveillance avec notification des événements critiques et bien plus encore.

Cependant, si vous prenez un bon outil et commencez à le visser manuellement sur chaque appareil, par exemple une passerelle Internet, ce ne sera pas si simple, pas si pratique, et en plus de tout le reste, vous devez avoir des connaissances supplémentaires dans des domaines complètement différents. Par exemple, où placer le logiciel pour une telle surveillance? Sur un serveur physique, une machine virtuelle, un appareil spécial? Sous quelle forme stocker les données? Si une base de données est utilisée, laquelle? Comment sauvegarder et dois-je le faire? Comment gérer? Quelle interface utiliser? Comment protéger le système? Quelle méthode de cryptage utiliser - et bien plus encore.

C'est beaucoup plus simple quand il existe un certain mécanisme unifié qui prend la solution de tous ces problèmes, fournissant à l'administrateur un travail strictement dans ses spécificités.

Par tradition, pour appeler le terme «cloud» tout ce qui ne se trouve pas sur cet hôte, le service cloud Zyxel CNM SecuReporter vous permet non seulement de résoudre de nombreux problèmes, mais fournit également des outils pratiques

Qu'est-ce que le Zyxel CNM SecuReporter?

Il s'agit d'un service d'analyse intelligent avec les fonctions de collecte de données, d'analyse statistique (corrélation) et de reporting pour les équipements Zyxel de la ligne ZyWALL et eux. Il fournit à l'administrateur réseau une image centralisée des différentes activités sur le réseau.
Par exemple, les attaquants peuvent tenter de s'introduire dans un système de sécurité en utilisant des mécanismes d'attaque comme furtifs, ciblés et persistants . SecuReporter calcule un comportement suspect, ce qui permet à l'administrateur de prendre les mesures de sécurité nécessaires à l'aide de la configuration ZyWALL.

Bien sûr, garantir la sécurité est impensable sans une analyse constante des données avec l'émission d'avertissements, en temps réel. Vous pouvez dessiner de beaux graphismes arbitrairement, mais si l'administrateur n'est pas au courant de ce qui se passe ... Non, cela ne peut certainement pas se produire avec SecuReporter!

Quelques problèmes avec SecuReporter

Analytique

Une analyse appropriée de ce qui se passe est au cœur de la construction de la sécurité des informations. En analysant les événements, un spécialiste de la sécurité peut empêcher ou arrêter une attaque à temps, ainsi que recevoir des informations détaillées pour la reconstruction afin de recueillir des preuves.

Que donne «l'architecture cloud»?

Ce service est construit sur le modèle du logiciel en tant que service (SaaS), ce qui vous permet de simplifier la mise à l'échelle en utilisant la puissance des serveurs distants, des systèmes de stockage distribués, etc. L'utilisation du modèle cloud nous permet de faire abstraction des nuances matérielles et logicielles, mettant toute notre force dans la création et l'amélioration d'un service de protection.
Cela permet à l'utilisateur de réduire considérablement le coût d'achat d'équipement pour le stockage, l'analyse et l'accès, et il n'est pas nécessaire de s'engager dans des enquêtes de service, telles que les sauvegardes, les mises à jour, la prévention des pannes, etc. Il suffit d'avoir un appareil qui prend en charge SecuReporter et une licence appropriée.

IMPORTANT! Grâce à l'architecture cloud, les administrateurs de la sécurité peuvent surveiller de manière proactive l'état du réseau à tout moment et en tout lieu. Cela résout le problème, y compris avec les vacances, les congés de maladie, etc. L'accès à l'équipement, par exemple le vol d'un ordinateur portable à partir duquel l'interface Web SecuReporter a été consultée, ne fonctionnera pas non plus, à condition que son propriétaire n'ait pas violé les règles de sécurité, n'a pas stocké les mots de passe localement, etc.

L'option de gestion du cloud est bien adaptée aux mono-entreprises situées dans la même ville, ainsi qu'aux structures avec succursales. Une indépendance de localisation similaire est nécessaire dans une grande variété d'industries, par exemple pour les fournisseurs de services ou les développeurs de logiciels dont les activités sont réparties dans différentes villes.

Nous parlons beaucoup des possibilités d'analyse, mais qu'est-ce que cela signifie?

Il s'agit de divers outils d'analyse, par exemple, résumant la fréquence des événements, des listes des 100 principales victimes (réelles et présumées) d'un événement particulier, des journaux indiquant des cibles spécifiques pour l'attaque, etc. Tout cela aide l'administrateur à identifier les tendances cachées et à calculer le comportement suspect des utilisateurs ou des services.

Qu'en est-il des rapports?

SecuReporter a la possibilité de personnaliser le formulaire de rapport, puis d'obtenir le résultat au format PDF. Bien sûr, si vous le souhaitez, vous pouvez intégrer votre logo dans le rapport, le nom du rapport, l'aide ou la recommandation. Il est possible de créer des rapports au moment du contact ou selon un planning, par exemple une fois par jour, semaine ou mois.

Vous pouvez configurer des alertes spécifiques au trafic au sein de l'infrastructure réseau.

Est-il possible de réduire le danger des initiés ou simplement des slobs?

L'outil spécial utilisateur partiellement quotient permet à l'administrateur de calculer rapidement les utilisateurs à risque, sans effort supplémentaire et en tenant compte de la dépendance entre les différents journaux ou événements en ligne.

Autrement dit, une analyse approfondie de tous les événements et du trafic associés aux utilisateurs qui se sont montrés suspects est effectuée.

Quels autres points sont caractéristiques de SecuReporter?

Configuration facile pour les utilisateurs finaux (administrateurs de sécurité).

SecuReporter est activé dans le cloud à l'aide d'une procédure de configuration simple. Après cela, les administrateurs ont immédiatement accès à toutes les données, outils d'analyse et de reporting.

Multi-tenants sur une seule plateforme cloud - vous pouvez configurer vos analyses pour chaque client. Encore une fois, si vous augmentez votre clientèle grâce à l'architecture cloud, vous pouvez facilement adapter le système de contrôle sans sacrifier l'efficacité.

Lois sur la protection des données

IMPORTANT! Zyxel est très sensible aux lois internationales et locales et autres réglementations sur la protection des données personnelles, y compris le RGPD et les principes de confidentialité de l'OCDE. Soutient la loi fédérale «sur les données personnelles» du 27 juillet 2006 n ° 152-FZ.

Pour garantir la conformité, SecuReporter dispose de trois options de confidentialité intégrées:

• données non anonymes - les données personnelles sont entièrement identifiées dans l'analyseur, le rapport et les journaux d'archives téléchargés;
• partiellement anonyme - les données personnelles sont remplacées par leurs identifiants artificiels dans les journaux d'archivage;
• complètement anonyme - les données personnelles sont complètement anonymisées dans l'analyseur, le rapport et les journaux d'archives téléchargeables.

Comment activer l'utilisation de SecuReporter sur l'appareil?

Prenons l'exemple d'un appareil ZyWall (dans ce cas, nous avons un ZyWall 1100). Nous allons dans la section des paramètres (onglet à droite avec une icône en forme de deux vitesses). Ensuite, ouvrez la section Cloud CNM et sélectionnez-y la sous-clé SecuReporter.

Pour activer l'utilisation du service, vous devez activer l'élément Enable SecuReporter. De plus, il vaut la peine d'utiliser l'option Inclure le journal de trafic pour collecter et analyser les journaux de trafic.


Figure 1. Activation de SecuReporter.

La deuxième étape consiste à activer la collecte de statistiques. Cela se fait dans la section Surveillance (onglet à droite avec une icône de moniteur).

Ensuite, accédez à la section Statistiques UTM, la sous-section App Patrol. Ici, vous devez activer l'option Collecter les statistiques.


Figure 2. Activation de la collecte de statistiques.

Tout, vous pouvez vous connecter à l'interface Web SecuReporter et utiliser le service cloud.

IMPORTANT! SecuReporter possède une excellente documentation PDF. Vous pouvez le télécharger à cette adresse .

Description de l'interface Web de SecuReporter
Il n'est pas possible de fournir une histoire détaillée de toutes les fonctions que SecuReporter fournit à l'administrateur de la sécurité - il y en a assez pour un article.

Par conséquent, nous nous limitons à une brève description des services que l'administrateur voit et avec quoi il travaille constamment. Alors, découvrez en quoi consiste la console Web SecuReporter.

La carte

Cette section affiche l'équipement enregistré avec la ville, le nom de l'appareil et l'adresse IP. Des informations s'affichent pour savoir si l'appareil est allumé et quel est le statut des alertes. Sur la carte des menaces, vous pouvez voir la source des paquets utilisés par les attaquants et la fréquence des attaques.

Tableau de bord

Informations brèves sur les principales actions et examen analytique concis pour la période spécifiée. Vous pouvez spécifier une période de 7 jours et jusqu'à 1 heure.


Figure 3. Un exemple de l'apparence de la section Dashboard.

Analyseur

Le nom parle de lui-même. Il s'agit de la console de l'outil du même nom qui diagnostique le trafic suspect pour une période sélectionnée, détecte les tendances d'apparition des menaces et collecte des informations sur les paquets suspects. Analyzer est capable de suivre le code malveillant le plus courant et de fournir des informations supplémentaires sur les problèmes de sécurité.


Figure 4. Un exemple de l'apparence de la section Analyzer.

Rapport

Dans cette section, l'utilisateur peut accéder à des rapports personnalisés avec une interface graphique. Les informations requises peuvent être collectées et générées sous la forme d'une présentation pratique immédiatement ou selon un calendrier.

Alertes (Alertes)

Ici, vous pouvez configurer le système d'avertissement. Des seuils et différents niveaux de gravité peuvent être configurés, ce qui simplifie le processus de détection des anomalies et des attaques potentielles.

Réglage

Eh bien, en fait, les paramètres sont les paramètres.

En outre, il convient de noter que SecuReporter peut prendre en charge différentes politiques de protection lors du traitement des données personnelles.

Conclusion

Les méthodes locales d'analyse des statistiques liées à la sécurité ont en principe bien fonctionné.

Cependant, l'étendue et la gravité des menaces augmentent de jour en jour. Le niveau de protection qui convenait à tout le monde, après un certain temps, devient déjà assez faible.

En plus de ces problèmes, l'utilisation d'outils locaux nécessite certains efforts pour maintenir l'opérabilité (maintenance des équipements, sauvegarde, etc.). Il y a aussi le problème de la localisation à distance - il n'est pas toujours possible de garder un administrateur de sécurité au bureau 24 heures sur 24, 7 jours sur 7. Par conséquent, vous devez en quelque sorte organiser l'accès sécurisé au système local de l'extérieur et le réparer vous-même.

L'utilisation des services cloud vous permet de vous éloigner de ces problèmes, en vous concentrant spécifiquement sur le maintien du niveau de sécurité et de protection contre les intrusions souhaité, ainsi que sur les violations des règles par les utilisateurs.

SecuReporter n'est qu'un exemple de mise en œuvre réussie d'un tel service.

Partagez

À partir d'aujourd'hui, pour les acheteurs de pare-feu qui prennent en charge Secureporter, une promotion conjointe de Zyxel et de notre partenaire Gold de X-Com:

Liens utiles

[1] Appareils pris en charge .
[2] Description de SecuReporter sur le site Internet du site officiel Zyxel.
[3] Documentation pour SecuReporter .