Aumente a segurança da rede usando um analisador de nuvem

Na opinião de pessoas inexperientes, o trabalho do administrador de segurança parece um emocionante duelo anti-hacker com hackers do mal, que de vez em quando invadem a rede corporativa. E nosso herói, em tempo real, introduzindo equipes de maneira inteligente e rápida, desencoraja ataques ousados ​​e, em última análise, surge como um brilhante vencedor.
Mosqueteiro real direito com um teclado em vez de uma espada e um mosquete.

Mas, na realidade, tudo parece comum, despretensioso e até, pode-se dizer, entediante.

Um dos principais métodos de análise ainda está lendo os logs de eventos. Um estudo completo sobre o assunto:

• quem estava tentando entrar de onde, para qual recurso ele estava tentando acessar, como provou seus direitos de acessar o recurso;
• quais foram as falhas, erros e apenas coincidências suspeitas;
• quem e como tentou o sistema quanto a resistência, portas digitalizadas, senhas selecionadas;
• e assim por diante ...

Bem, o que diabos é romance aqui, Deus proíbe "não adormecer ao volante".

Para que nossos especialistas não percam completamente o amor à arte, estão sendo inventadas ferramentas para eles que tornam a vida mais fácil. Esses são todos os tipos de analisadores (analisadores de log), sistemas de monitoramento com notificação de eventos críticos e muito mais.

No entanto, se você pegar uma boa ferramenta e começar a parafusá-la manualmente em cada dispositivo, por exemplo, um gateway da Internet, ela não será tão simples, nem tão conveniente e, além de tudo o mais, você precisará ter conhecimentos adicionais de áreas completamente diferentes. Por exemplo, onde colocar software para esse monitoramento? Em um servidor físico, máquina virtual, dispositivo especial? De que forma armazenar dados? Se um banco de dados é usado, qual? Como fazer backup e preciso fazer isso? Como gerenciar? Qual interface usar? Como proteger o sistema? Qual método de criptografia usar - e muito mais.

É muito mais simples quando existe um determinado mecanismo unificado que resolve a solução de todos esses problemas, fornecendo ao administrador trabalho estritamente dentro de suas especificidades.

Por tradição, para chamar o termo “nuvem” de tudo que não está localizado neste host, o serviço em nuvem Zyxel CNM SecuReporter permite não apenas solucionar muitos problemas, mas também fornece ferramentas convenientes

O que é o Zyxel CNM SecuReporter?

Este é um serviço de análise inteligente com as funções de coleta de dados, análise estatística (correlação) e geração de relatórios para os equipamentos Zyxel da linha ZyWALL e para eles. Ele fornece ao administrador da rede uma imagem centralizada das várias atividades na rede.
Por exemplo, os invasores podem tentar invadir um sistema de segurança usando mecanismos de ataque como furtivo, direcionado e persistente . O SecuReporter calcula comportamentos suspeitos, o que permite ao administrador tomar as medidas de segurança necessárias usando a configuração do ZyWALL.

Obviamente, garantir a segurança é impensável sem análise constante dos dados com a emissão de avisos em tempo real. Você pode desenhar belos gráficos arbitrariamente, mas se o administrador não estiver ciente do que está acontecendo ... Não, isso definitivamente não pode acontecer com o SecuReporter!

Alguns problemas ao usar o SecuReporter

Google Analytics

A análise adequada do que está acontecendo é o núcleo da construção da segurança da informação. Ao analisar os eventos, um especialista em segurança pode impedir ou interromper um ataque a tempo, além de receber informações detalhadas para reconstrução, a fim de coletar evidências.

O que a "arquitetura em nuvem" oferece?

Esse serviço é desenvolvido com base no modelo de SaaS (Software as a Service), que permite simplificar o dimensionamento usando o poder de servidores remotos, sistemas de armazenamento distribuído e assim por diante. O uso do modelo de nuvem nos permite abstrair das nuances de hardware e software, colocando toda a nossa força na criação e aprimoramento de um serviço de proteção.
Isso permite que o usuário reduza significativamente o custo da compra de equipamentos para armazenamento, análise e acesso, e não há necessidade de participar de pesquisas de serviço, como backups, atualizações, prevenção de falhas e assim por diante. Basta ter um dispositivo compatível com o SecuReporter e uma licença apropriada.

IMPORTANTE! Graças à arquitetura em nuvem, os administradores de segurança podem monitorar proativamente o status da rede a qualquer hora, em qualquer lugar. Isso resolve o problema, inclusive nas férias, licença médica e assim por diante. O acesso ao equipamento, por exemplo, roubo de um laptop do qual a interface da Web SecuReporter foi acessada também não funcionará, desde que o proprietário não viole as regras de segurança, não armazene senhas localmente e assim por diante.

A opção de gerenciamento de nuvem é adequada para monoempresas localizadas na mesma cidade, bem como para estruturas com filiais. Independência de localização semelhante é necessária em uma ampla variedade de indústrias, por exemplo, para provedores de serviços ou desenvolvedores de software cujos negócios estão distribuídos por diferentes cidades.

Falamos muito sobre as possibilidades de análise, mas o que isso significa?

Essas são várias ferramentas de análise, por exemplo, resumindo a frequência de eventos, listas das 100 principais vítimas (reais e supostas) de um determinado evento, logs indicando alvos específicos para o ataque e assim por diante. Tudo isso ajuda o administrador a identificar tendências ocultas e calcular o comportamento suspeito de usuários ou serviços.

E os relatórios?

O SecuReporter pode personalizar o formulário do relatório e obter o resultado no formato PDF. Obviamente, se desejar, você pode incorporar seu logotipo no relatório, o nome do relatório, ajuda ou recomendação. É possível criar relatórios no momento do contato ou em uma programação, por exemplo, uma vez por dia, semana ou mês.

Você pode configurar alertas para serem específicos ao tráfego na infraestrutura de rede.

É possível reduzir o perigo de pessoas de dentro ou apenas de lesmas?

A ferramenta especial Quociente Parcial do Usuário permite ao administrador calcular rapidamente os usuários que assumem riscos, sem esforço adicional e levando em consideração o relacionamento entre diferentes logs ou eventos online.

Ou seja, é realizada uma análise aprofundada de todos os eventos e tráfego associados aos usuários que se mostraram suspeitosamente.

Que outros pontos são característicos do SecuReporter?

Configuração fácil para usuários finais (administradores de segurança).

O SecuReporter é ativado na nuvem usando um procedimento de configuração simples. Depois disso, os administradores recebem imediatamente acesso a todos os dados, ferramentas de análise e relatório.

Multi-inquilinos em uma única plataforma de nuvem - você pode configurar suas análises para cada cliente. Novamente, se você aumentar sua base de clientes graças à arquitetura em nuvem, poderá adaptar facilmente o sistema de controle sem sacrificar a eficiência.

Leis de proteção de dados

IMPORTANTE! O Zyxel é muito sensível às leis locais e internacionais e outros regulamentos sobre a proteção de dados pessoais, incluindo os princípios de privacidade do GDPR e da OCDE. Apoia a Lei Federal “Sobre Dados Pessoais” de 27 de julho de 2006, nº 152-FZ.

Para garantir a conformidade, o SecuReporter possui três opções de privacidade integradas:

• dados não anônimos - os dados pessoais são totalmente identificados no Analyzer, no Report e nos logs de archive baixados;
• parcialmente anônimo - os dados pessoais são substituídos por seus identificadores artificiais nos logs de arquivamento;
• completamente anônimo - os dados pessoais são completamente anonimizados no Analyzer, no Report e nos logs de arquivamento para download.

Como habilitar o uso do SecuReporter no dispositivo?

Considere o exemplo de um dispositivo ZyWall (nesse caso, temos um ZyWall 1100). Vamos para a seção de configurações (guia à direita com um ícone na forma de duas marchas). Em seguida, abra a seção Cloud CNM e selecione a subchave SecuReporter.

Para habilitar o uso do serviço, você precisa ativar o elemento Enable SecuReporter. Além disso, vale a pena usar a opção Incluir log de tráfego para coletar e analisar logs de tráfego.


Figura 1. Habilitando o SecuReporter.

O segundo passo é habilitar a coleta de estatísticas. Isso é feito na seção Monitoramento (guia à direita com um ícone de monitor).

Em seguida, vá para a seção Estatísticas do UTM, a subseção App Patrol. Aqui você precisa ativar a opção Coletar estatísticas.


Figura 2. Ativando a coleção de estatísticas.

Tudo, você pode se conectar à interface da Web SecuReporter e usar o serviço em nuvem.

IMPORTANTE! O SecuReporter possui ótima documentação em PDF. Você pode baixá-lo neste endereço .

Descrição da interface da web do SecuReporter
Não é possível fornecer uma história detalhada sobre todas as funções que o SecuReporter fornece ao administrador de segurança - há o suficiente para um artigo.

Portanto, nos restringimos a uma breve descrição dos serviços que o administrador vê e com o que trabalha constantemente. Portanto, saiba em que consiste o console da Web SecuReporter.

Mapa

Esta seção exibe o equipamento registrado com a cidade, nome do dispositivo e endereço IP. As informações são exibidas sobre se o dispositivo está ligado e qual o status dos alertas. No mapa de ameaças, você pode ver a fonte dos pacotes usados ​​pelos atacantes e a frequência dos ataques.

Dashboard

Breve informação sobre as principais ações e uma análise analítica concisa para o período especificado. Você pode especificar um período de 7 dias e até 1 hora.


Figura 3. Um exemplo da aparência da seção Painel.

Analisador

O nome fala por si. Este é o console da ferramenta com o mesmo nome que diagnostica tráfego suspeito por um período selecionado, detecta tendências na aparência de ameaças e coleta informações sobre pacotes suspeitos. O Analyzer pode rastrear o código malicioso mais comum, além de fornecer informações adicionais sobre problemas de segurança.


Figura 4. Um exemplo da aparência da seção Analyzer.

Relatório

Nesta seção, o usuário pode acessar relatórios personalizados com uma interface gráfica. As informações necessárias podem ser coletadas e geradas na forma de uma apresentação conveniente imediatamente ou de acordo com um cronograma.

Alertas (Alertas)

Aqui você pode configurar o sistema de aviso. É possível configurar limites e diferentes níveis de gravidade, o que simplifica o processo de detecção de anomalias e ataques em potencial.

Configuração

Bem, na verdade, as configurações são as configurações.

Além disso, vale a pena notar que o SecuReporter pode oferecer suporte a diferentes políticas de proteção ao processar dados pessoais.

Conclusão

Métodos locais para analisar estatísticas relacionadas à segurança, em princípio, funcionaram bem.

No entanto, o alcance e a gravidade das ameaças estão aumentando dia a dia. O nível de proteção que antes era adequado a todos, depois de um tempo, já está se tornando bastante fraco.

Além desses problemas, o uso de ferramentas locais exige alguns esforços para manter a operacionalidade (manutenção de equipamentos, backup etc.). Há também o problema da localização remota - nem sempre é possível manter um administrador de segurança no escritório 24 horas, 7 dias por semana. Portanto, você precisa organizar de alguma forma o acesso seguro ao sistema local de fora e fazer a manutenção sozinho.

O uso de serviços em nuvem permite que você evite esses problemas, concentrando-se especificamente em manter o nível desejado de segurança e proteção contra invasões, bem como em violações das regras pelos usuários.

O SecuReporter é apenas um exemplo de implementação bem-sucedida de um serviço desse tipo.

Compartilhar

A partir de hoje, para compradores de firewalls compatíveis com o Secureporter, uma promoção conjunta da Zyxel e nosso Gold Partner da X-Com:

Links úteis

[1] dispositivos suportados .
[2] Descrição do SecuReporter no site no site oficial da Zyxel.
[3] Documentação para SecuReporter .