在没有经验的人们看来,安全管理员的工作看起来像是与不断入侵企业网络的邪恶黑客进行的令人兴奋的反黑客对决。 而且我们的英雄实时,聪明,快速地引进团队,阻止了大胆的进攻,最终成为了出色的赢家。
用键盘代替剑和步枪的皇家火枪手。
但实际上,一切看起来都很普通,朴实,甚至有人会说很无聊。
分析的主要方法之一仍然是读取事件日志。 对该主题进行了详尽的研究:
- 谁在试图证明他有权访问该资源的人试图从何处进入哪个资源;
- 什么是失败,错误和可疑的巧合?
- 谁以及如何尝试系统进行强度,扫描端口,选择的密码;
- 依此类推...
好吧,这里到底是什么浪漫,上帝禁止“不要在方向盘上入睡”。
为了使我们的专家不会完全失去对艺术的热爱,他们发明了使生活更轻松的工具。 这些都是各种分析器(日志解析器),具有关键事件通知的监视系统等等。
但是,如果您使用了一个好的工具并开始手动将其固定到每个设备(例如Internet网关)上,它就不会那么简单,不那么方便,除了其他所有功能之外,您还需要从完全不同的领域获得更多知识。 例如,在何处放置用于此类监视的软件? 在物理服务器,虚拟机,特殊设备上? 以什么形式存储数据? 如果使用数据库,哪个? 如何备份,我需要这样做吗? 如何管理? 使用哪个界面? 如何保护系统? 使用哪种加密方法-还有更多。
如果有某种统一的机制来解决所有这些问题,这将使管理员严格按照其具体规定进行工作,则这将变得更加简单。
传统上,Zyxel CNM SecuReporter云服务可以称其为“云”,而不是位于该主机上的所有内容,它不仅可以解决许多问题,而且还提供方便的工具
什么是Zyxel CNM SecuReporter?
这是一种智能分析服务,具有ZyWALL系列及其相关设备的数据收集,统计分析(相关)和报告功能。 它为网络管理员提供了网络上各种活动的集中图片。
例如,攻击者可以尝试使用
隐身,针对性和
持久性等攻击机制闯入安全系统。 SecuReporter计算可疑行为,使管理员可以使用ZyWALL配置采取必要的安全措施。
当然,如果不通过实时发布警告不断进行数据分析,确保安全性是不可想象的。 您可以随意绘制精美的图形,但是如果管理员不知道正在发生的事情...否,SecuReporter绝对不可能发生这种情况!
使用SecuReporter的一些问题
分析工具正确分析正在发生的事情是构建信息安全的核心。 通过分析事件,安全专家可以及时阻止或阻止攻击,并接收详细的信息以进行重建以收集证据。
“云架构”有什么作用?该服务建立在软件即服务(SaaS)模型的基础上,可让您使用远程服务器,分布式存储系统等的功能简化扩展。 云模型的使用使我们能够从硬件和软件的细微差别中抽象出来,将我们的全部精力投入到创建和改进保护服务中。
这使用户可以显着降低购买用于存储,分析和访问的设备的成本,并且无需参与服务调查,例如备份,更新,故障预防等。 只要拥有支持SecuReporter的设备和适当的许可证就足够了。
重要! 借助云架构,安全管理员可以随时随地主动监视网络状态。 解决了这个问题,包括带假期,请病假等。 如果设备的所有者没有违反安全规则,没有在本地存储密码,等等,访问设备(例如窃取通过其访问SecuReporter Web界面的便携式计算机)也将无法进行。云管理选项非常适合位于同一城市的单一公司以及具有分支机构的组织。 在许多行业中,例如对于服务提供商或业务分布在不同城市的软件开发商,都需要类似的位置独立性。
我们谈论了很多分析的可能性,但是这意味着什么呢?这些是各种分析工具,例如,汇总事件的频率,特定事件的前100名主要(实际和指称)受害者的列表,指示攻击的特定目标的日志等等。 所有这些都可以帮助管理员识别隐藏的趋势并计算用户或服务的可疑行为。
那报告呢?SecuReporter可以自定义报告表单,然后以PDF格式获取结果。 当然,如果需要,可以将徽标,报告名称,帮助或建议嵌入徽标中。 可以在联系时或按计划创建报告,例如每天,每周或每月一次。
您可以将警报配置为特定于网络基础结构中的流量。
是否可以减少内部人员或or污的危险?特殊的“用户部分商”工具使管理员可以快速计算风险用户,而无需付出额外的努力,并考虑了不同的联机日志或事件之间的关系。
即,对与已经表明自己可疑的用户相关联的所有事件和流量进行了深入分析。
SecuReporter还有什么其他特点?为最终用户(安全管理员)轻松设置。
使用简单的设置过程即可在云中激活SecuReporter。 此后,将立即为管理员提供访问所有数据,分析和报告工具的权限。
单个云平台上的多租户-您可以为每个客户端配置分析。 同样,如果您借助云架构增加了客户群,则可以轻松调整控制系统而不会牺牲效率。
数据保护法重要! Zyxel对于保护个人数据的国际和本地法律以及其他法规非常敏感,包括GDPR和OECD隐私原则。 支持2006年7月27日第152-FZ号联邦法律“关于个人数据”。
为了确保合规性,SecuReporter具有三个内置的隐私选项:
- 非匿名数据-在分析器,报告和下载的存档日志中完全识别了个人数据;
- 部分匿名-将个人数据替换为存档日志中的人工标识符;
- 完全匿名-个人数据在分析器,报告和可下载的存档日志中完全匿名。
如何在设备上启用SecuReporter?考虑一个ZyWall设备的例子(在这种情况下,我们有一个ZyWall 1100)。 我们转到“设置”部分(右侧的选项卡,带有两个齿轮形式的图标)。 接下来,打开“ Cloud CNM”部分,然后在其中选择SecuReporter子项。
要启用该服务,您需要激活Enable SecuReporter元素。 此外,值得使用“包含流量日志”选项来收集和分析流量日志。
图1.启用SecuReporter。第二步是启用统计信息收集。 这是在“监视”部分(带有监视器图标的右侧选项卡)中完成的。
接下来,转到“ UTM统计信息”部分,“应用程序巡逻”子部分。 在这里,您需要激活“收集统计信息”选项。
图2.启用统计信息收集。一切,您都可以连接到SecuReporter Web界面并使用云服务。
重要! SecuReporter具有出色的PDF文档。 您可以在此地址下载。SecuReporter Web界面说明无法提供有关SecuReporter提供给安全管理员的所有功能的详细情况-一篇文章就足够了。
因此,我们仅限于简短描述管理员所看到的服务以及他经常使用的服务。 因此,请了解SecuReporter Web控制台由什么组成。
地图此部分显示注册设备的城市,设备名称,IP地址。 显示有关设备是否打开以及警报处于什么状态的信息。 在“威胁图”上,您可以看到攻击者使用的数据包的来源以及攻击的频率。
仪表板在指定时期内主要行动的简要信息和简要的分析回顾。 您可以指定7天,最长1小时。
图3. Dashboard部分外观的示例。分析仪这个名字不言而喻。 这是同名工具的控制台,该工具可在选定时期内诊断可疑流量,检测威胁出现的趋势并收集有关可疑数据包的信息。 Analyzer能够跟踪最常见的恶意代码,并提供有关安全问题的其他信息。
图4.分析器部分外观的示例。检举在本部分中,用户可以使用图形界面访问自定义报告。 可以立即或根据计划以方便的演示形式收集和生成所需的信息。
警报(警报)您可以在此处配置警告系统。 可以配置阈值和不同的严重性级别,从而简化了检测异常和潜在攻击的过程。
设定好吧,实际上,设置就是设置。
此外,值得注意的是,SecuReporter在处理个人数据时可以支持不同的保护策略。
结论
原则上,用于分析与安全性相关的统计信息的本地方法运行良好。
但是,威胁的范围和严重性正在日益增加。 一段时间后,以前适合所有人的保护级别已经变得相当薄弱。
除了这些问题之外,使用本地工具还需要付出一定的努力来维护可操作性(设备维护,备份等)。 还存在远程位置的问题-并非总是可以每周7天,每天24小时将安全管理员留在办公室。 因此,您需要以某种方式组织从外部对本地系统的安全访问,并自行维护。
云服务的使用使您可以避免此类问题,特别专注于保持所需的安全性级别和防止入侵以及用户违反规则的保护。
SecuReporter只是成功实施此类服务的一个示例。
分享到
从今天开始,对于支持Secureporter的防火墙的购买者,合勤与X-Com的黄金合作伙伴共同推广:
有用的链接
[1]
支持的设备 。
[2]官方Zyxel网站上的
SecuReporter说明 。
[3]
SecuReporter的文档 。