В представлении неискушённых людей работа администратора безопасности выглядит как захватывающий поединок антихакера со злыми хакерами, которые то и дело вторгаются в корпоративную сеть. А наш герой в режим реального времени ловким и быстрым введением команд отбивает дерзновенные выпады и в итоге выходит блестящим победителем.
Прямо королевский мушкетёр с клавиатурой вместо шпаги и мушкета.
А на деле всё выглядит обыденно, незатейливо, и даже, можно сказать, скучно.
Одним из главных методов анализа до сих пор остаётся чтение журналов регистрации событий. Тщательное изучение на предмет:
- кто откуда куда пытался войти, к какому ресурсу пытался получить доступ, как доказывал свои права на доступ к ресурсу;
- какие были сбои, ошибки и просто подозрительные совпадения;
- кто и как пробовал систему на прочность, сканировал порты, подбирал пароли;
- и так далее и тому подобное...
Ну какая же тут, к чёрту, романтика, дай бог «не заснуть за рулём».
Чтобы наши специалисты не потеряли окончательно любовь к искусству, для них изобретаются инструменты, облегчающие жизнь. Это — всевозможные анализаторы (парсеры логов), системы мониторинга с оповещением о критичных событиях и многое другое.
Однако, если взять хороший инструмент и начать его прикручивать вручную к каждому устройству, например, Интернет-шлюзу — это будет не так просто, не так удобно, и помимо всего прочего нужно обладать дополнительными знаниями из совершенно разных областей. Например, где размещать ПО для такого мониторинга? На физическом сервере, виртуальной машине, специальном устройстве? В каком виде хранить данные? Если используется база данных, то какая? Как выполнять резервное копирование и надо ли его выполнять? Как осуществлять управление? Какой использовать интерфейс? Как защитить систему? Какой метод шифрования использовать — и многое другое.
Гораздо проще, когда есть некий единый механизм, который берёт на себя решение всех перечисленных вопросов, предоставив администратору работу строго в рамках его специфики.
По сложившейся традиции называть термином «облако» всё, что не располагается на данном хосте, облачный сервис Zyxel CNM SecuReporter позволяет не только решить многие проблемы, но предоставляет удобные инструменты
Что такое Zyxel CNM SecuReporter?
Это интеллектуальный сервис аналитики с функциями сбора данных, статистического анализа (корреляции) и построения отчётов для оборудования Zyxel линейки ZyWALL и их. Он предоставляет сетевому администратору централизованную картину различных действий в сети.
Например, злоумышленники могут попытаться взломать систему защиты, используя механизмы атак типа stealthy, targeted и persistent. SecuReporter вычисляет подозрительное поведение, что даёт возможность администратору предпринять необходимые меры защиты с помощью настройки ZyWALL.
Разумеется, обеспечение безопасности немыслимо без постоянного анализ данных с выдачей предупреждений, в режиме реального времени. Можно сколь угодно рисовать красивые графики, но если администратор не в курсе происходящего… Нет, такого с SecuReporter точно не может быть!
Некоторые вопросы использования SecuReporter
Аналитика
Собственное, анализ происходящего — это и есть стержень построения информационной безопасности. Анализируя события, специалист по безопасности может предотвратить или вовремя остановить атаку, а также получить детальную информацию для реконструкции с целью сбора доказательств.
Что даёт «облачная архитектура»?
Данный сервис построен по модели Software as a Service (SaaS), что позволяет упросить масштабирование, используя мощности удалённых серверов, распределённых систем хранения данных и так далее. Применение облачной модели позволяет абстрагироваться от аппаратных и программных нюансов, бросив все силы именно на создание и улучшение сервиса защиты.
Пользователю это позволяет существенно снизить расходы на закупку оборудования для хранения, анализа и предоставления доступа, а также нет нужды заниматься опросами обслуживания, такими как резервное копирование, обновление, профилактика сбоев и так далее. Достаточно иметь устройство, поддерживающее работу с SecuReporter и соответствующую лицензию.
ВАЖНО! Благодаря облачной архитектуре администраторы безопасности могут проактивно вести мониторинг состояния сети в любое время и в любом месте. Это решает проблему, в том числе, и с отпусками, больничными и так далее. Доступ к оборудованию, например, кража ноутбука, с которого производился доступ к web-интерфейсу SecuReporter, так же ничего не даст, при условии, что его владелец не нарушал правила безопасности, не хранил локально пароли и так далее.
Вариант облачного управления хорошо подходит как для моно-компаний, располагающихся в одном городе, так и для структур с филиалами. Подобная независимость от местоположения нужна в самых различных отраслях, например, для сервис-провайдеров, или разработчиков программного обеспечения, бизнес которых распределён по разным городам.
Вот мы много говорим про возможности анализа, а что под этим понимается?
Это различные инструменты аналитики, например, сводки частоты событий, списки Top-100 основных (реальных и предполагаемых) жертв определённого события, журналы с указанием конкретных целей для атаки и так далее. Всё что помогает администратору определить скрытые тенденции и вычислить подозрительное поведение пользователей или служб.
А что с отчётностью?
В SecuReporter есть возможность настроить форму отчётов и потом получить результат в формате PDF. Разумеется, по желанию можно встроить в отчёт свой логотип, название отчёта, справки или рекомендации. Предусмотрено создание отчётов в момент обращения или по расписанию, например, раз в день, неделю или месяц.
Можно настроить выдачу предупреждений с учётом специфики трафика внутри сетевой инфраструктуры.
Можно ли снизить опасность от инсайдеров или просто разгильдяев?
Специальный инструмент User Partially Quotient позволяет администратору быстро вычислить создающих риски пользователей, без дополнительных усилий и с учётом зависимости между разными сетевыми журналами или событиями.
То есть производится углублённый анализ всех событий и трафика, которые связаны с пользователями, проявившими себя подозрительно.
Какие ещё моменты характерны для SecuReporter?
Простая настройка для конечных пользователей (администраторов безопасности).
Активизация SecuReporter в облаке происходит с помощью простой процедуры настройки. После этого администраторам сразу предоставляется доступ ко всем данным, средствам анализа и отчётности.
Multi-Tenants на единой облачной платформе — можно настроить свою аналитику для каждого клиента. Опять же при увеличении клиентской базы благодаря облачной архитектуре можно легко адаптировать систему контроля без ущерба для эффективности.
Законы о защите данных
ВАЖНО! Zyxel очень трепетно относится к международным и местным законам и другим нормативным актам о защите личных данных, в том числе GDPR и OECD Privacy Principles. Поддерживает Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.
Чтобы обеспечить соответствие требованиям, в SecuReporter встроены три опции защиты личных данных:
- неанонимные данные — личные данные полностью идентифицируются в Analyzer, Report и загружаемых Archive Logs;
- частично анонимные — личные данные заменяют на их искусственные идентификаторы в Archive Logs;
- полностью анонимные — личные данные полностью анонимизируются в Analyzer, Report и загружаемых Archive Logs.
Как включить использование SecuReporter на устройстве?
Рассмотрим на примере устройства ZyWall (в данном случае у нас ZyWall 1100). Заходим в раздел настройки (вкладка справа с иконкой в виде двух шестерёнок). Далее раскрываем раздел Cloud CNM и в нём выбираем подраздел SecuReporter.
Для разрешения использования сервиса нужно активировать элемент Enable SecuReporter. Дополнительно стоит задействовать опцию Include Traffic Log для сбора и анализа журналов трафика.
Рисунок 1. Включение SecuReporter.
Вторым шагом нужно разрешить сбор статистики. Делается это в разделе Monitoring (вкладка справа с иконкой в виде монитора).
Далее переходим в раздел UTM Statistics, подраздел App Patrol. Здесь нужно активировать опцию Collect Statistics.
Рисунок 2. Включение сбора статистики.
Всё, можно подключаться к web-интерфейсу SecuReporter и задействовать облачный сервис.
ВАЖНО! Для SecuReporter есть замечательная документация в формате PDF. Скачать её можно по этому адресу.
Описание Web-интерфейса SecuReporter
Привести здесь подробный рассказ обо всех функциях, которые предоставляет SecuReporter администратору безопасности не получится — их достаточно много для одной статьи.
Поэтому ограничимся кратким описанием сервисов, которые видит администратор и с чем он работает постоянно. Итак, знакомьтесь из чего состоит web-консоль SecuReporter.
Map (Карта)
В данном разделе отображается зарегистрированное оборудование с указанием города, имени устройства, IP-адреса. Выводится информация о том, включено ли устройство, и какой статус предупреждений. На карте Threat Map можно видеть источник пакетов, применяемых злоумышленниками, и частота атак.
Dashboard
Краткая информация об основных действиях и сжатый аналитический обзор за указанный период. Можно указать срок от 7 дней и вплоть до 1 часа.
Рисунок 3. Пример внешнего вида раздела Dashboard.
Analyzer
Название говорит само за себя. Это консоль одноимённого инструмента, который диагностирует подозрительный трафик за выбранный период, выявляет тенденции появления угроз и собирает информацию о подозрительных пакетах. Analyzer способен отследить наиболее часто встречающийся вредоносный код, а также предоставить дополнительную информацию касательно проблем безопасности.
Рисунок 4. Пример внешнего вида раздела Analyzer.
Report (Отчёт)
В этом разделе пользователю доступны настраиваемые отчёты с графическим интерфейсом. Требуемая информация может быть собрана и сформирована в виде удобного представления немедленно, либо по составленному расписанию.
Alerts (Предупреждения)
Здесь производится настройка системы предупреждений. Можно настроить пороговые значения и разный уровень важности, что упрощает процесс выявления аномалий и потенциальных атак.
Setting (Параметры)
Ну, собственно, настройки и есть настройки.
Дополнительно стоит отметить, что SecuReporter может поддерживать разные политики защиты при обработке личных данных.
Заключение
Локальные методы анализа статистики, связанной с обеспечением безопасности, в принципе, неплохо себя зарекомендовали.
Однако диапазон и серьёзность угроз увеличиваются с каждым днём. Тот уровень защиты, который ранее всех устраивал, через какое-то время становится уже слабоват.
Помимо перечисленных проблем, использование локальных средств требует определённых усилий по поддержанию работоспособности (обслуживание оборудования, резервное копирование и так далее). Существует и проблема удалённого расположения — не всегда получается держать администратора безопасности в офисе 24 часа 7 дней в неделю. Поэтому нужно как-то организовать безопасный доступ к локальной системе снаружи и обслуживать это своими силами.
Применение облачных сервисов позволяет уйти от подобных проблем, сосредоточившись именно на поддержании нужного уровня безопасности и защите от вторжений, а также нарушений правил со стороны пользователей.
SecuReporter — это как раз и есть пример удачной реализации такого сервиса.
Акция
С сегодняшнего дня для покупателей межсетевых экранов, поддерживающих Secureporter действует совместная акция Zyxel и нашего Золотого Партнера компании X-Com:
Полезные ссылки
[1] Поддерживаемые устройства.
[2] Описание SecuReporter на сайте на официальном сайте Zyxel.
[3] Документация на SecuReporter.
teecat
Занудства ради
В данном случае вы описали только выдачу обработанных данных, но не коснулись вопроса об удалении данных перед отправкой, безопасности вопросов их хранения, обработки, удаления и тд
Кстати интересно. Если данные передаются для обработки третьей стороне, то получается надо подписывать с теми, чьи данные могут вам быть отданы соответствующее соглашение. Но это ладно. В текущей редакции 152-ФЗ оператор может заключить договор о передаче данных на обработку, хотя и продолжает отвечать за безопасность данных. Но вот интересно, если приобретается программа, которая таскает данные на свои сервера — нужно ли по закону заключать такой договор?