Mejore la transparencia de seguridad en tareas de automatización de red


Los gerentes a menudo quieren saber el estado de los sistemas de seguridad de una organización, pero no quieren la complejidad de interactuar directamente con el subsistema de informes del sistema de seguridad.

Los informes regulares pueden no satisfacer el deseo de un gerente de actualizaciones inmediatas, especialmente cuando las empresas enfrentan ataques más frecuentes y perjudiciales. Los sistemas de seguridad integrales constan de varios componentes que pueden no integrarse bien entre sí. Una opción efectiva es utilizar las tareas Network Automation para proporcionar un panel de control del sistema de seguridad en tiempo real.

Echemos un vistazo a un panel de ejemplo que desarrollamos por NetCraftsmen para un cliente que desea acceder a datos de firewall en tiempo real sin iniciar sesión en un sistema de firewall.

Decide qué informar.

Red y Sistemas de monitoreo de seguridad capturan grandes cantidades de datos que deben convertirse en información útil y procesable. Con tanta información, identificar la información que los líderes encuentran útil puede ser un desafío.

Trabajar con líderes para educarlos sobre la información disponible y determinar qué información es útil. Comience con las cosas que le resulten más útiles y explique por qué las usa.

Proporcione conjuntos de informes básicos y vea qué resuena. Un informe o gráfico en particular puede ser interesante para el líder, pero puede no ser útil porque faltan datos importantes. Por ejemplo, un informe con un período de recopilación de datos desconocido (por ejemplo, la última hora o el último día) no es útil.

Identifique algunos informes básicos rápidamente. Querrá ver los resultados lo antes posible y luego refinar el tablero tan pronto como reciba comentarios. Por ejemplo, nuestro cliente estaba interesado en lo siguiente:

  • Las principales aplicaciones, medidas por el número de sesiones, se muestran como el número de cada aplicación;
  • Las principales aplicaciones, medidas por bytes, se muestran como un gráfico circular; y
  • Principales fuentes de tráfico por dirección IP, que se muestran como un gráfico circular.

Puede agregar gráficos adicionales que luego muestren cierta información de seguridad.

Automatización del panel de control Los clientes gráficos pueden acceder a pedido. Luego puede comenzar a crear tareas de automatización de red para generar los informes. Elegimos el marco PHP, HTTP y URL de cliente (cURL) porque es fácil de usar y tiene una gran comunidad de soporte de código abierto. Con PHP puede crear rápidamente páginas web, y con cURL puede acceder a la API REST del firewall. Informes de automatización automatizados Estos gráficos automatizados muestran las principales aplicaciones, medidas por el recuento de sesiones y bytes, y las principales fuentes de tráfico por dirección IP.

Cada vez que el cliente abre o actualiza la página web, los gráficos se actualizan con los datos más recientes. Los gráficos muestran los datos de las últimas 24 horas. Sin embargo, este período puede cambiarse modificando la consulta API del firewall. Es fácil crear una versión de la página web que se actualice regularmente en un intervalo establecido, como cada 15 minutos. El acceso de API al firewall es de solo lectura, lo que elimina el riesgo de que alguien cometa un error que afecte el funcionamiento del firewall.

Identifique una tarea similar de solo lectura, seleccione una plataforma y cree algo.

La versión original del tablero proporcionó al personal administrativo de otros departamentos información sobre cómo funciona el firewall. Las versiones posteriores contenían informes de tráfico que intentaba llegar a los sistemas de control y comando de botnet, así como el volumen de consultas DNS sospechosas.

Si observa de cerca los gráficos circulares, notará una marca del eje Y. Esto no es útil en un gráfico circular y es un artefacto de creación rápida de prototipos. Los defectos cosméticos no son un problema para la mayoría de las personas, pero algunos gerentes pueden cuestionar la validez de los datos. Conozca a su público objetivo y tenga cuidado cuando sea quisquilloso.

Automatización para el servicio de asistencia

La automatización de firewall no es solo para los ejecutivos. En nuestro ejemplo, la mesa de ayuda necesitaba acceso regular al firewall para determinar el contexto de seguridad utilizado por un punto final que tenía problemas de conexión. El cliente no quería que todos los usuarios de la mesa de ayuda iniciaran sesión en los sistemas de firewall, por lo que descubrieron rápidamente otra tarea de automatización de la red.

En este caso, se envió una URL para una página web de solución de problemas al usuario final que accedió desde la estación de trabajo. El sistema de automatización usó la información de la dirección de red del cliente para determinar la zona de seguridad del firewall y completar un formulario simple que podría informarse al servicio de asistencia.

El equipo de seguridad descubrió que este mecanismo era una herramienta importante para determinar si el problema con la conectividad del punto final se debía a una regla de firewall u otra cosa. Este sencillo formulario web ha reducido significativamente la cantidad de solución de problemas por problemas de conexión.

Recursos para comenzar con la automatización

Primero, puede usar Apache, MySQL y PHP en la plataforma que elija: Linux (LAMP), Windows (WAMP) o Mac (MAMP). También puede usar Kubernetes y Docker para permitir un inicio y apagado rápidos de los recursos del servidor para la automatización. Pueden requerir aprendizaje adicional, pero pueden conducir a un proceso superior, ya sea que use PHP o Python . El lenguaje que usa es menos importante que un inicio rápido. Python es una consideración seria, ya que es el lenguaje que la mayoría de los desarrolladores eligen para las tareas de automatización de la red.

Estos ejemplos son excelentes maneras de comenzar la automatización . Las tareas son de solo lectura y no contienen cambios de configuración. Como resultado, no representan prácticamente ningún riesgo para la red, lo que reduce las preocupaciones sobre la interrupción de la red.

Debería considerar aplicar herramientas de automatización similares a su red. Identifique una tarea similar de solo lectura, seleccione una plataforma y cree algo.



Software alquiler maquinaria de Cea Ordenadores