UserGate объявила о готовности релиз-кандидата операционной системы UGOS — основы для построения экосистемы безопасности SUMMA. Продукт развивается в сторону наращивания функций расширенной защиты конечных точек (XDR), реализации механизма доступа с «нулевым доверием» (ZTNA), развития прозрачной системы проксирования и поддержки сторонних разработчиков.
- Введение
- Экосистема UserGate SUMMA взамен одиночного NGFW
- Расширенное импортозамещение ради NGFW или мировой тренд?
- Развитие концепции XDR
- Новые технологии в UserGate версии 7.1
- 5.1. UserID
- 5.2. Пользовательские сигнатуры IDPS для уровня L7
- 5.3. IKEv2
- 5.4. IPSv3
- 5.5. UserGate Client
- Выводы
Введение
В середине ноября UserGate объявила о выпуске релиз-кандидата новой версии 7.1 собственной ОС UGOS, которая является основой для построения экосистемы безопасности предприятия UserGate SUMMA. В её состав вошли не только межсетевой экран следующего поколения UserGate NGFW, восполняющий серьёзный дефицит решений такого рода на российском рынке, но и новые ИБ-решения классов «управление информацией и событиями по безопасности» (SIEM), «детектирование и реагирование на конечных точках» (EDR), «контроль сетевого доступа» (NAC), разработанные в UserGate.
Экосистема UserGate SUMMA взамен одиночного NGFW
Анонс экосистемы UserGate SUMMA, представляющей собой набор решений для комплексного управления ИБ гибридной ИТ-инфраструктуры, состоялся 27 мая 2021 года в рамках ежегодной конференции вендора. Локомотивом для её роста стал межсетевой экран NGFW, уже успевший достичь большой популярности среди заказчиков.
Экосистему SUMMA формируют, помимо NGFW, следующие основные модули:
- UserGate Log Analyzer, на который возложены функции SIEM, платформы реагирования (IRP), оркестратора и автоматизатора (SOAR). Модуль выполняет сбор логов и анализ событий с целью выявления инцидентов и реагирования на них.
- UserGate Management Center, представляющий собой централизованную систему управления и настройки.
- UserGate Client, который служит для реализации функций EDR, ZTNA и NAC, обеспечивая управление видимостью подключаемых клиентов, в т. ч. с учётом принципов сетевого доступа с «нулевым доверием».
- UserGate WAF,обеспечивающий защиту веб-ресурсов на физическом или виртуальном сервере, что позволяет выявлять разнообразные виды атак и осуществлять фильтрацию трафика.
Ядром системы безопасности выступает собственная ОС UGOS. Она осуществляет обработку и анализ сетевого трафика и обеспечивает эффективное масштабирование экосистемы.
Новизна SUMMA состоит в том, что она объединяет крупные решения, которые активно развиваются и аккумулируют технологии сложной аналитики. Например, SIEM не только играет роль центра сбора данных об инцидентах, но и порождает управленческие решения, которые обеспечивают мониторинг, оценку данных, детектирование и реагирование на события.
Решения могут применяться в гибридной среде: в сетях, на конечных точках и в облачной инфраструктуре.
Расширенное импортозамещение ради NGFW или мировой тренд?
Казалось бы, зачем совмещать настолько разные крупные решения?
Ответ можно искать среди направлений развития технологий, которые реализовываются сейчас во всём мире. Широкое развитие технологий обнаружения угроз путём выявления корреляций и анализа поведенческих особенностей пользователей / программных объектов (UEBA), прогресс средств киберразведки (TI) требуют сквозного применения данных и правил. Обеспечить это могут только экосистемные решения.
Как отметил на пресс-конференции по случаю анонса UserGate 7.1 Дмитрий Чеботарёв, менеджер по развитию продукта, на существенные изменения в эволюции SIEM указал Gartner в отчёте за 2022 год. Было отмечено, что в своём классическом виде SIEM уже устарели и стали малоинтересными для заказчиков.
Согласно прогнозу Gartner, в будущем функциональность обычной SIEM-системы пополнится дополнительными инструментами, которые до сих пор рассматривались как отдельные разновидности ИБ-софта. К их числу можно отнести средства киберразведки, IRP / SOAR, механизмы взаимодействия с EDR и многое другое. С каждым годом список продуктов, входящих в SIEM, постоянно расширяется.
Похоже, эти тренды и послужили мотивом, который подтолкнул UserGate в 2021 году заняться «расширением специализации межсетевых экранов». Но компания не просто предложила «импортозамещение» NGFW, а решила попробовать свои силы в развитии ИБ-экосистемы. Её развитие пошло от частного к общему.
Например, основным «топливом» для средств киберразведки (TI) служат индикаторы компрометации (IoC): IP-адреса, домены, имена пользователей и т. д. Среди них встречаются самые разнообразные данные. Их применение требуется и на уровне NGFW.
В результате собственных разработок и полученного опыта эксплуатации NGFW компания UserGate сумела накопить экспертизу и создать пакеты потоков данных (фидов) для обогащения информации об инцидентах. Сейчас из «коробки» UserGate можно подгружать около десятка бесплатных фидов, а также платные наборы. Эта информация позволяет развивать всю экосистему UserGate SUMMA.
Функциональность IRP и SOAR даёт возможность анализировать поведение процессов, выявлять риски и автоматически обеспечивать адекватную реакцию на основе проведённого анализа, защищать от угроз или аномального поведения на самой ранней стадии, управлять процессами реагирования на инциденты в ИБ.
Развитие концепции XDR
Как рассказал Иван Чернов, менеджер по развитию бизнеса UserGate, экосистема UserGate SUMMA движется сейчас в сторону концепции XDR.
«XDR — это модель или подход к безопасности, по которой выстраиваются правила и этапы реагирования на угрозы и отражения атак. Слово “extended” означает необходимость расширить область видения инфраструктуры. Реальные решения будут зависеть от специфики её реализации (хосты, облака)», — сказал спикер.
Особое значение с развитием экосистемы SUMMA приобретает возможность распространения отраслевого опыта в ИБ среди всего пула заказчиков компании. Если точечные внедрения позволяют видеть угрозы на уровне одной компании, то развитие экосистемы даёт возможность получить готовое решение по безопасности. Это должно способствовать расширению числа заказчиков UserGate, потому что экосистемный подход стимулирует масштабирование.
Большой пул заказчиков позволяет накапливать экспертизу по текущим атакам и быстро распространять её среди других компаний отрасли или региона. В результате, например, выявление региональной направленности кибератаки позволяет быстро и своевременно подготовить других участников рынка к инциденту ещё до того, как они столкнутся с ним. Этот тренд может оказаться решающим в будущем. Возможно, именно он позволит определить «победителя гонки импортозамещения NGFW».
Рисунок 1. Применение продуктов UserGate в рамках концепции XDR
Как отметил Иван Чернов, многое будет зависеть от того, насколько открытыми будут участники рынка, будут ли они готовы делиться информацией об атаках, направленных против них. Это поможет защищаться не только другим компаниям, но и им самим.
Важно, что российский регулятор уже осознал необходимость такого обмена данными и организовывает его посредством ГосСОПКА. В новой версии экосистемы UserGate появились инструменты по подготовке отчётов для неё. Этот механизм открывает возможность оперативно добавлять индикаторы компрометации в продукты.
Новые технологии в UserGate версии 7.1
UserID
Необходимость наделения пользователей / машин собственными индикаторами назрела давно. Проблема берёт своё начало из факта, что для попадания в сеть одних и тех же пользователей / машин существует много путей. В результате границы оказываются размытыми, а сами устройства приобретают неявные признаки. За ними могут легко прятаться злоумышленники.
Рисунок 2. Индикатор UserID позволит контролировать подключения к сети
Введение собственного признака UserID в экосистему UserGate позволяет точно определить каждого пользователя / каждый компьютер вне зависимости от того, каким образом он попал в сеть или какими инструментами пользуется.
Новый инструмент UserID дополнил методы аутентификации, которые и раньше имелись в UserGate. Теперь этот механизм позволяет применять концепцию ZTNA, добавив поддержку «нулевого доверия». Доступ будет только у тех, кто авторизован и действительно нуждается в нём.
Рисунок 3. Реализация «нулевого доверия»
Пользовательские сигнатуры IDPS для уровня L7
Потребность в таких индикаторах давно выражали сторонние разработчики сервисов и приложений. До сих пор индивидуализированные и созданные на заказ приложения рассматривались как недоверенные. Приходилось принимать специальные меры для их легализации внутри периметра. Новый сервис позволяет создавать пользовательские сигнатуры, с помощью которых можно защищать собственные разработки.
IKEv2
Поддержка VPN-протокола IKEv2 стала важным дополнением в версии 7.1. Этот протокол отличается более высоким уровнем безопасности, надёжности и производительности. В свете того что в последних версиях ОС Android наблюдается отказ от старых протоколов VPN, это дополнение выглядит своевременным.
IPSv3
Новая версия собственного ядра UserGate IPSv3, лежащего в основе системы обнаружения вторжений (СОВ), может блокировать IP-адреса и порты, применять правила фильтрации трафика или автоматически отключать подозрительные соединения. Она предоставляет информацию о вторжениях и сетевых угрозах, попытках эксплуатации уязвимостей и атаках, сигнализируя специалистам по информационной безопасности о необходимости принять своевременные меры.
UpStream Proxy
В сети, которая находится под защитой UserGate, поддерживается использование протоколов HTTP, HTTPS и SOCKS5. Этот набор обеспечивает различные виды анонимизации, что позволяет выбрать наиболее приемлемый и безопасный вариант для заказчика. Например, выбор прокси-сервера SOCKS5 обеспечивает строгую аутентификацию и поддержку адресов IPv6, оставляя информацию об IP-адресе пользователя полностью скрытой.
Рисунок 4. UpStream Proxy позволит контролировать временные изменения в политиках сетевого доступа
До сих пор много вопросов вызывала поддержка закрытых сегментов корпоративной сети, доступ к которым снаружи был запрещён. Реальность такова, что для них периодически также возникают задачи требующие временного открытия доступа — например, для обновления ПО или лицензии, установки нового устройства, проверки или предоставления разрешения для обмена веб-трафиком с определённым внешним ресурсом. Их временное открытие часто становилось причиной попадания хакеров во внутреннюю сеть.
Новая поддержка UpStream Proxy позволяет решить эту задачу безопасно. Возможны варианты доступа с авторизацией и без неё, а также подключение через цепочку прокси-серверов.
UserGate Client
UserGate Client управляет безопасным доступом в сеть для пользовательских устройств корпоративных клиентов. Он объединил в себе три функции для защиты удалённого доступа устройств: VPN, NAC и EDR.
Рисунок 5. Поддержка NAC в продуктах UserGate
Это решение обеспечивает контроль и расширенную защиту устройств, возможность безопасного подключения к корпоративной сети посредством VPN, детектирование вредоносной активности и реагирование на угрозы. Решение осуществляет фильтрацию вредоносных и запрещённых сайтов, защищает сетевые соединения.
Рисунок 6. На пути от EDR к XDR
Новая версия UserGate Client позволяет создавать защищённый канал для организации удалённого доступа и контроля безопасности подключённого оборудования, осуществлять микросегментацию, обеспечивая ограниченный доступ к заранее назначенным приложениям в рамках реализации единой корпоративной стратегии ИБ. Даже в случае компрометации злоумышленник теперь сможет получить доступ только к отдельно взятому сегменту. Остальная часть сети останется в безопасности.
Выводы
Все элементы новой версии экосистемы UserGate 7.1 реализованы как в виде программно-аппаратных комплексов, так и в виртуальном исполнении с поддержкой различных гипервизоров, а также с возможностью развёртывания в облаке. Такая широкая совместимость позволяет компании активно развиваться на российском рынке не только за счёт своего межсетевого экрана NGFW, но и через комплексный подход к системе защиты.
Заказчики получают возможность не просто импортозамещать прежние технологии, но и не отставать в развитии сетевой безопасности от мировых трендов.
