Обзор онлайн-конференции UserGate «Большое обновление»: представлены новые решения класса EDR/NAC и UGOS 7.01

UserGate анонсировал релиз-кандидат версии 7.1 собственной операционной системы UGOS и предложила протестировать свои новые EDR/NAC- и SIEM-решения UserGate Client и UserGate SIEM Light. На мероприятии был и отдельный экспертный блок, где новинки подробно разбирались с технической точки зрения: функции, технологии, изменения интерфейса.

Чтобы собрать максимально честную обратную связь, прямо во время выступлений периодически запускались опросы зрителей – заказчиков и партнёров UserGate. Их результаты отправлялись напрямую в отдел разработки UserGate.

Тренды ИБ и то, как UserGate на них отвечает

Открыл конференцию менеджер по развитию UserGate Иван Чернов. Он поделился успехами компании: в рейтинге TAdviser Security (100 крупнейших ИБ-компаний в России) UserGate занял 14 место, поднявшись с 34 строки аналогичного рейтинга прошлого года. А по рейтингу CNews «Самые быстрорастущие ИТ-компании» UserGate – 4-й (и первый среди именно ИБ-компаний).

Иван рассказал в том числе и о важных изменениях трендов информационной безопасности:

• Вымогатели теперь не просто блокируют данные с помощью шифровальщиков – от этого жертвы научились защищаться с помощью бэкапов. Чаще стали похищать конфиденциальную информацию и требовать выкуп за то, что не будут публиковать её в общий доступ.
• Долгое нахождение злоумышленника в сети компании-жертвы. Сначала хакеры долго и постепенно проникают в инфраструктуру, закрепляются там. А потом продают созданные доступы в даркнете. При расследовании будет сложнее выявить всю цепочку от проникновения до собственно инцидента ИБ, так как между ними могут пройти месяцы.
• Растет сложность атак. Это не новый тренд, а, скорее, напоминание о том, что методы защиты необходимо постоянно совершенствовать, поддерживая их на актуальном уровне.

Для противодействия трём первым трендам UserGate стремится развивать свою экосистему продуктов кибербезопасности UserGate SUMMA в направлении концепции XDR (eXtended Detection and Response) – комплексного обнаружения сложных угроз и целевых атак. Причём делать экосистему открытой, с возможностью подключения в неё продуктов других производителей.

• Четвертый тренд касается защиты от кибератак – важность видимости угроз не по отдельно взятой компании, а по всей отрасли или стране.

В соответствии с этим трендом UserGate использует инструменты отправки информации об атаках в систему ГосСОПКА, интегрирует сторонние IoC (индикаторов компрометации) в свои продукты.

UGOS 7.1

Что появилось в обновлении UGOS 7.1? Иван Чернов в своем выступлении кратко перечислил новые технологии, а Вячеслав Емчук, руководитель отдела pre-sale UserGate, подробно рассказал о каждой:

1. UserID – в добавление к уже существующим инструментам идентификации пользователей (агент, Captive Portal) добавлен UserID, он выявляет пользователей по событиям аутентификации, позволяет видеть инициируемые ими соединения. Соответственно, применение правила контроля трафика будет более точным.

Читаются события, передаваемые по WMI и по syslog.

• Новая версия движка обнаружения вторжений UserGate IPSv3, включающая, прежде всего, возможность написания пользовательских сигнатур IDPS&L7. Это особенно полезно в инфраструктурах с самостоятельно разработанными веб-приложениями – предотвращать атаки на них станет легче. Для написания используется собственный язык UASL, сигнатуру можно протестировать до её применения.

Другие изменения движка: он научился принимать расшифрованный SSL-трафик от других сетевых шлюзов; можно запускать захват трафика при срабатывании L3/L7 сигнатур. В правилах IPS можно включить частоту срабатывания – это позволит эффективно бороться с брутфорс-атаками.

• Поддержка протокола VPN IKEv2, актуального для современных версий Android.
• Upstream proxy – построение цепочки прокси-соединений. Какое-то устройство из закрытого сегмента подключается к UserGate NGFW как к прокси-серверу (например, для обновления лицензии). А тот, в свою очередь, перенаправляет соединение на внешний сервер.

Каждому клиенту – по UserGate Client’у

Менеджер по развитию продукта UserGate Виталий Даровских рассказал о том, как UserGate Client (ранее бывший просто VPN-клиентом) развивается для совмещения трёх концепций: ZTNA, EDR, VPN. Что это фактически означает?

Основные возможности использования UserGate Client были расширены и теперь выглядят следующим образом:

1. Микросегментация доступа – для реализации концепции нулевого доверия (ZTNA) устройствам, на которых установлен UserGate Client, можно разрешать и запрещать доступ к отдельным сегментам сети, сайтам и приложениям.
2. Централизованное управление, контроль политик и обновлений, установленных на устройстве. Сюда же относится расширенный сбор событий безопасности на устройстве для последующей передачи в SIEM (Host Information Profile, HIP). Анализируется:
   1. Активные процессы
   1. Контроль установленных обновлений и приложений
   1. Использование процессора и памяти
   1. Элементы автозагрузки
   1. Подключение/отключение USB-устройств
3. Удалённый доступ – конечно, функционал VPN-клиента никуда не делся, и UserGate Client по-прежнему обеспечивает безопасный удалённый доступ к корпоративной сети.
   
   

Была озвучена и политика лицензирования UserGate Client. Чтобы его использовать, можно купить только обязательную часть лицензии – заказчик получит VPN, хостовый межсетевой экран и сбор информации с устройства. А в дополнительную часть, приобретаемую отдельно, входят compliance-проверка устройства и сегментирование доступа.

Выступавший в техническом блоке ведущий инженер pre-sale UserGate Кирилл Жарков поговорил о том, как это выглядит в реальной инфраструктуре. UserGate Client проектировался, исходя из двух возможных вариантов использования:

1. Привычный и использовавшийся ранее «Режим NGFW»: устройства с установленным UserGate Client, находящиеся во внешней сети, подключаются по VPN к UserGate NGFW. После этого весь их трафик во внутреннюю сеть регулируется политиками доступа. Такой режим никак не затрагивает внутренних пользователей, даже если у них установлен UserGate Client.
2. Второй режим «Режим MC» – это как раз применение концепции ZTNA (сетевой доступ с нулевым доверием): устройства с UserGate Client, вне зависимости от расположения во внутренней/внешней сети, управляются UserGate Management Center. При этом UserGate Client выступает, во-первых, в качестве локального межсетевого экрана (МЭ), а во-вторых, в качестве SIEM-агента (высылая HIP-информацию). Интересно, что локальный МЭ UserGate Client позволяет блокировать трафик приложений не только по сигнатурам, но и по хэшам исполняемых файлов, инициирующих соединение (например, для блокировки старых версий ПО).

Для всего описанного был показан интерфейс настроек: VPN, сбор HIP с устройств. Отдельный интересный пункт – настройки compliance-проверок. UserGate Client может проверять состояние (включен или нет) для:

• локального МЭ
• антивируса
• автоматических обновлений
• Bitlocker

А также то, входит ли установленное ПО в список разрешённых корпоративными политиками:

• антивирус
• локальный МЭ
• средство резервного копирования
• ПО для шифрования диска
• DLP
• средство для управления обновлениями

UserGate SIEM Light – эволюция в действии

Партнёры и заказчики UserGate хорошо знают UserGate Log Analyzer. Изначально созданный для анализа событий от собственных решений UserGate, постепенно он обрастал дополнительными возможностями мониторинга. И теперь, в версии 7.1 UGOS, получившийся продукт стал SIEM’ом и по функционалу, и по названию. Об UserGate SIEM Light на конференции рассказывал менеджер по развитию продукта UserGate Дмитрий Чеботарев.

UserGate SIEM Light собирает события безопасности из нескольких видов источников (в частности, UserGate NGFW и Client, отправители syslog или SNMP, Windows-машины через протокол WMI). После этого на основе коробочных или самописных правил корреляции может быть создан инцидент. А в рамках инцидента, в свою очередь, может быть автоматически выполнено действие реагирования (например, отправка команды блокировки) – это значительно ускорит обработку инцидентов.

Дмитрий подчеркнул, что более 300 коробочных правил корреляции созданы UserGate самостоятельно на основе собственной экспертизы работы над NGFW, опыта заказчиков, взаимодействия c коллегами по отрасли. Экспертизы мало не бывает, поэтому в UserGate SIEM Light можно подключить источники IoC (и платные, и бесплатные) для обогащения инцидентов.

Ещё один аспект, о котором говорилось в выступлении – простота развёртывания. Разработчики стараются сделать так, чтобы первоначальную настройку UserGate SIEM Light можно было выполнить за 10 минут в любом исполнении: ПАК, виртуальная машина, образ на облачной платформе (Yandex Cloud).

Выступавший в техническом блоке Алексей Растоскуев, ведущий инженер pre-sale UserGate, рассказал о лицензировании:

• Базовой лицензией является лицензия на UserGate Log Analyzer – она всё ещё может быть приобретена теми заказчиками, которым достаточно его функционала.
• Если нужен полноценный функционал анализа и корреляции событий безопасности, то сверху докупается лицензия на SIEM.
• Для получения правил аналитики от UserGate понадобится дополнительная регулярная подписка.

Кроме этого, Алексей поговорил о преимуществах SIEM в целом и подробно показал интерфейс UserGate SIEM Light.

В финале конференции на сцену вновь вышел Иван Чернов, ещё раз напомнить о том, что для тестирования UGOS 7.1, UserGate Client, UserGate SIEM Light достаточно подать заявку в личном кабинете пользователей на портале my.usergate.com.

Подводя итоги, он решил устроить небольшой сюрприз и объявил: в UGOS 7.1, помимо сказанного, войдёт и функционал WAF – ему в ближайшем будущем будет посвящено отдельное мероприятие (следите в Telegram-канале UserGate).

Записи выступления и презентации с онлайн-конференции UserGate «Большое обновление» доступны по ссылке.

Подробное описание нового функционала UGOS 7.1 доступно на сайте базы знаний UserGate.

Реклама. Рекламодатель: ООО «ЮЗЕРГЕЙТ», ИНН 5408308256. Erid: 2SDnjdZhLxY