СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
10.11.2022
#Обзоры #Dev#ИБ#Инфра#Облака

UserGate OS 7 для продуктов экосистемы кибербезопасности UserGate SUMMA

UserGate OS 7 для продуктов экосистемы кибербезопасности UserGate SUMMA

1 сентября компания UserGate представила новую версию операционной системы — UserGate OS 7 (или UGOS 7) для продуктов экосистемы кибербезопасности UserGate SUMMA. Это полностью переработанная версия операционной системы от компании UserGate, ориентированная для работы на высоконагруженных сетевых сервисах. UGOS 7 обеспечит поддержку новых аппаратных платформ UserGate C150, UserGate X10 и последующих релизов компании. Все обновления уже доступны для скачивания.

Менеджер по развитию UserGate Иван Чернов и технический директор UserGate Александр Кистанов провели вебинар и ответили на вопросы зрителей. Ключевые тезисы вебинара:

  • UGOS 7 – полностью новая переработанная операционная система (ОС). Стала легче, оптимизированной, производительнее;
  • UGOS 7 поддерживает ARM – платформы C150 и Х10;
  • Новый движок СОВ/IDPS для NGFW, обладающий повышенной производительностью, в который заложена возможность создавать впоследствии собственные сигнатуры;
  • В UserGate NGFW расширена возможность работы с трафиком, командной строкой, резервным копированием; добавлена поддержка Rest API;
  • Миграцию на новую версию UGOS 7 в UserGate NGFW можно сделать через экспорт/импорт конфигурации;
  • UserGate Log Anаlyzer – NG SIEM с функциями IRP, к нему поставляются пакеты экспертизы от Центра мониторинга и реагирования UserGate (UserGate MRC).

Что такое UserGate SUMMA?

UserGate SUMMA — это все необходимые инструменты для комплексной защиты современной IT-инфраструктуры, образующие экосистему продуктов кибербезопасности. Она включает в себя виртуальные платформы и программно-аппаратные комплексы на базе собственной операционной системы UGOS, а также комплементарные продукты компании, обеспечивающие гибкое и целостное управление безопасностью IT-сетей.

Менеджер по развитию UserGate Иван Чернов на ежегодной конференции UserGate 2022 отметил: «UserGate SUMMA обросла смыслами, функциональными особенностями, если раньше мы говорили, что экосистема UserGate SUMMA – это набор продуктов, то сейчас мы говорим, что это единый дышащий организм, который умеет обмениваться данными, синхронизирован по управлению, расширяет видимость безопасности вашей сети. И именно совокупность продуктов экосистемы UserGate SUMMA позволяет решать вопросы безопасности в самом широком применении».

Ключевые аспекты работы UserGate SUMMA

Видимость. Основная проблема в расследовании инцидентов по информационной безопасности (ИБ) – это недостаток информации. Недостаток формируется из-за слабого покрытия источников и невозможности их интерпретации. Технологии UserGate SUMMA позволяют идентифицировать абсолютно всех пользователей сети, определить все приложения и расшифровать до 98% всего неизвестного зашифрованного трафика. Таким образом, UserGate SUMMA обеспечивает практически 100% видимость сети.

Широкая область. Продукты экосистемы UserGate SUMMA контролируют сетевой трафик на всех рубежах сетевого взаимодействия. Пользовательские рабочие места, локальная сеть, интернет, облачные сервисы и приложения, территориальные филиалы и удаленные сотрудники – везде можно установить продукты экосистемы UserGate SUMMA для комплексного сбора данных и защиты инфраструктуры.

Агрегация. Единые дашборды, сводные отчеты, централизованная консоль управления – это то, что позволяет элементам UserGate SUMMA функционировать сплоченно и слаженно. Экспертиза UserGate MRC дополняют технологический стек экосистемы UserGate SUMMA и в совокупности обеспечит максимальный уровень безопасности.

Реагирование. С UserGate SUMMA в распоряжении специалиста по информационной безопасности находится полный набор инструментов для мониторинга сети, выявления инцидентов, а также расследования и реагирования на произошедшие события безопасности. Совокупность решений и технологий экосистемы UserGate SUMMA, а также экспертиза UserGate MRC дают синергетический эффект и позволяют решать ключевые задачи для бизнеса – сокращать скорость реакции на нежелательные события, уменьшать последствия киберинцидентов и минимизировать время остановки бизнес-процессов.

Автоматизация. Продукты экосистемы кибербезопасности UserGate SUMMA интегрированы друг с другом, а набор механизмов автоматизации позволяет настраивать сценарий мгновенного реагирования на события безопасности и увеличивать скорость реакции на инцидент

UserGate SUMMA состоит из следующих продуктов:

  • UserGate NGFW – межсетевой экран нового поколения с функцией предотвращения вторжений;
  • UserGate Management Center – централизованное управление элементами экосистемы;
  • UserGate Log Analyzer – система глубокого мониторинга систем информационной безопасности;
  • UserGate Client – защита рабочих мест от сложных угроз.
  • UserGate WAF — межсетевой экран для защиты веб-приложений (в составе UserGate NGFW).

Какую роль играет UGOS в UserGate SUMMA

Операционная система UGOS, разработанная компанией UserGate, управляет всеми компонентами UserGate SUMMA. Это позволяет использовать продукты UserGate в разных сочетаниях и моделях использования, а дополнительные формы поставки, такие как виртуальные машины, аппаратные комплексы и сервисная модель безопасности (безопасность как услуга или Security as a Service) – дают безграничные возможности имплементации решений как в существующую инфраструктуру организации, так и в проектируемую.

Партнерский менеджер UserGate Александр Богданов на ежегодной конференции UserGate 2022 отметил: «UGOS – это cама база того, что происходит «под капотом» наших решений, это ядро, на котором строится весь функционал, все, что связано с безопасностью, вычислениями, грубо говоря – самая критическая часть».

Интеграция аппаратных платформ и программного обеспечения собственной разработки

Компания UserGate разработала собственную архитектуру для своих аппаратных платформ; собственный дизайн, схемотехника, разработка печатной платы и сборка на предприятии контрактного производства в Санкт-Петербурге позволяют гарантировать высокое качество продукта. Видео производства аппаратных платформ можно посмотреть по ссылке.

Во время своего выступления на ежегодной конференции UserGate 2022 директор UserGate Александр Левченко рассказал о развитии продуктов компании UserGate, обновлении аппаратных комплексов и интеграции «железа» с программной частью. Александр отметил, что, контролируя одновременно аппаратную и программные части можно достичь желаемого результата, не только по совместимости, но и по функционалу, и производительности. На UserGate 2022 были представлены модели UserGate NGFW собственной разработки на основе UserGate 150, UserGate X10, а также рекмаунт для создания кластерной конфигурации UserGate С150. Все новые платформы соответствуют требованиям импортозамещения с токи зрения сборки, разработки, производства, — отметил партнерский менеджер UserGate Александр Богданов.

Компания также анонсировала UserGate FG собственной разработки — высокопроизводительный межсетевой экран для центров обработки данных (ЦОД), и использование трех процессов в рамках одной микросхемы (криптографический, контент и сетевой процессоры).

Преимущества UserGate SUMMA

В состав экосистемы продуктов кибербезопасности UserGate SUMMA входят решения от одного вендора – UserGate. Это позволяет выстроить полноценную систему обнаружения и предотвращения кибератак «из коробки». Как было отмечено выше, компания разрабатывает не только собственную ОС, но и программно-аппаратные комплексные, обеспечивая максимальную совместимость между ПО и «железом». UserGate предоставляет необходимую экспертизу, расширяет функционал под запросы пользователей, следит за трендами. Продукция компании присутствует в популярных маркетплейсах облачных провайдеров (статья про миграцию на облачный сервис UserGate доступна по ссылке), соответствует требованиям регуляторов по ИБ.

Отдельно стоит отметить, что директор UserGate Дмитрий Курашев на ежегодной конференции UserGate 2022 заявил, что компания работает над созданием и развитием сообщества профессионалов UserGate. Развивает компетенции партнеров, дистрибьютеров, технических специалистов, создает учебные курсы и базы знаний (посмотреть обучающие видео про продукты UserGate можно и на ютюб-канале UserGate).

UG OS 7 – что нового?

Изменения коснулись следующих продуктов: UserGate NGFW, UserGate LogAnаlyzer. Рассмотрим их подробнее.

UserGate NGFW на UGOS 7

Версия 7.0 UGOS существенно расширяет арсенал функций безопасности пользователей UserGate NGFW. Прежде всего, это новый движок IDPS, обладающий повышенной производительностью, и в который заложена возможность создавать впоследствии собственные сигнатуры. Также в ряду важных обновлений расширенный функционал для диагностики, мониторинга и поиска уязвимостей и записи трафика в любых направлениях. К функциям работы с трафиком SSL добавились отправка расшифрованного трафика на внешние серверы и проверка расшифрованного трафика SSL с помощью движка IDPS.

Release Notes:

  • Добавлена поддержка новых аппаратных платформ на основе UserGate C150, X10;
  • Новый движок IDPS, позволяющий создавать свои собственные сигнатуры (в следующих версиях) и обладающий более высокой производительностью;
  • Добавлена возможность настройки политик безопасности в CLI (Command Line Interface) с помощью UPL (UserGate Policy Language);
  • Новый интерфейс CLI, позволяющий произвести полную настройку всех функций NGFW;
  • Добавлены новые возможности диагностики, мониторинга и поиска проблем с помощью команд CLI: просмотр и сброс счетчиков интерфейсов, отображение установленных сессий, отображение правил UseGate flow;
  • Добавлена статистика по срабатыванию правил межсетевого экрана (hit counters);
  • Добавлена возможность записи трафика в любых направлениях (входящиий/исходящий);
  • Добавлена возможность отправки расшифрованного SSL-трафика на внешние системы безопасности (SSL-tap);
  • Добавлена возможность записи трафика при срабатывании сигнатур IDPS;
  • Добавлена возможность проверки зашифрованного трафика SSL с помощью IDPS;
  • Добавлена поддержка LLDP-протокола;
  • Добавлена поддержка Rest API для конфигурирования устройств;
  • Добавлена возможность инспекции GRE, GTP-U и IPSec-незашифрованных туннелей;
  • Добавлена возможность отображения страниц блокировки по https;
  • Добавлены дополнительные возможности для проверки безопасности устанавливаемых обновлений UGOS и обновляемых библиотек;
  • Добавлена возможность создания резервной копии (снэпшота) файловой системы без прерывания работы решения;
  • Добавлена возможность отката к предыдущей версии при установке обновления UGOS;
  • Добавлена возможность вложенности групп IP-адресов в другие группы;
  • Добавлена возможность вложенности групп сервисов в другие группы;
  • Добавлена поддержка части функций VMWare tools;
  • Улучшена работа решения с большим количеством vlan-интерфейсов;
  • Улучшена безопасность при работе с устройствами, использующими DMA, за счет поддержки технологии IOMMU.

На портале поддержки UserGate доступно руководство администратора по новой версии ОС для UserGate NGFW. Онлайн демо доступно по ссылке.

UserGate Log Anаlyzer на UGOS 7

Обновления ОС для UserGate Log Anаlyzer позволяет полноценно реализовать функционал Security Informationand Event Management (SIEM) в рамках экосистемы UserGate SUMMA. Аккумулируя данные из различных источников (сенсоров), UserGate Log Analyzer осуществляет агрегацию и корреляцию событий и создает инциденты безопасности, а устанавливаемые правила позволяют автоматически определять методы реагирования на них.

Добавленный функционал Incident Response Platform (IRP) для UserGate Log Analyzer позволяет настроить процесс расследования инцидентов информационной безопасности под индивидуальные потребности заказчика.

В перечень обновлений для UserGate Log Analyzer также добавлены возможности интеграции с ГосСОПКА для ручной или автоматической отправки информации об инцидентах кибербезопасности и создание многоуровневых отчетов (drilldowns) в журналах и дашборде.

На портале поддержки UserGate доступно руководство администратора по новой версии ОС для UserGate LogAnalyzer. Получить краткую информацию о продукте можно в видеоролике компании.

Возможности UGOS 7 для пользователей облачных маркетплейсов

Добавлена поддержка Cloud Init для быстрого развертывания облачного UserGate NGFW с помощью загрузки конфигурационного файла.

Статья про миграцию на облачный сервис UserGate доступна по ссылке.

Сценарии использования продуктов UserGate SUMMA на UGOS 7

Нулевое доверие (ZTNA)

UserGate SUMMA предоставляет пользователям простой и защищенный удаленный доступ к корпоративным сетям и ресурсам для удаленной работы по модели «нулевого доверия» (ZTNA). С помощью UserGate NGFW проводится микро-сегментация сети, в том числе и на прикладном уровне сетевой модели OSI (L7). Обязательное шифрование реализуется с помощью встроенных инструментов по построению VPN-туннелей, а также публикациями reverse-прокси и созданием SSL-VPN порталов для доступа к веб-приложениям.

Подробный функционал UserGate NGFW для работы по модели «нулевого доверия» представлен ниже.

Межсетевое экранирование

В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров (3 и 7 уровни сетевой модели OSI). Не говоря о стандартных IP получателя, IP источника, протоколе и т. д. В UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (например, мессенджер Skype, сайт Яндекс.Диск – всего более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу https. Всё это позволит определять политики соответствия требованиям доверенного устройства, настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.

Обнаружение и предотвращение вторжений (IDPS)

Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей – с возможностью гибко настроить включённые сигнатуры и реакцию UserGate на них. Работа функций безопасности решения основана на постоянном взаимодействии с UserGate MRC, что позволяет поддерживать минимальное время реакции на известные и неизвестные угрозы. Разработчики UserGate обладают уникальным и специфическим опытом по работе с интернет-ресурсами и угрозами, особенно актуальными для русскоязычного сегмента Интернета.

Центр мониторинга и реагирования UserGate также помогает предотвращать инциденты. Его специалисты постоянно работают над тем, чтобы как можно быстрее найти угрозы нулевого дня и выслать рекомендации по их устранению или компенсации, а также добавить сигнатуры обнаруженных угроз в обновления механизмов IDPS.

Защита от DoS-атак и сетевого флуда

Чтобы один хост не мог отправкой большого количества пакетов случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счётчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу заблокировать.

Защита от вирусов

Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.

Защита веб-трафика и почты

UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организацию.

Контроль мобильных устройств

UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции Bring your own device (BYOD). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.

Гостевой портал (Captive Portal)

UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут, зарегистрировавшись через email или SMS, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим SMS/OTP.

Кластеризация

UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).

Защита рабочих мест с помощью UserGate Client

UserGate Client — это программный компонент экосистемы продуктов кибербезопасности UserGate SUMMA, устанавливаемый на конечные станции (рабочие места). UserGate Client обеспечивает защиту, соответствие требованиям и безопасный доступ для пользователя. Он обнаруживает и блокирует сложные угрозы на автоматизированных рабочих местах (АРМ), например, шифровальщики или вредоносную активность легитимного ПО.

Функции UserGate Client

Защита рабочего места от сложных угроз

Специальный движок отслеживает происходящие процессы, используя индикаторы компрометации (IoC) и индикаторы атак (IoA) от UserGate MRC. Также с компьютера собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный пользователь, установленное ПО и обновления ОС и т.п. Эти сведения коррелируются с другими событиями безопасности (в частности, сетевыми). В результате выявляются целевые угрозы, распределённые по времени и инфраструктуре атаки.

Управление безопасностью АРМ

UserGate Client позволяет управлять политиками используемых приложений, предоставляет возможность, обнаружив угрозу, немедленно на неё отреагировать: установить обновления безопасности, отключить сеть на потенциально заражённой машине.

Хостовый межсетевой экран

UserGate Client контролирует доступ в сеть на основе политик соответствия требованиям (NAC) и позволяет реализовывать подключение к корпоративной сети, построенной на принципах нулевого доверия (ZTNA), блокируя нежелательные сетевые соединений на уровне рабочего места.

VPN-клиент

Для безопасной удалённой работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP.

Централизованное управление

UserGate Client можно централизованно развернуть на значительное количество устройств, таким образом он будет осуществлять сбор логов, журналов и отчетов для UserGate Log Analyzer.

Управление сетевой безопасностью с помощью UserGate Management Center

Для удобного централизованного управления экосистемой кибербезопасности UserGate SUMMA используется UserGate Management Center. Система оркестрации, автоматизации и реагирования позволяет реализовать концепцию Security Orchestration, Automation and Response (SOAR) для продуктов экосистемы UserGate SUMMA. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств.

Для работы UserGate Management Center лицензируется количество управляемых устройств и модуль получения обновлений ПО.

Возможности управления:

Создание областей безопасности

Для разных подразделений (функциональных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью.

Группы шаблонов безопасности

Управление подчиненными устройствами реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. Шаблон можно применять для одного или нескольких устройств и комбинировать их.

Обновление ПО и библиотек

ПО и обновления библиотек (сигнатуры IDPS, списки сайтов и т.п.) могут быть загружены на UserGate Management Center и установлены на все устройства.

Мониторинг и управление питанием

Для подчинённых устройств доступна информация о лицензии (используемые модули и количество активных подключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств.

Мониторинг систем информационной безопасности с помощью UserGate Log Analyzer

UserGate Log Analyzer с функциями SIEM и IRP в составе UserGate SUMMA решает задачу глобального мониторинга систем безопасности: сбор, хранение, глубокий анализ угроз. Можно, например, организовать обработку событий безопасности для филиалов компаний в одном месте. Причём не только для устройств UserGate –возможен сбор по протоколу SNMP.

Встроенный функционал для разбора инцидентов позволяет организовать работу в команде по созданию, делегированию и ведению событий внутри системы UserGate Log Analyzer.

Возможности UserGate Log Analyzer:

Сбор и хранение событий безопасности

UserGate Log Analyzer собирает события безопасности с устройств Usergate (по проприентарному протоколу) и с других устройств (по SNMP). Благодаря этому высвобождаются ресурсы конечных устройств, и увеличивается срок хранения этих событий. Хранятся: журнал событий (изменение настроек целевых серверов, обновления и т. д), журнал веб-доступа пользователей, журнал трафика (срабатывания правил межсетевого экрана, NAT, маршрутизации), журнал IDPS, история перехваченных поисковых запросов пользователей в поисковиках. Доступен функционал резервирования журналов.

Анализ событий безопасности в реальном времени и автоматическое реагирование

Поступающие события автоматически проверяются на соответствие встроенным правилам UserGate Log Analyzer, и при совпадении создаётся срабатывание.

Когда генерируется срабатывание, система может выполнить действия, настроенные в правиле создания инцидента, а также определять методы реагирования на них. Например, можно отправить email или SMS, создать правило на межсетевом экране с задаваемыми параметрами, или создать тикет в системе.

Расследование инцидентов информационной безопасности

В UserGate Log Analyzer можно выстроить процесс расследования инцидентов информационной безопасности. Доступна фильтрация, сортировка и группировка по журналам событий, веб-доступа, трафика, IDPS. Для расследования инцидентов пользователи могут получить подробный список всех посещенных веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и по заблокированным сайтам, топ заблокированных приложений, топ сработавших правил; топ IP-адресов источников атак, IP-адресы целей атакующих, топ протоколов, используемых в атаках; используемые в организации устройства, топ сигнатур устройств.

Можно настроить генерацию отчёта по расписанию и отправку их по протоколу SNMP и автоматические отправки информации об инцидентах кибербезопасности в ГосСОПКА, НКЦКИ, ФинЦЕРТ.

Вместо резюме

Таким образом, обновление UserGate OS 7 стало давно ожидаемым событием, удовлетворив ожидания всех категорий клиентов, став при этом еще стабильнее, безопаснее и надежнее.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: