UserGate SUMMA — экосистема продуктов кибербезопасности

Дата: 20.07.2021. Автор: CISO CLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
UserGate SUMMA - экосистема продуктов кибербезопасности

Долгое время на отечественном рынке межсетевых экранов были представлены в основном два вида продуктов. Либо обычный прокси-сервер, либо межсетевой экран уровня сети (L3). Но в какой-то момент стал очевиден разрыв с мировыми трендами использования более умных, многофункциональных устройств – UTM или NGFW. Одной из первых сертифицированный межсетевой экран нового поколения в России представила компания UserGate. В 2016 году был выпущен универсальный шлюз безопасности UserGate UTM. Но новые угрозы кибербезопасности заставляют использовать более сложные и комплексные решения для защиты от кибератак. В 2021 компания UserGate выводит на российский рынок ИБ экосистему продуктов кибербезопасности, с помощью которой можно выстроить эффективную эшелонированную защиту. 

1.     UserGate SUMMA – новая экосистема кибербезопасности

Для информационно-развитых организаций уже недостаточно просто установить межсетевой экран и включить несколько запрещающих правил. Необходимо управлять всеми используемыми устройствами и анализировать, насколько успешно они справляются с атаками снаружи и недобросовестными пользователями изнутри. Нужно защищать конечные устройства и предоставлять защищённый удалённый доступ. Можно, конечно, для этого использовать средства разных производителей. Но при этом есть риск при настройке случайно не закрыть уязвимый вектор входа в сеть; или, напротив, СЗИ будут конфликтовать друг с другом, создавая неудобства для пользователей и администраторов. Одним словом, они не дадут того синергетического эффекта, как единая экосистема безопасности. 

Из этих соображений компания UserGate в этом году выводит на рынок платформу UserGate SUMMA. Её основные компоненты:

  • UserGate NGFW – межсетевой экран нового поколения с функцией предотвращения вторжений;
  • UserGate DCFW (Data Center Firewall) – высокоскоростной межсетевой экран нового поколения, предназначенный для обработки больших объёмов трафика;
  • UserGate ICS (Industrial Control System) – средство защиты промышленных сетей (входит в состав NGFW);
  • UserGate Management Center – централизованное управление элементами экосистемы;
  • UserGate Log Analyzer – система глубокого анализа и реагирования на события безопасности;
  • UserGate Client – защита рабочих мест от сложных угроз.

В дальнейшем планируется дополнить экосистему другими продуктами кибербезопасности. В частности, уже ведётся разработка межсетевого экрана для веб-приложений UserGate WAF.

UserGate SUMMA - экосистема продуктов кибербезопасности

2.     UserGate NGFW

Шестая версия операционной системы UserGate NGFW была обогащена новыми функциями. Теперь UserGate NGFW может инспектировать SSH, выполнять мультикаст- и RIP-маршрутизацию, анализировать зеркалированный АСУ ТП трафик. Увеличена скорость инспекции веб-трафика. Разработан собственный движок предотвращения вторжений (IPS), гораздо более производительный. Алгоритм обработки правил фильтрации пакетов также был изменён – можно создавать больше правил без ущерба быстродействию.

Основные возможности UserGate NGFW

  • Межсетевое экранирование.

В правилах, на основе которых блокируется или пропускается трафик, в качестве условий может быть задан большой набор L3- и L7-параметров. Не говоря о стандартных IP получателя, IP источника, протоколе и т. д., в UserGate NGFW определяется также инициировавший соединение пользователь (аутентифицированный через различные системы) и конкретное приложение (например, мессенджер Skype, сайт Яндекс.Диск; всего более 1200 приложения и протоколов). Также проверяются и приложения, работающие по протоколу HTTPS. Всё это позволит настроить доступ к определённым сайтам и приложениям для разных групп пользователей, ограничить скорость соединений, запретить трафик в/из «опасной» страны.

  • Предотвращение вторжений (IPS).

Поиск и блокировка подозрительных соединений – следов вирусной активности, попыток эксплуатации уязвимостей с возможностью гибко настроить включённые сигнатуры и реакцию UserGate NGFW на них.

  • Защита от DoS-атак и сетевого флуда.

Чтобы один хост не мог отправкой большого количества пакетов случайно или специально парализовать работу всей сети, в UserGate NGFW можно включить счётчик количества запросов от одного источника, чтобы в случае превышения уведомить администраторов или сразу заблокировать.

  • Защита от вирусов и zero-day.

Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого ещё не написаны сигнатуры.

  • Защита веб-трафика и почты.

UserGate NGFW разбирает загружаемые пользователями страницы, обнаруживая опасные и рекламные скрипты. Может проводиться морфологический анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вложения в поисках вирусов, но и само письмо, чтобы пресечь фишинговые и спамерские атаки на вашу организацию.

  • Контроль мобильных устройств.

UserGate NGFW позволяет обеспечивать безопасность при использовании в организации концепции BYOD (Bring your own device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, максимальное количество одновременно активных устройств для одного пользователя.

  • Гостевой портал (Captive Portal).

UserGate NGFW предоставляет специальный портал, с помощью которого внешние пользователи могут, зарегистрировавшись через email или SMS, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентификации, проверяющим SMS/OTP.

  • Кластеризация.

UserGate NGFW поддерживает возможность кластеризации в режиме active-passive (защита от сбоев, переключение на запасное устройство при неполадках основного) и в режиме active-active (распределение нагрузки на все устройства кластера одновременно).

  • VPN-каналы и защищённый удалённый доступ.

UserGate NGFW может создавать VPN-соединения между собой, шифруя передаваемый между разными филиалами трафик. Если же потребуется обеспечить защищённый доступ для работника, находящегося за пределами периметра организации, то тут на помощь придут, во-первых, клиентский VPN, а, во-вторых, можно воспользоваться безопасной публикацией приложений. При этом UserGate NGFW будет идентифицировать пользователей и предоставлять им доступ до нужного файлового сервера или CRM, блокируя остальные неразрешённые соединения.

  • Защита АСУ ТП.

Новая версия UserGate NGFW также способна разбирать специфические промышленные протоколы, позволяя обнаружить атаки или подозрительный операции в сетях АСУ ТП. Подробнее об этом ниже в разделе 3. «Защита АСУ ТП в рамках SUMMA».

Дизайн интерфейса сохранился неизменным с предыдущих версий. Скриншоты представлены на рисунках ниже.

UserGate SUMMA - экосистема продуктов кибербезопасности

В окне главной консоли находятся все настройки UserGate NGFW, как настройки самого устройства (сеть, маршруты и прочие),

UserGate SUMMA - экосистема продуктов кибербезопасности

так и отвечающие за проверку, и безопасность обрабатываемых пакетов – межсетевой экран, IPS, проверка контента, весь вышеперечисленный функционал NGFW.

UserGate SUMMA - экосистема продуктов кибербезопасности

Помимо этого, в главной консоли можно просмотреть библиотеки – это списки, которые используются в правилах UserGate NGFW. 

UserGate SUMMA - экосистема продуктов кибербезопасности

В разделе «Дашборд» отображаются графики и статистика. Вкладка NOC (Network Operation Center) показывает информацию, относящуюся к сетевым функциям – производительности устройств, загрузке интерфейсов, CPU и т. д. Соответственно, вкладкой SOC (Security Operation Center) можно пользоваться, как своего рода центром безопасности, на ней содержится статистика срабатывания правил, количество заблокированных IPS атак, топ 10 атакующих и атакуемых узлов. Можно добавить свою вкладку или виджет.

UserGate SUMMA - экосистема продуктов кибербезопасности

Раздел «Диагностика и мониторинг» содержит вспомогательные утилиты ping, traceroute, DNS-запросы для мониторинга состояния сети. В данном разделе также можно просмотреть активные сессии пользователей, проходящие через NGFW, и остановить их.

UserGate SUMMA - экосистема продуктов кибербезопасности

В разделе «Журналы и отчёты» можно просмотреть и системные события, и журналы трафика.

UserGate SUMMA - экосистема продуктов кибербезопасности

Также в меню разделов можно перейти в настройки гостевого портала (кнопка «Гостевой портал»), открыть ссылку на документацию по UserGate NGFW, посмотреть обучающие видео (кнопка «Помощь»).

Лицензирование

Приобретение UserGate NGFW доступно в двух вариациях: 

  • Лицензия с ограничением максимального количества одновременно работающих через UserGate NGFW устройств. 
  • Лицензия на ПАК или количество процессорных ядер виртуального NGFW. В этом случае ограничения по количеству устройств нет.

Также дополнительно могут быть приобретены следующие модули:

  • Security Update.

Модуль получения обновлений ПО, сигнатур IPS, списков приложений (на 1 год).

  • Advanced Threat Protection.

Модуль годовой подписки на сервисы продвинутой защиты: категории сайтов UserGate URL filtering, список запрещенных сайтов Роскомнадзора, список фишинговых сайтов, белый список и черный список UserGate, морфологические базы веб-контента, подписка на потоковый антивирус UserGate, блокировка рекламы в содержимом веб-страниц.

  • Модуль эвристического анализа.

Годовая подписка на антивирус.

  • Mail security

Годовая подписка на антиспам-сервис.

Дополнительно приобретается техническая поддержка.

Линейка ПАК UserGate NGFW

UserGate NGFW может быть поставлен либо в виде готовой виртуальной машины, либо в виде программно-аппаратных комплексов. Характеристики и внешний вид ПАК представлены ниже. 

C100D200 и D500
  
E1000 и E3000F8000

Производительность ПАК представлена в таблице ниже.

 C100D200D500E1000E3000F8000
Производительность межсетевого экрана с определением приложений L7до 1,9 Гб/cдо 15 Гб/cдо 18,7 Гб/cдо 24 Гб/cдо 32 Гб/cдо 40 Гб/c
Производительность IPSдо 300 Мб/сдо 1,8 Гб/сдо 2 Гб/сдо 2,8 Гб/сдо 3,9 Гб/сдо 8 Гб/с
Инспектирование SSLдо 300 Мб/cдо 4 Гб/cдо 4,4 Гб/cдо 5 Гб/cдо 6,5 Гб/cдо 8 Гб/c
Рекомендованное количество пользователейдо 100до 300до 500до 1 000до 3000до 10 000
ГабаритыTabletop1U 1U 1U 1U 2U 

Можно заметить, что линейка ПАК UserGate NGFW покрывает потребности как небольших, так и крупных компаний. 

Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, заточенных под определённую производительность (аналогично готовым ПАК). Для установки виртуальной машины потребуется минимально 2 ядер CPU и 8 Гб RAM; самый мощный виртуальный NGFW потребует 32 ядра CPU и 64 Гб RAM.

Высокопроизводительный межсетевой экран UserGate FG

Даже максимальной производительности 40 Гб/с может не хватить, если требуется обеспечить безопасность ЦОД или узла связи крупного провайдера. Тем более, что объемы передаваемых данных растут год от года. Что делать? Компания UserGate решила этот вопрос. В ходе конференции UserGate 2021, прошедшей 27 мая, был представлен высокопроизводительный межсетевой экран UserGate FG. Заявленная производительность одного устройства – до 80 Гб/с, с возможностью так же объединить устройства в кластер распределения нагрузки. Таким образом, UserGate FG станет одним из самых производительных устройств среди отечественных межсетевых экранов нового поколения.

Высокая скорость обработки доступна благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. Также в UserGate FG предусмотрены скоростные интерфейсы QSFP28 (100 Гб/с) и SFP+ (10 Гб/с) .

Внешний вид устройства представлен ниже.

UserGate SUMMA - экосистема продуктов кибербезопасности

Сертификация ФСТЭК России

Как и подобает российскому средству защиты информации, UserGate NGFW соответствует требования ФСТЭК России и занесён в Реестр отечественного ПО Минкомсвязи (№ записи 1194). Подробнее читайте в разделе «8. Соответствие требованиям регуляторов».

3.     Защита АСУ ТП в рамках SUMMA

Довольно долгое время считалось, что промышленные контроллеры и протоколы не нуждаются в специализированной защите, ведь они, как правило, отделены «воздушным зазором» от остальной сети, и к ним злоумышленники просто не проникнут. Первый удар этой парадигме нанёс червь Stuxnet. Будучи пронесённым на USB-устройстве в промышленную зону, он атаковал контроллеры Siemens и вывел из строя высокоскоростные двигатели. Далее промышленное оборудование стало развиваться и усложняться, требовать регулярного обновления прошивок, и теперь большинство сетей управления технологическими процессами имеет выход в корпоративную сеть.

Да, такая архитектура помогает автоматизировать и ускорять бизнес-процессы, но она несёт за собой серьёзные риски. Ведь даже для обычного производственного предприятия успешная атака на промышленное оборудование вызовет поломку или простой оборудования и миллионные убытки. Что уже говорить про критически важные объекты, повреждение которых чревато человеческими жертвами.

Значит, для защиты сегмента АСУ ТП необходим межсетевой экран, который сможет заблокировать опасный трафик и предотвратить кибератаку на промышленные сети. 

UserGate SUMMA - экосистема продуктов кибербезопасности

Для этого компания UserGate добавила специализированные функции для защиты АСУ ТП в UserGate NGFW. Помимо обнаружения вторжений и попыток поиска уязвимостей в UserGate NGFW существует возможность настроить белые и чёрные списки команд, передаваемых к промышленному оборудованию. Можно разрешить отдельный пул команд только для определённых рабочих мест, заблокировав все остальные. Таким образом, UserGate NGFW может проанализировать протоколы IEC 104 (ГОСТ Р МЭК 60870-5-104), Modbus, DNP3, MMS, OPC UA.

UserGate SUMMA - экосистема продуктов кибербезопасности

Промышленная платформа

Если позволяют условия температуры и влажности, в сегмент АСУ ТП можно внедрить любую из перечисленных выше платформ – от C100 до F8000. Но если таких благоприятных условий нет, то можно приобрести ПАК UserGate Х1, предназначенный для работы в промышленных условиях (температуры от -40C до +70C, влажность от 5% до 95%). Технические характеристики и внешний вид UserGate Х1 представлены ниже.

 UserGate X1
Производительностьмежсетевого экранадо 2 Гб/c
ПроизводительностьIPSдо 50 Мб/с
Инспектирование SSLдо 70 Мб/c
Рекомендованное количество пользователейдо 5
ГабаритыМонтируемая на DIN-рейку
UserGate SUMMA - экосистема продуктов кибербезопасности

Лицензирование и сертификация

Функции защиты АСУ ТП не требуют отдельной лицензии, поэтому перед приобретением UserGate NGFW можно просто подсчитать количество контроллеров АСУ ТП и операторов, которые будут с ними работать.

UserGate NGFW, соответствует документу ФСТЭК России «Профиль защиты межсетевых экранов типа «Д» четвертого класса защиты. Межсетевые экраны типа «Д» — это как раз уровень промышленной сети.

4.     UserGate Management Center

Даже самое функциональное средство ИБ может стать тяжким грузом и «дырой» в безопасности компании, если таких средств будет не одно, а пять, десять или более. Для удобного централизованного управления UserGate NGFW, UserGate Log Analyzer, UserGate Client был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – наборов параметров и правил, применяющихся для групп устройств. Причём, к одному устройству можно применить несколько шаблонов одновременно, например, один шаблон правил межсетевого экрана, другой – контентной фильтрации и так далее. 

UserGate SUMMA - экосистема продуктов кибербезопасности

Применение шаблонов для NGFW

Важная особенность UserGate Management Center: вы можете с помощью одного устройства управлять оборудованием нескольких организаций одновременно (например, независимых дочерних компаний). При этом администраторы каждой организации будут видеть только собственные устройства и шаблоны.

UserGate SUMMA - экосистема продуктов кибербезопасности

Организационное деление в интерфейсе Management Center

Функционал и возможности управления

  • Создание областей безопасности.

Для разных подразделений (функциональных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью.

  • Группы шаблонов безопасности.

Управление подчиненными устройствами реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. В целом, шаблон идентичен настройкам обычного UserGate NGFW, можно теоретически настроить по одному шаблону для каждого межсетевого экрана в отдельности. Но для более гранулированного подхода шаблоны объединяются в группы, а уже группы шаблонов применяются на устройства.

  • Обновление ПО и библиотек.

Сначала ПО и обновления библиотек (сигнатуры IPS, списки сайтов и т.п.) загружаются на UserGate Management Center. Затем они могут быть установлены на все устройства сразу. А для обновлений ПО есть возможность, протестировав его на одном устройстве, утвердить это обновление. Только после этого оно станет доступно для установки остальным.

  • Мониторинг и управление питанием.

Для подчинённых устройств доступна информация о лицензии (используемые модули и количество активных подключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств.

Интерфейс UserGate Management Center

У UserGate Management Center два интерфейса, отображаемых в зависимости от типа администратора, вошедшего в консоль. Для администраторов всей системы доступны, во-первых, области безопасности и их администраторы, во-вторых, настройки и диагностическая информация самого UserGate Management Center.

UserGate SUMMA - экосистема продуктов кибербезопасности

Администраторы областей в главном разделе видят устройства и их области (с возможностью добавить новые), разделы с обновлениями ПО и библиотек, а также самое главное – шаблоны и группы шаблонов.

Для того, чтобы в шаблоне создать правило или настройку, в верхнем меню нужно выбрать пункт «Управление шаблонами».

UserGate SUMMA - экосистема продуктов кибербезопасности

Интерфейс шаблона такой же, как и для управляемого устройства (в нашем случае – UserGate NGFW). Доступны абсолютно все настройки, включая сетевые и Captive-портал.

Аппаратные и виртуальные комплексы

Управление может осуществляться с виртуального UserGate Management Center. В этом случае максимальное количество управляемых устройств ограничено только выделенными ресурсами (корректный сайзинг подскажут специалисты UserGate). Также можно приобрести ПАК UserGate Management Center.

UserGate Management Center C, до 50 управляемых устройствUserGate Management Center E, до 1000 управляемых устройств

Лицензирование

В UserGate Management Center лицензируется количество устройств, которыми он будет управлять и модуль получения обновлений ПО. Дополнительно приобретается техническая поддержка.

5.     UserGate Log Analyzer

Важной частью управления инфраструктурой безопасности является просмотр происходящих в ней событий. На основе отчётов и событий безопасности могут расследоваться инциденты ИБ и совершенствоваться системы управления информационной безопасностью. В сложной IT-инфраструктуре для удобного просмотра журналов, как правило, используется централизованная система сбора событий, иначе анализ и построение отчётов становится трудоёмким. До недавнего времени UserGate Log Analyzer был как раз системой сбора и хранения событий.

Теперь, после появления в новой версии функций анализа событий и реагирования на инциденты, UserGateLog Analyzer или LogAn становится полноценной SIEM-системой. Причём не только для устройств UserGate, планируется добавлять источники других производителей, уже сейчас возможен сбор по протоколу SNMP.

 Функции UserGate Log Analyzer

  • Сбор и хранение журналов.

UserGate Log Analyzer собирает события безопасности с устройств Usergate по проприентарному протоколу. С других устройств – по SNMP (на данный момент, планируется поддержка других протоколов). Благодаря этому высвобождаются ресурсы конечных устройств, и увеличивается срок хранения этих событий. Хранятся: журнал событий (изменение настроек целевых серверов, обновления и т. д), журнал веб-доступа пользователей, журнал трафика (срабатывания правил межсетевого экрана, NAT, маршрутизации), журнал IPS, история перехваченных поисковых запросов пользователей в поисковиках.

  • Анализ событий.

Новая функция, появившаяся в последнем релизе. Поступающие журналы автоматически проверяются на соответствие встроенным правилам UserGate Log Analyzer, и при совпадении создаётся срабатывание. Например, десять событий «Пользователь ввёл неверный пароль» собираются в срабатывание «Попытка перебора пароля».

  • Автоматическое реагирование.

Когда генерируется срабатывание, система может выполнить действия, настроенные в правиле создания инцидента. Можно: отправить email или SMS, создать правило на межсетевом экране с задаваемыми параметрами или создать тикет в системе.

  • Создание отчётов.

Немаловажная часть любой лог-платформы – наглядно представить результаты своей работы. В UserGate Log Analyzer доступна фильтрация, сортировка и группировка по журналам событий, веб-доступа, трафика, IPS. Отчёты могут предоставить: подробный список всех посещенных веб-сайтов, топ блокируемых доменов, топ пользователей по URL-категориям и заблокированным сайтам, топ заблокированных приложений, топ сработавших правил; топ IP-адресов источников атак, IP-адресы целей атакующих, топ протоколов, используемых в атаках; используемые в организации устройства, топ сигнатур устройств. Можно настроить генерацию отчёта по расписанию и отправку их по протоколу SNMP.

Аппаратные и виртуальные комплексы

Интегрировать UserGate Log Analyzer в инфраструктуру организации можно, установив виртуальную машину или готовый ПАК от UserGate.

UserGate Log Analyzer Е6 и Е14UserGate Log Analyzer F25

Характеристики ПАК представлены в таблице ниже.

 Е6Е14F25
Объем хранилища6 ТБ14 ТБ25 ТБ
Количество записей в секунду160 000260 000530 000
Расчетное время хранения журналов1 000 дней1 400 дней1 300 дней
Рекомендованное количество пользователейдо 3 000до 5 000до 10 000

Лицензирование

UserGate Log Analyzer, как и UserGate Management Center, лицензируется по количеству целевых серверов, с которых он собирает информацию. Дополнительно приобретается техническая поддержка.

6.     UserGate Client

Одним из краеугольных камней корпоративной защиты является технология EDR (Endpoint Detection and Response) – обнаружение и блокировка сложных угроз на рабочих местах. И конечно, UserGate включили его в состав экосистемы UserGate SUMMA. UserGate Client защищает как само АРМ, так и сеть компании, если вдруг это рабочее место будет заражено. Тем самым реализуется концепция сетей с нулевым доверием (zero-trust network). 

Возможности UserGate Client

  • Защита рабочего места от сложных угроз.

Специальный движок отслеживает происходящие на АРМ процессы, используя индикаторы компрометации (IoC) и индикаторы атак (IoA). Также с компьютера собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный пользователь, установленное ПО и обновления ОС и т.п. Эти сведения коррелируются с другими событиями безопасности (в частности, сетевыми). В результате выявляются целевые угрозы, распределённые по времени и инфраструктуре атаки.

  • Управление безопасностью АРМ.

UserGate Client предоставляет возможность, обнаружив угрозу, немедленно на неё отреагировать: установить обновления безопасности, отключить сеть на потенциально заражённой машине.

  • Хостовый межсетевой экран.

Блокировка нежелательных сетевых соединений на уровне рабочего места. Компания UserGate планирует сертифицировать этот функционал на соответствие требованиям ФСТЭК России к межсетевым экранам типа «В».

  • VPN-клиент.

Для безопасной удалённой работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP.

  • Средство аутентификации.

UserGate Client может выступать в качестве средства аутентификации на UserGate NGFW. Это необходимо, если в инфраструктуре нужно разграничивать сетевое взаимодействие в зависимости от типа подключающегося устройства; к примеру, если активно используется BYOD, установленный Client обеспечит доступ к защищённым сегментам сети.

7.     Security as a Service от UserGate

Российский рынок облачных сервисов сейчас делится на три условных группы. Первая – это стандартные облачные хостинги хранения данных или машинных ресурсов. Вторую составляют узкопрофессиональные сервисы: облачные антивирус, песочница, anti-DDoS. Суть третьей группы в том, чтобы предоставлять комплексную защиту информационных систем заказчика по подписочной модели, без закупки устройств безопасности. Это интересно:

  • крупному бизнесу, желающему снизить капитальные расходы в пользу операционных;
  • SMB-сегменту, у которого уже есть ценная информация, но нет возможности её комплексно защитить;
  • территориально распределённым организациям, которым при традиционном подходе пришлось бы строить множество систем защиты для каждого филиала.

Третья группа получила своё развитие относительно недавно, и именно в этом направлении решила двигаться компания UserGate, создав UGaaS (UserGate as a Service). В него входят все продукты из экосистемы UserGate SUMMA: NGFW, IPS, SOAR/SIEM. Подписчик UGaaS получает межсетевой экран, предотвращение вторжений, безопасный браузинг, защиту почты, потоковый антивирус и блокировку рекламы.

Интеграция UGaaS

Существующая ИТ-инфраструктура может подключаться к UGaaS разными способами:

  • Защита интернет-канала.

UGaaS перехватывает трафик заказчика, поступающий в локальную сеть, и проверяет его на соответствие заданным правилам. Настроить правила можно в личном кабинете UGaaS.

Помимо очистки трафика от угроз, вирусов, рекламы, UGaaS может обеспечить традиционное межсетевое экранирование и гарантированную полосу пропускания.

  • Защита облачных сервисов.

Если основные информационные системы расположены в облачных хостингах, то обеспечить их безопасность может быть не так легко. Да, провайдеры хостинга зачастую предоставляют дополнительные сервисы по защите, однако не всегда они полностью удовлетворяют потребностям заказчика. В такой ситуации интеграция с UGaaS обезопасит и трафик от ИС к заказчику, и сами ИС от вредоносной активности из интернета.

  • Защита локальной инфраструктуры.

У компании есть внедрённые устройства компании UserGate, но нет сотрудников, способных мониторить их работу и оперативно реагировать на угрозы. В этом случае UGaaS тоже может помочь. При заключении сервисного договора администраторы сервиса UGaaS будут управлять NGFW, анализировать логи и осуществлять техническую поддержку. Уровень безопасности удалённого доступа согласовывается с заказчиком, могут быть приняты специфические для отрасли или объекта требования.

Пакеты UGaaS

Сервис UGaaS имеет градацию по используемым технологиям и возможностям защиты. Пакеты, существующие в рамках сервиса, отражены в таблице ниже. Первые три пакета по возрастанию увеличивают возможности контроля трафика. Приобретается либо МЭ FG (базовая защита), либо NGFW (полноценная защита от атак, разбор L7), либо USG (прибавляются DCI и антиспам). Дополнительно покупается пакет анализа (UserGate LogAn, хранение и отчетность), пакет управления Management Service, техподдержка от производителя (по умолчанию её предоставляет партнёр UserGate по модели MSSP).

Стоит отметить, что у средств защиты UGaaS есть те же сертификаты ФСТЭК России на соответствие требованиям к межсетевым экранам и уровням доверия. А значит, можно будет использовать UGaaS в ИС, обрабатывающих информацию ограниченного доступа.

8.     Соответствие требованиям регуляторов

Как уже отмечалось выше, продукция компании UserGate соответствует требованиям ФСТЭК России, установленных в следующих документах:

  • Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий – по 4 уровню доверия;
  • Требования к межсетевым экранам;
  • Профиль защиты межсетевых экранов типа «А» четвертого класса защиты. ИТ.МЭ.А4.ПЗ;
  • Профиль защиты межсетевых экранов типа «Б» четвертого класса защиты. ИТ.МЭ.Б4.ПЗ;
  • Профиль защиты межсетевых экранов типа «Д» четвертого класса защиты. ИТ.МЭ.Д4.ПЗ»
  • Требования к системам обнаружения вторжений;
  • Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты. ИТ.СОВ.С4.ПЗ.

UserGate Client планируется сертифицировать на МЭ типа «В» (защита АРМ). А будущий UserGate WAF непременно станет сертифицированным межсетевым экраном типа «Г». Как видно, UserGate планируют полностью закрывать потребности рынка в сертифицированных сетевых средствах защиты.

А эти потребности сейчас довольно большие. Судите сами. Применение сертифицированных СЗИ необходимо для защиты КИИ (239 Приказ ФСТЭК России), ГИС (17 Приказ ФСТЭК России), ИСПДн (21 Приказ ФСТЭК России), банковской инфраструктуры (требования ЦБ). Нередко к этому добавляется требование по вхождению СЗИ в Реестр отечественного ПО Минкомсвязи (поэтому UserGate NGFW туда также включён, № записи 1194).

Не останавливаясь на этом, компания UserGate планирует попасть в реестр российской радиоэлектронной продукции (регулятор – Минпромторг). Для этого производство новых аппаратных платформ типа «C» и «X» перенесено в Россию, где выполняется значительная часть процессов – проектирование схемотехники и печатных плат, пайка и сборка. 

9.     Заключение

Буквально за 5 лет компания UserGate прошла путь от одиночного устройства сетевой защиты UserGate UTM до собственной инфраструктуры безопасности UserGate SUMMA.
На ежегодной конференции UserGate 2021 компания подтвердила, что разрабатываемые UserGate продукты не уступают западным конкурентам, а директор UserGate Дмитрий Курашев отметил, что все маркетинговые инструменты, используемые западными аналогами, присутствуют в продуктах компании UserGate. Прикладываются большие усилия для сертификации по требованиям безопасности информации всех элементов экосистемы.

Дальнейшие планы компании UserGate – это совершенствование линейки сертифицированных межсетевых экранов; развитие Log Analyzer до полноценного SOAR, выпуск WAF, производство компонентой базы для ПАК на территории России. Но уже сейчас UserGate SUMMA – готовый набор продуктов кибербезопасности, способный защитить как крупный бизнес, так и небольшие компании, и государственные организации. 

CISO CLUB

Об авторе CISO CLUB

Редакция портала cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора CISO CLUB

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *