Иван Чернов, 05/09/22
Импортозамещение, без сомнения, стало одним из главных трендов 2022 г. Однако факт локализации разработки в России сам по себе не гарантирует ни качество системы, ни развитие функциональности, ни положительные отзывы со стороны заказчиков. В основе успешных систем защиты должны лежать фундаментальные принципы. В этой статье речь пойдет о том, на каких именно принципах базируются продукты UserGate.
Автор: Иван Чернов, менеджер по развитию UserGate
Сами по себе продукты не решают комплексных задач обеспечения безопасности. Если просто установить и настроить NGFW, безопасность автоматически не появится: необходима экосистема продуктов, которая позволит с помощью комбинаций разнообразных решений реализовывать современные концепции сетевой безопасности.
За последние годы у UserGate появились продукты, которые сформировали экосистему UserGate SUMMA. В нее, кроме UserGate NGFW, входит: решение по поиску, глубокому анализу и реагированию на инциденты безопасности UserGate Log Analyzer; программный комплекс для безопасности конечных пользователей UserGate Client; модуль обнаружения и предотвращения вторжений (СОВ/IDPS); централизованное решение для управления экосистемой безопасности корпоративного уровня UserGate Management Center. Комплексно отвечая на потребности заказчиков, мы постоянно расширяем нашу линейку. В ближайшем будущем в рамках SUMMA ожидается релиз UserGate DCFW (Data Center Firewall) – высокоскоростного межсетевого экрана нового поколения, предназначенного для обработки больших объемов трафика, и модуля WAF UserGate для защиты веб-приложений.
Центром экосистемы SUMMA является UserGate NGFW. За годы работы над ним мы накопили технологии, которые уже делают наш файрвол, возможно, лучшим в стране. И мы планируем сделать UserGate NGFW лучшим в мире.
Четыре примера прорывных улучшений UserGate NGFW
Фазовый обход правил
Традиционная схема проверки сетевых пакетов на множестве правил предполагает пошаговую проработку каждого правила. В нашей практике мы увидели то, что пользователи иногда создают огромное количество правил, и это начинает сказываться на быстродействии файрвола.
Поэтому мы применяем свою технологию проверки правил: в первую очередь проводится по критериям срабатывания правил, а лишь затем по тем правилам, которые учитывают актуальные критерии. За этим вроде бы простым решением стоит серьезная математика. И теперь для UserGate NGFW практически неважно, какое количество правил предусмотрено вами в фильтрации: обработка происходит намного быстрее.
UserGate не мешает легитимному трафику
Традиционный подход прокси-сервера к обработке трафика предполагает процесс дублирования установки сессии, то есть прокси-сервер сначала принимает на себя соединение от источника, а затем инициирует соединение с адресатом. Это создает проблему со скоростью прохождения трафика.
Фильтрация во встроенном прокси-сервере UserGate работает по-другому: наши технологии позволяют контролировать соединения, не дублируя запросы. Мы смотрим и контролируем, но не вносим задержки в трафик. Это позволяет инспектировать трафик очень быстро и качественно, и, что важно, обеспечивать максимальную видимость происходящего в этом сетевом соединении.
Быстрая авторизация пользователей
В нашей практике встречаются случаи, когда в домене заказчика заведено очень большое количество пользователей. Традиционный подход к авторизации каждого пакета нагружал контроллер огромным количеством запросов, практически парализуя его работу.
Просто отказаться от авторизации пользователей невозможно, ведь это сразу скажется на видимости происходящего в сети, и часть событий безопасности окажется недоступной для мониторинга и анализа.
Технологии UserGate позволяют проводить авторизацию более эффективно, в результате домен заказчика может поддерживать огромное количество пользователей без потери производительности.
SSL-инспекция трафика
Практически в любой сети движется зашифрованный трафик, и если вы не знаете, что в нем содержится, то только потому, что ваше устройство с этим не справляется. Вы можете пропустить признаки уже осуществляемой атаки или еще только вредоносной нагрузки, которая направляется к вашим пользователям.
UserGate NGFW поможет с этим справиться, потому что он умеет дешифровать трафик. Для инспекции зашифрованного трафика UserGate использует не потенциально уязвимый Open SSL, а собственную библиотеку по работе с SSL-трафиком. Библиотека позволяет дешифровывать протокол TLS 1.3 (причем разработчики UserGate это сделали одними из первых в мире) и TLS ГОСТ. UserGate NGFW дешифрует почти 100% трафика, что позволяет повысить прозрачность картины происходящего с сетевым трафиком.
Экспертиза UserGate
Если вы покупаете какой-то продукт по обеспечению безопасности, но в нем ничего не обновляется и отсутствует список сигнатур, то в нем нет признаков экспертизы разработчика. Между тем, экспертиза – это восемьдесят процентов успеха хорошего ИБ-продукта. Именно поэтому своя экспертиза – это важный элемент экосистемы UserGate SUMMA, позволяющий заказчикам использовать компетенции наших специалистов.
UserGate снижает зависимость от Open Source
Мы принципиально отказываемся от Open Source. Важно понимать, что продукты и проекты с открытым кодом редко могут удовлетворить запросы Enterprise-заказчиков и являются всего лишь временным решением. Безусловно, даже именитые мировые производители используют Open Source, о чем открыто говорят на своих ресурсах. Но в списке заимствований вы не встретите готовые продукты, такие как Suricata, Squid или pfSense/OPNSense. Такой подход позволяет нам реализовывать сложные проекты для очень непростых заказчиков. Мы постоянно сталкивались с уникальными задачами, и полное владение своим кодом является залогом их успешного решения.
Свое ПО дает нам также возможность контролировать все обновления. Это защищает нас от потенциальных угроз со стороны сообществ Open Source, в которые могут проникнуть злонамеренные контрибьюторы, обогатив код закладками.
Регулярное обновление продуктовых линеек
У UserGate своя программная платформа, и мы шаг за шагом переводим все решения на собственную аппаратную архитектуру. Это дает нам возможность конструировать и расширять продуктовую линейку под самые разные задачи и условия.
Линейки наших продуктов обозначаются латинскими буквами:
- C – для малого бизнеса, филиалов, POS-систем, школ, Wi-Fi-точек;
- D – для среднего бизнеса, образования, медицины, государственных структур и крупных филиалов;
- E – для больших корпоративных сетей и интернет-провайдеров;
- F – для крупных корпоративных сетей и дата-центров;
- X – для промышленных и транспортных объектов на открытом воздухе.
В 2022 г. мы выпустили платформу C150, существенно более мощную и производительную, чем С100. Мы сделали Х10 для работы в промышленных сетях с АСУ ТП. А в наших ближайших планах – платформа-мечта под кодовыми буквами FG.
Собственная микроэлектроника
Для решений нашего класса важно использовать процессор не общего назначения, а специализированный сетевой, который будет полностью адаптирован под наши задачи.
В декабре 2021 г. мы завершили разработку сразу четырех процессоров:
- криптопроцессор для использования в VPN (AES 128/192//256 SHA1/SHA2);
- сетевой процессор для NGFW;
- контентный процессор для L7 (регулярные выражения);
- контентный процессор для IDPS (регулярные выражения).
Следующая проблема, которую нам предстоит решить, – производство процессоров.
Инновационные разработки
С 2020 г., в том числе при поддержке Фонда "Сколково", ведется разработка высокопроизводительного программно-аппаратного комплекса с поддержкой функциональности ИИ. Проект носит кодовое название UserGate Security Gateway.
В настоящее время хакерское сообщество взяло на вооружение механизмы автоматизации атак и начало применять инструменты машинного обучения и искусственного интеллекта для проникновения в инфраструктуру и дальнейшего развития своих атак. Использование подобных инструментов снижает стоимость атаки, в итоге под ударом оказываются даже малые и средние предприятия.
Программно-аппаратный комплекс UserGate Security Gateway – это универсальный шлюз безопасности класса NGFW, ориентированный на применение в корпоративных сетях малого и среднего размера, ритейле и компаниях с развитой филиальной сетью. Заложенные в основу UserGate Security Gateway инструменты машинного обучения, искусственного интеллекта и аппаратного ускорения смогут повысить уровень защиты от автоматизированных атак и киберугроз, инициируемых киберпреступниками, в том числе с применением алгоритмов искусственного интеллекта, а также других современных технологий. Аппаратные ускорители использованы для повышения производительности работы межсетевого экрана, системы обнаружения вторжений и реализации механизмов ML, в частности генетических алгоритмов, и ИИ непосредственно на уровне программно-аппаратного комплекса.
Высокую производительность обеспечивает совмещение программной архитектуры и инструментов аппаратного ускорения. Пропускная способность UserGate Security Gateway в режиме межсетевого экрана доходит 60 Гбит/с, что позволяет сократить стоимость защищаемого мегабита трафика до $1 (TCO/Mbps). Пропускная способность в режиме системы обнаружения вторжений с использованием инструментария AI IDPS (Artificial Intelligence Intrusion Detection and Prevention System) – до 20 Гбит/с. Эта функциональность позволит повысить вероятность обнаружения угроз, для которых лаборатории еще не подготовили сигнатуры. Планируемый рост вероятности – 10-15%, на основании сравнения тестовых трафиков с выключенным и включенным функционалом AI IDPS. Для организаций со строгой политикой информационной безопасности будет актуальна реализация механизмов выявления аномалий трафика с помощью инструментов искусственного интеллекта и генетических алгоритмов без передачи трафика за периметр клиента. Этот подход позволяет повысить защищенность на 10-15%, не нарушая политики безопасности. Реализация механизма автоматического формирования правил фильтрации с помощью машинного обучения позволяет сократить срок формирования индивидуальных правил до двух месяцев.
Заключение
Заказчику не нужен просто ИБ-продукт, ему необходимо решение конкретных задач. UserGate SUMMA в совокупности дает синэргетический эффект, когда продукты и решения, платформы и технологии объединены и слаженно работают в рамках различных концепций безопасности. SUMMA, которая для UserGate является не только технологическим, но и философским подходом, важна и с точки зрения работы с партнерами и заказчиками, и с точки зрения дальнейшего развития технологий и продуктов UserGate.
