Контакты
Подписка 2024

Новая UGOS 7.0 для реагирования на инциденты в экосистеме UserGate SUMMA

Иван Чернов, 25/04/23

Ядром безопасности экосистемы UserGate SUMMA является собственная операционная система UGOS, дающая возможность обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Такой подход позволяет обеспечить высокое качество работы решений UserGate, их дальнейшее развитие и адаптацию для разных условий и уровней сложности. В начале осени 2022 г. разработчики объявили о выходе версии UGOS 7.0 RC (Release Candidate), которая стала полностью переработанной версией операционной системы UserGate.

Автор: Иван Чернов, менеджер по развитию UserGate

Операционная система UGOS управляет всей экосистемой UserGate SUMMA. Она позволяет использовать продукты UserGate в разных сочетаниях и инфраструктурных моделях, поддерживает не только обычные формы подставки в виде виртуальной машины и аппаратных комплексов, но и сервисную модель безопасности (Security-as-a-Service).

Релиз UGOS 7.0 – это полностью переработанная версия операционной системы, она стала легче, производительнее и эффективнее работает в высоконагруженных проектах.

UGOS 7.0 существенно расширяет арсенал функций безопасности для пользователей UserGate. Прежде всего стоит отметить новый движок СОВ/IDPS для NGFW, обладающий повышенной производительностью, в него заложена возможность создания собственных сигнатур. В ряду важных обновлений – расширенный функционал для диагностики, мониторинга, поиска уязвимостей и записи трафика в любых направлениях. К функциям работы с SSL-трафиком добавились отправка расшифрованного трафика на внешние серверы и его проверка с помощью движка СОВ/IDPS.

Новый Log Analyzer: мониторинг и управление инцидентами

Современный ландшафт угроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным условием для построения защищенной инфраструктуры. Немаловажным является способность команды ИБ анализировать данные, поступающие от инфраструктуры, находить в них значимые события, выявлять инциденты и расследовать их.

Задачи, решаемые UserGate LogAn:

  • Мониторинг событий безопасности в реальном времени
  • Ретроспективный анализ событий безопасности
  • Расследование инцидентов
  • Хранение и резервирование данных
  • Обеспечение непрерывности бизнес-процессов

Выгоды от использования UserGate LogAn:

  • Сокращение времени реакции на инцидент
  • Обеспечение видимости событий безопасности
  • Доступность данных корпоративного уровня
  • Автоматизация процессов безопасности
  • Ролевой доступ для администраторов системы

С выходом UGOS 7.0 UserGate Log Analyzer (LogAn) стал сочетать в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), то есть предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них. В "коробке" LogAn уже присутствуют пакеты экспертизы, включающие правила корреляции, разработанные экспертами центра реагирования UserGate.

Обновления UGOS 7.0 для UserGate Log Anаlyzer позволят полноценно реализовать функцию SIEM в рамках экосистемы UserGate SUMMA. LogAn аккумулирует данные из различных источников (сенсоров), осуществляет агрегацию и корреляцию событий, создает инциденты безопасности, а устанавливаемые правила позволят автоматически определять методы реагирования на них.

Добавленный в UserGate LogAn функционал IRP также дает возможность настроить процесс расследования инцидентов информационной безопасности под индивидуальные потребности заказчика. В LogAn добавлены возможности интеграции с ГосСОПКА для автоматической отправки информации об инцидентах кибербезопасности и создания многоуровневых отчетов (drilldowns) в журналах и дашборде.

UserGate LogAn развертывается отдельно от шлюза безопасности, что повышает надежность и обеспечивает масштабируемость системы.

Как и положено полнофункциональной SIEM, LogAn собирает данные не только с продуктов экосистемы безопасности UserGate SUMMA и со сторонних устройств. Он позволяет выявлять IoC (индикаторы компрометации), которые в дальнейшем могут быть использованы в продуктах SUMMA для блокирования нежелательного трафика. LogAn отправляет управляющие команды на UserGate Management Center для оперативного реагирования на события безопасности.

С точки зрения управления событиями безопасности важным элементом экосистемы является UserGate Client. Его основное назначение – обеспечение защиты конечных устройств и соблюдения политики корпоративной безопасности при выходе за защищаемый периметр организации. UserGate Client – элемент защиты, необходимый для организации безопасного удаленного доступа в концепции "нулевого доверия", он выполняет также функции агента системы мониторинга событий информационной безопасности (SIEM / SOC) на конечной точке и межсетевого экрана с контентной фильтрацией и прокси-клиентом.

При этом UserGate Management Center выполняет роль централизованной системы корпоративного уровня для автоматизации безопасности и управления экосистемой UserGate SUMMA. Это удобная система оркестрации, автоматизации и реагирования, которая позволяет реализовать концепцию SOAR в рамках экосистемы UserGate.

Обновленная система UserGate IDPS

UserGate IDPS (Intrusion Detection & Prevention System) – система обнаружения и предотвращения вторжений, важная функция безопасности в составе продукта UserGate NGFW. СОВ (система обнаружения вторжений) является важнейшим компонентом сетевой безопасности. Чтобы обнаружить сложные угрозы, компания UserGate применяет набор собственных технологий, позволяющих проверять весь трафик, включая зашифрованный, с минимальными задержками.

Возможности и преимущества UserGate IDPS:

  • Virtual Рatching позволяет на сетевом уровне защитить активы, которые могут быть атакованы с помощью известных уязвимостей
  • Собственный движок быстро и точно обнаруживает вредоносный трафик в сети
  • Экспертиза MRC расширяет возможности UserGate IDPS для получения самых свежих и актуальных обновлений списков сигнатур с целью своевременного обнаружения угроз
  • Для расширенного поиска угроз собственный движок IDPS проводит инспекцию любого зашифрованного трафика (в том числе TLS 1.3 и TLS GOST), что обеспечивает максимальную видимость событий безопасности
  • Благодаря интегрированности в экосистему UserGate SUMMA появляется возможность использовать IDPS как еще один источник данных для аналитики и увеличения уровня видимости событий безопасности

Разработкой сигнатур для модуля СОВ в компании UserGate занимается центр мониторинга и реагирования. Собственный движок kernel IDPS поддерживает написание сигнатур с использованием проприетарного синтаксиса, который позволяет быстро писать сигнатуры для актуальных угроз. Синтаксис был разработан компанией UserGate для оптимизации временных затрат на поиск угроз внутри сетевого соединения. Это позволяет модулю IDPS обнаруживать любые угрозы без потери производительности.

Режимы использования UserGate IDPS:

  • в режиме обнаружения – используется зеркальный порт и связка UserGate NGFW с режимом SSL Broker;
  • в режиме предотвращения – это шлюз по умолчанию или L2-/L3-bridge;
  • в составе комплекса UserGate NGFW.

Все обновления доступны на my.usergate.com. Версия UGOS 7.0 RC рекомендована для ознакомительного использования без установления в production.

Темы:SIEMUserGateIRPSOARNGFWUserGate SummaЖурнал "Информационная безопасность" №5, 2022Log Analyzer

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Российские NGFW глазами заказчика: основные проблемы
    Андрей Нуйкин, Начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ
    Pоссийские заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • Российские NGFW успешно захватывают долю мирового рынка информационной безопасности
    Дмитрий Хомутов, директор компании “Айдеко”
    Успешные компании рождаются не только в американских гаражах или Силиконовой долине, но и в общежитиях российских вузов. Дмитрий Хомутов, директор компании Ideco, рассказал о саморазвитии, импортозамещении, госрегулировании ИБ-рынка и влиянии заказчиков на вендоров.
  • NGFW по-русски: вчера, сегодня, завтра
    Федор Дбар, коммерческий директор компании “Код Безопасности”
    Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?
  • Гарда NGFW. Баланс между софтом и железом без legacy-атавизмов
    Павел Мерещук, директор по развитию специальных проектов группы компаний “Гарда”
    Своим видением того, как выглядит оптимальное соотношение между выполнением требований законодательства и сохранением нужной заказчикам функциональности в NGFW, поделился директор по развитию специальных проектов группы компаний “Гарда” Павел Мерещук.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать