Новая UGOS 7.0 для реагирования на инциденты в экосистеме UserGate SUMMA
Иван Чернов, 25/04/23
Ядром безопасности экосистемы UserGate SUMMA является собственная операционная система UGOS, дающая возможность обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Такой подход позволяет обеспечить высокое качество работы решений UserGate, их дальнейшее развитие и адаптацию для разных условий и уровней сложности. В начале осени 2022 г. разработчики объявили о выходе версии UGOS 7.0 RC (Release Candidate), которая стала полностью переработанной версией операционной системы UserGate.
Автор: Иван Чернов, менеджер по развитию UserGate
Операционная система UGOS управляет всей экосистемой UserGate SUMMA. Она позволяет использовать продукты UserGate в разных сочетаниях и инфраструктурных моделях, поддерживает не только обычные формы подставки в виде виртуальной машины и аппаратных комплексов, но и сервисную модель безопасности (Security-as-a-Service).
Релиз UGOS 7.0 – это полностью переработанная версия операционной системы, она стала легче, производительнее и эффективнее работает в высоконагруженных проектах.
UGOS 7.0 существенно расширяет арсенал функций безопасности для пользователей UserGate. Прежде всего стоит отметить новый движок СОВ/IDPS для NGFW, обладающий повышенной производительностью, в него заложена возможность создания собственных сигнатур. В ряду важных обновлений – расширенный функционал для диагностики, мониторинга, поиска уязвимостей и записи трафика в любых направлениях. К функциям работы с SSL-трафиком добавились отправка расшифрованного трафика на внешние серверы и его проверка с помощью движка СОВ/IDPS.
Новый Log Analyzer: мониторинг и управление инцидентами
Современный ландшафт угроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным условием для построения защищенной инфраструктуры. Немаловажным является способность команды ИБ анализировать данные, поступающие от инфраструктуры, находить в них значимые события, выявлять инциденты и расследовать их.
Задачи, решаемые UserGate LogAn:
- Мониторинг событий безопасности в реальном времени
- Ретроспективный анализ событий безопасности
- Расследование инцидентов
- Хранение и резервирование данных
- Обеспечение непрерывности бизнес-процессов
Выгоды от использования UserGate LogAn:
- Сокращение времени реакции на инцидент
- Обеспечение видимости событий безопасности
- Доступность данных корпоративного уровня
- Автоматизация процессов безопасности
- Ролевой доступ для администраторов системы
С выходом UGOS 7.0 UserGate Log Analyzer (LogAn) стал сочетать в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), то есть предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них. В "коробке" LogAn уже присутствуют пакеты экспертизы, включающие правила корреляции, разработанные экспертами центра реагирования UserGate.
Обновления UGOS 7.0 для UserGate Log Anаlyzer позволят полноценно реализовать функцию SIEM в рамках экосистемы UserGate SUMMA. LogAn аккумулирует данные из различных источников (сенсоров), осуществляет агрегацию и корреляцию событий, создает инциденты безопасности, а устанавливаемые правила позволят автоматически определять методы реагирования на них.
Добавленный в UserGate LogAn функционал IRP также дает возможность настроить процесс расследования инцидентов информационной безопасности под индивидуальные потребности заказчика. В LogAn добавлены возможности интеграции с ГосСОПКА для автоматической отправки информации об инцидентах кибербезопасности и создания многоуровневых отчетов (drilldowns) в журналах и дашборде.
UserGate LogAn развертывается отдельно от шлюза безопасности, что повышает надежность и обеспечивает масштабируемость системы.
Как и положено полнофункциональной SIEM, LogAn собирает данные не только с продуктов экосистемы безопасности UserGate SUMMA и со сторонних устройств. Он позволяет выявлять IoC (индикаторы компрометации), которые в дальнейшем могут быть использованы в продуктах SUMMA для блокирования нежелательного трафика. LogAn отправляет управляющие команды на UserGate Management Center для оперативного реагирования на события безопасности.
С точки зрения управления событиями безопасности важным элементом экосистемы является UserGate Client. Его основное назначение – обеспечение защиты конечных устройств и соблюдения политики корпоративной безопасности при выходе за защищаемый периметр организации. UserGate Client – элемент защиты, необходимый для организации безопасного удаленного доступа в концепции "нулевого доверия", он выполняет также функции агента системы мониторинга событий информационной безопасности (SIEM / SOC) на конечной точке и межсетевого экрана с контентной фильтрацией и прокси-клиентом.
При этом UserGate Management Center выполняет роль централизованной системы корпоративного уровня для автоматизации безопасности и управления экосистемой UserGate SUMMA. Это удобная система оркестрации, автоматизации и реагирования, которая позволяет реализовать концепцию SOAR в рамках экосистемы UserGate.
Обновленная система UserGate IDPS
UserGate IDPS (Intrusion Detection & Prevention System) – система обнаружения и предотвращения вторжений, важная функция безопасности в составе продукта UserGate NGFW. СОВ (система обнаружения вторжений) является важнейшим компонентом сетевой безопасности. Чтобы обнаружить сложные угрозы, компания UserGate применяет набор собственных технологий, позволяющих проверять весь трафик, включая зашифрованный, с минимальными задержками.
Возможности и преимущества UserGate IDPS:
- Virtual Рatching позволяет на сетевом уровне защитить активы, которые могут быть атакованы с помощью известных уязвимостей
- Собственный движок быстро и точно обнаруживает вредоносный трафик в сети
- Экспертиза MRC расширяет возможности UserGate IDPS для получения самых свежих и актуальных обновлений списков сигнатур с целью своевременного обнаружения угроз
- Для расширенного поиска угроз собственный движок IDPS проводит инспекцию любого зашифрованного трафика (в том числе TLS 1.3 и TLS GOST), что обеспечивает максимальную видимость событий безопасности
- Благодаря интегрированности в экосистему UserGate SUMMA появляется возможность использовать IDPS как еще один источник данных для аналитики и увеличения уровня видимости событий безопасности
Разработкой сигнатур для модуля СОВ в компании UserGate занимается центр мониторинга и реагирования. Собственный движок kernel IDPS поддерживает написание сигнатур с использованием проприетарного синтаксиса, который позволяет быстро писать сигнатуры для актуальных угроз. Синтаксис был разработан компанией UserGate для оптимизации временных затрат на поиск угроз внутри сетевого соединения. Это позволяет модулю IDPS обнаруживать любые угрозы без потери производительности.
Режимы использования UserGate IDPS:
- в режиме обнаружения – используется зеркальный порт и связка UserGate NGFW с режимом SSL Broker;
- в режиме предотвращения – это шлюз по умолчанию или L2-/L3-bridge;
- в составе комплекса UserGate NGFW.
Все обновления доступны на my.usergate.com. Версия UGOS 7.0 RC рекомендована для ознакомительного использования без установления в production.