Контакты
Подписка 2024

Новая UGOS 7.0 для реагирования на инциденты в экосистеме UserGate SUMMA

Иван Чернов, 25/04/23

Ядром безопасности экосистемы UserGate SUMMA является собственная операционная система UGOS, дающая возможность обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Такой подход позволяет обеспечить высокое качество работы решений UserGate, их дальнейшее развитие и адаптацию для разных условий и уровней сложности. В начале осени 2022 г. разработчики объявили о выходе версии UGOS 7.0 RC (Release Candidate), которая стала полностью переработанной версией операционной системы UserGate.

Автор: Иван Чернов, менеджер по развитию UserGate

Операционная система UGOS управляет всей экосистемой UserGate SUMMA. Она позволяет использовать продукты UserGate в разных сочетаниях и инфраструктурных моделях, поддерживает не только обычные формы подставки в виде виртуальной машины и аппаратных комплексов, но и сервисную модель безопасности (Security-as-a-Service).

Релиз UGOS 7.0 – это полностью переработанная версия операционной системы, она стала легче, производительнее и эффективнее работает в высоконагруженных проектах.

UGOS 7.0 существенно расширяет арсенал функций безопасности для пользователей UserGate. Прежде всего стоит отметить новый движок СОВ/IDPS для NGFW, обладающий повышенной производительностью, в него заложена возможность создания собственных сигнатур. В ряду важных обновлений – расширенный функционал для диагностики, мониторинга, поиска уязвимостей и записи трафика в любых направлениях. К функциям работы с SSL-трафиком добавились отправка расшифрованного трафика на внешние серверы и его проверка с помощью движка СОВ/IDPS.

Новый Log Analyzer: мониторинг и управление инцидентами

Современный ландшафт угроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным условием для построения защищенной инфраструктуры. Немаловажным является способность команды ИБ анализировать данные, поступающие от инфраструктуры, находить в них значимые события, выявлять инциденты и расследовать их.

Задачи, решаемые UserGate LogAn:

  • Мониторинг событий безопасности в реальном времени
  • Ретроспективный анализ событий безопасности
  • Расследование инцидентов
  • Хранение и резервирование данных
  • Обеспечение непрерывности бизнес-процессов

Выгоды от использования UserGate LogAn:

  • Сокращение времени реакции на инцидент
  • Обеспечение видимости событий безопасности
  • Доступность данных корпоративного уровня
  • Автоматизация процессов безопасности
  • Ролевой доступ для администраторов системы

С выходом UGOS 7.0 UserGate Log Analyzer (LogAn) стал сочетать в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), то есть предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них. В "коробке" LogAn уже присутствуют пакеты экспертизы, включающие правила корреляции, разработанные экспертами центра реагирования UserGate.

Обновления UGOS 7.0 для UserGate Log Anаlyzer позволят полноценно реализовать функцию SIEM в рамках экосистемы UserGate SUMMA. LogAn аккумулирует данные из различных источников (сенсоров), осуществляет агрегацию и корреляцию событий, создает инциденты безопасности, а устанавливаемые правила позволят автоматически определять методы реагирования на них.

Добавленный в UserGate LogAn функционал IRP также дает возможность настроить процесс расследования инцидентов информационной безопасности под индивидуальные потребности заказчика. В LogAn добавлены возможности интеграции с ГосСОПКА для автоматической отправки информации об инцидентах кибербезопасности и создания многоуровневых отчетов (drilldowns) в журналах и дашборде.

UserGate LogAn развертывается отдельно от шлюза безопасности, что повышает надежность и обеспечивает масштабируемость системы.

Как и положено полнофункциональной SIEM, LogAn собирает данные не только с продуктов экосистемы безопасности UserGate SUMMA и со сторонних устройств. Он позволяет выявлять IoC (индикаторы компрометации), которые в дальнейшем могут быть использованы в продуктах SUMMA для блокирования нежелательного трафика. LogAn отправляет управляющие команды на UserGate Management Center для оперативного реагирования на события безопасности.

С точки зрения управления событиями безопасности важным элементом экосистемы является UserGate Client. Его основное назначение – обеспечение защиты конечных устройств и соблюдения политики корпоративной безопасности при выходе за защищаемый периметр организации. UserGate Client – элемент защиты, необходимый для организации безопасного удаленного доступа в концепции "нулевого доверия", он выполняет также функции агента системы мониторинга событий информационной безопасности (SIEM / SOC) на конечной точке и межсетевого экрана с контентной фильтрацией и прокси-клиентом.

При этом UserGate Management Center выполняет роль централизованной системы корпоративного уровня для автоматизации безопасности и управления экосистемой UserGate SUMMA. Это удобная система оркестрации, автоматизации и реагирования, которая позволяет реализовать концепцию SOAR в рамках экосистемы UserGate.

Обновленная система UserGate IDPS

UserGate IDPS (Intrusion Detection & Prevention System) – система обнаружения и предотвращения вторжений, важная функция безопасности в составе продукта UserGate NGFW. СОВ (система обнаружения вторжений) является важнейшим компонентом сетевой безопасности. Чтобы обнаружить сложные угрозы, компания UserGate применяет набор собственных технологий, позволяющих проверять весь трафик, включая зашифрованный, с минимальными задержками.

Возможности и преимущества UserGate IDPS:

  • Virtual Рatching позволяет на сетевом уровне защитить активы, которые могут быть атакованы с помощью известных уязвимостей
  • Собственный движок быстро и точно обнаруживает вредоносный трафик в сети
  • Экспертиза MRC расширяет возможности UserGate IDPS для получения самых свежих и актуальных обновлений списков сигнатур с целью своевременного обнаружения угроз
  • Для расширенного поиска угроз собственный движок IDPS проводит инспекцию любого зашифрованного трафика (в том числе TLS 1.3 и TLS GOST), что обеспечивает максимальную видимость событий безопасности
  • Благодаря интегрированности в экосистему UserGate SUMMA появляется возможность использовать IDPS как еще один источник данных для аналитики и увеличения уровня видимости событий безопасности

Разработкой сигнатур для модуля СОВ в компании UserGate занимается центр мониторинга и реагирования. Собственный движок kernel IDPS поддерживает написание сигнатур с использованием проприетарного синтаксиса, который позволяет быстро писать сигнатуры для актуальных угроз. Синтаксис был разработан компанией UserGate для оптимизации временных затрат на поиск угроз внутри сетевого соединения. Это позволяет модулю IDPS обнаруживать любые угрозы без потери производительности.

Режимы использования UserGate IDPS:

  • в режиме обнаружения – используется зеркальный порт и связка UserGate NGFW с режимом SSL Broker;
  • в режиме предотвращения – это шлюз по умолчанию или L2-/L3-bridge;
  • в составе комплекса UserGate NGFW.

Все обновления доступны на my.usergate.com. Версия UGOS 7.0 RC рекомендована для ознакомительного использования без установления в production.

Темы:SIEMUserGateIRPSOARNGFWUserGate SummaЖурнал "Информационная безопасность" №5, 2022Log Analyzer

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Скрытые расходы: как эксплуатационные затраты меняют стоимость лицензии SIEM
    Виктор Никуличев, руководитель продукта R-Vision SIEM в компании R-Vision
    Основываясь на практическом опыте работы с клиентами, мы исследовали факторы, влияющие на стоимость обслуживания SIEM-системы в долгосрочной перспективе с учетом работ инженерных специалистов. Стоимость эксплуатации складывается не только из расходов на лицензии, но и из затрат на работы, которые находятся в "серой зоне", так как их обычно не учитывают в первичных расчетах.
  • Парадокс возможностей: как развитие SIEM угрожает задачам заказчиков
    Павел Пугач, системный аналитик “СёрчИнформ”
    Когда компания закупает ИБ-систему и активно ей пользуется, аппетиты тоже начинают расти: хочется, чтобы система могла все больше, решая максимум задач в одном окне. При этом возникает риск, что дополнительные функции вытеснят основные. Рассмотрим на примере SIEM, как рынок размывает задачи систем и выводит их за рамки своего класса, и что в таком случае лучше выбрать заказчикам.
  • Тренды информационной безопасности, и как они влияют на SIEM
    Cовременные тренды в области информационной безопасности: явное смещение фокуса к облачным решениям, сервисным моделям и интеграции искусственного интеллекта. Это ставит новые требования к системам SIEM. Архитектура решения становится критически важной для обеспечения гибкости и масштабируемости, необходимых для успешной защиты инфраструктуры.
  • SIEM – это ядро системы информационной безопасности
    Максим Степченков, совладелец компании RuSIEM
    Что сегодня представляет угрозу данным и информации, сильно ли изменил ситуацию уход западных вендоров, насколько успешно импортозамещаются продукты ИБ и на что способна одна из первых в России SIEM-система – рассказал основатель и совладелец компании RuSIEM Максим Степченков.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.
  • Российские NGFW глазами заказчика: основные проблемы
    Андрей Нуйкин, Начальник отдела обеспечения безопасности информационных систем, блок вице-президента по ИТ компании ЕВРАЗ
    Pоссийские заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...