Контакты
Подписка 2026

Новая UGOS 7.0 для реагирования на инциденты в экосистеме UserGate SUMMA

Иван Чернов, 25/04/23

Ядром безопасности экосистемы UserGate SUMMA является собственная операционная система UGOS, дающая возможность обрабатывать и анализировать сетевой трафик на высоконагруженных каналах связи и добиваться эффективного масштабирования. Такой подход позволяет обеспечить высокое качество работы решений UserGate, их дальнейшее развитие и адаптацию для разных условий и уровней сложности. В начале осени 2022 г. разработчики объявили о выходе версии UGOS 7.0 RC (Release Candidate), которая стала полностью переработанной версией операционной системы UserGate.

Автор: Иван Чернов, менеджер по развитию UserGate

Операционная система UGOS управляет всей экосистемой UserGate SUMMA. Она позволяет использовать продукты UserGate в разных сочетаниях и инфраструктурных моделях, поддерживает не только обычные формы подставки в виде виртуальной машины и аппаратных комплексов, но и сервисную модель безопасности (Security-as-a-Service).

Релиз UGOS 7.0 – это полностью переработанная версия операционной системы, она стала легче, производительнее и эффективнее работает в высоконагруженных проектах.

UGOS 7.0 существенно расширяет арсенал функций безопасности для пользователей UserGate. Прежде всего стоит отметить новый движок СОВ/IDPS для NGFW, обладающий повышенной производительностью, в него заложена возможность создания собственных сигнатур. В ряду важных обновлений – расширенный функционал для диагностики, мониторинга, поиска уязвимостей и записи трафика в любых направлениях. К функциям работы с SSL-трафиком добавились отправка расшифрованного трафика на внешние серверы и его проверка с помощью движка СОВ/IDPS.

Новый Log Analyzer: мониторинг и управление инцидентами

Современный ландшафт угроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным условием для построения защищенной инфраструктуры. Немаловажным является способность команды ИБ анализировать данные, поступающие от инфраструктуры, находить в них значимые события, выявлять инциденты и расследовать их.

Задачи, решаемые UserGate LogAn:

  • Мониторинг событий безопасности в реальном времени
  • Ретроспективный анализ событий безопасности
  • Расследование инцидентов
  • Хранение и резервирование данных
  • Обеспечение непрерывности бизнес-процессов

Выгоды от использования UserGate LogAn:

  • Сокращение времени реакции на инцидент
  • Обеспечение видимости событий безопасности
  • Доступность данных корпоративного уровня
  • Автоматизация процессов безопасности
  • Ролевой доступ для администраторов системы

С выходом UGOS 7.0 UserGate Log Analyzer (LogAn) стал сочетать в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), то есть предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них. В "коробке" LogAn уже присутствуют пакеты экспертизы, включающие правила корреляции, разработанные экспертами центра реагирования UserGate.

Обновления UGOS 7.0 для UserGate Log Anаlyzer позволят полноценно реализовать функцию SIEM в рамках экосистемы UserGate SUMMA. LogAn аккумулирует данные из различных источников (сенсоров), осуществляет агрегацию и корреляцию событий, создает инциденты безопасности, а устанавливаемые правила позволят автоматически определять методы реагирования на них.

Добавленный в UserGate LogAn функционал IRP также дает возможность настроить процесс расследования инцидентов информационной безопасности под индивидуальные потребности заказчика. В LogAn добавлены возможности интеграции с ГосСОПКА для автоматической отправки информации об инцидентах кибербезопасности и создания многоуровневых отчетов (drilldowns) в журналах и дашборде.

UserGate LogAn развертывается отдельно от шлюза безопасности, что повышает надежность и обеспечивает масштабируемость системы.

Как и положено полнофункциональной SIEM, LogAn собирает данные не только с продуктов экосистемы безопасности UserGate SUMMA и со сторонних устройств. Он позволяет выявлять IoC (индикаторы компрометации), которые в дальнейшем могут быть использованы в продуктах SUMMA для блокирования нежелательного трафика. LogAn отправляет управляющие команды на UserGate Management Center для оперативного реагирования на события безопасности.

С точки зрения управления событиями безопасности важным элементом экосистемы является UserGate Client. Его основное назначение – обеспечение защиты конечных устройств и соблюдения политики корпоративной безопасности при выходе за защищаемый периметр организации. UserGate Client – элемент защиты, необходимый для организации безопасного удаленного доступа в концепции "нулевого доверия", он выполняет также функции агента системы мониторинга событий информационной безопасности (SIEM / SOC) на конечной точке и межсетевого экрана с контентной фильтрацией и прокси-клиентом.

При этом UserGate Management Center выполняет роль централизованной системы корпоративного уровня для автоматизации безопасности и управления экосистемой UserGate SUMMA. Это удобная система оркестрации, автоматизации и реагирования, которая позволяет реализовать концепцию SOAR в рамках экосистемы UserGate.

Обновленная система UserGate IDPS

UserGate IDPS (Intrusion Detection & Prevention System) – система обнаружения и предотвращения вторжений, важная функция безопасности в составе продукта UserGate NGFW. СОВ (система обнаружения вторжений) является важнейшим компонентом сетевой безопасности. Чтобы обнаружить сложные угрозы, компания UserGate применяет набор собственных технологий, позволяющих проверять весь трафик, включая зашифрованный, с минимальными задержками.

Возможности и преимущества UserGate IDPS:

  • Virtual Рatching позволяет на сетевом уровне защитить активы, которые могут быть атакованы с помощью известных уязвимостей
  • Собственный движок быстро и точно обнаруживает вредоносный трафик в сети
  • Экспертиза MRC расширяет возможности UserGate IDPS для получения самых свежих и актуальных обновлений списков сигнатур с целью своевременного обнаружения угроз
  • Для расширенного поиска угроз собственный движок IDPS проводит инспекцию любого зашифрованного трафика (в том числе TLS 1.3 и TLS GOST), что обеспечивает максимальную видимость событий безопасности
  • Благодаря интегрированности в экосистему UserGate SUMMA появляется возможность использовать IDPS как еще один источник данных для аналитики и увеличения уровня видимости событий безопасности

Разработкой сигнатур для модуля СОВ в компании UserGate занимается центр мониторинга и реагирования. Собственный движок kernel IDPS поддерживает написание сигнатур с использованием проприетарного синтаксиса, который позволяет быстро писать сигнатуры для актуальных угроз. Синтаксис был разработан компанией UserGate для оптимизации временных затрат на поиск угроз внутри сетевого соединения. Это позволяет модулю IDPS обнаруживать любые угрозы без потери производительности.

Режимы использования UserGate IDPS:

  • в режиме обнаружения – используется зеркальный порт и связка UserGate NGFW с режимом SSL Broker;
  • в режиме предотвращения – это шлюз по умолчанию или L2-/L3-bridge;
  • в составе комплекса UserGate NGFW.

Все обновления доступны на my.usergate.com. Версия UGOS 7.0 RC рекомендована для ознакомительного использования без установления в production.

Темы:SIEMUserGateIRPSOARNGFWUserGate SummaЖурнал "Информационная безопасность" №5, 2022Вебмониторэкс
Практика защиты персональных данных в 2027 году: требования и инструменты. 14 октября на Форуме ITSEC 2026
Полное расписание мероприятий Форума ITSEC 2026 →

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Статьи по той же темеСтатьи по той же теме

  • Архитектура сетевого доверия UserGate
    Ежегодная конференция UserGate Open Conf 2026 прошла с акцентом на архитектуру сетевого доверия. Причем речь шла не о новой линейке продуктов или очередной маркетинговой концепции – UserGate сформулировала подход к тому, как вообще должна строиться современная инфраструктура безопасности.
  • NGFW, который выдерживает масштаб ЦОД
    Кирилл Прямов, менеджер по развитию NGFW в компании UserGate
    Дата-центр – одна из немногих сред, где сетевые решения довольно быстро проверяются на прочность. То, что спокойно работает на корпоративном периметре, в ЦОД может начать создавать ограничения уже при первых попытках масштабирования инфраструктуры. Поэтому неизбежно возникает вопрос: какой межсетевой экран действительно рассчитан на работу в среде дата-центра, а какой изначально проектировался для совсем других условий.
  • Приказ № 117 и роль NGFW в архитектуре защиты
    Антон Рысев, директор по правовым вопросам, Ideco
    1 марта 2026 г. вступил в силу приказ ФСТЭК России № 117 от 11.04.2025, который заменил приказ № 17 и распространил требования по защите информации не только на ГИС, но и на иные информационные системы государственных органов и учреждений. А поправки к 187-ФЗ, принятые в 2025 г., уточнили состав субъектов КИИ и усилили требования по взаимодействию с ГосСОПКА. Содержательно это не революция, набор мер защиты не стал принципиально иным, но изменился фокус проверки.
  • Фундамент безопасности: почему VPN/FW остаются актуальными?
    Александр Чередниченко, директор производственного блока AO “ЭЛВИС-ПЛЮС”
    Давайте наконец развеем миф о второстепенности классических VPN-шлюзов и на примере нашего флагманского продукта “ЗАСТАВА" покажем, как зрелые, отточенные технологии становятся краеугольным камнем современной эшелонированной защиты, интегрируясь в самые сложные и ответственные ИТ-ландшафты.
  • Security Vision NG SOAR: SOAR, SIEM и EDR в одном флаконе
    Роман Душков, эксперт Security Vision
    Для построения SOC на продуктах Security Vision используется принцип интеграции трех ключевых компонентов: технологий, аналитики и организованных процессов. Именно это делает подход к управлению инцидентами в компаниях разного масштаба прозрачным, а также помогает объединить автоматизацию и СЗИ в экосистему.
  • Ценность логов NGFW рождается в SIEM
    Василий Кочканиди, аналитик RuSIEM
    NGFW – один из самых важных источников контекстных данных для SOC, но его ценность раскрывается только при глубокой и корректной интеграции с SIEM: когда события не просто собираются, а нормализуются, обогащаются и анализируются в связке с другими источниками.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2026
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
13-14 октября приглашаем экспертов и практиков выступить на Форуме ITSEC 2026!
Отправить заявку на участие →

More...
ТБ Форум 2026
13 октября. Защищенный удаленный доступ на Форуме ITSEC 2026
Регистрация открыта →

More...