Российский NGFW с богатым функционалом. Обзор межсетевого экрана и обновленной операционной системы UserGate
В самый ответственный момент иностранные производители средств защиты покинули российский рынок, и российским производителям пришлось самостоятельно обеспечивать защиту российского информационного пространства. Наиболее сложным для импортозамещения оказались межсетевые экраны следующего поколения (NGFW). Сейчас российские разработчики стараются максимально быстро заполнить эту нишу, не всегда понимая, какой именно функционал отличает новое поколение МСЭ от предыдущего. Ключевой особенностью NGFW, в том числе и по заявлениям авторов самого термина аналитиков компании Gartner, является возможность составления правил на уровне пользователей и приложений, а не только сетевых портов, протоколов URL, файлов, сигнатур и индикаторов компрометации. Вместе с использованием ролевых моделей распределения полномочий привязка всех событий в инфраструктуре к пользователям позволяет оптимизировать как политику безопасности, так и процедуру проверки правил на самом межсетевом экране. Однако прослеживание пользователей на уровне протоколов требует внедрения целой экосистемы ИБ-решений. Именно такой механизм тегирования анонсирован в релиз-кандидате операционной системы UGOS 7.1 компании UserGate под названием UserID.
Содержание |
Новое в UGOS
UserID
Аналогии технологии UserID уже активно используются при федеративной аутентификации, когда различные сайты пользуются не своей системой аутентификации, а доверяют идентификаторам (UserID) сторонних систем аутентификации в рамках протокола OAuth, OpenID или аналогичных. Для подключения к каждому из таких сайтов используется специальный идентификатор (токен) Client ID, а совокупность всех токенов, принадлежащих одному пользователю, называется UserID.
Для корпоративной безопасности использование подобных токенов не менее важно, чем для сайтов и порталов в Интернет. Каждое корпоративное приложение может, после аутентификации, выдавать пользователю свой токен, который указывается в каждом передаваемом по сети пакете данных. Межсетевой экран, прочтя такой токен, может достаточно быстро определить в рамках какого сеанса, какой пользователь взаимодействует с каким приложением – эта информация определяется предысторией аутентификации в каждом приложении. Имея ролевую модель доступа NGFW может достаточно быстро определить легитимность того или иного пакета просто по содержащемуся в нем токену и указанным параметрам сеанса.
В современном мире, когда периметр корпоративной инфраструктуры размыт и способов передать пакет внутрь инфраструктуры может быть несколько важно, чтобы средство защиты могло очень быстро и без дополнительных запросов к системам аутентификации определить легитимность каждого пакета. И технология UserID позволяет реализовать подобные механизмы проверки. Она позволяет минимизировать слепые пятна в инфраструктуре и связать каждый пакет с корпоративным пользователем и приложением, к которому он пытается обратиться. При использовании UserID каждый сетевой пакет должен быть подписан и авторизован, а неподписанные можно просто блокировать. С помощью токенов NGFW может сопоставить каждый пакет с конкретным фактом аутентификации и определить его корректность.
Собственно, и ранее в UGOS можно было пользоваться различными технологиями аутентификации, такими как Kerberos, однако именно UserID позволяет охватить все передаваемые в корпоративной инфраструктуре пакеты, всех пользователей и все приложения.
Поддержка IKEv2
В новой версии межсетевого экрана также реализована поддержка протокола для подключения удаленных пользователей IKEv2, который был разработан Microsoft и Cisco, а сейчас используется по умолчанию для новых VPN-подключений в Windows, macOS и iOS. В последних версиях протоколов для Android отказались от старых версий VPN-протоколов, и оставили поддержку только IKEv2 как наиболее безопасного, надежного и быстрого для подключения к корпоративной инфраструктуре. VPN-функционал важен для современных предприятий, поскольку удаленная работа сейчас по-прежнему остается привлекательной, а подключение удаленных пользователей к корпоративным ресурсам важно защищать, причем желательно это делать эффективно и надежно. Переход на IKEv2 упростит этот процесс, поскольку в большинстве клиентских операционных систем его достаточно безопасно можно использовать с настройками по умолчанию.
Реализация Upstream Proxy
Возможность каскадировать межсетевые экраны заявлена в версии UGOS 7.1. Она важна для корпоративные инфраструктур с большим количеством разнообразных сегментов, когда внутри корпоративной сети выделяются еще более защищенные подсети, например, промышленные или повышенной секретности. Однако в некоторых случаях, например, для обновления технологического оборудования, необходимо организовать строго контролируемый канал на внешние ресурсы, тогда приходиться использовать цепочку промежуточных узлов защиты. В этом случае можно использовать функционал Upstream Proxy. Причем промежуточный proxy-сервер может быть не только производства UserGate, но и любой другой.
В новой версии операционной системы UGOS реализована поддержка протоколов проксирования HTTPS/SOCKS5, причем как с авторизацией, так и без. В документации указано, что в каскаде может быть до 8 промежуточных серверов, однако в реальности их может быть и больше – конфигурация с 8 серверами была протестирована компанией. Однако надо помнить, что чем больше промежуточных серверов в цепочке, тем медленнее работает доступ к Интернет.
UserGate Client
Кроме собственно обновления операционной системы компания UserGate также предложила тестировать специальное приложение UserGate Client, которое может быть установлено на компьютерах удаленных пользователей. Оно позволяет взаимодействовать с корпоративной инфраструктурой по защищенному каналу, чтобы обеспечить конфиденциальность подключения к корпоративным ресурсам. Причем UserGate Client объединяет в себе функционал трех инструментов защиты: VPN-клиента для подключения к инфраструктуре, NAC, обеспечивающий безопасности доступа, и киберзащиту самого устройства (EDR). Компания планирует расширить функциональность как NAC в сторону поддержки ZTNA, так и EDR в сторону XDR. Функционал клиентского приложения от UserGate позволяет реализовать комплексный подход к информационной безопасности, с включением в защищенный периметр в том числе удаленных и даже мобильных пользователей.
Динамическая авторизация
UserGate Client предназначен в первую очередь для организации защищенного канала в корпоративную инфраструктуру, однако без защиты самого устройства от вредоносной и шпионской активности добиться этого не получиться. Сервер управления доступом удаленных пользователей обеспечивает их сегментацию с помощью динамической аутентификации – такая технология называется NAC. Со временем она была преобразована в ZTNA, когда аналогичные проверки выполнялись не только для удаленных подключений, но и для всех устройств в корпоративной инфраструктуре. Экосистема UserGate как раз и развивается в этом направлении – к преобразованию NAC в полноценную систему ZTNA.
Сервер NAC при доступе удаленных пользователей к корпоративным ресурсам, во-первых, учитывает насколько удаленное устройство удовлетворяет требованиям корпоративной безопасности, во-вторых обеспечивает централизованное управление UserGate Client, а в-третьих дает ему доступ только к тем информационным системам, которые соответствуют ролевой функции пользователя. Так бухгалтер получает доступ к 1C, продавцы – в CRM и почту, руководители – в BI. Права удаленного доступа в другие системы для каждой из перечисленных ролей ограничены. Если злоумышленник сможет завладеть удаленным устройством, то ему придется преодолевать и ролевую сегментацию удаленных подключений.
Безопасность клиента
Важной функцией UserGate Client является контроль за поведением устройства, на котором он развернут. Он проверяет установлены ли обновления, нет ли вредоносных программ (точнее работает ли антивирусное ПО), анализирует состояние памяти, процессора и общей производительности, а также контролирует подключения к USB-портам. Эта часть клиентского приложения обеспечивает детектирование вредоносной активности на конечных клиентах и реагирование в случае появления признаков атаки, то есть относиться к классу EDR. Если же дополнить клиентское приложения корпоративными средствами защиты, такими как проверка корпоративной почты, контроль подключения к облачным ресурсам через корпоративный шлюз, анализ событий на устройстве с помощью корпоративного SIEM и защиту данных от потери с помощью резервного копирования – все это можно реализовать с помощью экосистемы UserGate SUMMA, то в результате получиться полноценное XDR-решение уже в рамках всей организации.
Кроме того, комплексный клиент упрощает централизованное управление защитой всех удаленных устройств. Компания предлагает корпоративный центр управления, который дает администраторам возможность следить за безопасностью всех клиентских устройств, проверять работу их инструментов защиты, анализировать события с помощью SIEM и реагировать на появление признаков компрометации (IoC) на клиентских устройствах. Хотя как технология NAC, так и EDR может работать и без центра управления – только с UserGate NGFW.
Выявление и реагирование
Анализом событий информационной безопасности и построением отчетов в предыдущих версиях UserGate занимался компонент, который назывался Log Analyzer. В новой версии операционной системы он преобразован в SIEM, который стал важной частью экосистемы продуктов UserGate SUMMA. Пользователи Log Analyzer имеют возможность обновить уже купленный и развернутый продукт до продукта UserGate SIEM Light.
Причем события в SIEM принимаются не только по стандартным протоколам – syslog, SNMP, WMI, но и от других продуктов экосистемы UserGate. В частности, UserGate Client может передавать в SIEM свою телеметрию, которая будет использоваться в правилах корреляции. Также и межсетевые экраны UserGate совместно с агентами UserID смогут вносить свой вклад в процесс выявления подозрительной активности. Поддержка всех этих источников и позволяет объединить продукты компании в единую экосистему, которая получила наименование SUMMA.
В комплект поставки UserGate SIEM Light входит более 300 правил корреляции и более десятка TI-источников, которые содержат оперативные IoC. Причем используемые правила привязаны к таблицам тактик и техник MITRE ATT&CK, а пользователи могут добавлять собственные правила без ограничений в том числе и с поддержкой популярного формата передачи структурированной информации YAML.
SIEM занимается не только автоматическим применением правил корреляции, но в ней также можно определить и процедуры реагирования при срабатывании определенных правил. Причем это может быть не только оповещение администраторов по электронной почте, СМС или другим каналам, но и передача команд реагирования на UserGate Client. Важной особенностью решения является построение отчетов для ГосСОПКА, что может пригодиться как для субъектов КИИ, так и для государственных компаний, которые также находятся под контролем этой системы.
Решение поставляется не только в виде программно-аппаратного комплекса, но и для виртуальных машин Virtual SIEM в виде контейнеров, которые можно оперативно развернуть в ЦОДе или в публичном облаке, что упрощает для компаний как внедрение технологии, так и ее дальнейшее расширение и модернизацию.
Экосистема
Продукты компании UserGate, которые работают на базе операционной системы UGOS, можно объединить в единую систему, на каждом из элементов которых будет работать как минимум агент UserID. Для конечных устройств можно будет установить UserGate Client, который будет взаимодействовать с UserGate NGFW для формирования корпоративной инфраструктуры с нулевым доверием – ZTNA. Контроль и анализ происходящих в ней событий будет выполняться UserGate SIEM Light, а оркестрацию всей системы защиты можно организовать с помощью центра управления. Все эти продукты вместе и составляют экосистему SUMMA, которая может не только выявить опасные события, но также привязать их к конкретным пользователям и ресурсам, то есть произвести расследование инцидентов и даже отреагировать в автоматическом режиме на наиболее опасные события, чтобы предотвратить или купировать кибератаки на инфраструктуру и данные.