UserGate đã công bố ứng cử viên phát hành sẵn sàng của hệ điều hành UGOS – nền tảng để xây dựng hệ sinh thái bảo mật SUMMA. Sản phẩm này đang phát triển theo hướng tăng cường chức năng bảo vệ điểm cuối mở rộng (XDR), triển khai cơ chế truy cập không tin cậy (ZTNA), phát triển hệ thống proxy minh bạch và hỗ trợ các nhà phát triển bên thứ ba.
- Giới thiệu
- Hệ sinh thái SUMMA UserGate thay vì NGFW đơn lẻ
- Mở rộng thay thế nhập khẩu vì lợi ích của NGFW hay xu hướng toàn cầu?
- Phát triển khái niệm XDR
- Các công nghệ mới trong UserGate phiên bản 7.1
- 5.1. Tên người dùng
- 5.2. Chữ ký IDPS tùy chỉnh cho L7
- 5.3. IKEv2
- 5.4. IPSv3
- 5.5. Ứng dụng khách UserGate
- kết luận
Giới thiệu
Vào giữa tháng 11, UserGate đã công bố phát hành một ứng cử viên phát hành cho phiên bản 7.1 mới của hệ điều hành UGOS của riêng mình, đây là cơ sở để xây dựng hệ sinh thái bảo mật doanh nghiệp UserGate SUMMA. Nó không chỉ bao gồm tường lửa thế hệ tiếp theo UserGate NGFW, giải quyết tình trạng thiếu hụt nghiêm trọng các giải pháp loại này trên thị trường Nga, mà còn bao gồm các giải pháp bảo mật thông tin mới về “quản lý sự kiện và thông tin bảo mật” (SIEM) và “phát hiện và phản hồi”. tại các lớp điểm cuối”. (EDR), “kiểm soát truy cập mạng” (NAC), được phát triển trong UserGate.
Hệ sinh thái SUMMA UserGate thay vì NGFW đơn lẻ
Buổi công bố về hệ sinh thái UserGate SUMMA, một bộ giải pháp quản lý bảo mật thông tin toàn diện của cơ sở hạ tầng CNTT kết hợp, diễn ra vào ngày 27 tháng 5 năm 2021 trong khuôn khổ hội nghị thường niên của nhà cung cấp. Động lực thúc đẩy sự phát triển của nó là tường lửa NGFW, vốn đã rất được khách hàng ưa chuộng.
Hệ sinh thái SUMMA được hình thành, ngoài NGFW, bởi các mô-đun chính sau:
- Trình phân tích nhật ký UserGate, có các chức năng của SIEM, nền tảng phản hồi (IRP), bộ điều phối và tác nhân tự động hóa (SOAR). Mô-đun này thu thập nhật ký và phân tích các sự kiện để xác định sự cố và ứng phó với chúng.
- Trung tâm quản lý UserGate, là một hệ thống quản lý và cấu hình tập trung.
- UserGate Client, dùng để triển khai các chức năng EDR, ZTNA và NAC, cung cấp khả năng kiểm soát khả năng hiển thị của các máy khách được kết nối, bao gồm cả việc tính đến các nguyên tắc truy cập mạng “không tin cậy”.
- UserGate WAF cung cấp khả năng bảo vệ tài nguyên web trên máy chủ vật lý hoặc ảo, cho phép bạn phát hiện nhiều loại tấn công khác nhau và lọc lưu lượng truy cập.
Cốt lõi của hệ thống bảo mật là hệ điều hành UGOS của riêng nó. Nó xử lý và phân tích lưu lượng mạng và đảm bảo mở rộng hệ sinh thái một cách hiệu quả.
Điểm mới của SUMMA là nó kết hợp các giải pháp lớn đang tích cực phát triển và tích lũy các công nghệ phân tích phức tạp. Ví dụ, SIEM không chỉ đóng vai trò là trung tâm thu thập dữ liệu sự cố mà còn tạo ra các giải pháp quản lý cung cấp khả năng giám sát, đánh giá dữ liệu, phát hiện và ứng phó với các sự kiện.
Các giải pháp có thể được sử dụng trong môi trường kết hợp: mạng, điểm cuối và cơ sở hạ tầng đám mây.
Mở rộng thay thế nhập khẩu vì lợi ích của NGFW hay xu hướng toàn cầu?
Có vẻ như tại sao lại kết hợp các quyết định quan trọng khác nhau như vậy?
Câu trả lời có thể được tìm kiếm trong các lĩnh vực phát triển công nghệ hiện đang được triển khai trên toàn thế giới. Sự phát triển rộng rãi của các công nghệ phát hiện mối đe dọa bằng cách xác định mối tương quan và phân tích đặc điểm hành vi của người dùng/đối tượng phần mềm (UEBA), sự tiến bộ của các công cụ trí tuệ mạng (TI) đòi hỏi ứng dụng dữ liệu và quy tắc từ đầu đến cuối. Chỉ có giải pháp hệ sinh thái mới có thể đảm bảo được điều này.
Như Dmitry Chebotarev, giám đốc phát triển sản phẩm, đã lưu ý tại cuộc họp báo nhân dịp công bố UserGate 7.1, Gartner đã chỉ ra những thay đổi đáng kể trong quá trình phát triển của SIEM trong báo cáo năm 2022. Cần lưu ý rằng ở dạng cổ điển, SIEM đã lỗi thời và ít được khách hàng quan tâm.
Theo dự báo của Gartner, trong tương lai chức năng của hệ thống SIEM thông thường sẽ được bổ sung thêm các công cụ bổ sung mà cho đến nay vẫn được coi là loại phần mềm bảo mật thông tin riêng biệt. Chúng bao gồm các công cụ tình báo mạng, IRP/SOAR, cơ chế tương tác với EDR và nhiều hơn nữa. Hàng năm danh sách sản phẩm có trong SIEM không ngừng được mở rộng.
Có vẻ như những xu hướng này là động lực thúc đẩy UserGate tham gia vào việc “mở rộng chuyên môn hóa tường lửa” vào năm 2021. Nhưng công ty không chỉ đưa ra giải pháp “thay thế nhập khẩu” cho NGFW mà còn quyết định thử phát triển một hệ sinh thái bảo mật thông tin. Sự phát triển của nó đi từ cái riêng đến cái chung.
Ví dụ: “nhiên liệu” chính cho các công cụ trí tuệ mạng (TI) là các chỉ số xâm phạm (IoC): địa chỉ IP, tên miền, tên người dùng, v.v. Trong số đó, có rất nhiều loại dữ liệu. Việc sử dụng chúng cũng được yêu cầu ở cấp độ NGFW.
Nhờ sự phát triển của chính mình và kinh nghiệm thu được khi vận hành NGFW, UserGate đã có thể tích lũy chuyên môn và tạo các gói luồng dữ liệu (nguồn cấp dữ liệu) để làm phong phú thêm thông tin về các sự cố. Giờ đây, từ “hộp” UserGate, bạn có thể tải xuống khoảng chục nguồn cấp dữ liệu miễn phí cũng như các bộ trả phí. Thông tin này cho phép bạn phát triển toàn bộ hệ sinh thái UserGate SUMMA.
Chức năng của IRP và SOAR giúp phân tích hành vi của các quy trình, xác định rủi ro và tự động đưa ra phản hồi đầy đủ dựa trên phân tích, bảo vệ khỏi các mối đe dọa hoặc hành vi bất thường ở giai đoạn sớm nhất và quản lý các quy trình ứng phó sự cố trong bảo mật thông tin.
Phát triển khái niệm XDR
Như Ivan Chernov, giám đốc phát triển kinh doanh UserGate, cho biết, hệ sinh thái UserGate SUMMA hiện đang hướng tới khái niệm XDR.
“XDR là một mô hình hoặc cách tiếp cận bảo mật nhằm xây dựng các quy tắc và giai đoạn ứng phó với các mối đe dọa và đẩy lùi các cuộc tấn công. Từ “mở rộng” có nghĩa là nhu cầu mở rộng phạm vi tầm nhìn về cơ sở hạ tầng. Các quyết định thực sự sẽ phụ thuộc vào chi tiết cụ thể của việc triển khai nó (máy chủ, đám mây),” diễn giả nói.
Điều đặc biệt quan trọng đối với sự phát triển của hệ sinh thái SUMMA là cơ hội phổ biến kinh nghiệm trong ngành về bảo mật thông tin cho toàn bộ nhóm khách hàng của công ty. Nếu việc triển khai có mục tiêu cho phép bạn nhìn thấy các mối đe dọa ở cấp độ của một công ty, thì việc phát triển hệ sinh thái giúp bạn có thể có được giải pháp bảo mật sẵn có. Điều này sẽ giúp mở rộng số lượng khách hàng UserGate vì cách tiếp cận hệ sinh thái khuyến khích mở rộng quy mô.
Một lượng lớn khách hàng cho phép chúng tôi tích lũy kiến thức chuyên môn về các cuộc tấn công hiện tại và nhanh chóng phân phối kiến thức đó cho các công ty khác trong ngành hoặc khu vực. Do đó, chẳng hạn, việc xác định trọng tâm khu vực của một cuộc tấn công mạng cho phép bạn chuẩn bị nhanh chóng và kịp thời cho những người tham gia thị trường khác về sự cố ngay cả trước khi họ gặp phải nó. Xu hướng này có thể mang tính quyết định trong tương lai. Có lẽ nó sẽ là thứ quyết định “người chiến thắng trong cuộc đua thay thế nhập khẩu NGFW”.
Hình 1. Ứng dụng các sản phẩm UserGate trong khái niệm XDR
Như Ivan Chernov đã lưu ý, phần lớn sẽ phụ thuộc vào mức độ tham gia thị trường mở và liệu họ có sẵn sàng chia sẻ thông tin về các cuộc tấn công nhắm vào họ hay không. Điều này sẽ giúp bảo vệ không chỉ các công ty khác mà còn cả chính họ.
Điều quan trọng là cơ quan quản lý Nga đã nhận ra nhu cầu trao đổi dữ liệu như vậy và đang tổ chức nó thông qua GosSOPKA. Phiên bản mới của hệ sinh thái UserGate hiện bao gồm các công cụ để chuẩn bị báo cáo cho nó. Cơ chế này mở ra khả năng nhanh chóng bổ sung các dấu hiệu xâm phạm vào sản phẩm.
Các công nghệ mới trong UserGate phiên bản 7.1
Tên người dùng
Nhu cầu cung cấp cho người dùng/máy các chỉ báo riêng của họ đã quá hạn từ lâu. Vấn đề bắt nguồn từ thực tế là có nhiều cách để cùng một người dùng/máy truy cập vào mạng. Kết quả là, các ranh giới trở nên mờ nhạt và bản thân các thiết bị có được những đặc điểm tiềm ẩn. Những kẻ tấn công có thể dễ dàng ẩn đằng sau chúng.
Hình 2. Chỉ báo UserID sẽ cho phép bạn giám sát các kết nối mạng
Việc đưa tính năng UserID của riêng bạn vào hệ sinh thái UserGate cho phép bạn nhận dạng chính xác từng người dùng/từng máy tính, bất kể nó truy cập mạng bằng cách nào hay sử dụng công cụ nào.
Công cụ UserID mới bổ sung cho các phương thức xác thực đã có sẵn trong UserGate. Cơ chế này hiện cho phép áp dụng khái niệm ZTNA bằng cách bổ sung hỗ trợ cho “không tin cậy”. Chỉ những người được ủy quyền và thực sự cần nó mới có quyền truy cập.
Hình 3. Triển khai Zero Trust
Chữ ký IDPS tùy chỉnh cho L7
Nhu cầu về các chỉ số như vậy đã được các nhà phát triển dịch vụ và ứng dụng bên thứ ba bày tỏ từ lâu. Cho đến nay, các ứng dụng được tùy chỉnh và xây dựng tùy chỉnh vẫn được coi là không đáng tin cậy. Cần phải thực hiện các biện pháp đặc biệt để hợp pháp hóa chúng bên trong chu vi. Dịch vụ mới cho phép bạn tạo chữ ký tùy chỉnh để bạn có thể bảo vệ sự phát triển của riêng mình.
IKEv2
Hỗ trợ giao thức VPN IKEv2 là một bổ sung quan trọng trong phiên bản 7.1. Giao thức này có mức độ bảo mật, độ tin cậy và hiệu suất cao hơn. Với các phiên bản gần đây của hệ điều hành Android đang có sự thay đổi so với các giao thức VPN cũ hơn, sự bổ sung này có vẻ hợp thời.
IPSv3
Phiên bản mới của hạt nhân UserGate IPSv3 độc quyền, làm nền tảng cho hệ thống phát hiện xâm nhập (IDS), có thể chặn địa chỉ IP và cổng, áp dụng quy tắc lọc lưu lượng hoặc tự động vô hiệu hóa các kết nối đáng ngờ. Nó cung cấp thông tin về các hành vi xâm nhập và đe dọa mạng, các hoạt động khai thác và tấn công, báo hiệu cho các chuyên gia bảo mật thông tin để có hành động kịp thời.
Proxy ngược dòng
Mạng được bảo vệ bởi UserGate, hỗ trợ sử dụng các giao thức HTTP, HTTPS và SOCKS5. Bộ này cung cấp nhiều loại ẩn danh khác nhau, cho phép bạn chọn tùy chọn an toàn và được chấp nhận nhất cho khách hàng. Ví dụ: việc chọn proxy SOCKS5 sẽ cung cấp khả năng xác thực và hỗ trợ mạnh mẽ cho các địa chỉ IPv6, đồng thời giữ kín hoàn toàn thông tin địa chỉ IP của người dùng.
Hình 4. Proxy UpStream sẽ cho phép bạn kiểm soát những thay đổi tạm thời trong chính sách truy cập mạng
Cho đến nay, nhiều câu hỏi đã được đặt ra về việc hỗ trợ các phân đoạn kín của mạng công ty, những phân đoạn bị cấm truy cập từ bên ngoài. Thực tế là họ cũng định kỳ phải đối mặt với các nhiệm vụ yêu cầu quyền truy cập tạm thời – ví dụ: cập nhật phần mềm hoặc giấy phép, cài đặt thiết bị mới, kiểm tra hoặc cấp quyền trao đổi lưu lượng truy cập web với một tài nguyên bên ngoài nhất định. Việc mở tạm thời của họ thường khiến tin tặc xâm nhập vào mạng nội bộ.
Hỗ trợ mới cho UpStream Proxy cho phép bạn giải quyết vấn đề này một cách an toàn. Các tùy chọn truy cập có sẵn có hoặc không có ủy quyền, cũng như kết nối thông qua một chuỗi máy chủ proxy.
Ứng dụng khách UserGate
UserGate Client quản lý quyền truy cập mạng an toàn cho các thiết bị người dùng của khách hàng doanh nghiệp. Nó kết hợp ba chức năng để bảo vệ quyền truy cập từ xa của thiết bị: VPN, NAC và EDR.
Hình 5. Hỗ trợ NAC trong các sản phẩm UserGate
Giải pháp này cung cấp khả năng kiểm soát và bảo vệ nâng cao cho các thiết bị, khả năng kết nối an toàn với mạng công ty thông qua VPN, phát hiện hoạt động độc hại và ứng phó với các mối đe dọa. Giải pháp lọc các trang web độc hại và bị cấm cũng như bảo vệ kết nối mạng.
Hình 6. Trên đường dẫn từ EDR tới XDR
Phiên bản mới của UserGate Client cho phép bạn tạo một kênh an toàn để tổ chức truy cập từ xa và giám sát tính bảo mật của thiết bị được kết nối, đồng thời triển khai phân đoạn vi mô, cung cấp quyền truy cập hạn chế vào các ứng dụng được chỉ định trước như một phần của việc triển khai bảo mật thông tin doanh nghiệp thống nhất chiến lược. Ngay cả khi bị xâm phạm, kẻ tấn công giờ đây sẽ chỉ có thể truy cập vào một phân đoạn duy nhất. Phần còn lại của mạng sẽ vẫn an toàn.
kết luận
Tất cả các yếu tố của phiên bản mới của hệ sinh thái UserGate 7.1 được triển khai cả dưới dạng hệ thống phần mềm và phần cứng cũng như thực thi ảo với sự hỗ trợ cho nhiều trình ảo hóa khác nhau cũng như khả năng triển khai trên đám mây. Khả năng tương thích rộng rãi như vậy cho phép công ty tích cực phát triển tại thị trường Nga không chỉ thông qua tường lửa NGFW mà còn thông qua cách tiếp cận tích hợp với hệ thống bảo mật.
Khách hàng không chỉ có cơ hội nhập khẩu các công nghệ thay thế trước đây mà còn có cơ hội bắt kịp xu hướng toàn cầu trong việc phát triển an ninh mạng.
