Лучший опыт

Этой осенью компания UserGate ... Иван Чернов, UserGate: Большое обновление NGFW затронет всю экосистему наших продуктов

Иван Чернов, UserGate: Большое обновление NGFW затронет всю экосистему наших продуктов...

Иван Чернов, UserGate: Большое обновление NGFW затронет всю экосистему наших продуктов
Иван Чернов, UserGate: Большое обновление NGFW затронет всю экосистему наших продуктов

Этой осенью компания UserGate выводит на рынок версию NGFW 7.1.0, а вместе с ней – долгожданные новые продукты и фичи. Подробностями с порталом Cyber Media поделился Иван Чернов, менеджер по развитию UserGate.

Cyber Media: Иван, чем отличается 7.1.0 от предыдущей версии?

Иван Чернов: Версию 7.1.0 мы называем большим обновлением. И это действительно так. В последней версии мы переходим на новую операционную систему – UGOS 7.1. Речь идет не только о дополнительном функционале, но и о полном обновлении «‎внутренностей» NGFW. А это всегда волнительно, потому что новые движки могут требовать радикальных инструментов, таких как clean install (полная переустановка). Но бояться их не стоит – пользователей ждут реально классные фичи.

Первая из них – UserID, о которой мы уже говорили. Это технология идентификации пользователей, которой пока нет у других отечественных производителей. Задача UserID – не оставить слепых зон в инфраструктуре. Вторая важная фича –  IPSv3, новый движок для NGFW.

Также в новую версию вошло много приятных мелочей. Среди них выделю поддержку VPN IKEv2, которую долго ждали многие заказчики.

Есть еще две важные причины, по которым мы считаем последнее обновление большим. Это новые продукты – UserGate Client и SIEM. Оба выходят с хорошим набором функций, который не стыдно обсуждать и предлагать пользователям. Особенно мощным считаю UserGate Client – это и Network Access Control, и во многом EDR и полноценный VPN-клиент.

Cyber Media: Новый релиз строится на основе пожеланий заказчиков? Или есть другие изменения?

Иван Чернов: По большому счету да, многие изменения в 7.1.0 – ответ на вызовы рынка и потребности заказчиков, которые представлены в основном энтерпрайз-сегментом и финансовым сектором в частности. Новые фичи и доработки продукта – то, чего ждут от нас клиенты и что мы с удовольствием для них реализуем. Так, например, произошло с UserID. Он появился в ответ на прямой запрос заказчиков.

Однако есть изменения, которые больше относятся к нашему видению развития продуктов ИБ. И прежде всего я имею в виду обновленный движок IPSv3 для NGFW.

Cyber Media: Что в нем особенного?

Иван Чернов: Главное – это не только IPS-, но и L7-движок. Несколько лет назад мы намеренно отказались от opensource-решений в его разработке. Иначе был риск пойти по традиционному пути, который выбрали все другие производители NGFW. Также в новой версии движка доступны такие полезные функции безопасности как работа с TLS-трафиком, запись трафика в pcap-файл, вайтлистинг и многое другое

Они брали opensource-технологии, отдельно отвечающие за функции IDS/IPS, а затем встраивали их в свои UTM-продукты. В результате сегодня сетевой пакет данных, который проходит через них, проверяется два раза. Его обрабатывают инструменты обоих классов решений, причем последовательно. Сначала запускается сигнатурный метод системы обнаружения и вторжения, потом – L7-движок. В итоге «‎под капотом» каждая из проверок требует перекладывания данных в ячейки памяти, двойной нагрузки процессора на проход по байтам в одном сетевом пакете и т.д. Так работают все opensource-продукты и решения, которые создаются на их базе.

Мы в UserGate думаем о том, как оптимизировать ресурсы заказчика. Поэтому мы разработали собственный движок IPS, третья версия которого входит в NGFW 7.1.0. Он трепетно относится к ресурсам пользователей. Когда сетевой пакет проходит через наш движок, все необходимые проверки проводятся сразу и в одном месте – без лишних перемещений между ячейками памяти, лишней нагрузки и т.д. Времени затрачивается минимум в два раза меньше.

Cyber Media: Получается, что от opensource-инструментов вы отказались, чтобы оптимизировать процессы?

Иван Чернов: Суть инженерной мысли была в том, чтобы перестать использовать opensource, который работает неэффективно. Наши разработчики разобрались в том, как выстроить процесс и сделать его лучше – создали свой движок. Теперь он архитектурно выгоднее всех opensource-решений и продуктов на их базе.

Движок IPS с самого начала и до текущей версии разрабатывается на основе нашей экспертизы ИБ. Чтобы сделать его максимально эффективным, программисты консультируются с нашим  безопасниками – сотрудниками Центра мониторинга и реагирования UserGate. Эксперты рассказывают, какие механизмы на уровне движка помогли бы им улучшить обнаружение атак в NGFW. Это всегда очень кропотливая работа с выставлением огромного числа требований. Причем все нюансы описываются на микроуровне – все-таки речь идет о сетевых пакетах, а это минимальные объемы данных.

Таким образом, движок IPSv3 создали продвинутые программисты по заказу безопасников. Именно поэтому он стал эффективным инструментом, который может вылавливать высокий процент атак и при этом без потерь производительности.

Cyber Media: Что изменилось на стороне пользователя с обновлением движка?

Иван Чернов: Теперь можно писать собственные сигнатуры. Раньше такого функционала в нашем продукте не было.

Также с новым движком стала еще более гибкой настройка параметров, в том числе при блокировании приложений. Изменилась логика обработки сетевых пакетов. Теперь пользователь может пропустить все приложения, которые  разрешено использовать, а затем заблокировать те, что нельзя. Или сделать наоборот. Можно заблокировать абсолютно все приложения и оставить только одно, которому разрешается доступ в интернет.

Гибкие настройки помогают выстраивать любую конструкцию взаимодействия с трафиком. Допустим, можно сначала проверить, что по сетевому трафику легко попасть внутрь сети. Затем выяснить, что пользователю доступен такой трафик. А потом – проверить, нет ли там признаков атаки.

Cyber Media: Такая гибкость, как правило, предполагает сложную настройку…

Иван Чернов: Конечно. Со стороны может показаться, что заморачиваться нет смысла и проще поставить какой-нибудь простой opensouce-продукт. В нем минимум настроек.

Однако в нашем понимании проще не значит лучше. Наш продукт для профессионалов – профессиональных безопасников. Энтерпрайзу нужны эффективность, производительность и точность обнаружения атак. Если использовать бесплатные решения или продукты на их базе, то легко упереться в потолок – параметров для более качественной настройки там недостаточно.

Технологическая независимость также важна по причинам безопасности. Проприетарная разработка – гарантия того, что заказчик не получит продукт с «‎закладкой» или другими рисками. В высоконагруженных системах энтерпрайза они особенно опасны. 

И наконец, собственный движок с гибкими настройками – это больше возможностей влиять на производительность. Это в целом наш путь, задел на масштабирование и аппаратное ускорение.

Cyber Media: Получается, более высокая производительность – плюс, который увидят пользователи 7.1.0. Какие еще преимущества дает им новая версия?

Иван Чернов: Да, 7.1.0 быстрее и производительнее. Помимо того, она стала более удобной для пользователя. Увеличилось количество действий с трафиком. В новой версии можно не только разрешить трафик или запретить, но и журналировать, временно заблокировать IP-адрес или сбросить соединение.

В целом NGFW теперь позволяет максимально гибко настраивать каждую политику. Стало заметно больше параметров настройки. Например, можно указывать, в каком правиле и для какого трафика применяется следующая сигнатура с такими-то действиями. И конечно, еще один плюс к гибкости системы заключается в том, что теперь можно писать собственные сигнатуры.

Cyber Media: Как сказываются изменения на развитии экосистемы UserGate?

Иван Чернов: Экосистема расширяется. Как я уже сказал, она пополняется двумя новыми продуктами – UserGate Client и SIEM.

SIEM работает как внутри нашей экосистемы, так и с внешними устройствами и продуктами. Несмотря на то, что это MVP-версия, в ней есть весь необходимый функционал. И он основан на высочайшей экспертизе наших безопасников.

Что касается UserGate Client, это мощное расширение нашей экосистемы. Вместе с NGFW и SIEM его можно рассматривать как инструмент разряда Zero Trust или XDR. Новый продукт внушительно усиливает экосистему UserGate.

При этом мы не ограничиваем пользователя своей линейкой ПО. По-прежнему сохраняются API, коннекторы и другие возможности интеграции с другими решениями. Наша цель – не запереть заказчика в одной экосистеме, а предложить ему синергию.


* Реклама, Рекламодатель ООО "Юзергейт", ИНН 5408308256
Токен Kra23yp84