Иван Чернов, UserGate: Большое обновление NGFW затронет всю экосистему наших продуктов

<p><strong>Этой осенью компания <a href="https://www.usergate.com/ru">UserGate</a> выводит на рынок версию NGFW 7.1.0, а вместе с ней – долгожданные новые продукты и фичи. Подробностями с порталом ComNews.ru поделился Иван Чернов, менеджер по развитию UserGate.</strong></p> <blockquote class="quote3"> <p><strong>Иван, чем отличается 7.1.0 от предыдущей версии?</strong></p> </blockquote> <p>Версию 7.1.0 мы называем большим обновлением. И это действительно так. В последней версии мы переходим на новую операционную систему – UGOS 7.1. Речь идет не только о дополнительном функционале, но и о полном обновлении "‎внутренностей" NGFW. А это всегда волнительно, потому что новые движки могут требовать радикальных инструментов, таких как clean install (полная переустановка). Но бояться их не стоит – пользователей ждут реально классные фичи.</p> <p>Первая из них – <strong>UserID</strong>, о которой мы <a href="https://securitymedia.org/articles/interview/ivan-chernov-usergate-ranshe-neizvestnyy-polzovatel-v-zhurnalakh-sobytiy-byl-normoy-a-seychas-eto-in.html">уже говорили</a>. Это технология идентификации пользователей, которой пока нет у других отечественных производителей. Задача UserID – не оставить слепых зон в инфраструктуре. Вторая важная фича – IPSv3, новый движок для NGFW.</p> <p>Также в новую версию вошло много приятных мелочей. Среди них выделю поддержку <strong>VPN IKEv2,</strong> которую долго ждали многие заказчики.</p> <p>Есть еще две важные причины, по которым мы считаем последнее обновление большим. Это новые продукты – <strong>UserGate Client </strong>и <strong>SIEM.</strong> Оба выходят с хорошим набором функций, который не стыдно обсуждать и предлагать пользователям. Особенно мощным считаю UserGate Client – это и Network Access Control, и во многом EDR и полноценный VPN-клиент.</p> <blockquote class="quote3"> <p><strong>Новый релиз строится на основе пожеланий заказчиков? Или есть другие изменения?</strong></p> </blockquote> <p>По большому счету да, многие изменения в 7.1.0 – ответ на вызовы рынка и потребности заказчиков, которые представлены в основном энтерпрайз-сегментом и финансовым сектором в частности. Новые фичи и доработки продукта – то, чего ждут от нас клиенты и что мы с удовольствием для них реализуем. Так, например, произошло с UserID. Он появился в ответ на прямой запрос заказчиков.</p> <p>Однако есть изменения, которые больше относятся к нашему видению развития продуктов ИБ. И прежде всего я имею в виду обновленный движок IPSv3 для NGFW.</p> <blockquote class="quote3"> <p><strong>ComNews.ru: Что в нем особенного?</strong></p> </blockquote> <p>Главное – это не только IPS-, но и L7-движок. Несколько лет назад мы намеренно отказались от opensource-решений в его разработке. Иначе был риск пойти по традиционному пути, который выбрали все другие производители NGFW. Также в новой версии движка доступны такие полезные функции безопасности как работа с TLS-трафиком, запись трафика в pcap-файл, вайтлистинг и многое другое</p> <p>Они брали opensource-технологии, отдельно отвечающие за функции IDS/IPS, а затем встраивали их в свои UTM-продукты. В результате сегодня сетевой пакет данных, который проходит через них, проверяется два раза. Его обрабатывают инструменты обоих классов решений, причем последовательно. Сначала запускается сигнатурный метод системы обнаружения и вторжения, потом – L7-движок. В итоге "‎под капотом" каждая из проверок требует перекладывания данных в ячейки памяти, двойной нагрузки процессора на проход по байтам в одном сетевом пакете и т.д. Так работают все opensource-продукты и решения, которые создаются на их базе.</p> <p>Мы в UserGate думаем о том, как оптимизировать ресурсы заказчика. Поэтому мы разработали собственный движок IPS, третья версия которого входит в NGFW 7.1.0. Он трепетно относится к ресурсам пользователей. Когда сетевой пакет проходит через наш движок, все необходимые проверки проводятся сразу и в одном месте – без лишних перемещений между ячейками памяти, лишней нагрузки и т.д. Времени затрачивается минимум в два раза меньше.</p> <blockquote class="quote3"> <p><strong>Получается, что от opensource-инструментов вы отказались, чтобы оптимизировать процессы?</strong></p> </blockquote> <p>Суть инженерной мысли была в том, чтобы перестать использовать opensource, который работает неэффективно. Наши разработчики разобрались в том, как выстроить процесс и сделать его лучше – создали свой движок. Теперь он архитектурно выгоднее всех opensource-решений и продуктов на их базе.</p> <p>Движок IPS с самого начала и до текущей версии разрабатывается на основе нашей экспертизы ИБ. Чтобы сделать его максимально эффективным, программисты консультируются с нашим безопасниками – сотрудниками Центра мониторинга и реагирования UserGate. Эксперты рассказывают, какие механизмы на уровне движка помогли бы им улучшить обнаружение атак в NGFW. Это всегда очень кропотливая работа с выставлением огромного числа требований. Причем все нюансы описываются на микроуровне – все-таки речь идет о сетевых пакетах, а это минимальные объемы данных.</p> <p>Таким образом, движок IPSv3 создали продвинутые программисты по заказу безопасников. Именно поэтому он стал эффективным инструментом, который может вылавливать высокий процент атак и при этом без потерь производительности.</p> <blockquote class="quote3"> <p><strong>Что изменилось на стороне пользователя с обновлением движка?</strong></p> </blockquote> <p>Теперь можно писать собственные сигнатуры. Раньше такого функционала в нашем продукте не было.</p> <p>Также с новым движком стала еще более гибкой настройка параметров, в том числе при блокировании приложений. Изменилась логика обработки сетевых пакетов. Теперь пользователь может пропустить все приложения, которые разрешено использовать, а затем заблокировать те, что нельзя. Или сделать наоборот. Можно заблокировать абсолютно все приложения и оставить только одно, которому разрешается доступ в интернет.</p> <p>Гибкие настройки помогают выстраивать любую конструкцию взаимодействия с трафиком. Допустим, можно сначала проверить, что по сетевому трафику легко попасть внутрь сети. Затем выяснить, что пользователю доступен такой трафик. А потом – проверить, нет ли там признаков атаки.</p> <blockquote class="quote3"> <p><strong>Такая гибкость, как правило, предполагает сложную настройку…</strong></p> </blockquote> <p>Конечно. Со стороны может показаться, что заморачиваться нет смысла и проще поставить какой-нибудь простой opensouce-продукт. В нем минимум настроек.</p> <p>Однако в нашем понимании проще не значит лучше. Наш продукт для профессионалов – профессиональных безопасников. Энтерпрайзу нужны эффективность, производительность и точность обнаружения атак. Если использовать бесплатные решения или продукты на их базе, то легко упереться в потолок – параметров для более качественной настройки там недостаточно.</p> <p>Технологическая независимость также важна по причинам безопасности. Проприетарная разработка – гарантия того, что заказчик не получит продукт с "‎закладкой" или другими рисками. В высоконагруженных системах энтерпрайза они особенно опасны.</p> <p>И наконец, собственный движок с гибкими настройками – это больше возможностей влиять на производительность. Это в целом наш путь, задел на масштабирование и аппаратное ускорение.</p> <blockquote class="quote3"> <p><strong>Получается, более высокая производительность – плюс, который увидят пользователи 7.1.0. Какие еще преимущества дает им новая версия?</strong></p> </blockquote> <p>Да, 7.1.0 быстрее и производительнее. Помимо того, она стала более удобной для пользователя. Увеличилось количество действий с трафиком. В новой версии можно не только разрешить трафик или запретить, но и журналировать, временно заблокировать IP-адрес или сбросить соединение.</p> <p>В целом NGFW теперь позволяет максимально гибко настраивать каждую политику. Стало заметно больше параметров настройки. Например, можно указывать, в каком правиле и для какого трафика применяется следующая сигнатура с такими-то действиями. И конечно, еще один плюс к гибкости системы заключается в том, что теперь можно писать собственные сигнатуры.</p> <blockquote class="quote3"> <p><strong>Как сказываются изменения на развитии экосистемы UserGate?</strong></p> </blockquote> <p>Экосистема расширяется. Как я уже сказал, она пополняется двумя новыми продуктами – UserGate Client и SIEM.</p> <p>SIEM работает как внутри нашей экосистемы, так и с внешними устройствами и продуктами. Несмотря на то, что это MVP-версия, в ней есть весь необходимый функционал. И он основан на высочайшей экспертизе наших безопасников.</p> <p>Что касается UserGate Client, это мощное расширение нашей экосистемы. Вместе с NGFW и SIEM его можно рассматривать как инструмент разряда Zero Trust или XDR. Новый продукт внушительно усиливает экосистему UserGate.</p> <p>При этом мы не ограничиваем пользователя своей линейкой ПО. По-прежнему сохраняются API, коннекторы и другие возможности интеграции с другими решениями. Наша цель – не запереть заказчика в одной экосистеме, а предложить ему синергию.</p> <p> </p> <p> </p>