Журнал "Information Security/ Информационная безопасность" #1, 2022

Защита от вирусов и угроз нулевого дня (Zero Day) Помимо традиционного сигнатурного антивируса, проверяющего скачиваемые и загружаемые файлы, UserGate NGFW отслеживает репутацию источника файла и может отправить файл для анализа в песочницу, чтобы обезвредить вредоносное ПО, для которого еще не написаны сигнатуры. Защита веб-трафика и почты UserGate NGFW разбирает загружае- мые пользователями страницы, обна- руживая опасные и рекламные скрип- ты. Может проводиться морфологиче- ский анализ с поиском ключевых слов (и блокировкой страницы, если слова были найдены). Почтовые сообщения также анализируются: не только вло- жения, в поисках вирусов, но и само письмо – чтобы пресечь фишинговые и спамерские атаки на вашу организа- цию. Контроль мобильных устройств UserGate NGFW позволяет обеспечи- вать безопасность при использовании в организации концепции BYOD (Bring Your Own Device). Если во внутренней сети есть портативные устройства работников (ноутбуки, планшеты, и т. п.), им можно разрешать или запрещать доступ в сеть, гибко ограничивая, например, макси- мальное количество одновременно активных устройств для одного пользо- вателя. Гостевой портал (Captive Portal) UserGate NGFW предоставляет спе- циальный портал, с помощью которого внешние пользователи могут, зареги- стрировавшись через е-mail или СМС, получить доступ в сеть. А для внутренних пользователей Captive Portal будет дополнительным средством аутентифи- кации, проверяющим СМС/OTP. Кластеризация UserGate NGFW поддерживает воз- можность кластеризации в режиме active-passive (защита от сбоев, пере- ключение на запасное устройство при неполадках основного) и в режиме active- active (распределение нагрузки на все устройства кластера одновременно). Защита медицинского оборудования Новая версия UserGate NGFW также способна разбирать технологические промышленные протоколы, позволяя обнаружить атаки или подозрительные операции в сетях. Особенно это акту- ально для лечебно-профилактических и диагностических учреждений, в которых дорогостоящее медицинское оборудо- вание зачастую располагается в одной локальной сети с рабочими местами медицинского персонала. Программно-аппаратные комплексы UserGate NGFW Линейка программно-аппаратных ком- плексов UserGate NGFW рассчитана на то, чтобы покрыть потребности как небольшого филиала, так и крупной территориально распределенной меди- цинской организации или центра обра- ботки данных. Вся многофункциональ- ность сосредоточена в едином корпусе. Для выполнения требований по инфор- мационной безопасности нужно будет установить всего одно устройство. Виртуальная машина UserGate NGFW также поставляется в виде готовых образов, аналогичных обычным про- граммно-аппаратным комплексам. При этом производительность будет зави- сеть только от объема выделенных ресурсов, без дополнительных лицен- зионных ограничений. При необходимости возможно настроить облачный межсетевой экран UserGate as a Service (UGaaS). Такой вариант будет удобен при активном использовании в организации облачных информационных систем, нуждающихся в защите. Функционал UGaaS будет ана- логичен версии on-premise. Защита ЦОД Медицинские информационные систе- мы, объединяющие один или несколько регионов, для своего размещения тре- буют значительных серверных мощно- стей. Их можно разместить только в оборудованном ЦОД. Но поток трафика может быть настолько большим, что обычному межсетевому экрану сложно будет его обрабатывать. В таком случае можно использовать высокопроизводительный межсетевой экран UserGate FG. Заявленная про- изводительность одного устройства – до 80 Гбайт/с, с возможностью объеди- нить устройства в кластер распределе- ния нагрузки. Высокая скорость обработки достиг- нута благодаря специальным FPGA (ПЛИС), обеспечивающим параллельную аппаратную обработку трафика. В User- Gate FG также предусмотрены скорост- ные интерфейсы QSFP28 (100 Гбайт/с) и 10 Гбайт/с SFP. UserGate Client Во многих инцидентах ИБ, происходив- ших с медорганизациями, точкой проник- новения злоумышленников в сеть был компьютер пользователя. К примеру, Ascend Clinical была взломана после фишинговой атаки. И конечно, система защиты информации была бы неполной без решения, защищающего рабочее место. В экосистеме продуктов UserGate эту роль выполняет UserGate Client. Он обнаруживает и блокирует сложные угро- зы на автоматизированных рабочих местах (АРМ), например шифровальщики или вредоносную активность легитимного ПО. Перечислим функции UserGate Client. 1. Защита рабочего места от сложных угроз. Специальный движок отслеживает происходящие на АРМ процессы, исполь- зуя индикаторы компрометации (IoC) и индикаторы атак (IoA). С компьютера также собираются и анализируются дополнительные сведения: запуск или остановка антивируса, активный поль- зователь, установленное ПО и обновле- ния ОС и т.п. Эти сведения коррели- руются с другими событиями безопас- ности (в частности, сетевыми). В резуль- тате выявляются целевые угрозы, рас- пределенные по времени и инфраструк- туре атаки. 2. Управление безопасностью АРМ. UserGate Client предоставляет возмож- ность, обнаружив угрозу, немедленно на нее отреагировать: установить обнов- ления безопасности, отключить сеть на потенциально зараженной машине. 3. Хостовый межсетевой экран. Бло- кировка нежелательных сетевых соеди- нений на уровне рабочего места. 4. VPN-клиент. Для безопасной уда- ленной работы в UserGate Client встроен VPN-клиент, использующий протокол L2TP. 36 • ТЕХНОЛОГИИ C100 D200 D500 E1000 E3000 F8000 Производительность межсетевого экрана, Гбайт/с До 2,0 До 18,0 До 20,0 До 25,0 До 40,0 До 60,0 Производительность межсетевого экрана с определением До 1,9 До 15,0 До 18,7 До 24,0 До 32,0 До 40,0 приложений L7, Гбайт/с Производительность IPS, Гбайт/с До 0,3 До 1,8 До 2,0 До 2,8 До 3,9 До 8,0 Контентная фильтрация, Гбайт/с До 0,8 До 8,7 До 9,5 До 13,0 До 14,9 До 15,0 Инспектирование SSL, Гбайт/с До 0,30 До 4,0 До 4,4 До 5,0 До 6,5 До 8,0 Одновременных TCP-сессий, млн До 2 До 8 До 16 До 16 До 16 До 48 Рекомендованное количество пользователей До 100 До 300 До 500 До 1 тыс. До 3 тыс. До 10 тыс. Таблица 1. Сравнение моделей UserGate NGFW