Журнал "Information Security/ Информационная безопасность" #2, 2024

уже сейчас показывает хорошее покры- тие на внутренних тестах. Полноценный старт продаж начнется после того, как WAF будет выделен из NGFW как самостоятельный продукт, чтобы пользователям не пришлось пере- плачивать за функционал полновесного NGFW. В дальнейшем в UserGate WAF доба- вятся логирование, дашборды для конт- роля причин срабатываний и возмож- ность организации отказоустойчивого кластера. UserGate SIEM – на стыке трендов UserGate приступила к разработке SIEM-системы в середине 2020 г., а уже в конце 2022 г. аналитики Gartner сфор- мулировали тренд на объединение клас- сов решений SIEM, IRP/SOAR и TIP в единый продукт TDIR (Threat Detection and Incident Response). В эту сторону стратегически и дви- жется UserGate SIEM, которая сочетает в себе возможности не только класси- ческих SIEM-систем, но и других про- дуктов информационной безопасности: функциональность IRP/SOAR, а также фиды TI уже сейчас поставляются из коробки. В качестве особенностей UserGate SIEM стоит отметить: l быстрое развертывание – через 10–15 минут можно приступить к непо- средственной работе с SIEM-системой; l возможность пользовательской нор- мализации событий, поступающих в SIEM: помимо коробочных правил нор- мализации, есть возможность дописать свои; l возможность взаимодействия с User- Gate Client, чтобы видеть и удалять про- цессы на конечных устройствах, а также изолировать хост при необходимости; l гибкая настройка ролевой модели; l дашборды, виджеты, отчеты – в том числе и в формате ГосСОПКА при исполь- зовании соответствующего модуля. SIEM, как и другие продукты в экоси- стеме UserGate SUMMA, доступны в виртуальном исполнении, в виде ПАК и в облачном варианте. UserGate Client В этом году планируется выход User- Gate Client. Кроме базовых сетевых воз- можностей и функции ZTNA-агента, он позволит отправлять телеметрию состоя- ния рабочей станции (загруженность процессора, памяти и т. п.), а также ИБ- события. В этом режиме UserGate Client работает фактически как SIEM-агент, который поставляет информацию для анализа. Коммерческие услуги За время разработки флагманского продукта у команды UserGate накопилась большая экспертиза, и теперь она доступна для заказчиков в виде набора коммерческих услуг. 1. Услуги по анализу защищенности – проактивная деятельность, связанная с поиском уязвимостей, недостатков или следов присутствия злоумышленников в инфраструктуре. 2. Киберкриминалистика – постинци- дентный анализ того, что произошло: как действовали злоумышленники, как работало вредоносное программное обес- печение, какие активы оказались затро- нуты атакой. Цель – понимание необхо- димых корректив, чтобы проанализиро- ванный случай не смог повториться. 3. Security awareness – повышение осведомленности сотрудников как ИТ- отдела, так и обычных пользователей несет положительный эффект с точки зрения снижения вероятности возник- новения инцидентов, связанных с их действиями. 4. Разработка архитектуры ИБ и про- цессов – консалтинг в построении инфор- мационной безопасности в компаниях, которые хотят начать этот процесс, но нуждаются в поддержке. 5. Флагманская услуга – коммерческий SOC. SOC как услуга Для большинства компаний построе- ние внутреннего SOC – мероприятие ресурсозатратное, и компания UserGate, опираясь на свой многолетний опыт, решила запустить сервис, предостав- ляющий услуги мониторинга и реагиро- вания на инциденты ИБ, который позво- лит разгрузить команды информацион- ной безопасности на стороне заказчика и будет достаточно гибким и пластичным, чтобы развиваться вместе с защищае- мой инфраструктурой. В компании UserGate собралась коман- да специалистов, которые построили высоконагруженный Security Operations Center в компании, являющейся одним из лидеров российского ИТ-сегмента. Этот SOC распределен по пяти дата- центрам, включает в себя кластер SIEM более чем из 600 узлов, обрабатываю- щий и хранящий порядка 8 Пбайт дан- ных. Ежесекундно этот SOC обрабаты- вает более 200 тыс. событий информа- ционной безопасности и телеметрии. Теперь эта команда развивает SOC в UserGate. Аналитики занимаются мониторингом подозрений на инциденты, развитием контента систем SOC: написанием пра- вил SIEM, разработкой плейбуков в IRP, работой с TI и Threat Hunting. Команда инженеров занимается внедрением, настройкой и поддержкой всех техниче- ских средств SOC, следит за их работо- способностью. Развитие услуги SOC UserGate вклю- чает в себя три этапа. 1. На первом этапе пре- доставляется функционал мониторинга и оповещения. На защищаемой площадке разворачивается лог-кол- лектор, который собирает потоки событий информационной безопасности и теле- метрии и отправляет по защищенному каналу связи в SOC UserGate. Там данные обрабатываются сначала в автоматизи- рованном режиме, а затем командой ана- литиков – в ручном. Данные остаются на долгосрочное хранение и обогащаются TI-информацией для построения более полной картины. В случае же обнаружения подозрений на инциденты аналитики выполняют оповещения ответственных сотрудников на стороне заказчика. 2. На втором этапе к функционалу мониторинга и оповещения добавляется функционал личного кабинета. Это инди- видуальное пространство для клиента, где он может посмотреть информацию о работе сервиса, начиная с дашбордов и графиков и заканчивая списком SIEM- правил, работающих на защищаемой инфраструктуре, карточками инцидентов и базой знаний. 3. На третьем этапе добавляется функ- ционал реагирования. Это требует гораз- до более глубокой интеграции систем UserGate SOC с системами заказчика и гораздо более глубокого погружения аналитиков UserGate в специфику защи- щаемой инфраструктуры. Академия UserGate В рамках академии UserGate на сего- дняшний день работают 10 авторизо- ванных учебных центров. Кроме про- хождения курсов непосредственно в ака- демии UserGate, можно прослушать курсы и у партнеров, для которых запу- щено несколько образовательных про- грамм. Среди них есть как коммерческие курсы для авторизованных учебных цент- ров, так и программа для вузов UserGate Education Partner, в которой уже приня- ли участие больше 30 преподавателей и 1 тыс. студентов. В авторизованной программе коммер- ческие курсы на сегодняшний день про- шли около 2 тыс. клиентов, 15 препода- вателей имеют статус тренера UserGate, пять из которых обладают наивысшим статусом UserGate-эксперт. Предусмотрены и экзамены, которые можно пройти только в академии User- Gate. l • 49 ТЕХНОЛОГИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ USERGATE см. стр. 72 NM Реклама Фото: UserGate