Иван Чернов, UserGate: Раньше неизвестный пользователь в журналах событий был нормой, а сейчас это инцидент

17 авг 2023 02:40 #114396 от ICT
Ближайшей осенью компания UserGate выпустит NGFW 7.1.0. Главным событием в новой версии станет UserID – технология идентификации пользователей, которой пока нет у других отечественных производителей. Подробностями с порталом ComNews.ru поделился Иван Чернов, менеджер по развитию UserGate.\[quote\] ComNews: Расскажите о UserGate UserID. Какие задачи решает технология?\[/quote\] Иван Чернов: Технология, которая вошла в релиз 7.1.0, нужна для идентификации пользователей. Я намеренно использую слово ‎"идентификация", а не "авторизация" или "аутентификация", потому что UserID – это прежде всего инструмент для определения пользователя, который совершает какие-либо действия в сети. Задача технологии – не оставить слепых зон в инфраструктуре. Мы в UserGate хотим, чтобы каждый источник и инициатор сетевого взаимодействия были однозначно идентифицированы. Нам важно, чтобы клиент знал, какой именно пользователь генерит подозрительный трафик в сети, пытается получить доступ к критически важным ресурсам и т.д. При этом мы считаем недопустимым, когда в журналах о событиях появляется запись "неизвестный пользователь". Именно поэтому в UserID максимально расширили инструментарий идентификации. Теперь войти в сеть под видом пользователя и остаться незамеченным стало крайне сложно. Раньше, если появлялась запись о неизвестном пользователе, это считалось нормой. С выходом на рынок технологии UserID – такая ситуация приравнивается к инциденту ИБ.\[quote\] ComNews: Как технология работает на практике?\[/quote\] Иван Чернов: Человек логинится в сети, технология перехватывает информацию об этом и создает метку пользователя. По ней она отслеживает его дальнейшие действия во всем многообразии трафика в компании. Фактически теперь мы всегда знаем, куда вошел конкретный пользователь, есть ли у него такие полномочия и т.д. И если трафик неожиданно направляется в те сегменты, где ему делать нечего, это уже следует рассматривать как потенциально опасное событие.\[quote\] ComNews: Какие риски закрывает UserID?\[/quote\] Иван Чернов: Главный – риск подмены пользователя. Мы разрабатывали UserID, чтобы клиент мог однозначно соотнести сотрудника с его источником трафика. Часто бывает, что кто-то успешно представляется пользователем. Однако технология может запретить ему доступ в сеть. Причины – подозрительный IP-адрес, сомнительное устройство и т.д. Грубо говоря, если бухгалтер из Суздаля вдруг подключается к сети ночью и из Германии, то это плохой знак. Вот почему так важно не выдавать безусловное доверие пользователю, только основываясь на том, что он ввел правильные логин и пароль.\[quote\] ComNews: Как UserID помогает ИБ-специалисту в работе?\[/quote\] Иван Чернов: Есть компании с огромным количеством данных, которые собираются с сетевых устройств и ИТ-инфраструктуры в целом. Чтобы качественно обеспечивать информационную безопасность в этом случае, нужно усилиться в двух направлениях. Первое – предоставление доступа пользователям на основе идентификационных данных. Используя UserID, ИБ-специалист понимает лучше, стоит ли предоставлять доступ к сети тому или иному пользователю. Второе – расследование инцидентов. Когда что-то уже произошло, специалисту по безопасности приходится изучать целый массив данных (логи, журналы событий, БД и т.д.). Технология UserID помогает совместить данные для расследования с реальными пользователями. Фактически ИБ-специалист видит в отчетах и журналах не только то, с какого компьютера или IP-адреса произошла атака на другой IP-адрес. Он может сразу видеть, какой именно пользователь совершил нелегитимное действие, и обратиться к нему – дойти до рабочего места, поговорить, обследовать компьютер и т.д.\[quote\] ComNews: Но есть же другие способы сопоставить IP-адрес и пользователя. В чем разница?\[/quote\] Иван Чернов: Конечно, ИБ-специалист может использовать свои инструменты. Но пока он определит, что IP-адрес принадлежит такому-то пользователю, пройдет несколько часов. Время здесь – критичный момент, так как скорость расследования должна быть максимально высокой. В случае с UserID заниматься сопоставлением пользователей с IP-адресами не придется. Все данные уже есть в системе. Специалист по безопасности сразу видит, какой сотрудник совершил нелегитимные действия, и может сразу же подойти к нему.\[quote\] ComNews: Что отличает ваше решение от других – российских и западных аналогов?\[/quote\] Иван Чернов: Идентификация пользователей в российских ИБ продуктах требует дополнительных действий вплоть до установки специального ПО на компьютер. В нашем случае идентификацию можно проводить прозрачно для пользователя по максимально широкому спектру данных. Мы поддерживаем большее количество методов, например, с помощью опрашивания Windows серверов (используя WMI, WinRM) или читая логи абсолютно любых источников с помощью syslog. Что касается иностранных решений, идентификация в UserID проводится не хуже, чем у мировых лидеров рынка. Я бы сказал, что даже на том уровне, к которому привыкли искушенные пользователи западных NGFW. Честно говоря, идея разработки UserID появилась в ответ на запрос наших крупных заказчиков. Наличие такой технологии часто фигурировало в требованиях к NGFW. Крупные компании привыкли пользоваться такой идентификацией в зарубежных продуктах. Нам удалось создать свое решение, которое оказалось не только не хуже, но даже в некоторых моментах лучше иностранных аналогов. По функциональности и скорости, например.\[quote\] ComNews: Наверняка, заказчики сталкивались с проблемами, даже если использовали иностранные решения?\[/quote\] Иван Чернов: Да, конечно. В первую очередь проблемы возникали из-за большого количества пользователей в компании. Сегодня заказчики хотят, чтобы система умела работать с высоконагруженной инфраструктурой. При этом речь не только об общем количестве пользователей в компании, но и о пиковой нагрузке. Допустим, оборудование может работать одновременно с 100 тыс. пользователей. Но все они приходят в восемь утра в офис и начинают подключаться к сети. Результат – система не справляется. И еще одно требование к технологии идентификации — высокая точность. Часто пользователи других NGFW видят в своих журналах строчку "неизвестный пользователь" и их это категорически не устраивает. С учетом большого числа пользователей проблема становится еще тяжелее.\[quote\] ComNews: Каким компаниям стоит присмотреться к UserID?\[/quote\] Иван Чернов: Технология применима к компаниям любого масштаба. В том числе в малом бизнесе, где стараются внедрять ПО с минимальными затратами. В этом случае можно приобрести NGFW и самостоятельно сделать настройки. Все уже есть в коробке, не нужно подключать какой-либо внешний продукт или технологию. А для крупных компаний, помимо обработки огромного числа пользователей, важна интеграция с различными системами и источниками. Все это – широкий набор методов, которые есть в UserID.\[quote\] ComNews: Иван, когда пользователи смогут протестировать новый UserID?\[/quote\] Иван Чернов: Релиз NGFW 7.1.0 планируется осенью этого года. Но опробовать технологию можно будет раньше – уже скоро появится бета-версия. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Иван Чернов, UserGate: Большое обновление NGFW затронет всю экосистему наших продуктов23.55Четверг, 26 октября 2023
    За первые три квартала 2014 г. зафиксировано 54,3 тыс. событий с подозрением на инцидент ИБ16.94Вторник, 03 марта 2015
    Неизвестный пользователь по ошибке уничтожил криптовалюту на $280 млн16.89Среда, 08 ноября 2017
    Иван Чернов: Наши заказчики — самый активный элемент нашей экосистемы16.53Среда, 20 сентября 2023
    Шифрование становится нормой10.57Воскресенье, 26 мая 2024
    Дмитрий Чернов пришел в Минкомсвязи9.58Среда, 03 февраля 2016
    Как пережить инцидент и сохранить бизнес9.58Понедельник, 23 октября 2023
    Россия: один инцидент ИБ обходится крупным компаниям в 11 млн руб.9.37Четверг, 15 сентября 2016
    Следствие в Салехарде проверяет инцидент с журналистами канала "Пятница!"9.27Вторник, 11 августа 2015
    Дмитрий Чернов назначен директором Департамента развития высоких технологий Минкомсвязи России8.98Вторник, 02 февраля 2016

    Мы в соц. сетях