Иван Чернов, UserGate: Раньше неизвестный пользователь в журналах событий был нормой, а сейчас это инцидент

Ближайшей осенью компания UserGate выпустит NGFW 7.1.0. Главным событием в новой версии станет UserID – технология идентификации пользователей, которой пока нет у других отечественных производителей. Подробностями с порталом ComNews.ru поделился Иван Чернов, менеджер по развитию UserGate.\[quote\] ComNews: Расскажите о UserGate UserID. Какие задачи решает технология?\[/quote\] Иван Чернов: Технология, которая вошла в релиз 7.1.0, нужна для идентификации пользователей. Я намеренно использую слово ‎"идентификация", а не "авторизация" или "аутентификация", потому что UserID – это прежде всего инструмент для определения пользователя, который совершает какие-либо действия в сети. Задача технологии – не оставить слепых зон в инфраструктуре. Мы в UserGate хотим, чтобы каждый источник и инициатор сетевого взаимодействия были однозначно идентифицированы. Нам важно, чтобы клиент знал, какой именно пользователь генерит подозрительный трафик в сети, пытается получить доступ к критически важным ресурсам и т.д. При этом мы считаем недопустимым, когда в журналах о событиях появляется запись "неизвестный пользователь". Именно поэтому в UserID максимально расширили инструментарий идентификации. Теперь войти в сеть под видом пользователя и остаться незамеченным стало крайне сложно. Раньше, если появлялась запись о неизвестном пользователе, это считалось нормой. С выходом на рынок технологии UserID – такая ситуация приравнивается к инциденту ИБ.\[quote\] ComNews: Как технология работает на практике?\[/quote\] Иван Чернов: Человек логинится в сети, технология перехватывает информацию об этом и создает метку пользователя. По ней она отслеживает его дальнейшие действия во всем многообразии трафика в компании. Фактически теперь мы всегда знаем, куда вошел конкретный пользователь, есть ли у него такие полномочия и т.д. И если трафик неожиданно направляется в те сегменты, где ему делать нечего, это уже следует рассматривать как потенциально опасное событие.\[quote\] ComNews: Какие риски закрывает UserID?\[/quote\] Иван Чернов: Главный – риск подмены пользователя. Мы разрабатывали UserID, чтобы клиент мог однозначно соотнести сотрудника с его источником трафика. Часто бывает, что кто-то успешно представляется пользователем. Однако технология может запретить ему доступ в сеть. Причины – подозрительный IP-адрес, сомнительное устройство и т.д. Грубо говоря, если бухгалтер из Суздаля вдруг подключается к сети ночью и из Германии, то это плохой знак. Вот почему так важно не выдавать безусловное доверие пользователю, только основываясь на том, что он ввел правильные логин и пароль.\[quote\] ComNews: Как UserID помогает ИБ-специалисту в работе?\[/quote\] Иван Чернов: Есть компании с огромным количеством данных, которые собираются с сетевых устройств и ИТ-инфраструктуры в целом. Чтобы качественно обеспечивать информационную безопасность в этом случае, нужно усилиться в двух направлениях. Первое – предоставление доступа пользователям на основе идентификационных данных. Используя UserID, ИБ-специалист понимает лучше, стоит ли предоставлять доступ к сети тому или иному пользователю. Второе – расследование инцидентов. Когда что-то уже произошло, специалисту по безопасности приходится изучать целый массив данных (логи, журналы событий, БД и т.д.). Технология UserID помогает совместить данные для расследования с реальными пользователями. Фактически ИБ-специалист видит в отчетах и журналах не только то, с какого компьютера или IP-адреса произошла атака на другой IP-адрес. Он может сразу видеть, какой именно пользователь совершил нелегитимное действие, и обратиться к нему – дойти до рабочего места, поговорить, обследовать компьютер и т.д.\[quote\] ComNews: Но есть же другие способы сопоставить IP-адрес и пользователя. В чем разница?\[/quote\] Иван Чернов: Конечно, ИБ-специалист может использовать свои инструменты. Но пока он определит, что IP-адрес принадлежит такому-то пользователю, пройдет несколько часов. Время здесь – критичный момент, так как скорость расследования должна быть максимально высокой. В случае с UserID заниматься сопоставлением пользователей с IP-адресами не придется. Все данные уже есть в системе. Специалист по безопасности сразу видит, какой сотрудник совершил нелегитимные действия, и может сразу же подойти к нему.\[quote\] ComNews: Что отличает ваше решение от других – российских и западных аналогов?\[/quote\] Иван Чернов: Идентификация пользователей в российских ИБ продуктах требует дополнительных действий вплоть до установки специального ПО на компьютер. В нашем случае идентификацию можно проводить прозрачно для пользователя по максимально широкому спектру данных. Мы поддерживаем большее количество методов, например, с помощью опрашивания Windows серверов (используя WMI, WinRM) или читая логи абсолютно любых источников с помощью syslog. Что касается иностранных решений, идентификация в UserID проводится не хуже, чем у мировых лидеров рынка. Я бы сказал, что даже на том уровне, к которому привыкли искушенные пользователи западных NGFW. Честно говоря, идея разработки UserID появилась в ответ на запрос наших крупных заказчиков. Наличие такой технологии часто фигурировало в требованиях к NGFW. Крупные компании привыкли пользоваться такой идентификацией в зарубежных продуктах. Нам удалось создать свое решение, которое оказалось не только не хуже, но даже в некоторых моментах лучше иностранных аналогов. По функциональности и скорости, например.\[quote\] ComNews: Наверняка, заказчики сталкивались с проблемами, даже если использовали иностранные решения?\[/quote\] Иван Чернов: Да, конечно. В первую очередь проблемы возникали из-за большого количества пользователей в компании. Сегодня заказчики хотят, чтобы система умела работать с высоконагруженной инфраструктурой. При этом речь не только об общем количестве пользователей в компании, но и о пиковой нагрузке. Допустим, оборудование может работать одновременно с 100 тыс. пользователей. Но все они приходят в восемь утра в офис и начинают подключаться к сети. Результат – система не справляется. И еще одно требование к технологии идентификации — высокая точность. Часто пользователи других NGFW видят в своих журналах строчку "неизвестный пользователь" и их это категорически не устраивает. С учетом большого числа пользователей проблема становится еще тяжелее.\[quote\] ComNews: Каким компаниям стоит присмотреться к UserID?\[/quote\] Иван Чернов: Технология применима к компаниям любого масштаба. В том числе в малом бизнесе, где стараются внедрять ПО с минимальными затратами. В этом случае можно приобрести NGFW и самостоятельно сделать настройки. Все уже есть в коробке, не нужно подключать какой-либо внешний продукт или технологию. А для крупных компаний, помимо обработки огромного числа пользователей, важна интеграция с различными системами и источниками. Все это – широкий набор методов, которые есть в UserID.\[quote\] ComNews: Иван, когда пользователи смогут протестировать новый UserID?\[/quote\] Иван Чернов: Релиз NGFW 7.1.0 планируется осенью этого года. Но опробовать технологию можно будет раньше – уже скоро появится бета-версия. Ссылка на источник