Технологии UserGate

Оглавление
Контроль приложений
Система обнаружения вторжений (СОВ)
Расширенная защита от угроз (ATP)
- Основные функции ATP в UserGate
Web Application Firewall (WAF)
- Основные возможности
Защита конечных устройств
- Основные возможности клиента управления конечными устройствами
Management Center
Фильтрация контента и интернет-трафика
Защита электронной почты

Контроль приложений

Функция, которая позволяет UserGate распознавать и классифицировать различные приложения и протоколы, используемые в сети, независимо от порта или IP-адреса.

Это открывает следующие возможности:

Управление доступом: Администраторы могут создавать политики доступа, которые ограничивают или разрешают использование определенных приложений для различных пользователей или групп пользователей. Например, можно запретить доступ к социальным сетям в рабочее время. Или ограничить скорость загрузки для файлообменных сетей.
Мониторинг и отчетность: UserGate ведет детальную статистику и логи по использованию приложений. Это позволяет администратору видеть, кто и когда использует те или иные приложения, а также выявлять аномалии или подозрительную активность.
Защита от угроз: Система контроля приложений помогает предотвращать использование потенциально опасных или нежелательных программ.
Оптимизация производительности: Ограничивая использование ненужных приложений и приоритизируя важные для бизнеса сервисы, можно улучшить производительность сети и повысить эффективность использования ресурсов.

Список детектируемых приложений

Система обнаружения вторжений (СОВ)

Обнаружение и предотвращение атак и вторжений (IDS/IPS)

Позволяет реагировать на атаки злоумышленников, использующих известные уязвимости, а также распознавать вредоносную активность внутри сети. IDS/IPS системы предназначены для обнаружения вторжений и защиты сетей компании от атак, неавторизованного проникновения в сеть. Такие решения могут обрывать сомнительные соединения и автоматически настраивать межсетевой экран, который блокирует дальнейшие атаки, а также информируют службу информационной безопасности компании.

Обнаружение и предотвращение атак и вторжений с помощью UserGate

Средство обнаружения вторжений и предотвращения атак UserGate – эффективное решение для корпоративных локальных сетей и дата-центров. Оно обеспечивает автоматическое реагирование на хакерские атаки, распознает опасные или вредоносные действия внутри сети. Возможными мерами превентивной защиты являются блокирование определенных сегментов сетевого трафика, обрыв соединения и оповещение администратора сети. Решение работает на аппаратном и программном уровне. Оно анализирует сигнатуры и использует правила эвристики для контроля за системами защиты в режиме реального времени. Выявление проблем безопасности происходит с помощью использования эвристических правил и анализа сигнатур известных атак. Система IPS отслеживает и блокирует подобные атаки в режиме реального времени. Если обнаружена угроза, трафик может быть заблокирован, соединение обрывается, а администратор получает соответствующее оповещение.

Администратор может создавать различные профили системы обнаружения вторжений (СОВ) и задавать правила СОВ, определяющие действия для выбранного типа трафика (IP, ICMP, TCP, UDP), который будет проверяться системой в соответствии с назначенными профилями.

Основные характеристики СОВ UserGate

Разработка и верификация сигнатур:

Все сигнатуры разрабатываются и верифицируются командой аналитиков Центра мониторинга и реагирования UserGate (MRC-UG). На сегодняшний день создано более 6000 сигнатур, число которых постоянно растет.
В процессе разработки правил используется информация от различных центров реагирования на компьютерные инциденты, включая ФинЦЕРТ Банка России и GOV-CERT НКЦКИ.

Режимы работы:

Система может работать как в режиме мониторинга (IDS), так и в режиме блокировки (IPS), обеспечивая защиту сети от атак, использующих известные уязвимости или вредоносную активность

Выявление угроз:

Глубокий анализ пакетов (DPI) — UserGate анализирует содержание сетевых пакетов на всех уровнях, что позволяет выявлять скрытые угрозы. DPI эффективен даже против шифрованного трафика.
Система распознает признаки ботнет-сетей, сигнатуры вирусов и действия пользователей, нарушающие корпоративную политику компании, например, использование торрентов.
Эвристические алгоритмы позволяют выявлять новые или модифицированные атаки, которые не присутствуют в сигнатурной базе.
Для обнаружения аномалий используются технологии машинного обучения.
Контекстуальный анализ и корреляция событий. UserGate объединяет данные из различных источников (системные логи, данные от других устройств безопасности) для создания более точного представления о происходящих событиях. И может корректно реагировать на сложные атаки, которые состоят из нескольких этапов и событий.

Интеграция с другими системами безопасности:

Легкая интеграция с SIEM, DLP, и другими решениями для создания единой системы защиты.
Работа в составе инфраструктуры UserGate SUMMA

Локализация:

Адаптирован под специфические требования российского рынка и законодательства.

Расширенная защита от угроз (ATP)

Специализированный модуль, предназначенный для обнаружения, анализа и предотвращения продвинутых киберугроз. Этот модуль обеспечивает многоуровневую защиту корпоративных сетей от сложных атак, которые могут обойти традиционные системы безопасности, такие как антивирусы и базовые фаерволы.

Основные функции ATP в UserGate

Глубокий анализ трафика: ATP в UserGate анализирует сетевой трафик на предмет аномалий и подозрительной активности, используя методы поведенческого анализа и машинного обучения.
Обнаружение и блокировка угроз в реальном времени: Модуль ATP активно мониторит входящий и исходящий трафик, файлы и приложения, выявляя угрозы и блокируя их до того, как они смогут нанести ущерб.
Защита от угроз нулевого часа: ATP предоставляет защиту от новых и неизвестных угроз, которые только появились и еще не имеют сигнатур в традиционных антивирусных базах.
Защита от DoS-атак: Модуль ATP помогает предотвращать атаки типа "отказ в обслуживании" (Denial of Service) ограничивая количество запросов с одного IP адреса.
Блокировка рекламы: Встроенные функции блокировки рекламы позволяют сократить количество нежелательного контента и потенциально вредоносных рекламных объявлений, которые могут быть использованы для распространения вредоносного ПО.
Морфологический анализ содержимого веб-страниц: ATP использует морфологический анализ для проверки содержимого веб-страниц на наличие запрещенных слов и выражений, задаваемых администратором. Или с использованием встроенных категорий фильтрации.
Обновляемые сигнатуры и эвристика: ATP регулярно обновляется для учета новых угроз и методов атак, что обеспечивает актуальность защиты и адаптацию к изменяющемуся ландшафту киберугроз.
Интеграция с другими модулями безопасности: ATP в UserGate интегрирован с другими модулями NGFW, такими как Intrusion Prevention System (IPS) и антивирус, что обеспечивает комплексную защиту на всех уровнях.
Анализ и расследование инцидентов: Инструменты ATP позволяют проводить детальный анализ угроз, что помогает в расследовании инцидентов и разработке мер для предотвращения повторных атак.
Обнаружение скрытых угроз: Благодаря использованию методов поведенческого анализа и машинного обучения, ATP может выявлять сложные и скрытые угрозы, такие как многоступенчатые атаки и продвинутое вредоносное ПО.
Защита от целевых атак: Модуль ATP помогает выявлять и блокировать целевые атаки, направленные на конкретную компанию или отрасль, что особенно важно для крупных организаций и государственных учреждений.

Web Application Firewall (WAF)

WAF работает на уровне reverse-proxy и защищает веб-сервера компании от атак извне. Основная задача WAF заключается в анализе HTTP/HTTPS-трафика, выявлении и блокировке атак, направленных на уязвимости веб-приложений.

Основные возможности

Анализ HTTP/HTTPS-трафика: WAF отслеживает и анализирует входящий и исходящий HTTP/HTTPS-трафик, проверяя его на соответствие заданным правилам безопасности.

Защита от OWASP Top 10: WAF обеспечивает защиту от наиболее распространенных веб-уязвимостей, включенных в список OWASP Top 10, таких как SQL-инъекции, XSS (межсайтовый скриптинг), CSRF (межсайтовая подделка запроса) и другие.

Интеграция с SIEM: WAF может интегрироваться с системами управления информацией и событиями безопасности (SIEM) для централизованного мониторинга и анализа событий безопасности.

Поддержка виртуальных патчей позволяет защитить веб-приложения от известных уязвимостей до их исправления на уровне исходного кода. Виртуальные патчи создают защитные барьеры вокруг уязвимых компонентов. Главные достоинства этой функции:

Быстрая реакция на новые угрозы: Виртуальные патчи могут быть оперативно применены для защиты от новых уязвимостей, без необходимости немедленного изменения кода приложения.
Снижение риска эксплуатации уязвимостей: Обеспечивается защита до момента выпуска официального исправления от разработчиков приложения.
Минимизация простоев: Виртуальные патчи позволяют поддерживать работу веб-приложений без необходимости экстренных обновлений и перезагрузок системы.

Защита конечных устройств

Основные возможности клиента управления конечными устройствами

Endpoint Detection & Response (EDR)

UserGate Client устанавливается на конечные устройства и постоянно мониторит их состояние.
Сбор данных о событиях безопасности и передача их в UserGate Log Analyzer для анализа и выявления угроз.
Блокировка вредоносной активности и создание инцидентов безопасности.

Network Access Control (NAC)

Контроль доступа в сеть на основе политики безопасности.
Проверка соответствия устройств требованиям безопасности перед предоставлением доступа.
Управление доступом через UserGate NGFW.

Zero Trust Network Access (ZTNA)

Подключение к корпоративной сети на основе принципов нулевого доверия.
Аутентификация пользователей и устройств перед предоставлением доступа.
Гранулярное разграничение доступа к приложениям и ресурсам.

Подключение удаленных пользователей

Безопасное подключение к корпоративным сетям по защищенным каналам связи (VPN).
Многофакторная аутентификация (MFA) для обеспечения безопасности удаленного доступа.

Централизованное управление

Установка и управление политиками безопасности на тысячах устройств через UserGate Management Center.
Сбор и анализ логов для SIEM-системы UserGate Log Analyzer.

Многоуровневая защита

Защита конечных устройств как внутри, так и за пределами периметра сети.
Встроенный межсетевой экран уровня узла обеспечивает фильтрацию трафика и защиту от угроз.

Презентация UserGate Client

Management Center

UserGate Management Center (UGMC) — централизованное решение для управления экосистемой безопасности UserGate SUMMA. UGMC предоставляет удобные инструменты для оркестрирования, автоматизации и реагирования на события безопасности в рамках концепции SOAR (Security Orchestration, Automation, and Response).

Централизованное управление: UGMC консолидирует управление всеми компонентами экосистемы UserGate SUMMA, включая NGFW, Log Analyzer и UserGate Client. Это позволяет из единой точки управлять настройками и создавать политики доступа для пользователей и устройств в корпоративной сети. Применение шаблонов и централизованное управление политиками обеспечивают прозрачность и систематизацию настроек. Что упрощает администрирование большого парка конечных точек и планирование работ по обслуживанию продуктов безопасности.

Мультитенантность: UGMC позволяет создавать независимые области управления для различных организаций или подразделений, а также настраивать ролевые матрицы прав доступа для администраторов. В результате один UGMC может использоваться для управления множеством организаций.

Автоматизация процессов безопасности: интеграция с Log Analyzer позволяет централизованно собирать, анализировать и хранить журналы событий из всех управляемых устройств UserGate. Что дает возможность настроить автоматические реакции на инциденты безопасности для IDPS, такие как блокировка IP-адресов или помещение устройств в карантин.

Фильтрация контента и интернет-трафика

UserGate предлагает мощные инструменты для контентной фильтрации, повышая безопасность и контроль за интернет-трафиком. Система использует обновляемые морфологические словари, классифицируя содержимое страниц по категориям и группам риска. Например, таким как порнография, наркотики, терроризм, новостные сайты, сайты знакомств или социальные сети. Использование морфологического анализа позволяет определять категории для любых сайтов, независимо от их URL.

Интернет-фильтрация от UserGate подходит для различных организаций, от школ до крупных предприятий, обеспечивая надежную защиту и административный контроль. Позволяет ограничивать доступ к ресурсам из списков Минюста, и соблюдать требования 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию»

Кроме того, модуль позволяет осуществлять блокировку рекламы, журналирование поисковых запросов, принудительно использовать безопасный поиск.
Список категорий фильтрации постоянно обновляется.

Защита электронной почты

Защита электронной почты от спама и вирусов

Модуль Mail Security от UserGate предназначен для комплексной защиты электронной почты от различных угроз, включая спам, вирусы, фишинг и другие виды мошенничества.

Фильтрация спама

Модуль анализирует содержимое писем, включая вложения, на наличие спам-сигнатур и подозрительных характеристик. Для повышения точности модуль использует эвристические алгоритмы, позволяющие выявлять новые и изменяющиеся спам-сообщения

Для получения сигнатур используются данные спам-центров, которые собирают информацию о спам-атаках со всего мира. Эти центры анализируют миллиарды писем, поступающих в специально созданные для этой цели хранилища (honeypots), что также положительно сказывается на качестве фильтрации и минимизирует ложные срабатывания.

Также используются технология DNSBL, которая блокирует IP-адреса, известные как источники спама, до установления SMTP-соединения. Это значительно снижает нагрузку на систему фильтрации, так как спам-сообщения блокируются еще на стадии соединения, не доходя до основных механизмов проверки. И ряд других: RHSBL, Backscatter, SPF, SURBL

Защита от прочих киберугроз

Mail Security, используя эвристические методы и сигнатуры, осуществляет проверку ссылок и вложений на наличие подозрительных или вредоносных элементов. Также осуществляются проверки на фишинг, фарминг, спуфинг и другие виды мошенничества.

Оглавление