Иван Чернов, UserGate: Раньше неизвестный пользователь в журналах событий был нормой, а сейчас это инцидент

<p><strong>Ближайшей осенью компания <a href="https://www.usergate.com/ru">UserGate</a> выпустит NGFW 7.1.0. Главным событием в новой версии станет UserID – технология идентификации пользователей, которой пока нет у других отечественных производителей. Подробностями с порталом ComNews.ru поделился Иван Чернов, менеджер по развитию UserGate.</strong></p> <blockquote class="quote3"> <p><strong>ComNews:</strong> Расскажите о UserGate UserID. Какие задачи решает технология?</p> </blockquote> <p><strong>Иван Чернов:</strong> Технология, которая вошла в релиз 7.1.0, нужна для идентификации пользователей. Я намеренно использую слово ‎"идентификация", а не "авторизация" или "аутентификация", потому что UserID – это прежде всего инструмент для определения пользователя, который совершает какие-либо действия в сети.</p> <p>Задача технологии – не оставить слепых зон в инфраструктуре. Мы в UserGate хотим, чтобы каждый источник и инициатор сетевого взаимодействия были однозначно идентифицированы. Нам важно, чтобы клиент знал, какой именно пользователь генерит подозрительный трафик в сети, пытается получить доступ к критически важным ресурсам и т.д.</p> <p>При этом мы считаем недопустимым, когда в журналах о событиях появляется запись "неизвестный пользователь". Именно поэтому в UserID максимально расширили инструментарий идентификации. Теперь войти в сеть под видом пользователя и остаться незамеченным стало крайне сложно.</p> <p>Раньше, если появлялась запись о неизвестном пользователе, это считалось нормой. С выходом на рынок технологии UserID – такая ситуация приравнивается к инциденту ИБ.</p> <blockquote class="quote3"> <p><strong>ComNews:</strong> Как технология работает на практике?</p> </blockquote> <p><strong>Иван Чернов:</strong> Человек логинится в сети, технология перехватывает информацию об этом и создает метку пользователя. По ней она отслеживает его дальнейшие действия во всем многообразии трафика в компании.</p> <p>Фактически теперь мы всегда знаем, куда вошел конкретный пользователь, есть ли у него такие полномочия и т.д. И если трафик неожиданно направляется в те сегменты, где ему делать нечего, это уже следует рассматривать как потенциально опасное событие.</p> <blockquote class="quote3"> <p><strong>ComNews:</strong> Какие риски закрывает UserID?</p> </blockquote> <p><strong>Иван Чернов:</strong> Главный – риск подмены пользователя. Мы разрабатывали UserID, чтобы клиент мог однозначно соотнести сотрудника с его источником трафика.</p> <p>Часто бывает, что кто-то успешно представляется пользователем. Однако технология может запретить ему доступ в сеть. Причины – подозрительный IP-адрес, сомнительное устройство и т.д. Грубо говоря, если бухгалтер из Суздаля вдруг подключается к сети ночью и из Германии, то это плохой знак. Вот почему так важно не выдавать безусловное доверие пользователю, только основываясь на том, что он ввел правильные логин и пароль.</p> <blockquote class="quote3"> <p><strong>ComNews:</strong> Как UserID помогает ИБ-специалисту в работе?</p> </blockquote> <p><strong>Иван Чернов: </strong>Есть компании с огромным количеством данных, которые собираются с сетевых устройств и ИТ-инфраструктуры в целом. Чтобы качественно обеспечивать информационную безопасность в этом случае, нужно усилиться в двух направлениях.</p> <p>Первое – предоставление доступа пользователям на основе идентификационных данных. Используя UserID, ИБ-специалист понимает лучше, стоит ли предоставлять доступ к сети тому или иному пользователю.</p> <p>Второе – расследование инцидентов. Когда что-то уже произошло, специалисту по безопасности приходится изучать целый массив данных (логи, журналы событий, БД и т.д.). Технология UserID помогает совместить данные для расследования с реальными пользователями. Фактически ИБ-специалист видит в отчетах и журналах не только то, с какого компьютера или IP-адреса произошла атака на другой IP-адрес. Он может сразу видеть, какой именно пользователь совершил нелегитимное действие, и обратиться к нему – дойти до рабочего места, поговорить, обследовать компьютер и т.д.</p> <blockquote class="quote3"> <p><strong>ComNews: </strong>Но есть же другие способы сопоставить IP-адрес и пользователя. В чем разница?</p> </blockquote> <p><strong>Иван Чернов:</strong> Конечно, ИБ-специалист может использовать свои инструменты. Но пока он определит, что IP-адрес принадлежит такому-то пользователю, пройдет несколько часов. Время здесь – критичный момент, так как скорость расследования должна быть максимально высокой.</p> <p>В случае с UserID заниматься сопоставлением пользователей с IP-адресами не придется. Все данные уже есть в системе. Специалист по безопасности сразу видит, какой сотрудник совершил нелегитимные действия, и может сразу же подойти к нему.</p> <blockquote class="quote3"> <p><strong>ComNews: </strong>Что отличает ваше решение от других – российских и западных аналогов?</p> </blockquote> <p><strong>Иван Чернов: </strong>Идентификация пользователей в российских ИБ продуктах требует дополнительных действий вплоть до установки специального ПО на компьютер. В нашем случае идентификацию можно проводить прозрачно для пользователя по максимально широкому спектру данных. Мы поддерживаем большее количество методов, например, с помощью опрашивания Windows серверов (используя WMI, WinRM) или читая логи абсолютно любых источников с помощью syslog.</p> <p>Что касается иностранных решений, идентификация в UserID проводится не хуже, чем у мировых лидеров рынка. Я бы сказал, что даже на том уровне, к которому привыкли искушенные пользователи западных NGFW.</p> <p>Честно говоря, идея разработки UserID появилась в ответ на запрос наших крупных заказчиков. Наличие такой технологии часто фигурировало в требованиях к NGFW. Крупные компании привыкли пользоваться такой идентификацией в зарубежных продуктах. Нам удалось создать свое решение, которое оказалось не только не хуже, но даже в некоторых моментах лучше иностранных аналогов. По функциональности и скорости, например.</p> <blockquote class="quote3"> <p><strong>ComNews:</strong> Наверняка, заказчики сталкивались с проблемами, даже если использовали иностранные решения?</p> </blockquote> <p><strong>Иван Чернов:</strong> Да, конечно. В первую очередь проблемы возникали из-за большого количества пользователей в компании. Сегодня заказчики хотят, чтобы система умела работать с высоконагруженной инфраструктурой.</p> <p>При этом речь не только об общем количестве пользователей в компании, но и о пиковой нагрузке. Допустим, оборудование может работать одновременно с 100 тыс. пользователей. Но все они приходят в восемь утра в офис и начинают подключаться к сети. Результат – система не справляется.</p> <p>И еще одно требование к технологии идентификации — высокая точность. Часто пользователи других NGFW видят в своих журналах строчку "неизвестный пользователь" и их это категорически не устраивает. С учетом большого числа пользователей проблема становится еще тяжелее.</p> <blockquote class="quote3"> <p><strong>ComNews: </strong>Каким компаниям стоит присмотреться к UserID?</p> </blockquote> <p><strong>Иван Чернов: </strong>Технология применима к компаниям любого масштаба. В том числе в малом бизнесе, где стараются внедрять ПО с минимальными затратами. В этом случае можно приобрести NGFW и самостоятельно сделать настройки. Все уже есть в коробке, не нужно подключать какой-либо внешний продукт или технологию.</p> <p>А для крупных компаний, помимо обработки огромного числа пользователей, важна интеграция с различными системами и источниками. Все это – широкий набор методов, которые есть в UserID.</p> <blockquote class="quote3"> <p><strong>ComNews:</strong> Иван, когда пользователи смогут протестировать новый UserID?</p> </blockquote> <p><strong>Иван Чернов:</strong> Релиз NGFW 7.1.0 планируется осенью этого года. Но опробовать технологию можно будет раньше – уже скоро появится бета-версия.</p> <p> </p>