Иван
Чернов

менеджер по развитию UserGate
© ComNews
17.08.2023

Ближайшей осенью компания UserGate выпустит NGFW 7.1.0. Главным событием в новой версии станет UserID – технология идентификации пользователей, которой пока нет у других отечественных производителей. Подробностями с порталом ComNews.ru поделился Иван Чернов, менеджер по развитию UserGate.

ComNews: Расскажите о UserGate UserID. Какие задачи решает технология?

Иван Чернов: Технология, которая вошла в релиз 7.1.0, нужна для идентификации пользователей. Я намеренно использую слово ‎"идентификация", а не "авторизация" или "аутентификация", потому что UserID – это прежде всего инструмент для определения пользователя, который совершает какие-либо действия в сети.

Задача технологии – не оставить слепых зон в инфраструктуре. Мы в UserGate хотим, чтобы каждый источник и инициатор сетевого взаимодействия были однозначно идентифицированы. Нам важно, чтобы клиент знал, какой именно пользователь генерит подозрительный трафик в сети, пытается получить доступ к критически важным ресурсам и т.д.

При этом мы считаем недопустимым, когда в журналах о событиях появляется запись "неизвестный пользователь". Именно поэтому в UserID максимально расширили инструментарий идентификации. Теперь войти в сеть под видом пользователя и остаться незамеченным стало крайне сложно.

Раньше, если появлялась запись о неизвестном пользователе, это считалось нормой. С выходом на рынок технологии UserID – такая ситуация приравнивается к инциденту ИБ.

ComNews: Как технология работает на практике?

Иван Чернов: Человек логинится в сети, технология перехватывает информацию об этом и создает метку пользователя. По ней она отслеживает его дальнейшие действия во всем многообразии трафика в компании.

Фактически теперь мы всегда знаем, куда вошел конкретный пользователь, есть ли у него такие полномочия и т.д. И если трафик неожиданно направляется в те сегменты, где ему делать нечего, это уже следует рассматривать как потенциально опасное событие.

ComNews: Какие риски закрывает UserID?

Иван Чернов: Главный – риск подмены пользователя. Мы разрабатывали UserID, чтобы клиент мог однозначно соотнести сотрудника с его источником трафика.

Часто бывает, что кто-то успешно представляется пользователем. Однако технология может запретить ему доступ в сеть. Причины – подозрительный IP-адрес, сомнительное устройство и т.д. Грубо говоря, если бухгалтер из Суздаля вдруг подключается к сети ночью и из Германии, то это плохой знак. Вот почему так важно не выдавать безусловное доверие пользователю, только основываясь на том, что он ввел правильные логин и пароль.

ComNews: Как UserID помогает ИБ-специалисту в работе?

Иван Чернов: Есть компании с огромным количеством данных, которые собираются с сетевых устройств и ИТ-инфраструктуры в целом. Чтобы качественно обеспечивать информационную безопасность в этом случае, нужно усилиться в двух направлениях.

Первое – предоставление доступа пользователям на основе идентификационных данных. Используя UserID, ИБ-специалист понимает лучше, стоит ли предоставлять доступ к сети тому или иному пользователю.

Второе – расследование инцидентов. Когда что-то уже произошло, специалисту по безопасности приходится изучать целый массив данных (логи, журналы событий, БД и т.д.). Технология UserID помогает совместить данные для расследования с реальными пользователями. Фактически ИБ-специалист видит в отчетах и журналах не только то, с какого компьютера или IP-адреса произошла атака на другой IP-адрес. Он может сразу видеть, какой именно пользователь совершил нелегитимное действие, и обратиться к нему – дойти до рабочего места, поговорить, обследовать компьютер и т.д.

ComNews: Но есть же другие способы сопоставить IP-адрес и пользователя. В чем разница?

Иван Чернов: Конечно, ИБ-специалист может использовать свои инструменты. Но пока он определит, что IP-адрес принадлежит такому-то пользователю, пройдет несколько часов. Время здесь – критичный момент, так как скорость расследования должна быть максимально высокой.

В случае с UserID заниматься сопоставлением пользователей с IP-адресами не придется. Все данные уже есть в системе. Специалист по безопасности сразу видит, какой сотрудник совершил нелегитимные действия, и может сразу же подойти к нему.

ComNews: Что отличает ваше решение от других – российских и западных аналогов?

Иван Чернов: Идентификация пользователей в российских ИБ продуктах требует дополнительных действий вплоть до установки специального ПО на компьютер. В нашем случае идентификацию можно проводить прозрачно для пользователя по максимально широкому спектру данных. Мы поддерживаем большее количество методов, например, с помощью опрашивания Windows серверов (используя WMI, WinRM) или читая логи абсолютно любых источников с помощью syslog.

Что касается иностранных решений, идентификация в UserID проводится не хуже, чем у мировых лидеров рынка. Я бы сказал, что даже на том уровне, к которому привыкли искушенные пользователи западных NGFW.

Честно говоря, идея разработки UserID появилась в ответ на запрос наших крупных заказчиков. Наличие такой технологии часто фигурировало в требованиях к NGFW. Крупные компании привыкли пользоваться такой идентификацией в зарубежных продуктах. Нам удалось создать свое решение, которое оказалось не только не хуже, но даже в некоторых моментах лучше иностранных аналогов. По функциональности и скорости, например.

ComNews: Наверняка, заказчики сталкивались с проблемами, даже если использовали иностранные решения?

Иван Чернов: Да, конечно. В первую очередь проблемы возникали из-за большого количества пользователей в компании. Сегодня заказчики хотят, чтобы система умела работать с высоконагруженной инфраструктурой.

При этом речь не только об общем количестве пользователей в компании, но и о пиковой нагрузке. Допустим, оборудование может работать одновременно с 100 тыс. пользователей. Но все они приходят в восемь утра в офис и начинают подключаться к сети. Результат – система не справляется.

И еще одно требование к технологии идентификации — высокая точность. Часто пользователи других NGFW видят в своих журналах строчку "неизвестный пользователь" и их это категорически не устраивает. С учетом большого числа пользователей проблема становится еще тяжелее.

ComNews: Каким компаниям стоит присмотреться к UserID?

Иван Чернов: Технология применима к компаниям любого масштаба. В том числе в малом бизнесе, где стараются внедрять ПО с минимальными затратами. В этом случае можно приобрести NGFW и самостоятельно сделать настройки. Все уже есть в коробке, не нужно подключать какой-либо внешний продукт или технологию.

А для крупных компаний, помимо обработки огромного числа пользователей, важна интеграция с различными системами и источниками. Все это – широкий набор методов, которые есть в UserID.

ComNews: Иван, когда пользователи смогут протестировать новый UserID?

Иван Чернов: Релиз NGFW 7.1.0 планируется осенью этого года. Но опробовать технологию можно будет раньше – уже скоро появится бета-версия.