Обзор UserGate 2024 — пятой ежегодной конференции UserGate

Зеркало площадки Кракен Даркнет

Предыдущая четвёртая конференция UserGate 2023 довольно сильно отличалась от обычных мероприятий ИТ- или ИБ-вендоров. Она проходила под знаком открытости и принятия критики, партнёры или заказчики прямо со сцены высказывали накопившиеся вопросы к продуктам и техподдержке UserGate. Это выглядело свежо и смело, но поневоле возникал вопрос – будут ли услышаны эти вопросы? Что ж, судя по конференции UserGate-2024, ответ «Да». Почему сложилось такое впечатление? Давайте посмотрим.

Открывая конференцию, вице-президент UserGate по продажам и маркетингу Михаил Пеньковский в своем вступительном слове начал с того, что сейчас любую организацию (от аэропорта до студии маникюра) фактически можно считать ИТ-компанией – настолько активно различные приложения и информационные системы используются в их ежедневной работе. И перед создателями этих систем постоянно стоят сложные задачи, которые UserGate помогает решать.

Сейчас компания UserGate переосмысляет себя как глобального провайдера защиты и безопасности, предоставляя не только готовые решения (продукты экосистемы UserGate SUMMA), но и услуги MSSP, SOC как услугу, ИБ-консалтинг, развитие и обучение специалистов в учебных центрах Академии UserGate. Чтобы лидировать во внедрении новых технологий, компания UserGate создала свою обособленную внутреннюю лабораторию, занимающуюся разработками ПО и аппаратных платформ на долгую перспективу.

Новинки аппаратных платформ

Следом за Михаилом выступил директор-сооснователь UserGate Александр Левченко. Он презентовал актуальную линейку аппаратных платформ UserGate:

  • B50 для малого бизнеса (или небольших филиалов) доступен в трёх вариантах: только с RG45, с Wi-Fi и с LTE.
  • Для модели C150 появилась версия C151 – в неё добавлено 2 высокоскоростных порта SFP. Александр подчеркнул, что эта версия появилась как раз благодаря обратной связи от партнеров.
  • Модели из предыдущей линейки, нацеленные на средний сегмент (D200 и D500) объединили в новую модель D250.
  • Платформы E1050, Е2050, Е3050 становятся модульными – в 8 имеющихся слотов можно будет вставить необходимые для задачи сетевые модули. Производство линейки полностью локализовано: техническая начинка спроектирована и собрана в UserGate, а корпус продемонстрированного на конференции образца сделан в родном для компании Новосибирске.
  • Обновлены и высокопроизводительные решения F8050, FG, Balancer-FG, а также промышленное устройство X10.
  • Главная новинка – UserGate презентовал собственный коммутатор! В первую очередь, он задумывается как устройство сетевой безопасности, позволяющее реализовать видимость и контроль сетевого трафика. UserGate Switch планируется как часть общей экосистемы безопасности UserGate SUMMA.

Из выступления Александра Левченко стало понятно, что UserGate полностью переходит на свое производство аппаратных платформ, причем все модели создаются в едином стиле вплоть до упаковки. Деталями их разработки поделилась промышленный дизайнер UserGate Виктория Хромова. Она на примере устройства B50 показала, как проходит путь от технического задания до изделий, готовых к отправке заказчику. Любопытно, что при этом учитывается даже цвет платы и размер готовой упаковки – первое из эстетических, а второе из вполне практических соображений.

  Уязвимость BDU:2024-03918

UserGate NGFW 7.1 – качественный скачок контроля качества

Иван Чернов, менеджер по развитию UserGate, похвастался успехами – второй год подряд самым продаваемым NGFW становится UserGate. За 2022 и 2023 года реализовано более 5000 проектов по внедрению. Отсюда и наибольший объем получаемой при внедрениях обратной связи, и высокий темп развития продукта.

Директор по продукту UserGate NGFW Александр Кистанов вышел на сцену, чтобы традиционно представить свежую версию и поговорить о новых функциях. Но тут аудиторию ожидал сюрприз – двумя новыми функциями оказались «Стабильность» и «Производительность»! Докладчики решили таким шутливым образом отметить изменение подхода к разработке и тестированию готовых версий продукта. Вместо гонки за новыми фичами (которых и так много) целью становится качество релиза. Новый подход тоже стал результатом обратной связи от клиентов – его воплощением стал вынесенный на слайд YouTube-комментарий «Горшочек, не вари. Меньше фич, больше стабильности».

Ключевые изменения процессов:

  • Проектируемая функция тщательно прорабатывается и описывается ещё до передачи в команду разработчиков (чёткий список требований и ожидаемый результат).
  • Максимальное покрытие продукта автотестами – за год их стало в 4 раза больше.
  • Пилотирование предрелизной версии на реальных площадках заказчиков, чтобы найти баги, неуловимые в лабораторных условиях.

Самый SOC

Дмитрий Кузеванов, CISO UserGate, в своем выступлении описал две актуальные проблемы, с которыми сталкиваются не-ИБ организации: с одной стороны, им постоянно угрожают хакеры, с другой – квалифицированных специалистов по информационной безопасности постоянно не хватает, они уходят в профильные компании. Что же делать? Тут на сцену (метафорически, не буквально) выходит команда UserGate.

Эксперты и аналитики UserGate, долгое время работавшие только на развитие внутренних продуктов и накопившие за все эти годы большой опыт в различных аспектах ИБ, теперь готовы помогать и внешним заказчикам. Дмитрий Кузеванов объявил, что Центр мониторинга и реагирования UserGate будет оказывать коммерческие услуги:

  • анализ защищённости;
  • ИБ-аудиты;
  • консультации по построению систем защиты;
  • форензика и помощь при расследовании свершившихся инцидентов;
  • реверс-инжиниринг вредоносного ПО;
  • проведение тренингов персонала для повышения осведомлённости.

И, конечно же, сервис SOC…

…О котором детальнее рассказал SOC Lead Дмитрий Шулинин. Ключевые тезисы и планы:

  • Эксперты, создававшие SOC UserGate, до этого проектировали центр мониторинга для крупного российского ИТ-холдинга.
  • SOC UserGate сейчас принимает 200 000+ EPS, из которых генерируется 500 алертов в сутки. Высоконагруженный SIEM-кластер состоит из 600 нод, хранящий 8 петабайт данных.
  • Схема организации работы традиционная – 3 линии реагирования 24/7 плюс команда Site Reliability.
  • При подключении нового клиента в SOC сначала проводится заполнение опросников и интервьюирование. Затем специалисты UserGate проектируют техническую схему сбора событий с источников и согласовывают её. После этого уже заключается договор и начинается работа по развёртыванию технических средств сбора событий.
  • Сейчас SOC работает в режиме мониторинга и (при возникновении инцидента) оповещения специалистов заказчика. В дальнейших планах: создание личного кабинета клиента (для просмотра детальной статистики, работающих правил SIEM). К концу 2025 года: реагирование на инцидент непосредственно в инфраструктуре заказчика – блокировка на NGFW, сканирование хостов и т.д.
  Уязвимость BDU:2024-03745

Рабочее зеркало Kraken

Не доверяй, но проверяй

Темой презентации Виталия Даровских, менеджера по развитию UserGate Client, была концепция ZTNA (ZeroTrust Network Access) и её воплощение в продуктах UserGate. Непременными частями ZTNA являются клиентский VPN; аутентификация, учитывающая контекст; сегментация аутентификации в системах; сбор событий с систем. Соответственно, для реализации этого потребуются агенты на клиентских устройствах (UserGate Client), единый центр управления (UserGate Management Center), система сбора событий (UserGateSIEM).

О UserGate SIEM рассказал его менеджер по развитию Дмитрий Чеботарев. О каких-то кардинально новых функциях не объявлялось, но продукт продолжает дополняться экспертизой (IoC), правилами нормализации и корреляции. Цель – развивать UserGate SIEM, дополнять его функциями реагирования (функционалом SOAR/IRP), интегрировать с внешними центрами реагирования (ГосСОПКА).

UserGate WAF на страже приложений

Менеджер по развитию UserGate WAF Александр Луганский в своем выступлении поделился новостью – UserGate WAF (Web Application Firewall) уже близок к выпуску. На данный момент продукт существует как модуль к UserGate NGFW 7.1, и именно в таком виде можно запросить его для пилотирования. Однако продаваться UserGate WAF будет как отдельный продукт, без привязки к NGFW.

Другие тезисы презентации:

  • UserGate WAF практически полностью покрывает угрозы из OWASP Top 10.
  • Сейчас функциональность UserGate WAF уже опережает open-source продукт ModSecurity и приближается к функциональности коммерческого продукта зарубежного вендора.
  • В ближайших планах развития продукта – продвинутое логирование/дашборды, реализация в виде отказоустойчивого кластера.

Академия UserGate

Маргарита Зайцева, руководитель Академии UserGate, рассказала о достижениях и планах центров обучения UserGate.За год в 2 раза возросло число авторизованных учебных центров (с 5 до 10). Кроме этого, Академия в 2024 году получила собственную образовательную лицензию. Более 1000 студентов участвуют в партнерских курсах UserGate в вузах. Планируется расширение имеющихся курсов и сертификации специалистов по продуктам UserGate – не только работа с UserGate NGFW, но и проектирование системы защиты на основе продуктов UserGate. Также разрабатывается общий курс по базовой сетевой безопасности (эдакий аналог CCNA).

Патч для техподдержки установлен

На предыдущей конференции одной из главных мишеней для критики была техническая поддержка UserGate, её медленная и не всегда качественная реакция. Какие шаги были предприняты для решения проблем? Инженер техподдержки Максим Бартюк:

  • Благодаря региональной распределённости центров техподдержкки время взятия тикета в работу минимально, а при необходимости может быть передано из одного центра в другой для удобства взаимодействия с заказчиком.
  • Больше инженеров техподдержки для обработки тикетов.
  • Новый подход к передаче опыта между инженерами. Статьи во внутренние базы знаний больше не пишет несколько избранных технических писателей – участвует каждый инженер. Так статьи становятся более актуальными и технически достоверными.
  Уязвимость BDU:2024-03623

В результате за полгода, прошедшие с момента внедрения новых методов, 97% тикетов обрабатываются в течение одного рабочего дня, а в 18% случаев проблема решается даже до создания тикета – благодаря автоматической справке, подбирающей аналогичные кейсы из базы знаний.

Швейцарский нож для тестирования

Самое неожиданное выступление было припасено напоследок. Учитывая большую вариативность и количество возможных конфигураций оборудования, тестирование версий UserGate могло бы стать очень ресурсоёмким процессом. Но для облегчения этого процесса внутри UserGate был разработан свой инструмент – UserGate TestManagement System (UGTMS). Его представил Product Owner Евгений Ращупкин. В чём идея?

  • Стенд, на котором нужно что-то протестировать, создаётся максимально автоматизировано. Тестировщик в графическом редакторе, подобном Visio или Cisco Packet Tracer, накидывает элементы будущего стенда – продукты UserGate, виртуальные рабочие станции. При необходимости редактирует ресурсы CPU, RAM и т.п. Затем UGTMS автоматически разворачивает все виртуальные машины стенда и даёт доступ к консолям/веб-интерфейсам.
  • Стенд не одноразовый, его можно сохранить как шаблон и переиспользовать затем многократно.
  • Построение тест-кейсов и их прогон также автоматизируются.
  • Можно просмотреть динамику результатов прохождения тест-кейсов разными билдами – для понимания, лучше или хуже стало после последнего деплоя.
  • UGTMS позволяет запускать нагрузочные тесты трафика. А чтобы делать такую проверку максимально честной, используется генератор случайных правил (например, создать и применить 5000 правил на UserGate NGFW, из них 50% запрещающих).

Сейчас UGTMS используется только внутри UserGate, но в дальнейшем доступ планируется предоставить партнерам и студентам Академии UserGate.

Итоги

Что же в сухом остатке? Видно, что прошлогодняя критика сильно повлияла на компанию и продукты UserGate, это прослеживалось почти во всех выступлениях. Причем реакция касалась не только продуктов, но в некоторых случаях и более глубоких аспектов работы компании. Перестраивание бизнес-процессов тестирования и техподдержки, разработка для этого специальных инструментов – такие действия непросто осуществить. Но на длинной дистанции эти усилия должны принести плоды.

Реклама. Рекламодатель: ООО «ЮЗЕРГЕЙТ», ИНН 5408308256. Erid: 2SDnjdvNXfP

Чтобы открыть сайт Кракен, вам потребуется использовать Tor браузер, который обеспечивает анонимное и безопасное соединение. Этот браузер скрывает ваше местоположение и позволяет обходить блокировки, делая доступ к Кракену максимально защищённым. Наш сервис предоставляет актуальные ссылки на сайт, которые проходят проверку и гарантируют безопасность при подключении.

Важно использовать только проверенные ссылки, чтобы избежать риска попасть на фишинговые сайты. Установите Tor, получите рабочую ссылку с нашего ресурса, вставьте её в адресную строку браузера и подключитесь к платформе. Это быстрый и безопасный способ получить доступ к функционалу маркетплейса Кракен без угроз для ваших данных.