Журнал "Information Security/ Информационная безопасность" #1, 2022

Управление межсетевыми экранами Даже самое функциональное средство защиты информации может стать тяж- ким грузом и "дырой" в информационном периметре, если таких средств будет не одно, а пять, десять или более. Особенно это актуально, если они размещены не в одном месте, а в нескольких – в сети частных клиник или лабораторий сбора анализов. Для удобного централизован- ного управления UserGate NGFW был создан UserGate Management Center. Управление осуществляется на основе шаблонов политик безопасности – набо- ров параметров и правил, применяю- щихся для групп устройств. Для работы UserGate Management Cen- ter лицензируется количество управляе- мых устройств и модуль получения обновлений ПО. Возможности управления: 1. Создание областей безопасности. Для разных подразделений (функцио- нальных или территориальных) можно создавать свои области безопасности и администраторов этих областей. Если же необходимости в этом нет, можно обойтись одной стандартной областью. 2. Группы шаблонов безопасности. Управление подчиненными устройства- ми реализуется с помощью шаблона безопасности, в котором выстраиваются необходимые политики, правила и настройки. Шаблон можно применять для одного или нескольких устройств и комбинировать их. 3. Обновление ПО и библиотек. ПО и обновления библиотек (сигнатуры IPS, списки сайтов и т.п.) могут быть загру- жены на UserGate Management Center и установлены на все устройства. 4. Мониторинг и управление питанием. Для подчиненных устройств доступна информация о лицензии (используемые модули и количество активных под- ключений), аптайме, занятых ресурсах RAM и CPU. В этой же консоли есть кнопки перезагрузки и выключения устройств. Мониторинг событий безопасности Для повышения уровня безопасности медорганизаций Минздрав России соз- дает отраслевой центр системы реаги- рования на компьютерные атаки и инци- денты информационной безопасности. При этом значительное место в этой системе уделяется именно регистрации событий безопасности и передаче их в этот центр. Если в сети медорганизации несколько источников событий, удобнее всего будет использовать централизо- ванную систему сбора событий. UserGate Log Analyzer как раз и является такой системой. После появления функций анализа событий и реагирования на инциденты UserGate Log Analyzer становится пол- ноценной SIEM-системой. Можно будет, например, организо- вать в одном месте обработку событий безопасности для всех филиалов тер- риториально рас- пределенной медор- ганизции. Причем не только для устройств UserGate, планируется добав- лять источники дру- гих производителей, уже сейчас возмо- жен сбор по прото- колу SNMP. Ее воз- можности: 1. Сбор и хране- ние журналов. User- Gate Log Analyzer собирает события безопасности с устройств Usergate (по проприетарному протоколу) и с дру- гих устройств (по SNMP). Благодаря этому высвобождают- ся ресурсы конечных устройств и уве- личивается срок хранения данных собы- тий. Хранятся журнал событий (измене- ние настроек целевых серверов, обнов- ления и т.д), журнал веб-доступа поль- зователей, журнал трафика (срабаты- вания правил межсетевого экрана, NAT, маршрутизации), журнал IPS, история перехваченных поисковых запросов пользователей в поисковиках. 2. Анализ событий и автоматическое реагирование. Поступающие журналы автоматически проверяются на соответ- ствие встроенным правилам UserGate Log Analyzer, и при совпадении создается срабатывание. Когда генерируется сра- батывание, система может выполнить действия, настроенные в правиле соз- дания инцидента. Можно отправить e-mail или СМС, создать правило на межсете- вом экране с задаваемыми параметрами или создать тикет в системе. 3. Создание отчетов. В UserGate Log Analyzer доступна фильтрация, сорти- ровка и группировка по журналам собы- тий, веб-доступа, трафика, IPS. Отчеты могут предоставить подробный список всех посещенных веб-сайтов, топ бло- кируемых доменов, топ пользователей по URL-категориям и по заблокирован- ным сайтам, топ заблокированных при- ложений, топ сработавших правил; топ IP-адресов источников атак, IP-адреса целей атакующих, топ протоколов, используемых в атаках; используемые в организации устройства, топ сигнатур устройств. Можно настроить генерацию отчета по расписанию и отправку их по протоколу SNMP. Заключение Министерство здраво- охранения России как отраслевой регулятор намерено в ближайшие годы создать единые стандарты защиты информации в сфере здравоохранения, единую орга- низационно-методическую политику реа- лизации мер защиты информации. Будет проводиться регулярный контроль выполнения организационных и техни- ческих мер защиты информации. Используя UserGate NGFW, медицин- ские учреждения не только выполняют требования регуляторов, но и получают дополнительный функционал безопас- ности и фильтрации интернет-трафика, высокую производительность и удобство администрирования. Использование интернет-доступа пользователями, устройствами и приложениями стано- вится более прозрачным. При наличии EDR-решения UserGate Client снижается вероятность проникно- вения в сеть вредоносной программы или шифровальщика. Большим под- спорьем в работе администратора ИБ станут Log Analyzer и Management Center, ускоряющие процессы управления устройствами и анализа событий. Нет нужды лишний раз подчеркивать новые вызовы, в противодействии кото- рым сфера здравоохранения росла последние два года. Кроме этого, гло- бальный тренд на заботу о своем здо- ровье становится причиной открытия все большего количества лечебно-про- филактических учреждений. Эти орга- низации обрабатывают большие объемы информационных данных о здоровье своих клиентов, а значит, должны их достойно защищать. l • 37 ЗАЩИТА СЕТЕЙ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ USERGATE см. стр. 48 NM Реклама Рис. 2. Инфраструктура сети медицинской организации