Статья "Обзор интеграции UserGate NGFW с PT Sandbox"

Обзор интеграции UserGate NGFW с PT Sandbox
Введение

В современном мире всё более актуальной становится проблема растущего числа сложных угроз и целевых атак на информационные системы.

Традиционные средства защиты уже не в состоянии эффективно противостоять новым видам вредоносного ПО и методам его распространения. В связи с этим интеграция продвинутых технологий, таких как песочницы (sandbox) и межсетевые экраны нового поколения (NGFW), становится критически важной.

Песочницы позволяют детально анализировать подозрительные файлы и поведение программ в изолированной среде, выявляя скрытые угрозы, которые могут быть пропущены другими средствами защиты.

А NGFW объединяют функции традиционных брандмауэров с возможностями глубокого анализа трафика и управлением приложениями, предоставляя более широкий контроль над сетевой безопасностью.

Для того чтобы на практике показать, насколько важным является использование sandbox в связке с NGFW для детектирования и блокировки как известных, так и постоянно появляющихся новых угроз, мы решили провести и описать интеграции UserGate с песочницами от Positive Technologies и «Лаборатория Касперсокого».

В данной статье мы рассмотрим пример интеграции песочницы от компании Positive Technologies с NGFW компании UserGate. Вас ждёт обзор базовой настройки и наглядная проверка качества работы.

Структурная схема интеграции:






Базовая настройка на NGFW

NGFW здесь будет выступать в роли ICAP-клиента.

Общие настройки.
Sandbox будет работать в блокирующем режиме.

Шаг 1. Создать ICAP-сервер.
В разделе Политики безопасности ➜ ICAP-серверы нажать на кнопку «Добавить» и создать один ICAP-сервер.

Во вкладке «Общие» укажите Название, Адрес сервера (адрес PT Sandbox), порт 1344, и поставьте галочку на чекбоксе «Пропускать при ошибках».



Во вкладке «Данные» укажите Respmod-путь. Также включите чекбокс «Посылать IP-адрес».



Respmod используется для проверки трафика, передаваемого извне в информационную систему.

В зависимости от режима, в котором должна работать ваша система, Respmod-путь может принимать различные значения.

Так, для проверки файлов в режиме ожидания путь будет содержать /scan-response?modify=no.

Для настройки проверки в пассивном режиме воспользуйтесь /bypass.

Для блокирующего режима задайте путь в соответствии с требованиями, указанными в документации на PT Sandbox: /scanresponse. Отключите блокировку потенциально опасных файлов. После укажите тайм-аут сканирования в секундах, по превышении которого контент передается как есть (30 в нашем случае).

Шаг 2. Создать правило ICAP.
Создайте правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов.

В разделе Политики безопасности ➜ ICAP-правила нужно нажать на кнопку «Добавить» и создать правило. Во вкладке «Общие» укажите Название, Действие: «Пересылать». Во вкладке «ICAP-серверы» укажите ранее созданный ICAP-сервер.

Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило, для которого совпали все условия, указанные в настройках правила.












Шаг 3. Настроить время ожидания.
Время, которое сервер UserGate ждет ответа от ICAP-сервера, указывается в секундах.

Если ответ сервера не был получен в заданный промежуток времени, то в случае, если действие правила Переслать и игнорировать — UserGate отправит данные пользователю без модификации. Если же действие правила Переслать — UserGate не отдаст данные пользователю.

Значение по умолчанию — 10 секунд, но если необходимо, можно настроить большее время, используя команду icap-wait-timeout в CLI NGFW:



Базовая настройка на Sandbox

Общие настройки.
Шаг 1. Добавить источник.

Для добавления источников нужно зайти в веб-интерфейс PT Sandbox.

Затем перейти во вкладку «Источники» и нажать кнопку «Добавить источник». После чего система выдаст форму для заполнения параметров источника. Выбрать тип источника «ICAP-сервер» и настроить единственный доступный параметр, который можно задать: порт, на который необходимо будет отправлять файлы (по умолчанию 1344):


После указания номера порта нажать на кнопку «Добавить источник».

Проверка работы

Проверим, как работает наша интеграция.



При скачивании вредоносного файла «eicar.com» с сайта eicar в браузере получим следующий ответ:



В заданиях песочницы сразу же отобразилось предупреждение:



Таким же образом происходит и с остальными файлами: eicar.txt, eicar.com-zip, eicar.com2-zip.
















Воспользуемся другими ресурсами из общего доступа. Откроем Malwarebazaar. Скачаем файл.






Результаты более глубокой проверки архива:


Попробуем скачать проверочные файлы, предоставленные Касперским.



Результаты:

























Выводы

Как видим: интеграция песочницы от компании Positive Technologies с NGFW компании UserGate прошла успешно и продемонстрировала высокую эффективность. Система безошибочно блокировала все вредоносные файлы во время проверки работоспособности.

Данное решение значительно повышает уровень безопасности сети, обеспечивая надежную защиту от современных киберугроз. Рекомендуется к внедрению организациям, стремящимся усилить свою кибербезопасность.

В дальнейшем мы планируем протестировать интеграцию по протоколу ICAP с устройством российского вендора «Лаборатория Касперского» и сравнить эффективность.

Все наши статьи и курсы ждут вас на портале: TS University — бесплатный образовательный проект TS Solution
Изображение:
Positive Technologies
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Эксклюзивный стрим с хакерами мирового класса

15 апреля в 19:00 Hussein и Niksthehacker раскроют все карты.

Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887