Обновление САКУРА: версия 3.1 – надежность, безопасность и расширенные возможности управления

В новом релизе 3.1 программного комплекса информационной безопасности САКУРА представлен широкий спектр улучшений, направленных на повышение отказоустойчивости, усиление безопасности и упрощение администрирования. Это обновление ПК ИБ САКУРА направлено на создание более надежной, безопасной и удобной в использовании платформы для управления безопасностью рабочих мест.

Что вошло в релиз

Отказоустойчивость и масштабируемость: реализована функциональность мультимастерного кластера, обеспечивающая непрерывную работу серверной части САКУРА в режиме active-active, что позволяет системе устойчиво функционировать даже при сбоях, и обеспечивает горизонтальное масштабирование инфраструктуры. Теперь система может работать без внешнего балансировщика.

Усиленная безопасность и Incident Response: расширены возможности реагирования на инциденты (IRP) с добавлением отложенного старта задач, проверки сертификатов, автоматического подбора RADIUS и монитора для сбора данных с рабочих мест. Внедрены новые правила проверок для контроля служб, доменов и поиска rootkit. Добавлена команда «Заблокировать сеанс» для оперативного реагирования на инциденты.

Развитие интеграции:

• NAC: Поддержка КриптоПро NGate, Код Безопасности Континент ZTN Клиент и Check Point
  
• SIEM: Расширенные возможности взаимодействия по протоколам TCP, UDP и поддержка формата CEF для упрощения интеграции с системами мониторинга безопасности
  
• LDAP: Расширенный список поддерживаемых каталогов (РЕД АДМ, ALD Pro, FreeIPA) с возможностью сопоставления групп LDAP с ролями САКУРА
  
• REST: Реализован универсальный REST-запрос для взаимодействия с любыми внешними системами
  
• HashiCorp Vault: Возможность хранения секретов (токенов, ключей) в HashiCorp Vault для повышения безопасности
  

Удобство администрирования: автоматическое завершение сеансов при блокировке пользователя. Экспорт и импорт конфигурации профиля рабочего места для упрощения развертывания. Новое построчное представление «матриц реагирования» и улучшенные настройки расписаний. Упрощено управление пользователями панели управления.

Развитие Агента: обновлен дизайн сессионного агента, интерфейс стал современным и более удобным. Добавлены параметры поведения сессионного агента для автоматического отображения окна при определенных нарушениях.

Подробнее

Кластеризация (отказоустойчивость)

Реализован мультимастерный отказоустойчивый кластер, что обеспечивает повышенную надежность и возможность горизонтального масштабирования системы. Появилась возможность работы системы без внешнего балансировщика: Агенту можно указать несколько серверных нод (server nodes) для подключения.

Расширение механизмов Incident Response Platform (IRP)

• Реализован отложенный старт задач – гибкость в планировании выполнения и снижение нагрузки на рабочие станции
  
• Добавлена проверка сертификатов на рабочем месте (РМ) – усиление доверия и безопасности. Возможные проверки: тип сертификата, фильтры поиска по серийному номеру, проверка периода действия, OSCP-проверка, перечень удостоверяющих центров, проверка закрытого ключа
  
• Реализован механизм автоматического подбора точки RADIUS по адресу шлюза NAC для более удобной настройки сценариев реагирования
  
• Появился собственный монитор для сбора произвольных параметров с рабочего места (серийные номера, наличие определенных файлов и т.п.) для его дальнейшего атрибутирования – расширенные возможности контроля и сбора информации
  
• Добавлена применимость правил по типу ОС – для более гибкой и точной настройки правил контроля под разные операционные системы
  
• Визуализация статуса применения настроенных правил контроля и интеграций на РМ позволит быстро понять, все ли настройки успешно применились на Агентах, а также сообщит о причинах неудачного применения
  
• Добавлены новые правила проверок: контроль обязательных и запрещенных служб в операционных системах, разрешенных доменов, наличия rootkit в Linux
  
• Добавлена настройка уровня нарушений «по умолчанию» – можно ли считать удаленное рабочее место доверенным, пока не завершены все назначенные проверки
  
• Реализован механизм проверки вычисляемых параметров при создании и тестировании сценариев, что позволяет быстрее отладить сценарии проверок и свести к минимуму ошибки при формировании сценариев
  
• Появилась новая команда «Заблокировать сеанс» на удаленном рабочем месте – для оперативной реакции на обнаруженные инциденты
  
• Серверная команда сценария «Сценарий агента» позволяет поставить задачу Агенту с сервера САКУРА при реагировании на выявленные нарушения
  

Интеграции

• Реализована интеграция с решениями класса Network Access Control (NAC): КриптоПро NGate, Код Безопасности Континент ZTN Клиент, Check Point
  
• Расширены механизмы взаимодействия с SIEM: помимо поддержки работы по протоколу UDP добавлена возможность работы по протоколу TCP в различных режимах (без авторизации, TLS, mTLS). Также реализована поддержка формата CEF (Common Event Format) по стандарту RFC 5424
  
• Расширен спектр поддерживаемых LDAP-каталогов: РЕД АДМ, ALD Pro и FreeIPA. Каталоги в САКУРА используются в различных сценариях: «сквозная» аутентификация на сервере САКУРА, получение данных о рабочих местах и пользователях, получение данных о структуре организации
  
• Реализована возможность сопоставления групп в каталогах LDAP с ролями САКУРА при «сквозной» аутентификации – это дает больше точности и гибкости в управлении доступом
  
• Реализован механизм универсального REST-запроса для обеспечения взаимодействия с любыми внешними системами, которые поддерживают REST
  
• Реализована возможность хранения «секретов» (токены, credentials, ключи) не только в зашифрованном виде в базе данных САКУРА, но и опционально в решении HashiCorp Vault, что обеспечивает внутреннюю безопасность решения при внедрении и сопровождении
  

Администрирование

• Реализовано автоматическое завершение сеансов в панели управления САКУРА при блокировке пользователя – усиление безопасности и контроля доступа
  
• Реализован механизм экспорта конфигурации профиля рабочего места в файл, что позволяет установить Агент сразу со всеми необходимыми параметрами, такими как: набор проверок, контролируемые решения NAC и т.д.
  
• Новое, построчное представление «матриц реагирования» – дополнительный удобный способ провести анализ настроенных сценариев реагирования
  
• Новая настройка расписаний в правилах и мониторах предоставляет больше гибкости и наглядности
  
• «Профиль пользователя» – новая страница для управления данными и настройками пользователя в панели управления ПК ИБ САКУРА
  
• Реализованы удобные механизмы импорта и экспорта – незаменимый инструмент при необходимости переноса настроек из одной инсталляции САКУРА в другую. Например, из тестового контура в промышленный
  
• Вывод информации о длительности исполнения сценариев и команд теперь всегда под рукой – это позволяет улучшить контроль и ускорить отладку в интеграционных схемах работы САКУРА
  
• Реализовали комментарии к задачам – добавляйте пояснения прямо при создании задачи, чтобы повысить прозрачность процессов
  

Агент

• Обновлен дизайн сессионного агента – современный интерфейс повышает удобство при повседневной работе
  
• Улучшена гибкость управления сессионным агентом – реализована настройка поведения сессионного агента. Теперь возможно указать при каком уровне нарушения окно агента автоматически развернется из трея. При этом можно отключить полностью такое поведение агента.
  

Оригинал новости: https://it-expertise.ru/blog/news/obnovlenie-sakura-versiya-3-1-1/