Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Построение SOC
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Защита персональных данных
Создание централизованной ИБ-системы
на предприятии
на предприятии
Построение СОИБ
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Сетевая безопасность
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Расследование инцидентов ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Аудит ИБ
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции и развертывания
Безопасная разработка
Оценка защищенности систем и определение возможных векторов атак
Анализ защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Экспресс-повышение уровня защищенности
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Цифровой рубль
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Комплексная киберзащита субъектов КИИ
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Compromise Assessment
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Анти-DDoS
Защита веб-приложений
WAF
Защита конечных точек
EDR
Анализ трафика
NTA
Управление уязвимостями
Sandbox
Автоматизация процессов управления ИБ, рисков и комплаенса
SGRC
Управление учетными записями и доступом
IdM/IGA
Межсетевые экраны нового поколения
NGFW
Управление уязвимостями
VM
Анализ и корреляция событий
SIEM
Комплексное решение для контроля соответствия требованиям ИБ
CheckU
Непрерывный мониторинг и оперативное реагирование на инциденты для минимизации ущерба
УЦСБ SOC
Облачная DevSecOps-платформа
для непрерывного анализа защищенности приложений
для непрерывного анализа защищенности приложений
Apsafe
Получить рекомендацию
Заполните форму, и специалист Центра кибербезопасности свяжется с вами
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года № 152-ФЗ
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
«О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных
Сетевая безопасность
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
Построение SOC
Организация внутреннего Центр мониторинга и реагирования на инциденты ИБ
Защита персональных данных
Выполнение требований по защите ПДн
в соответствие с 152-ФЗ
в соответствие с 152-ФЗ
Построение СОИБ
Создание централизованной ИБ-системы
на предприятии
на предприятии
Анти-DDoS
Предотвращение DDoS-атак любой сложности на уровнях L3 и L4
Комплексная киберзащита субъектов КИИ
Выполнение требований 187-ФЗ и организация защиты информационных систем от киберугроз
Compromise Assessment
Комплексная проверка скрытых признаков компрометации на ИТ-инфраструктуру организации
Цифровой рубль
Подключение к платформе цифрового рубля с полным сопровождением на всех этапах
Экспресс-повышение уровня защищенности
Выявление критичных недостатков ИБ и укрепление защиты ИТ-инфраструктуры
Расследование инцидентов ИБ
Минимизация ущерба, выявление причин предотвращение повторных инцидентов
Аудит ИБ
Объективная оценка ИБ для повышения уровня киберустойчивости
Безопасная разработка
Внедрение принципов ИБ на всех этапах разработки По от сборки до интеграции
и развертывания
и развертывания
Анализ защищенности
Оценка защищенности систем и определение возможных векторов атак
MFA
Многофакторная аутентификация
IRP/SOAR
Защита от сетевых атак, аудит архитектуры
и подбор средств защиты сети
и подбор средств защиты сети
NGFW
Межсетевые экраны нового поколения
PAM
Контроль привилегированного доступа
TI
Киберразведка
SA
Повышение киберграмотности сотрудников
WAF
Защита веб-приложений
DLP
Предотвращение утечек информации
SGRC
Автоматизация процессов управления ИБ, рисков и комплаенса
IdM/IGA
Управление учетными записями и доступом
EDR
Защита конечных точек
NTA
Анализ трафика
Sandbox
Сетевые лесочницы
VM
Управление уязвимостями
SIEM
Анализ и корреляция событий
Чтобы сделать сайт более удобным,
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
мы собираем cookie-файлы. Отключить сбор cookie можно в настройках браузера. Подробную информацию о файлах cookie можно изучить здесь.
FAQ вебинара «Сеть без риска: контроль доступа для защиты данных и устройств» — ответы на вопросы о безопасности данных и контроле устройств сети
1 апреля 2025
11 марта прошел вебинар «Сеть без риска: контроль доступа для защиты данных и устройств», на котором эксперты обсудили альтернативы зарубежным решениям в области контроля доступа на отечественном рынке, особенности и преимущества системы Efros DO NAC и примеры ее использования для защиты данных и устройств, а также наглядно продемонстрировали, как работает система.
Участники вебинара активно задавали спикерам вопросы, на самые интересные из них отвечаем в этом FAQ.
11 марта прошел вебинар «Сеть без риска: контроль доступа для защиты данных и устройств», на котором эксперты обсудили альтернативы зарубежным решениям в области контроля доступа на отечественном рынке, особенности и преимущества системы Efros DO NAC и примеры ее использования для защиты данных и устройств, а также наглядно продемонстрировали, как работает система.
Участники вебинара активно задавали спикерам вопросы, на самые интересные из них отвечаем в этом FAQ.
Чем недостаточно функционала корпоративного антивируса?
Антивирусное ПО решает совсем другие задачи. Антивирус не контролирует доступ к сети, не проводит аутентификацию пользователей и устройств, а также не определяет права доступа к различным сегментам сети.
Какой уровень автоматизации предлагается платформой для задач анализа и
выявления уязвимостей?
Платформа Efros DO обеспечивает высокий уровень автоматизации для анализа и выявления уязвимостей. Ключевым функционалом является модуль Vulnerability control, который идентифицирует уязвимости в соответствии с требованиями ФСТЭК и внешними зарубежными источниками.
Интеграция с уязвимостями сканерами позволяет значительно обогащать информацию для более точного анализа. Хотя вопросы контроля доступа к сети (NAC) могут не полностью входить в основной продукт, платформа остается многофункциональным инструментом для решения задач в области уязвимостей.
При необходимости мы можем продемонстрировать возможности построения векторов атак, что позволяет моделировать параметры злоумышленника и визуализировать вектор атаки на карте сети, содействуя в определении дальнейших шагов по снижению рисков.
Интеграция с уязвимостями сканерами позволяет значительно обогащать информацию для более точного анализа. Хотя вопросы контроля доступа к сети (NAC) могут не полностью входить в основной продукт, платформа остается многофункциональным инструментом для решения задач в области уязвимостей.
При необходимости мы можем продемонстрировать возможности построения векторов атак, что позволяет моделировать параметры злоумышленника и визуализировать вектор атаки на карте сети, содействуя в определении дальнейших шагов по снижению рисков.
Основное преимущество Cisco ISE — это применение TrustSec и SGACL, которые
позволяют избежать менеджмента множества классических АСL. У Вашего продукта используются классические ACL?
Безусловно Cisco TrustSec — удобное решение, поскольку значительно упрощает управление безопасностью, особенно в контексте взаимодействия с NGFW. В нашем продукте мы используем классические и загружаемые ACL. В настоящее время ведутся работы по интеграции EDO NAC с межсетевыми экранами для возможность передачи информации об идентификации.
Есть поддержка интеграции UserGate 7.x?
Да, у программного комплекса EDO есть интеграция с Usergate 7.х версии. Интеграция EDO NAC с VPN шлюзом UserGate в настоящее время в проработке у коллег.
Как контролировать подключение по удалённому рабочему столу/RDP к
хосту-суппликанту? Вроде как внутренний Dot1X-агент, к примеру, Windows такие
сессии не аутентифицирует по Dot1X
Никак. Это не задача NAC и 802.1Х. Пользователи подключаю по удаленному рабочему столу к серверу, который уже в сети.
Я правильно понимаю, что функционал Efos ACS реализован именно в модуле NAC-продукта Efros DO? Или у данных продуктов разное назначение?
Да, EDO NAC - продолжение продукта Efros ACS, который снят с продажи в 2024 году. Сервер TACACS+ также входит в модуль NAC.
EDO client — это аналог Cisco AnyConnect?
Частично. EDO-агент — это ПО, которое осуществляет проверку конечных устройств на соответствие политикам безопасности (аналог Posture). Также для ОС Windows, Linux, в EDO-агент встроен модуль “суппликант”. При этом EDO-агент не является VPN клиентом для удаленных подключений.
После аутентификации пользователя/устройства RADIUS возвращает коммутатору номер Vlan, в которую следует поместить сетевое устройство? Или есть еще варианты?
Есть возможность назначить dACL (downloadable ACL) на порт коммутатора или использовать уже существующий на коммутаторе ACL. Также, если аутентификатор (коммутатор) поддерживает Vendor Specific Attributes (VSA), то в AccessAccept можно передать VSA.
Можно использовать сторонний сервис MFA?
Для контроля доступа в сеть сторонний сервис MFA на данный момент использовать нельзя - эта функция будет доступна в ближайшем обновлении. В текущей версии доступ с MFA предоставляется только для административного доступа к ПК EDO.
Есть ли design guide от вендора по распределенной системе контроля доступа для филиалов, чтобы избежать блокировки доступа при обрыве VPN?
Есть. Поддерживается кластеризация и иерархия серверов. Для проработки распределенной схемы контроля доступа просьбы обратиться к УЦСБ.
Как функционал пересекается с NAD?
Нет. Это разные классы решений. Они дополняют друг друга.
С какими российскими производителями телеком-оборудования есть интеграция
(интересует Eltex, SNR)?
Если речь идет о модуле NAC, то он совместим с любым оборудованием, которое поддерживает стандарт 802.1X. Полный список поддерживаемого оборудования есть в документации на продукт на сайте Газинформсервис.
Как лицензируется агент на конечные точки? Per host, per feature?
Модуль NAC лицензируется по количеству устройств. Отдельная лицензия для EDO-агента не нужна. Лицензии конкурентные, поэтому при приобретении лицензии на Efros DO можно установить количество агентов, указанное в максимальном количестве устройств, и у агента будет полный функционал.
В продукте все включено (за исключением инфраструктуры сертификатов)? Нет
необходимости дополнительно развертывать RADIUS?
В продукте имеется как Удостоверяющий центр (УЦ, СА - Certificate Authority) так и RADIUS и TACACS+ серверы.
ACL загружаются на коммутатор «руками» админа или продуктом?
Возможны два варианта:
- Настройка ACL на коммутаторе и на ПК EDO. В случае успешной авторизации пользователя передать имя ACL-аутентификатору.
- dACL настраивается на стороне продукта. Для этого потребуется использовать RADIUS Vendor Specific Attributes аутентификатора.
Сценарий NAC с VPN: нужен ли EDO-агент и КриптоПро Ngate на пользователе? Шлюз КриптоПро Ngate на сервере связан с EFROS NAC-сервером?
Для работы nGate VPN-клиента в туннельном режиме в любом случае требуется криптопровайдер КрипроПро CSP.
Возможно несколько схем интеграции КриптоПро Ngate и EDO NAC
Возможно несколько схем интеграции КриптоПро Ngate и EDO NAC
- EDO выступает RADIUS-сервером при подключении удаленных VPN-пользователей к КриптоПро Ngate. Тогда EDO-агент не требуется.
- Если требуется менять параметры авторизации (ACL) на КриптоПро Ngate в зависимости от статуса удаленного VPN-пользователя, то да, требуется EDO-агент.
В какой момент Endpoint получает IP-адрес и из какого VLAN?
После подключения порт изначально находится в состоянии «не идентифицирован». Когда Endpoint проходит аутентификацию, информация о том, в какой порт и какую VLAN включить, передается через RADIUS-атрибуты.
Коммутатор включает порт и применяет настройки VLAN. После этого Endpoint запускает DHCP-запрос, чтобы получить IP-адрес, что происходит уже после успешной аутентификации.
Коммутатор включает порт и применяет настройки VLAN. После этого Endpoint запускает DHCP-запрос, чтобы получить IP-адрес, что происходит уже после успешной аутентификации.
EDO только с AD работет или есть альтернативы, например, FreeIPA?
Есть альтернативы и поддержка FreeIPA и LDAP.
Как обновлять систему? Где берутся обновления?
Обновления передаются клиенту в рамках пакетов технической поддержки.
Можно ли реализовать сервис для личных устройств, например, BYOD-сервис?
Да, в EDO NAC есть гостевой портал. Пользователь может самостоятельно зарегистрироваться в сети анонимно или подтвердив себя по email или SMS и получить доступ к ресурсам, в соответствии с политикой организации.
Подскажите, как масштабируется система? С каким максимальным
количеством endpoints приходилось сталкиваться?
На данный момент есть один проект, который находится в стадии реализации , в котором производится подключение около 15 тысяч устройств с высокими требованиями, особенно в условиях пиковых нагрузок. Например, в случае определенных сбоев в сети или электроснабжении может возникнуть ситуация, когда одновременно пытаются подключиться до 1000 устройств.
С целью минимизации времени ожидания в таких сценариях мы анализируем наш опыт и сопоставляем его с практиками, аналогичными тем, что применяются в Cisco. В конце прошлого года были проведены улучшения архитектуры, что позволило нам добиться значительных результатов: система теперь способна обрабатывать до 200 подключений в секунду, что обеспечивает возможность подключения оставшихся устройств без отказов. Они просто становятся в очередь. При этом максимальная производительность системы достигает более 20 тысяч подключений.
С целью минимизации времени ожидания в таких сценариях мы анализируем наш опыт и сопоставляем его с практиками, аналогичными тем, что применяются в Cisco. В конце прошлого года были проведены улучшения архитектуры, что позволило нам добиться значительных результатов: система теперь способна обрабатывать до 200 подключений в секунду, что обеспечивает возможность подключения оставшихся устройств без отказов. Они просто становятся в очередь. При этом максимальная производительность системы достигает более 20 тысяч подключений.
Напишите нам на cybersec@ussc.ru или оставьте заявку
Нужна консультация по внедрению DevSecOps?
Нажимая кнопку «Отправить», я даю свое согласие на обработку моих персональных данных, в соответствии с Федеральным законом от 27.07.2006 года №152-ФЗ «О персональных данных», на условиях и для целей, определенных в Согласии на обработку персональных данных