Клиент для подключения к удаленному рабочему столу

Таблица

О SOAR

Решения SOAR (Security Orchestration, Automation and Response) центрированы на автоматизации рутинных задач обработки киберинцидентов, что позволяет уменьшить время реакции на инцидент и ускорить процесс устранения угрозы. Сочетая в себе API-интеграцию, аналитику данных, оркестрацию процессов и машинное обучение, SOAR становится незаменимым инструментом для эффективной работы с киберинцидентами. За рубежом такие SOAR-платформы как Demisto от Palo Alto Networks и Swimlane уже доказали свою эффективность. В России же популярными являются решения Positive Technologies PT Response, Kaspersky Threat Management and Defense и AlgoSec. В наш обзор попали и эти решения, чтобы обеспечить полноту выбора для потенциальных пользователей.

Пример списка:

• Positive Technologies PT Response
• Kaspersky Threat Management and Defense
• AlgoSec

Немного о XDR

Решения XDR (Extended Detection and Response) объединяют в себе не только данные из различных источников об угрозах и инцидентах безопасности, но и используют аналитику для выявления более сложных атак, которые могли бы быть незамеченными при использовании только SIEM. Компании FireEye, Trend Micro, CrowdStrike предлагают свои продукты в данной области, а отечественные разработчики – Positive Technologies с продуктом PT Astra.

Источники:

• https://www.kaspersky.com/enterprise-security/unified-monitoring-and-analysis
• https://www.ptsecurity.com/ru-ru/products/
• https://www.ibm.com/security/security-intelligence/qradar

Решения XDR

Решения XDR (Extended Detection and Response, системы расширенного обнаружения и реагирования на кибератаки) предназначены для выявления инцидентов и активного реагирования (сдерживание, устранение угрозы).

Основные компоненты

В основе XDR-решений лежат несколько продуктов от одного вендора, объединенные единой логикой и методами управления инцидентами.

Как правило, выявление и реагирование происходит за счет моновендорной интеграции EDR-продукта (расширенная защита конечных точек), решений по защите email и корпоративной сети (NTA/NDR/SWG), решений по защите учетных записей и облачных инфраструктур, системы управления уязвимостями, песочницы, данных киберразведки и SIEM-системы.

Сравнение с SOAR

XDR-решения в чем-то конкурируют с системами SOAR в части автоматизации выявления и реагирования на киберугрозы. Однако SOAR-решения вендоронезависимы и предполагают интеграцию в уже сложившуюся инфраструктуру, без необходимости замещения имеющихся СЗИ.

Преимущества XDR

Компоненты XDR-решения более глубоко интегрированы между собой (благодаря единому производителю), и подойдут тем, кто строит с нуля моновендорную ИБ.

Обзор продуктов

Планировалось включить отечественные решения F.A.C.C.T. Managed XDR (ex-Group-IB), Kaspersky Symphony XDR (Лаборатория Касперского) и PT XDR (Positive Technologies), а также импортный аналог Microsoft 365 Defender.

Однако, ввиду массового обновления своих XDR-решений ведущими игроками, сравнение продуктов данного класса будет добавлено чуть позже.

Решения SGRC

Решения SGRC (Security Governance, Risk and Compliance, системы управления кибербезопасностью, киберрисками и соответствием законодательству) применяются для автоматизации множества процессов, связанных с системой управления ИБ в компаниях.

Основные возможности

Например, управление активами, уязвимостями, конфигурациями, проведение аудитов (внешних и внутренних), самооценка соответствия применимым нормам ИБ-законодательства, управление киберрисками.

Применение в SOC

В контексте работы SOC-центров применение SGRC-систем может быть целесообразно в силу необходимости управления процессами самого SOC, а также ИБ-процессами защищаемой организации (если это входит в зону ответственности SOC).

Преимущества SGRC

SGRC поможет проанализировать киберриски самого SOC и степень соответствия процессов SOC внутренним регламентам, оценить и визуализировать выполнение KPI, а также выполнить законодательные требования в части отправки отчетности по КИИ, ПДн, требованиям ЦБ РФ.

Сравнение продуктов

Мы включили две облачные отечественные SGRC-системы (АльфаДок, SECURITM), три классические SGRC-платформы (ePlat4m SGRC, R-Vision SGRC, Security Vision SGRC), а также одного зарубежного вендора для сравнения подходов к реализации функционала продукта (Archer Suite (ex-RSA Archer)).

Методология оценки и сравнения функциональных возможностей продуктов включала в себя разработку перечня основных критериев, которые были сформированы авторами обзора на основе методологий компании Гартнер (Gartner Market Guide, Gartner Critical Capabilities), на основе анализа открытых источников с информацией о характеристиках продуктов, по результатам обратной связи от заказчиков указанных классов решений, а также руководствуясь экспертизой авторов.

Вендорам рассылались опросники с перечнем основных критериев по их продуктам для заполнения, при этом формат некоторых вопросов предполагал развернутые ответы. Кроме ответов от вендоров, производился опрос выделенных вендорами экспертов по продуктам, проводилась оценка характеристик и функционала решений на live-демонстрациях решений, на основе предоставленных производителями доступов к демонстрационным стендам, на основе работы с референсными площадками (клиенты, интеграторы, эксперты-консультанты), которые предоставляли свои мнения и данные об используемых продуктах

Производителям также предлагалось добавить свои расширенные критерии сравнения для включения их в обзор, с проведением второй итерации сравнения по уже расширенному перечню критериев.

В перечень вопросов также был включен пункт о планах развития функционала продукта, куда вендоры могли включать пункты из своих Дорожных карт развития продуктов, при этом в ответах на критерии не учитывался функционал, который на момент проведения опроса не был реализован, а был лишь запланирован.

Принцип выбора вендоров и решений

Принцип выбора вендоров и решений для обзора был следующим: для каждого класса решений выбиралось не менее 3 различных продуктов от разных производителей, при этом обзор сфокусирован на отечественных решениях ввиду законодательных и санкционных ограничений на приобретение и использование зарубежных продуктов. Российские производители доминируют в общем перечне продуктов, а зарубежные продукты представлены для сравнения текущих статусов и векторов развития решений на различных рынках.

Для высококонкурентных классов российских решений выбирались продукты от наиболее известных вендоров на основе анализа открытых данных о доле рынка, занимаемой различными компаниями, включая различные рейтинги и прогнозы.

Для низкоконкурентных решений выбирались все известные авторам отечественные производители продуктов определенного класса. Для обзора и сравнения выбирались, по возможности, наиболее актуальные стабильные версии продуктов.

Терминология и объяснения

Также необходимо отметить, что в части терминологии не все вендоры придерживаются единого подхода, особенно в отношении недавно появившихся и еще не устоявшихся явлений в области информационной безопасности. Поэтому авторы обзора, по возможности, давали пояснения в отношении некоторых терминов, но зачастую под одним и тем же функционалом производители понимают несколько разную реализацию.

SIEM

Обзор SIEM-систем

В классе SIEM-систем набор обязательных критериев и ожидаемого заказчиком функционала уже сформировался:

• клиентам требуется большое количество поддерживаемых протоколов и типов источников
• наличие значительной базы правил корреляции из коробки
• возможность расширения функционала с помощью дополнительных приложений
• регулярное обновление правил корреляции от экспертов вендора

RuSIEM

Решение RuSIEM предлагает бесплатную версию своего продукта под названием RvSIEM (с функционалом, частично урезанным до Log Management), а также интересный модуль аналитики и обучения данных. С учетом того, что RuSIEM – это, скорее, нишевый игрок, данный функционал выглядит многообещающе.

KUMA

Продукт KUMA от Лаборатории Касперского гораздо известнее на рынке, и, благодаря бесшовной интеграции с множеством продуктов Kaspersky, он позволяет заказчикам выстроить логически связную, стройную ИБ-экосистему, при этом обеспечивая интеграцию с множеством других решений.

MaxPatrol SIEM

Решение MaxPatrol SIEM предоставляет большой перечень поддерживаемых источников событий, расширенные возможности по интеграции с линейкой продуктов от Positive Technologies. Дополнительно предлагает несколько killer-фич:

• встроенная CMDB с контролем изменения свойств активов
• функционал построения карты сети для оценки вероятности успешной атаки
• фирменный SDK для создания и тестирования правил корреляции
• функционал автоматического занесения ложноположительных событий в белые списки
• часто обновляемые пакеты экспертизы
• фирменный маркетплейс и сообщество пользователей для обмена экспертизой
• выявление аномалий и предсказание будущих инцидентов с помощью машинного обучения.

В классе TIP продукты разделились на облачные и on-prem: BI.ZONE ThreatVision и F.A.C.C.T. Threat Intelligence доступны исключительно "из облака", а у других вендоров платформа может разворачиваться локально в инфраструктуре (on-prem). У некоторых игроков (BI.ZONE, F.A.C.C.T., Kaspersky, PT) есть свои собственные TI-фиды, содержащие зачастую уникальные данные по угрозам, выявленным этими вендорами. Решение Kaspersky CyberTrace устанавливается on-prem, но функционирует в связке с облачным порталом Kaspersky Threat Intelligence Portal, который размещен в ЦОД вендора и является единственным предустановленным источником TI-данных для CyberTrace – в сравнении учтена такая взаимозависимость. Все решения (кроме продукта Kaspersky) поставляются с различными наборами подключенных по умолчанию источников TI-данных – как отечественных, так и зарубежных. Решение PT Cybersecurity Intelligence произвело впечатление непубличного продукта: нам не удалось найти расширенной информации о нем, а опрошенные эксплуатанты склонны считать этот продукт скорее дополнением к продуктам MP SIEM и PT NAD. Решения R-Vision TIP и Security Vision TIP опять идут в паре: оба вендора предлагают on-prem установку с поддержкой работы в изолированных от Интернет сетях (что является важным требованием для некоторых заказчиков), оба предлагают интеграцию с разнообразными сторонними TI-фидами, однако R-Vision TIP не поддерживает интеграцию с данными из БДУ ФСТЭК России (матрица техник и тактик нарушителей, база уязвимостей), не выявляет DGA-домены (популярная среди атакующих техника скрытия C&C-серверов) и не поддерживает проведение ретроспективного поиска IoC. Разработчики Security Vision делают ставку на выявление инцидентов и аномалий внутри Security Vision TIP, в том числе с использованием нейросетей и методов машинного обучения.

Среди рассмотренных SGRC-решений выделяются две "облачные" системы АльфаДок и SECURITM, которые предназначены скорее для помощи малому и среднему бизнесу: АльфаДок помогает автоматизировать соответствие законодательству в части "бумажной ИБ" и при необходимости позволяет установить платформу локально, а SECURITM предоставляет надежный фреймворк для выстраивания процессов управления ИБ, в том числе с предоставлением бесплатного доступа к веб-порталу SECURITM, а в платной версии поддерживает локальную (on-prem) инсталляцию. Платформа Security Vision SGRC предоставляет пользователям очень широкие возможности по кастомизации автоматизируемых процессов ИБ, от настройки типов и свойств активов до возможности автоматической установки заданной конфигурации ОС и ПО на конечные точки для соответствия корпоративным требованиям – по функционалу Security Vision SGRC ближе к "конструктору" зарубежного Archer Suite (прежнее название – RSA Archer) и поддержкой подхода "Low-code/No-code", и с дополнительными опциями по работе с инфраструктурой и с поддержкой базы российских нормативных требований. Решения ePlat4m SGRC и R-Vision SGRC уже давно известны на рынке, их отличает гибкость настройки с помощью графических редакторов и подхода "Low-code", а также интеграция с большим количеством инфраструктурных решений, но продукт R-Vision SGRC выглядит сильнее ePlat4m SGRC в части визуализации состояния ИБ, формирования отчетности и управления киберрисками (правда, без поддержки управления операционными рисками по требованиям ЦБ РФ).

В заключение отметим, что, сравнивая функционал российских решений для SOC-центров с импортными аналогами, у нас не сложилось ощущения какого-то отставания отечественных производителей – наоборот, они умело обходят уже известные подводные камни и архитектурно закладывают самые современные подходы, что позволяет разработчикам в дальнейшем не отвлекаться на поддержку "тяжелого наследия прошлого". С удовольствием отметили также, что всё больше наших производителей поддерживают мультиязычность (не только англ. язык) в интерфейсах своих продуктов, что поможет им выйти на иностранные дружественные рынки. Отечественные игроки достойно показали себя во всех рассматриваемых классах решений, и можно смело утверждать, что процесс импортозамещения, по крайней мере в отрасли кибербезопасности, идет успешно.

Редакция благодарит за помощь в подготовке обзора:

Тимофея Григорьева, руководителя отдела технической поддержки продаж, UDV Group Александра Позднякова, менеджера продукта, UDV Group Даниила Бородавкина, менеджера продукта R-Vision SOAR, R-Vision Валерию Чулкову, менеджера продукта R-Vision TIP, R-Vision Ксению Коляду, менеджера продукта R-Vision SGRC, R-Vision Илью Петрова, руководителя направления продвижения собственных продуктов в области ИБ Департамента решений и развития бизнеса, Innostage Альберта Насритдинова, менеджера по продвижению собственных продуктов в области ИБ, Innostage Николая Казанцева, CEO SECURITM Анну Олейникову, директора по продуктам, Security Vision Андрея Амираха, руководителя отдела технического пресейла, Security Vision Романа Овчинникова, руководителя отдела исполнения, Security Vision Сергея Сухорукова, лидера продуктовой практики MaxPatrol SIEM, Positive Technologies Ивана Прохорова, руководителя продукта MaxPatrol SIEM, Positive Technologies Максима Степченкова, cовладельца, RuSIEM Даниила Вылегжанина, руководителя отдела предпродажной подготовки, RuSIEM

Установка Remmina и плагинов Подключение устройств Примеры использования Remmina Решение возникающих проблем

Remmina — клиент удалённого рабочего стола, имеет лицензию GPLv2+.

Обычно используется для подключения к удаленному рабочему столу Windows (RDP), но также Remmina имеет возможности подключения с использованием следующих протоколов: SSH, VNC, RDP, NX и XDMCP.

На нашем Youtube-канале вы можете подробнее ознакомиться с возможностью осуществления удаленного подключения при помощи Remmina, просмотрев видео Организация удаленного доступа с РЕД ОС на Windows, а также найти много другой полезной информации.

Для установки данного приложения выполните команду:

dnf install remmina -y

При скачивании Remmina будут доступны следующие плагины: EXEC, NX, RDP, RDPF, RDPS, SFTP, SPICE, SSH, ST, VNC, VNCI, XDMCP, glibsecret.

Для расширенной работы с приложением можно установить оставшиеся плагины следующей командой (с правами пользователя root):

dnf install remmina-gnome-session remmina-plugins-kwallet remmina-plugins-spice remmina-plugins-www -y

Подключение устройств

Откройте параметры соединения, перейдите на вкладку «Дополнительные», установите флажок на строке «Сделать принтеры общедоступными».

Нажмите на кнопку «Сохранить и подключить», в результате локальный принтер будет перенаправлен в удаленный рабочий стол.

На нашем Youtube-канале вы можете ознакомиться с примером подключения локального принтера к удаленному рабочему столу, просмотрев видео Подключение локального принтера к удаленному рабочему столу, а также найти много другой полезной информации.

Переназначение драйвера принтера

Иногда бывает недостаточным при перенаправлении принтера выбирать параметр «Сделать принтеры общедоступными», в результате наблюдаются ошибки при печати или принтеру может не назначиться признак «По умолчанию».

В данном случае в Remmina на вкладке «Дополнительно» можно попробовать определить параметр «Переписать драйвер принтера».

Формат данного поля следующий: первым указывается в двойных кавычках имя принтера на РЕД ОС, а вторым – драйвер в Windows.

Пример – "Samsung_CLX-3300_Series":"Samsung CLX-3300 Series PS":

Перенаправление токенов в удаленный рабочий стол по протоколу RDP

В качестве примера будут рассмотрены токены Рутокен ЭЦП и Aladdin R.D. JaCarta.

Для перенаправления устройства необходимо указать идентификатор устройства (ID), определить его можно с помощью команды pcsc_scan (выполняется с правами локального пользователя).

Пример вывода команды для Рутокен ЭЦП:

Пример вывода команды для Aladdin R.D. JaCarta:

В выводе команды из строки «Reader 0» необходимо скопировать идентификатор устройства.

В Remmina в новом профиле соединения на вкладке «Дополнительные» в поле «Имя смарт-карты» укажите ID устройства из команды pcsc_scan.

Затем нажмите на кнопку «Сохранить».

Пример успешного перенаправления токенов можно просмотреть в утилите «Инструменты КриптоПРО».

Перенаправление звука на удаленный рабочий стол

Откройте профиль соединения в «Профиль соединения», во вкладке «Дополнительные» для параметра «Режим аудиовыхода» в диалоговом окне выпадающего списка выберите значение «Локальный».

Нажмите на кнопку «Сохранить и подключить». Теперь звук будет передаваться на удаленный компьютер.

Общий доступ к локальным каталогам или Flash-носителю в удаленном рабочем столе

Откройте профиль соединения в «Профиль соединения», далее во вкладке «Основные» в диалоговом окне выпадающего списка директорий параметра «Общая папка» выберите нужный каталог или диск.

Нажмите на кнопку «Сохранить и подключить». Выбранная папка станет доступной для использования в удаленном рабочем столе.

Примеры использования Remmina

Для установки соединения нажмите на кнопку «Добавить новый профиль соединения». Откроется окно создания соединения, где вам нужно выбрать протокол RDP и заполнить поля «Сервер», «Имя пользователя» и «Пароль».

После заполнения полей нажмите на кнопку «Сохранить» – для сохранения настроек или на кнопку «Сохранить и подключить» – для сохранения настроек и подключения к удаленному рабочему столу.

Если возникла проблема с закрытием Remmina при повторном подключении к windows-серверу по протоколу RDP, рекомендуется в настройках соединения на вкладке «Дополнительные» для параметра Согласование протокола безопасности использовать «Безопасность по протоколу TLS» или «Безопасность по протоколу RDP».

Для подключения по протоколу безопасности TLS может понадобится снять чекбокс «Разрешить подключение только с компьютеров, на которых работает удалённый рабочий стол с проверкой подлинности на уровне сети» в дополнительных параметрах windows-сервера.

Для подключения по протоколу безопасности RDP на windows-сервере требуется поменять регистр HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpSecurityLayer на 0.

Установка подключения к x11vnc-серверу c использованием протокол VNC

Для подключения нажмите на кнопку «Подключить» или «Сохранить и подключить».

Решение возникающих проблем

В случае возникновения ошибок в Remmina при повторном подключении к Windows-серверу необходимо проверить используемый протокол безопасности в параметре «Согласование протокола безопасности», скорее всего параметр имеет значение «Безопастность по протоколу NLA».

Для решения данной проблемы значение параметра следует установить «Безопасность по протоколу TLS» или «Безопасность по протоколу RDP».

Данные протоколы безопасности должны поддерживаться на вашем Windows-сервере.

Если использование других протоколов безопасности невозможно, рекомендуется использовать xfreerdp-gui. Подробную информацию о настройке подключения через xfreerdp-gui см. в нашей инструкции «xfreerdp_gui — графическая оболочка для работы с freerdp».

Эта информация оказалась полезной? ДА НЕТ

Дата последнего изменения: 16.06.2023

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.