Автор: Алексей Хмыров, руководитель отдела по развитию бизнеса АО “ЭЛВИС-ПЛЮС”
План реализации системы безопасности КИИ включал в себя разработку типового технического проекта для нескольких видов бизнеса заказчика с последующей адаптацией проекта на разные площадки. На момент разработки типовых технических решений еще не было требований по импортозамещению, поэтому выбор СЗИ проводился с учетом всего спектра рынка ИБ, доступного на тот момент. Мы выбирали лучшие средства по техническим и ценовым показателям. Например, в качестве СЗИ в составе подсистемы сетевой безопасности был выбран NGFW FortiGate от американской компании Fortinet. NGFW FortiGate был запроектирован как типовое средство межсетевого экранирования и успешно внедрен нами на пилотных площадках. Его функционал закрывал не только классический для такого класса решений набор мер приказа ФСТЭК России № 239 (защита периметра, сегментирование информационной системы, организация демилитаризованной зоны, управление сетевыми потоками), но и меры по предотвращению вторжений и антивирусной защите за счет наличия сертифицированных модулей IDS/IPS и потокового антивируса.
С точки зрения удобства наладки и эксплуатации нареканий к средству защиты также не возникло. Испытания и продолжительные пилоты доказали эффективность и надежность выбранного решения.
К середине 2022 г. средство было выбрано и согласовано с заказчиком, успешно завершено пилотирование, – NGFW FortiGate был принят в постоянную эксплуатацию на двух площадках.
Во время адаптации типового проекта на остальные площадки вступают в силу требования по импортозамещению! И сразу возникает вопрос выбора решений на замену. А готов ли российский рынок ИБ предложить аналоги? Очевидны также стали последствия: перепроектирование, повторное сравнение и выбор, проведение испытаний.
Но обстоятельства не оставляли вариантов для маневра, и мы начали процесс пересмотра технических решений с анализа российского рынка NGFW. Были приглашены на испытания все пятнадцать российских производителей межсетевых экранов, существующих на тот момент времени.
Откликнулись не все. Показательно, что после получения методики тестирования четыре производителя отказались принимать участие, еще двое отказались от продолжения испытаний уже в процессе. В итоге участие в тестировании приняли пять вендоров, что говорит об ограниченности выбора на российском рынке и о незрелости продуктов. Причем, только два решения из пяти смогли пройти испытания без критичных сбоев и показать приемлемый результат.
На рис. 1 приведены данные по двум решениям, показавшим самые низкие и самые высокие результаты. Видно, что в целом показатели неудовлетворительные, никто не прошел порог в 50% успешно выполненных тестов. По ряду тестов было выявлено лишь частичное соответствие – испытания пройдены с замечаниями и требуется доработка решения. Впрочем, не все производители заявили о готовности доработать свои продукты и принять участие в повторных тестах.
Рис. 1. Самые низкие и самые высокие результаты испытаний
По итогам можно сделать вывод, что ни одно из представленных средств не имело такого же функционала как у NGFW FortiGate. Например, сертифицированного модуля потокового антивируса не оказалось ни у одного из российских производителей. Помимо этого, из пяти тестируемых решений импортонезависимыми были только два. По результатам оценки экономической составляющей получилось, что заказчик может получить более дорогостоящие NGFW с меньшим функционалом, чем у FortiGate.
С учетом проведенного тестирования было принято решение выполнить повторный анализ всех подсистем в составе комплексной системы информационной безопасности и пересмотреть цели и задачи, возлагаемые на средство межсетевого экранирования. Дополнительно мы провели переоценку логических связей "Актуальные угрозы" – "Меры 239-го приказа" – "Функция NGFW", и в результате были выявлены угрозы и меры, которые помимо NGFW также закрываются и иными средствами. Другими словами, межсетевой экран не является единственным средством и способом для нейтрализации угроз и реализации мер. Вот несколько примеров:
По итогам проведенного анализа мы пересмотрели требования к межсетевому экрану и его роли в составе комплексной системы безопасности. Ну а с фильтрацией трафика вполне справится простое и недорогое решение, по сути, уже не являющееся NGFW.
С точки зрения анализа развития российских решений считаю важным рассказать еще про один проект с более поздними сроками реализации, также включавший выбор и сравнение NGFW.
Для максимальной честности и прозрачности испытаний было принято решение проводить тестирование в нашей лаборатории на единой инфраструктуре и в одинаковых условиях для всех участников. Стенд и программа испытаний создавались с учетом специфики объектов защиты заказчика, были выбраны разные модели NGFW, каждый под свои задачи (уровень предприятия, уровень АСУ ТП).
Мы пригласили представителей всех участников к нам в лабораторию. Показательные испытания проводились в открытом, прозрачном формате с участием представителей заказчика и всех вендоров NGFW. Такой подход позволил участникам увидеть сильные стороны конкурентов, отметить свои слабые места, провести работу над ошибками и после исправления замечаний пройти испытания повторно.
По результатам можно сделать вывод, что по сравнению с ранее описанным тестированием участвовавшие NGFW показали более сильные результаты. Стоит отметить, что одни решения показали себя лучше при работе с промышленными протоколами, другие удачнее прошли тесты для работы в корпоративном сегменте сети.
Рис. 2. Результаты тестирования NGFW
На момент выхода новелл законодательства по технической независимости российский рынок ИБ не был готов полностью заместить иностранные решения. В такой ситуации важно правильно оценить требования проекта и подобрать оптимальный набор технических, организационных и компенсирующих мер. Средства должны быть выбраны с учетом архитектурных особенностей объектов защиты и исходя из целей и задач, возлагаемых на это средство защиты в составе комплексной системы безопасности.
На основании приведенного примера изучения рынка российских NGFW можно выделить следующие проблемы и пути их решения (см. табл. 1).
Таблица 1. Российские NGFW, основные проблемы и пути решения
Процесс импортозамещения для многих субъектов ЗОКИИ пока является сложной и затратной задачей, мало кто сейчас может заявить о полном соответствии требованиям о технологической независимости и безопасности критической информационной инфраструктуры. Но российский рынок развивается, и с первой половины 2022 г., когда вступили в силу указы № 166 и № 250, количество российских вендоров NGFW к концу 2024 г. выросло в два раза (по нашим оценкам, до тридцати). Заметна также тенденция на ужесточение требований со стороны законодательства, что в свою очередь является драйвером для развития рынка.