NGFW по-русски: вчера, сегодня, завтра
Федор Дбар, 29/01/24
За последние два года стало очевидно, что российские решения способны защитить отечественные компании – особую роль в этом играют межсетевые экраны нового поколения (NGFW), которые обеспечивают безопасность крупнейших организаций России.
Автор: Федор Дбар, коммерческий директор компании “Код Безопасности”
NGFW стали играть ведущую роль в ИБ-системах различных компаний в момент перехода ИТ-инфраструктур к сервисам и приложениям. Чем больше появлялось государственных и бизнесовых систем управления, а повседневная жизнь граждан погружалась в зависимость от цифровых сервисов, тем становилось очевиднее, что, несмотря на удобство, это потенциально опасно. Например, успешная кибератака могла не просто нарушить работоспособность отдельной компании, но и вызвать коллапс государственных институтов, а также социальное напряжение. NGFW решили этот вопрос с помощью большого набора различных функций и централизованного управления – устройства обеспечивали комплексную защиту самых масштабных ИТ-инфраструктур.
Появление NGFW было обусловлено развитием хакерского "дела", которое кратно расширило ландшафт киберугроз. К тому же усложнилась топология ИТ-инфраструктур различных организаций, увеличилось количество приложений и сервисов – векторов возможных атак стало настолько много, что потребовалось комплексное устройство. Первые модели NGFW вышли в конце "нулевых", устройства второго поколения появились через шесть-семь лет, при этом было значительно расширено количество защитных инструментов.
Возникает логичный вопрос: если NGFW настолько хороши, то почему же российские компании их не развивали? В действительности отечественные вендоры не отставали от мировых трендов. Еще несколько лет назад "Код Безопасности" и UserGate начали создание собственных межсетевых экранов нового поколения. К 2022 г. их NGFW успешно интегрировались в ИТ-инфраструктуры организаций, которым были необходимы и надежная защита, и сертификаты регуляторов, в том числе ФСТЭК и ФСБ, – в первую очередь речь о госорганизациях и компаниях с госучастием.
Вместе с тем российские решения не были популярны в большей части отечественного рынка по двум причинам.
- Лидерство в сегменте NGFW прочно удерживала "большая четверка" – американские Palo Alto, Cisco и Fortinet, а также израильская Check Point. Эти компании обладали широкими компетенциями, опытом защиты крупных инфраструктур и могли подобрать необходимый пул функций для заказчика любого калибра.
- Решения "большой четверки" копились в ИТ-инфраструктурах российских компаниях годами, а менять такой объем было сложно и дорого.
Около 40 тыс. единиц NGFW-устройств "большой четверки" стояло на вооружении российских организаций к началу 2022 г.
Однако уход иностранных вендоров и последовавшие за этим законодательные изменения побудили компании обратить внимание на российские NGFW. Часть организаций сразу смекнула, что отныне отечественные решения – это наше всё. Они быстро провели анализ рынка и приступили к пилотным проектам по импортозамещению. Вторая часть организаций затаилась, лелея мысль о том, что все быстро вернется на круги своя и год-два можно "пересидеть" на параллельном импорте. Однако сейчас и к этой части организаций приходит осознание, что параллельный импорт не только ненадежен, а даже вреден, потому что, когда ручейки "санкционки" пересохнут, возникнет риск остаться ни с чем. Как ни крути, но замена высокотехнологичных продуктов и их внедрение требует времени – в лучшем случае год. А помимо того, что нужно успеть избавиться от зарубежных решений к обозначенному правительством сроку, то есть к 1 января 2025 г., необходимо еще и протестировать российские продукты, чтобы не обрушить систему безопасности при "боевой" эксплуатации.
Несмотря на то что российские решения, по сути, не имеют альтернативы, у компаний все равно остаются сомнения. Считается, что любые отечественные продукты, если дело не касается танков, априори не могут быть качественными. Но так ли это на самом деле?
Безопасность – награда зрелых
Конечно, вопрос о том, насколько российские решения дотягивают до уровня заграничных, которые принимаются за эталон, некорректен сам по себе. Как правило, в этом сравнении российские продукты всегда проигрывают, потому что сопоставляются не по реальной работе, а на основе стандартов, заданных зарубежными же рейтинговыми агентствами. Но если рассматривать отечественные решения по их практическим успехам, то рисуется совершенно иная картина.
Наиболее распространенные механизмы защиты, которые предпочитают заказчики: IPS (Intrusion Prevention System), потоковый антивирус, URL-фильтрация, система аутентификации пользователей и расширенный контроль приложений (DPI и Application Control) – "джентльменский набор" компании среднего размера, его достаточно для защиты от большинства внутренних и внешних угроз. Естественно, чем объемнее ИТ-инфраструктура, тем сложнее ее защищать, однако российские NGFW обладают всем необходимым функционалом, который нужен для обеспечения безопасности систем любого масштаба. О надежности отечественных NGFW лучше всего говорит тот факт, что ни бизнес, ни граждане страны не заметили каких-либо болезненных изменений в комфорте. Работают банковские услуги и приложения, государственные информационные системы и сервисы доставки, национальная платежная система и другие сервисы.
Один из последних трендов мирового рынка NGFW – использование технологий машинного обучения и искусственного интеллекта. Российские вендоры тоже разрабатывают эти механизмы и внедряют в свои устройства. ИИ-модель сможет фильтровать определенные виды трафика, анализировать поступающие данные о сигнатурах актуальных вирусов и обнаруживать их в сетях заказчиков.
Однако проблемы все же возникают. И не из-за слабости какого-либо продукта, а из-за того, что не все компании обладают необходимым уровнем ИБ-зрелости. Зачастую они наивно полагаются только на техническую сторону вопроса, пренебрегая другими аспектами ИБ, например обучением сотрудников или аудитом. Именно отсутствие аудита нередко становится причиной ИБ-инцидентов, когда компания покупает средство защиты только потому, что оно модное, но при этом не знает, какие узлы ИТ-инфраструктуры ей необходимо оберегать в первую очередь.
По-настоящему зрелая с точки зрения ИБ компания всегда опирается на степень критичности данных и бизнес-процессов, а любые технические средства приобретает только после тщательного анализа. Поэтому сегодня наблюдается тенденция к своеобразной диверсификации: в условиях повышенной агрессивности киберсреды компании дополняют NGFW, защищая наиболее уязвимые точки ИТ-инфраструктуры другими ИБ-средствами. Например, выход в сеть и контроль приложений осуществляется с помощью NGFW, а отдельное "слабое" место, выявленное во время аудита (предположим, серверы и рабочие станции), – с помощью ПО от НСД.
Еще одна причина недовольства российскими продуктами может возникать из-за самой человеческой природы: никто не любит перемены. Естественно, каждый NGFW имеет особенности управления, расположения вкладок и так далее, что усложняет переход с одного решения на другое. Однако за два года российские компании создали ряд инструментов, которые помогают автоматизировать процесс миграции. Например, недавно "Код Безопасности" в партнерстве с "Кросс технолоджис" разработали инструмент для перехода с NGFW от Palo Alto на NGFW "Континент 4". Ранее эксперты "Кода Безопасности" разработали подобные решения для миграции с Check Point, FortiGate и Cisco.
По данным Центра мониторинга и противодействия кибератакам "Кода Безопасности", 66% событий информационной безопасности относятся к нежелательному трафику среди сетевых запросов.
Подводя итог, можно отметить, что российские NGFW делают свое дело, поэтому страна продолжает функционировать. Отечественные вендоры находятся на территории страны, а это значит, что заказчики получают своевременную техподдержку, немаловажную при работе с технологичными продуктами, и могут не опасаться внезапного отключения продуктов извне. В условиях трансформации мира и массированных кибератак это одно из главнейших условий.
Идем на Восток и не только
Беспрецедентные санкции против России вызвали естественную обеспокоенность других государств Ближнего Востока, Юго-Восточной Азии и СНГ. Сейчас там с интересом смотрят на российский опыт импортозамещения, поскольку понимают, что подобное может случиться и с ними, поэтому ищут способы покончить с цифровым колониализмом. Факт того, что государствообразующие предприятия не остановились из-за кибератак, а сама Россия не только не рухнула, но и показывает экономический рост, отлично рекламирует возможности отечественных компаний. Причем "дружественные" страны привлекает еще и то, что российские вендоры не стремятся заменить одного "белого господина" на другого, просто предоставив свое оборудование и ПО, а готовы развивать совместные проекты, строить технопарки и обучать местных специалистов. Кроме того, репутация России в мире такова, что у стран-партнеров есть уверенность: она не будет манипулировать бизнес-рычагами для политического давления.
По оценкам "Кода Безопасности", до 25 млрд руб. вырастет объем российского рынка NGFW в 2024 г.
Именно ограничения Запада стали для России "мостиком доверия", который открывает дорогу к широким перспективам. Пока рынки упомянутых регионов прочно удерживают все те же "западники", но у отечественных ИБ-вендоров есть шанс "подвинуть" бывших партнеров. Этот путь для ИБ-решений чуть более сложен, чем, например, для ИТ-продуктов. Во-первых, в плане самопиара Россия уступает США и Китаю, которые лоббируют свои интересы за рубежом с четкостью конвейера. Во-вторых, быстрому прогрессу мешает тот факт, что сфера информационной безопасности имеет высокую степень критичности, составляя основу суверенитета и независимости. То есть ИБ-вендорам России не обойтись без административной поддержки, и, чтобы зайти, условно, в Нигер, в первую очередь требуются контакты на самом высоком уровне. Как только этот вопрос будет решен, российские ИБ-компании получат мощный импульс, который позволит расширить зону влияния и захватить часть рынков перспективных стран.