Российские NGFW глазами заказчика: основные проблемы
Андрей Нуйкин, 13/03/24
Наряду с антивирусами на рабочих местах межсетевые экраны являются чуть ли не самой базовой компонентой любой ИБ-системы. Обойтись без них нельзя, их импортозамещение касается практически каждой сети. Однако заказчики сталкиваются с рядом барьеров, которые мешают бесшовной миграции на отечественные NGFW.
Автор: Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем ЕВРАЗ
Эксперты:
- Игорь Абрамчук, заместитель генерального директора ООО ГК “Инфотактика”
- Игорь Алексеев, директор по развитию межсетевого экрана ИКС в компании “А-Реал Консалтинг”
- Александр Баринов, директор портфеля продуктов сетевой безопасности ГК “Солар”
- Олег Вдовичев, менеджер по продукту InfoWatch ARMA Industrial Firewall
- Александр Вишняков, руководитель проектов “Смарт-Софт”
- Юрий Дышлевой, руководитель практики NGFW в Positive Technologies
- Ярослав Дячкин, руководитель Службы технической поддержки “Смарт-Софт”
- Павел Живов, эксперт по NGFW в Positive Technologies
- Анна Комша, руководитель практики NGFW в Positive Technologies
- Дмитрий Лебедев, ведущий эксперт компании “Код Безопасности”
- Павел Мерещук, директор по развитию специальных проектов группы компаний “Гарда”
- Алексей Петухов, руководитель отдела развития продуктов InfoWatch ARMA
- Алексей Прокопчук, руководитель группы разработки “Смарт-Софт”
- Иван Чернов, менеджер по развитию UserGate
Перенос конфигурации
Оптимальный сценарий миграции для любого клиента заключается в том, чтобы извлечь одно устройство, установить новое, провести несложное подключение и настройку, а затем беспрепятственно продолжить работу. Однако основной трудностью в случае NGFW является перенос конфигурации. Учитывая, что периметровый межсетевой экран часто содержит тысячи правил, эта задача представляет собой значительное техническое и временное испытание.
Впрочем, у этой задачи несколько важных аспектов. Во-первых, перенос предоставляет отличную возможность для тщательной ревизии всех настроенных правил и политик безопасности. В ходе этого процесса можно выявить устаревшие правила, улучшить структуру политик и, возможно, даже оптимизировать работу межсетевого экрана, приспосабливая его к текущим требованиям сетевой безопасности.
Тем не менее стоит отметить, что, несмотря на потенциальные преимущества в оптимизации и актуализации настроек, процесс переноса правил влечет за собой значительные временные затраты. Ручное переписывание каждого правила – задача трудоемкая и подлежащая внимательной проверке, иначе не избежать ошибок или упущений в процессе.
Если бы отечественные производители NGFW предоставили инструменты для переноса конфигурации с популярных зарубежных решений, которые уже официально покинули российский рынок, это существенно облегчило бы процесс миграции.
Комментарии экспертов
Дмитрий Лебедев, Код Безопасности: После событий февраля 2022 г., когда многие иностранные решения NGFW ушли из России, остро встал вопрос осуществления импортозамещения и миграции с установленных продуктов иностранных вендоров на решения отечественных компаний. С учетом того, что устройства класса NGFW устанавливаются "в разрыв", у многих организаций возникают определенные технические и административные трения. Таким компаниям необходимо использовать механизмы бесшовной миграции, которые позволяют минимизировать риски. Компания "Код Безопасности" имеет такие инструменты: это проектная документация, которая отражает основные этапы процесса миграции и возможные риски, и непосредственно инструменты автоматизированной миграции с иностранных NGFW на Континент 4. Это позволяет осуществить полноценную миграцию в быстрые сроки, что приводит к успешной реализации целевого проекта по импортозамещению NGFW.
Иван Чернов, UserGate: Перенос конфигурации – это всегда сложно. И дело не в том, что надо перенести на российское. Перенос с иностранного NGFW на иностранный – это тоже сложный процесс. Для этого есть опытные интеграторы, которые оказывают такие услуги, а наши инженеры пишут некоторые скрипты для автоматизации и выкладывают их в открытый доступ.
Александр Баринов, ГК "Солар": Для крупной организации, которая годами копила свои правила, политики и сетевые настройки, миграция средств защиты с одного вендора на другого является болезненным процессом, а иногда и долгим проектом. Мы предлагаем рассматривать процесс миграции как повод для того, чтобы разобраться в правилах и сетевом окружении, оптимизировать и актуализировать их. Наша команда внедрения оказывает всестороннюю поддержку, проводит оценку текущей ситуации и формирует пошаговый план по выстраиванию эффективных процессов миграции. Это позволяет правильно оценить и спланировать поэтапное внедрение продукта, исходя из задач и приоритетов конкретной компании.
Александр Вишняков, Смарт-Софт: Для того чтобы миграция прошла быстро и безболезненно, необходимо тщательно подготовиться к ней – проверить, выполняются ли требования к оборудованию и программному обеспечению. Миграция с одного устройства на другое выполняется в несколько этапов, и большую часть из них придется выполнять вручную. Будьте особенно внимательны при изменении конфигурации порта управления.
Павел Живов, Positive Technologies: Миграция – это важный аспект, который должен быть реализован максимально удобно для клиентов и системных интеграторов, например в виде сервиса с графическим интерфейсом. Однако нюансов все равно остается много, например именование приложений (у каждого производителя они свои), логика настройки (у когото политика, у кого-то профиль, у кого-то опция в правиле и т.п.). Однако самую тяжелую задачу – перенос сотен или тысяч правил и объектов такая утилита должно выполнять точно и наглядно.
Игорь Алексеев, А-Реал Консалтинг: Полная автоматизация переноса конфигурации с одного NGFW на другой сейчас невозможна, поскольку способы организации логики управления, общий набор функционала очень сильно различаются. Отдельные вендоры делают инструменты для перевода большей части (но не всех) правил с какого-нибудь одного конкретного вендора на себя, но практика показывает, что после такого переноса требуется полная перепроверка.
Игорь Абрамчук, Инфотактика: Большинство участников российского рынка сетевой безопасности волнует вопрос переноса конфигурации на отечественные решения в рамках триады информационной безопасности. В нашем решении будут содержаться интеллектуальные алгоритмы миграции с различных NGFW на CoreBit.NGFW.
Павел Мерещук, Гарда: Некоторые из производителей отечественных решений предлагают инструменты миграции конфигураций при переходе с западных решений. Мы пока не заявляем таких возможностей. У нас в приоритете реализация функций, которые обеспечат эффективную защиту объектов КИИ, а "украшать" будем позже. Однако это не означает, что мы бросаем своих заказчиков решать задачу самостоятельно. Экспертная команда "Гарда" проанализирует существующие конфигурации и сценарии каждого заказчика и подготовит требуемые данные при разработке проекта решения (HLD + LLD).
Как быть с производительностью?
Основная сложность, с который мы сталкиваемся, – это недостаток производительности. При синтетической нагрузке все работает хорошо, но как только тестирование проводится на больших реальных потоках данных, начинаются нюансы.
Еще больше эффект снижения скорости проявляется, когда мы начинаем включать модули, которые и делают обычный межсетевой экран L4 решением класса NGFW. Мы включаем IPSи SSL-декодирование – скорость работы снижается в несколько раз, а иногда даже на порядок.
Бывали даже случаи, когда NGFW самостоятельно отключал старые правила в IPS, чтобы поддерживать уровень производительности. Но уязвимости же никуда не делись, и атаки начала 2000-х гг. по-прежнему актуальны. Особенно опасно, что администраторы не информировались о таких настройках.
Для сравнения производительности доступны только те цифры, которые предоставляют сами вендоры. Иногда они составляют батл-карты, в которых у вендора А, который составил документ, показатели лучше, чем у вендора Б. Причем в батлкарте у вендора Б ситуация зеркальная: его показатели лучше. То есть ориентироваться на такие сравнения сложно.
Для объективного сравнения производительности различных решений можно было бы ориентироваться на данные независимой лаборатории, которая бы тестировала продукты безопасности в режимах, приближенных к реальным, идентичным для всех исследуемых устройств. Но пока таких лабораторий мы не знаем.
Комментарии экспертов
Дмитрий Лебедев, Код Безопасности: На текущий момент мы закрываем все основные потребительские сегменты: малый и средний бизнес, крупные предприятия. Линейка NGFW от "Кода Безопасности" представлена платформами с производительностью NGFW в диапазоне от 280 Мбит/с до 9 Гбит/с. Для организаций, которым нужна повышенная производительность, предлагаются альтернативные варианты. Во-первых, использование фермы NGFW через брокер сетевых пакетов (горизонтальное масштабирование). В таком случае можно линейно увеличивать производительность NGFW. Во-вторых, использование межсетевого экрана уровня гипервизора, где в целом отсутствует понятие пропускной способности. Такой сценарий является эффективным в виртуализированных ЦОД.
Иван Чернов, UserGate: Единственно верный подход – это пилоты на нагрузке. Ни один синтетический тест и близко не даст тех замеров, которые реально необходимы. А производительность сильно зависит от типа трафика и состава включенных модулей. В качестве опции мы предлагаем возможность провести совместное нагрузочное тестирование, где под конкретного заказчика и его задачу мы настраиваем профиль тестируемого трафика и обсуждаем, какие модули необходимо проверить.
Олег Вдовичев, InfoWatch: Производительность актуальной версии InfoWatch ARMA Industrial Firewall в настоящий момент – до 1 Гбит/c в режиме МЭ+IPS+DPI. При этом сейчас ведется разработка продукта на новой платформе, предварительная версия которого уже способна выдавать производительность до 10 Гбит/c в тех же условиях. Данные показатели на протитипе были вживую продемонстрированы на BIS Summit 2023. Коммерческий релиз выйдет в 2024 г.
Павел Мерещук, Гарда: Производительность одного комплекса в режиме межсетевого экрана, по сути, ограничена пропускной способностью сетевой карты и производительностью центрального процессора сервера, на котором работает МЭ. Дальнейшее увеличение производительности возможно путем кластеризации. Сложнее с производительностью комплекса в режиме NGFW, поскольку каждый дополнительный модуль анализа вносит задержки и общая производительность деградирует. Использование SmartNIC позволит снять часть нагрузки с ЦПУ и тем самым повысить показатели в режиме NGFW.
Анна Комша, Positive Technologies: Мы хорошо понимаем, насколько суровой может оказаться реальность эксплуатации в сравнении с техническими документами производителей. Поэтому мы проводим тесты PT NGFW в соответствии со стандартом RFC9411, включая одновременно все сигнатуры IPS, распознавание приложений и логирование всех правил для EMIX-трафика. Именно эти данные попадают в наши материалы. Мы также публикуем другие важные параметры, например количество одновременных соединений и количество новых соединений в секунду.
Игорь Алексеев, А-Реал Консалтинг: Да, баттлкарты от вендоров – полностью бессмысленная информация. Все-таки это инструмент маркетинга, а не непредвзятого анализа. Лучше всего, на мой взгляд, проводить тестирование на своей площадке. Потому что, помимо просто скорости обработки трафика с разнообразными фильтрами, есть еще целый ряд аспектов, связанных с производительностью, которые нужно иметь ввиду. Например, обслуживание VPNсоединений или что более необычное, скажем встроенная система VoIP или скорость генерации отчетов в зависимости от числа пользователей.
Алексей Прокопчук, Смарт-Софт: Производительность NGFW зависит от многих факторов, как внешних, так и внутренних. Никакая лаборатория на данный момент не в состоянии в точности воспроизвести реальные условия эксплуатации, поскольку всегда происходит много случайностей, которые невозможно предсказать. Потому получить универсальный объективный показатель производительности для того или иного продукта невозможно. Он будет зависеть от условий эксплуатации.
Александр Баринов, ГК "Солар": Мы ответственно подходим к измерениям производительности и первыми опубликовали нашу методику тестирования NGFW в открытом доступе. Тестирования Solar NGFW проводятся в том числе в лаборатории Ростелекома на платформе IXIA, позволяющей достаточно точно симулировать различные типы трафика. В ближайшее время мы планируем развивать и дорабатывать нашу методику, в том числе после пилотов с заказчиками и общения с партнерами. Отмечу также, что у нас есть случаи, когда в реальных боевых кейсах производительность Solar NGFW была немного выше заявленной нами официально.
Игорь Абрамчук, Инфотактика: Мы уделяем особое внимание задачам оптимизации алгоритмов обработки сетевого трафика, что позволяет добиться высокой производительности при задействовании всех функциональных возможностей. Высокая производительность достигается за счет того, что мы не используем ни стандартный сетевой стек Linux, ни готовые функциональные компоненты (Open Source). Мы разрабатываем собственную архитектуру с функциональными модулями NGFW, которая позволяет исключить накладные расходы по взаимодействию между компонентами. При этом не дублируются механизмы детектирования и DPI в различных компонентах и оптимально задействованы механизмы сессионной балансировки сетевого трафика на уровнях L4 и L7 как аппаратными, так и программными алгоритмами. Собственная лаборатория позволяет проводить стресс-тестирование по разрабатываемым методикам с целью оценки ключевых показателей эффективности нашего решения.
Обучение, сертификация и техподдержка
Банальная истина: техническая поддержка крайне важна, но, к сожалению, у многих отечественных производителей в настоящий момент она не является сильной стороной. Возможно, это объясняется это тем, что все ресурсы брошены на расширение функциональности.
Во-первых, это касается оперативности исправления обнаруженных нами багов. Бывали случаи, когда мы находили ошибку в работе системы, обращались к вендору и получали ответ, что в очередном релизе все будет исправлено. Но релиз запланирован через месяц, а работать-то нам надо уже сейчас. Случалось, что исправления планировались и не в ближайший релиз.
Во-вторых, очень не хватает возможности обращения с проблемой сразу на второй уровень техподдержки. Например, у нас безопасностью сетей занимаются очень грамотные специалисты, и первичную диагностику они довольно качественно выполняют сами. В техподдержку они обращаются, только если проблема явно сложная, а свои обращения они всегда сопровождают детальным и конкретным описанием ситуации и предпринятых действий. Но почти всегда приходится пробиваться через первую линию.
Уверен, что такая ситуация не выгодна ни заказчику, ни вендору. Обращение сразу к инженерам второй линии помогло бы более оперативно решать проблемы.
Смежный вопрос – обучение. У каждого производителя свой подход, свой интерфейс, свое понятие об удобстве. Не существует типового межсетевого экрана, на который все бы ориентировались как на эталон. Поэтому важно обучение или, по крайней мере, возможность обучения на случай, если оно потребуется. Мы не хотим предоставлять доступ к настройке и управлению оборудованием вновь нанятому сотруднику до тех пор, пока не будем уверены в его навыках.
Сейчас у нас обучение проводится внутри коллектива: новичку сначала дают простые задачи, он решает их под присмотром старших коллег, получает опыт, и задачи усложняются. Но если будет возможность сразу отправить молодого специалиста на вендорский курс, онбординг определенно станет проще для нас и удобнее для сотрудника. Причем вполне допустимо и удаленное обучение, когда не надо ехать в учебный центр, а можно просто подключиться с помощью видеоконференцсвязи.
А после обучения нужна сертификация специалиста, чтобы вендор подтвердил, что тот обладает достаточными компетенциями, чтобы решать указанный спектр задач, не нанося вторичного ущерба. Более того, запросы в техподдержку от сертифицированного специалиста как раз и можно было бы пропускать мимо первой линии.
Комментарии экспертов
Игорь Алексеев, А-Реал Консалтинг: Несомненно, это важный вопрос. У каждого вендора NGFW должны быть удобные учебные материалы, в совокупности образующие учебный курс молодого бойца. Потому что способ обучения на живом оборудовании с помощью старших товарищей – опасное и дорогое удовольствие. Желательно, чтобы это был набор видеоуроков с контролем усвоения информации на тестовых заданиях с проверкой. Что касается техподдержки, то эскалация кейса с первой линии на более высокие вполне может быть безболезненной для клиента и без потери информации, если вендор все правильно организует.
Александр Баринов, ГК "Солар": Поддержка – это один из ключевых аспектов при работе с клиентами сегмента Enterprise и базовый элемент бизнес-стратегии "Солара". Например, DLP-система Solar Dozor обеспечивает безопасность информационных активов всех подразделений СберБанка на территории РФ, осуществляя мониторинг более 350 тыс. рабочих станций. Это крупнейшая инсталляция в Европе. А Solar webProxy используется в качестве платформы контентной фильтрации для безопасного доступа к образовательным и информационным ресурсам во всех школах РФ в рамках федерального проекта "Информационная инфраструктура" национальной программы "Цифровая экономика Российской Федерации". В 2024 г. мы начнем полноценно работать с партнерским каналом. Это означает, что мы будем системно подходить как к обучению партнеров, так и к сертификации.
Иван Чернов, UserGate: В настоящий момент заказчики массово отказываются от старых решений, связанных с ними привычек и переходят на новые. Мы как вендор стараемся максимально их в этом поддержать: разрабатываем и проводим курсы, обучаем наших заказчиков и партнеров. У нас есть для этого специальное направление "Академия". Мы снимаем видео, пишем статьи, пополняем базу знаний – то есть делаем все, чтобы сделать процесс перехода на новые решения и привычки максимально простым и удобным.
Алексей Петухов, InfoWatch: Мы активно развиваем онлайн-обучение для наших партнеров и клиентов. Курсы позволяют в удобном формате получить теоретические знания и опыт работы с ПО, а также удаленно сдать экзамены. При этом тренер отвечает на все задаваемые вопросы во время обучения. Получается эффективнее, чем в классе, так как можно помогать каждому, а занятия идут в удобное время. Вместе с тем нас ждет большая работа по градации глубины курсов для разных специалистов, и у нас есть еще пара идей, как улучшить образовательный процесс.
Ярослав Дячкин, Смарт-Софт: Мы проводим обучение инженеров Traffic Inspector Next Generation в онлайн-формате. Есть стандартный и углубленный варианты. По итогам обучения специалистам, успешно прошедшим тестирование, выдаем сертификат. Что касается обращений сразу на вторую линию, то здесь требуется взвешенный подход, чтобы не перегрузить техподдержку. Основной объем обращений таков, что может и должен решаться первой линией. Безусловно, есть заказчики, для которых мы делаем исключение и выделяем отдельного инженера.
Дмитрий Лебедев, Код Безопасности: В триаде "обучение, сертификация и техподдержка" наименьшее внимание при выборе NGFW уделяют именно технической поддержке (ТП). В итоге для многих заказчиков становится сюрпризом взаимодействие с ТП после возникновения инцидента. Общая рекомендация – узнать про работу ТП у вендора заранее: каков регламент оказания услуг? каковы сроки реакции? в каких крупных организациях оказывается данный сервис в режиме 24/7? какое количество специалистов оказывает услугу? какая у них квалификация? Профессиональная команда ТП позволяет сократить время внедрения СЗИ, а также минимизировать простой инфраструктуры и ущерб от инцидентов ИБ.
Игорь Абрамчук, Инфотактика: Это очень важные составляющие, в процесс обучения NGFW заложено много времени, будет создаваться учебный центр, где специалисты смогут пройти обучающие курсы, в ходе которых пользователи получат необходимые знания и навыки для эффективного использования устройства. По окончании курса сдается экзамен, который проверяет знания и навыки. В случае успешной сдачи экзамена выдается сертификат, который подтверждает их квалификацию в использовании CoreBit.NGFW. Техническая поддержка NGFW – это неотъемлемая часть обеспечения безопасности сети и является одним из наших приоритетов.
Влияние на Roadmap
Разработчики NGFW далеки от народа. Зачастую они живут в идеальном мире, где все звезды сходятся наилучшим образом и нештатных ситуаций не возникает. Но в реальном мире так оказывается далеко не всегда.
Мы как пользователи хотим понимать дорожную карту развития продукта и влиять на приоритизацию задач. Один функционал нам нужен прямо сейчас, а появления другого мы готовы подождать.
Мы готовы участвовать в опросах, проводимых вендором при составлении дорожной карты. Такой инструмент позволит периодически собирать обратную связь от пользователей. И если большинство голосует, что некий конкретный функционал надо реализовать прямо сейчас, значит, его нужно выносить в приоритет и делать в первую очередь. А другие можно безболезненно сдвигать вправо и реализовывать по мере освобождения ресурсов.
Зачастую дорожные карты, которые составляют вендоры, не очень коррелируют с нашими задачами, и то, что нам жизненно необходимо, оказывается в самом хвосте списка разработки.
Комментарии экспертов
Иван Чернов, UserGate: Мы поддерживаем постоянную обратную связь с заказчиками, собираем отзывы, проводим интервью, делаем выводы по приоритизации бэклога. Конечно, невозможно удовлетворить потребности всех заказчиков и сделать это сразу, поэтому приходится от каких-то идей отказываться, а какие-то откладывать на потом. Поэтому и рождается конкуренция: разные вендоры делают разные фичи под разные нужды, и это нормально.
Игорь Алексеев, А-Реал Консалтинг: Как вендор NGFW скажу, что не то чтобы мы витаем в облаках и не слышим конкретного клиента, который может расстроиться, увидев свои требования в конце списка, нет. Просто мы видим запросы всех клиентов и стараемся расставить приоритеты так, чтобы сначала удовлетворить наиболее массовые запросы. По этой причине нечастые запросы действительно могут сдвигаться. Хотя все вендоры делают максимум, чтобы услышать каждого клиента!
Александр Баринов, ГК "Солар": В рамках процессов и регламентов разработки продуктов у нас предусмотрены этапы сбора требований со всех стейкхолдеров, в том числе пользователей. Мы также проводим различные исследования рынка сетевой безопасности. Для приоритизации мы используем инструмент WSJF (Weighted Shortest Job First – система оценки, результатом которой является список задач, где первая – самая простая в реализации, но при этом и самая ценная с точки зрения бизнеса), учитывающий ценность функциональности и скорость ее выпуска на рынок. Мы не занимаемся заказной разработкой, но делаем продукт для всего рынка, и поэтому решающее слово остается за менеджером продукта.
Олег Вдовичев, InfoWatch: Дорожная карта развития продукта InfoWatch ARMA Industrial Firewall формируется исключительно на основе обратной связи от наших заказчиков и потенциальных клиентов. Это могут быть интервью, встречи или опросы, в которых пользователь продукта имеет возможность задать вектор развития приоритетных для себя функций, тем самым увеличив шансы на появление того или иного функционала в первую очередь. В процессе сбора обратной связи нам очень важно понять, почему именно этот функционал так необходим для заказчика, для каких целей он будет применяться и каким образом он улучшит рабочий процесс. В том числе эти знания дают нам возможность не только грамотно сформировать и приоритизировать Roadmap, но и качественно реализовать функционал.
Игорь Абрамчук, Инфотактика: Наша главная цель – реализовать все запланированные функции CoreBit.NGFW, обеспечить безопасность сети и данных организации, а также создать понятную дорожную карту для наших пользователей. Мы планируем проводить опросы пользователей, чтобы получать обратную связь по продукту, выделять критичные места и исправлять их. Такой подход позволит улучшить CoreBit.NGFW и предоставить пользователям лучший опыт использования продукта.
Анна Комша, Positive Technologies: В команде разработки PT NGFW работают инженеры с многолетним опытом проектирования и практической эксплуатации сетей федерального масштаба. Кроме задействования собственного опыта при разработке, мы активно консультируемся с нашими клиентами и партнерами, открыто рассказываем о ходе разработки в реалити-шоу "PT NGFW за стеклом" и всегда готовы к диалогу при формировании дорожной карты.
Александр Вишняков, Смарт-Софт: В нашей компании приоритетность выполнения задач из дорожной карты всегда согласовывается с отделом продаж и службой техподдержки, которые ежедневно общаются с заказчиками. Но иногда действительно необходимо внести изменения в Roadmap. Например, в этом году крупный заказчик столкнулся с проблемой утечки памяти, и нам пришлось в срочном порядке сместить приоритет в пользу выполнения этой задачи.
NGFW и TI
Мы активно используем фиды разных видов – от вендоров используемых нами СЗИ, SOC, есть также подписки на другие источники. Нужно, чтобы NGFW мог принимать такие фиды – через API, URL или хотя бы текстовый файл – и формировал правила или обновлял внутренние списки.
Кроме этого, важен ретроспективный анализ. Когда мы получаем какие-либо индикаторы компрометации, нужна возможность по логам NGFW посмотреть, а было ли у нас что-то похожее за последнее время. Особенно это актуально, когда речь идет о новых уязвимостях. Возможно, нас уже взломали, а мы об этом еще не знаем, потому что на момент инцидента у нас еще не было соответствующих сигнатур.
Комментарии экспертов
Юрий Дышлевой, Positive Technologies: Мы хорошо понимаем, что возможность загрузки сторонних фидов – это необходимость в современной сети. Такая возможность будет реализована в PT NGFW. Система логирования также является неотъемлемой частью межсетевого экрана. По этой причине в PT NGFW логирование – часть системы централизованного управления, и она не требует дополнительного лицензирования. Однако, на наш взгляд, для ретроспективного анализа лучше использовать специализированные инструменты, например MaxPatrol SIEM.
Дмитрий Лебедев, Код Безопасности: Фиды TI – один из самых эффективных способов своевременного реагирования на вредоносную активность хакеров. Наиболее важную роль играет частота обновления списков и приоритизация. В Континент 4 используются фиды TI сразу из нескольких отдельных независимых источников: от "Кода Безопасности", "Лаборатории Касперского", фиды Центрального банка РФ, фиды "Технологий киберугроз" (появятся в феврале 2024 г.). Активно прорабатываются также интеграции с отечественными вендорами TI. Уже сейчас имеется возможность сотрудничества с Security Vision и R-Vision.
Александр Баринов, ГК "Солар": При создании экосистемы продуктов и сервисов мы используем атакоцентричный подход, осуществляя разработку на основе аналитики, полученной по итогам изучения фактов реальных атак на компании, находящихся под защитой "Солара". Solar NGFW загружает сигнатуры из разных источников, в том числе использует уникальную экспертизу Центра исследования киберугроз Solar 4RAYS, где выстроен непрерывный процесс обнаружения и разработки новых сигнатур IPS. Это позволяет обеспечить комплексную защиту инфраструктуры клиента. Пользователям Solar NGFW всегда доступна актуальная и эффективная база данных сигнатур IPS против новых угроз, поскольку ее обновление происходит в том числе и в CLI (интерфейсе командной строки), а в будущем это процесс будет автоматизирован.
Олег Вдовичев, InfoWatch: InfoWatch ARMA Industrial Firewall может работать через протокол ICAP с песочницей ATHENA, отправляя подозрительные объекты на анализ в виртуальную среду. Эта интеграция появилась совсем недавно, и планируется ее развитие. На 2024 г. запланирована интеграция с различными базами данных, с помощью которых InfoWatch ARMA Industrial Firewall сможет получать информацию о разного вида вредоносной активности в сети, лучше выявлять сложные кибератаки и формировать на основе этого правила межсетевого экрана.
Павел Мерещук, Гарда: Интеграция с Гарда TI есть в планах развития. После того как наш NGFW научится выполнять ключевые задачи по обнаружению и предотвращению различных сетевых атак, можно будет говорить о тонкой настройке. TI в дополнение к лаборатории анализа протоколов и сервисов будет источником актуализированных данных об угрозах. И если это позволит снизить процент ложных срабатываний, думаю, что никто из заказчиков не будет против. А если такая дружба позволит еще и снизить нагрузку за счет автоматизации, использования ИИ и МО, то и мы как большая команда будем пожинать плоды успешной синергии продуктов "Гарда".
Алексей Прокопчук, Смарт-Софт: Мы активно обсуждаем варианты импорта сторонних списков таким образом, чтобы эта процедура была максимально простой и прозрачной для администратора. На данный момент мы находимся в процессе разработки методики. Что касается ретроспективы, такой анализ возможно организовать – принудительно, по расписанию или автоматически во время наименьшей нагрузки на систему.
Игорь Абрамчук, Инфотактика: В вопросах применения баз уязвимостей CoreBit.NGFW использует подписки к различным источникам (в большей степени иностранным). Но возникает проблема унификации различных форматов описания CVE из различных источников применительно к нашим задачам определения угроз. Кроме того, существуют особенности в профилях сетевого трафика, передаваемого в сетях иностранных операторов связи и сетях операторов связи России, что требует доработки порядка 20% правил с целью исключения ложных срабатываний.
Иван Чернов, UserGate: Мы поддерживаем идею открытой экосистемы. Наши решения могут спокойно подключаться к внешним источникам данных и использовать их для работы. Это еще одна степень свободы, которую мы предоставляем нашим заказчикам.
Игорь Алексеев, А-Реал Консалтинг: На мой взгляд, анализ ретроспективы через логи NGFW – штука неправильная. Ведь это просто набор записей, а делать ретроспективу нужно через SIEM, которая интегрирует все информационные источники и автоматически проводит корреляцию. Ведь события безопасности могут возникать далеко не только в NGFW. Что касается получения фидов от источников TI – я полностью согласен: так должно быть и так есть в большинстве NGFW.
Заключение
Конечно, российские NGFW только стремятся к тому, чтобы достичь уровня функциональности и характеристик, сравнимых с лучшими иностранными образцами. Но это не значит, что все плохо. Есть аспекты, которые нам нравятся в российских решениях класса NGFW.
- Нам нравится, что многие вендоры активно развивают свои продукты: частые релизы, интересная функциональность, свежие подходы.
- Есть российские системы, которые нам нравятся проработанностью и удобством интерфейса. А это важный компонент, который значительно упрощает работу специалистов.
- Есть системы с хорошей производительностью, не сильно проседающие даже в режиме всех включенных модулей обработки трафика.
- Важно, что только российские системы остались в реестре регуляторов – ФСТЭК России, ФСБ России, Минцифры и Минпромторга. Конечно, это не заслуга самих вендоров, но все равно дает им сильное преимущество в глазах заказчиков.
Я верю, что у России будут свои хорошие решения класса NGFW. Да, это будет, скорее всего, не в следующем году и даже, может быть, не через год. Но работа идет – мы это видим, – и результат обязательно будет.