На Positive Hack Days 12 прошел круглый стол, участники которого обсудили отечественные межсетевые экраны нового поколения. Вендоры рассказали, какими функциями должен обладать качественный NGFW, можно ли безболезненно перейти на российские продукты и почему в разработку решения нужно вложить как минимум миллиард.
В апреле 2023 года на CISO-FORUM директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин сказал, что нехватка NGFW — одна из главных проблем российского рынка СЗИ. Согласны ли вы с Владимиром и что изменилось за последние несколько месяцев?
Денис Кораблев: Несмотря на то что в России есть вендоры, которые называют себя производителями NGFW, многие регуляторы чувствуют, что проблема не решена: качество отечественных продуктов оставляет желать лучшего. Я часто слышу от клиентов: «Мы купим лицензию на NGFW, повесим на стенку и будем всем показывать. На пару лет от нас отстанут, а к 2025 году, возможно, появятся рабочие решения». Все понимают, что NGFW нельзя сделать на коленке, для этого нужно время. На рынке есть продукты, которые уже что-то умеют, но пока они не могут полноценно заменить западные решения. Всем нужна классная технология, и надеюсь, что скоро она появится. Мы над этим работаем.
Positive Technologies на PHDays 12 представила раннюю версию собственного NGFW. Запуск продукта запланирован на осень 2024 года.
Денис Батранков: Наши клиенты активно формируют запросы и требования к NGFW, поскольку к 2025 году значительная часть российских компаний должна перейти на отечественные решения. Чаще всего они просят реализовать экспертный функционал, эффективную блокировку атак, качественный удаленный доступ и возможность блокировать вредоносный код, через который хакеры заражают инфраструктуру.
Иван Чернов: В феврале 2022 года к нам пришли заказчики, к работе с которыми мы объективно не были готовы, — большой кровавый энтерпрайз. Они хотели закрыть все проблемы уже завтра, а в идеале — еще вчера. Извините, но это невозможно. CheckPoint в нашем положении тоже не справились бы до завтра. Привычный подход, когда технология постепенно растет и захватывает все бóльшую долю рынка, здесь не работает. Из-за этого возникло ощущение, что в России нет ничего в области NGFW. Да, определенным компаниям действительно не хватает возможностей отечественных продуктов, но мы работаем над этим. Для нас и наших конкурентов это вызов.
Павел Коростелев: Рынок NGFW — не одна большая тарелка, а скорее, пчелиные соты. Есть масса разных сегментов и клиентов, зачастую с довольно специфическими требованиями. Если в одной соте пусто, это не значит, что в остальных тоже. Версия о том, что российских продуктов на рынке нет, связана с отсутствием решений под специфические хотелки заказчиков. К тому же большинство компаний просто не готовы так быстро поменять ИТ-ландшафт. NGFW ставится вглубь сетевой инфраструктуры, поэтому перейти на новое решение без перерыва в работе невозможно.
Мы заметили интересную тенденцию: функционал, который заказчики последние пять лет называли неважным, сейчас ставится во главу угла: «Без этих возможностей мы у вас ничего не купим!». Я вижу два объяснения: либо рынок кардинально изменился, и теперь мы живем на Марсе, либо компании психологически не готовы к масштабному переходу. Они говорят, что рынок пуст, потому что хотят выиграть время и отложить трансформацию до 2025–2027 года.
Александр Баринов: Продолжу мысль Павла. В определенных «сотах» действительно нет качественных решений, но в некоторых уже сформировалась полноценная конкуренция.
Денис Кораблев: Важно разделять огромный рынок NGFW и конкретные ниши, которые закрывают российские игроки. Одно дело — организовать VPN для маленького офиса. Совсем другое — прийти в крупную компанию с предложением: «Давайте переходить на продукты отечественных вендоров». Клиенты гарантированно спросят: «Нормально же жили, ну зачем вы начинаете?».
Каким должен быть качественный российский NGFW?
Денис Батранков: Мы фокусируемся на производительности и надежности. Многие до сих пор ожидают работу всех функций безопасности одновременно на скоростях 10 Гбит/с и выше, включая анализ расшифрованного SSL-трафика. Поддержку high availability упоминали практически все участники наших опросов.
Денис Кораблев: NGFW — это продукт, который клиент не должен замечать. Основные претензии и запросы идут не к функциональности. Если продукт начинает резать сессию, падать и глючить — это боль. Клиенты хотят, чтобы NGFW работал незаметно и прозрачно.
Иван Чернов: Первое, о чем нас спрашивают заказчики, — наличие определенных сетевых функций. Им нужна динамическая маршрутизация, построение туннелей и т. д. Второй запрос — бумажки: реестр Минпромторга, реестр отечественного ПО, ТОРП, сертификат происхождения СТ-1 и др.
Павел Коростелев: Наш опыт показывает, что самое главное — эффективное обнаружение и предотвращение вторжений. Дальше идут контроль доступа и фильтрация по категориям. Третий пункт — защищенный удаленный доступ, потому что всем нравится работать дистанционно. Четвертый — защита от вредоносного ПО, потоковый антивирус. Это ключевые критерии, за которыми идут масштабируемость, отказоустойчивость, гибкая интеграция в сетевую инфраструктуру, мониторинг и отчетность.
Александр Баринов: На первое место наши клиенты ставят надежность и отказоустойчивость. Мы также хотим, чтобы сигнатуры для IPS стали нашей конкурентной отстройкой, поэтому считаем этот момент очень важным. Еще один ключевой фактор — сертификаты для госсектора, которые никто не отменял.
NGFW — это продукт, который клиент не должен замечать.
«Мой совет — запасайтесь нервами»
Где взять экспертизу, которую вы закладываете в продукт? Чем ваши решения отличаются друг от друга с этой точки зрения?
Александр Баринов: У нас самый большой по выручке коммерческий SOC в стране. Через него идет огромный поток трафика, который рождает экспертизу. Второй момент — прокси. В качестве базы для NGFW мы используем Solar webProxy, которому уже больше пяти лет. Клиенты часто просили реализовать новые фичи, которые пересекались с функционалом NGFW, и мы постепенно превращали систему в сетевой экран нового поколения.
Павел Коростелев: У нас есть четыре основных столпа. Первый — сотрудники, которые занимаются мониторингом сетей заказчиков. Второй — технологические партнеры, чьи материалы мы используем (например, «Лаборатория Касперского»). Третий столп — open source и инструменты, которые позволяют отсеивать, приоритизировать и создавать контекст. Наконец, последний пункт — наши заказчики. Они говорят: «Мы знаем все о собственной инфраструктуре. Дайте нам инструмент, который позволит загрузить эти знания в ваш продукт». Фактически мы конвертируем опыт клиентов в эффективные механизмы защиты.
Иван Чернов: У нас есть экспертный центр и ресечеры, которые анализируют угрозы и превращают эти данные в экспертизу. Чем отличается наш продукт? В первую очередь мы ориентируемся на реальные угрозы. Далеко не все тратят время на исследование малоиспользуемого софта и написание научных работ. Мы про threat hunting, изучение zero day и создание proof of concept. К примеру, на нашем сайте есть целый раздел security reports с новостями о каждой сигнатуре. Наша главная задача — сократить время реакции: от появления информации об уязвимости до попытки ее эксплуатации. У хакеров должно быть мало времени на атаку.
Денис Кораблев: Мы стараемся не растить коммерческий SOC умышленно. Наша компания долго искала баланс между экспертизой и прибылью от консалтинга. В итоге мы специально снизили поток проектов, а своим специалистам рекомендовали уделять 70% времени исследованиям: брать то, что редко ломается или встречается, и искать новые векторы угроз. В Positive Technologies есть белые хакеры, которые собирают подобную экспертизу в PT SWARM, в дальнейшем она переходит в наши продукты. Аналогично с защитой: у нас есть PT Expert Security Center (PT ESC), который занимается исследованием защиты.
Сколько стоит сделать NGFW?
Денис Кораблев: Пока мы выделили на это 750 млн руб. Но если поймем, что нужно больше, увеличим бюджет. Важно, что Positive Technologies вкладывает в это только собственные инвестиции.
Иван Чернов: Значительные средства могут уйти на генерацию трафика. Предположим, мы ставим железо на тест: 60 Гбит/с проходит — все хорошо, даже процессор не на пределе. Сможет ли оборудование выдержать больше? Чтобы это узнать, придется потратить еще 500 млн — взять дополнительную стойку и залить трафиком.
Павел Коростелев: Как минимум миллиард придется потратить на инфраструктуру. Но сколько еще потребуется, чтобы купить необходимое железо на склад? Ведь зачастую заказчик говорит: «Нужно тысячу устройств, причем уже через три месяца». Кроме того, нельзя забывать про разработку — это отдельная история, которую сложно измерить в деньгах.
Иван Чернов: Инвестировать можно много, но самое ценное — кейсы и реальные внедрения. Если вы не поставите свой продукт в сеть заказчика и не увидите, в чем ошиблись, никакие инвестиции не помогут.
Александр Баринов: Сейчас у нас есть окно возможностей — нужно потратить столько, сколько потребуется, чтобы к 2025 году у нас был рабочий NGFW, соответствующий ожиданиям заказчика. Сроки ограничены, и в них придется вписаться всем, иначе китайские компании заберут этот рынок.
Вы планируете локализовывать железо и производить собственные платы для NGFW?
Денис Кораблев: Есть сегменты, в которых локализованное железо необходимо. Например, ИТ-решения, которые стоят на заправках и в продуктовых магазинах. В случае высокопроизводительного оборудования необходимость локализации не так очевидна. На данный момент мы не видим в этом никакой выгоды. Нужно фокусироваться либо на очень маленьких, но массовых системах, либо на крупных — для балансировки трафика на десятки Тбит. В этих направлениях мы работаем, середины нет.
Павел Коростелев: Возьмем, к примеру, платы ASIC. Кристалл будет стоить 100 $, только если вы делаете сотни решений. Российский рынок для этого недостаточно большой, поэтому, скорее всего, мы будем опираться на процессоры, которые проектируют российские инженеры (например, в Дубне).
Александр Баринов: Перспективы параллельного импорта нельзя назвать ясными. Возможно, нам придется самостоятельно делать определенное железо: под управление, логирование, отдельные куски сетевых плат и др. Нужно закладывать эту вариативность уже сейчас, чтобы в будущем возможный переход не оказался болезненным.
На что стоит обратить внимание при переходе на отечественные решения?
Павел Коростелев: Начинать нужно с планирования. NGFW — сложное железо, которое находится глубоко в инфраструктуре, поэтому плохо продуманный проект может остановить работу компании. Затем определите критически важные для бизнеса функции и убедитесь, что вендор планирует реализовать их к 2025 году. Также обратите внимание на техническую поддержку: есть ли 24/7, что с SLA, сколько инженеров. Четвертый пункт касается поставок: уточните, сможет ли производитель предоставить нужный вам объем в заданные сроки. Также стоит убедиться, что у решения есть все необходимые сертификаты.
Денис Кораблев: Я давно пытаюсь донести до клиентов, что самое главное — это технологический потенциал. Даже при наличии качественной поддержки, всех бумаг и обвязок вы можете получить забагованную железку, которая не будет развиваться. В первую очередь я бы оценил, что у продукта под капотом. Кроме того, нужно четко понимать, насколько железо совместимо с вашей ИТ-инфраструктурой. Если в сети останется хотя бы 10–20% устройств, которые не подружатся с новым решением, это будет боль.
Александр Баринов: Я дам «вендор-агностичный» ответ. Безусловно, для многих компаний переход на российские решения будет тяжелым. Поэтому начинать этот процесс необходимо с тотального аудита: это поможет набраться смелости перед неизбежной миграцией.
Иван Чернов: Переход с одного продукта на другой всегда проходит сложно и непредсказуемо. К тому же вы не найдете точную копию привычной системы, потому что у всех решений разный функционал и архитектура. К этому просто нужно быть готовым. Мой совет — запасайтесь нервами.
Круглый стол «NGFW по-русски» на YouTube
