NGFW по-русски: рынок на 100 млрд руб.

На Positive Hack Days 12 прошел круглый стол, участники которого обсудили отечественные межсетевые экраны нового поколения. Вендоры рассказали, какими функциями должен обладать качественный NGFW, можно ли безболезненно перейти на российские продукты и почему в разработку решения нужно вложить как минимум миллиард.

В апреле 2023 года на CISO-FORUM директор департамента обеспечения кибербезопасности Минцифры Владимир Бенгин сказал, что нехватка NGFW — одна из главных проблем российского рынка СЗИ. Согласны ли вы с Владимиром и что изменилось за последние несколько месяцев?

Денис Кораблев: Несмотря на то что в России есть вендоры, которые называют себя производителями NGFW, многие регуляторы чувствуют, что проблема не решена: качество отечественных продуктов оставляет желать лучшего. Я часто слышу от клиентов: «Мы купим лицензию на NGFW, повесим на стенку и будем всем показывать. На пару лет от нас отстанут, а к 2025 году, возможно, появятся рабочие решения». Все понимают, что NGFW нельзя сделать на коленке, для этого нужно время. На рынке есть продукты, которые уже что-то умеют, но пока они не могут полноценно заменить западные решения. Всем нужна классная технология, и надеюсь, что скоро она появится. Мы над этим работаем.

Денис Батранков: Наши клиенты активно формируют запросы и требования к NGFW, поскольку к 2025 году значительная часть российских компаний должна перейти на отечественные решения. Чаще всего они просят реализовать экспертный функционал, эффективную блокировку атак, качественный удаленный доступ и возможность блокировать вредоносный код, через который хакеры заражают инфраструктуру. 

Иван Чернов: В феврале 2022 года к нам пришли заказчики, к работе с которыми мы объективно не были готовы, — большой кровавый энтерпрайз. Они хотели закрыть все проблемы уже завтра, а в идеале — еще вчера. Извините, но это невозможно. CheckPoint в нашем положении тоже не справились бы до завтра. Привычный подход, когда технология постепенно растет и захватывает все бóльшую долю рынка, здесь не работает. Из-за этого возникло ощущение, что в России нет ничего в области NGFW. Да, определенным компаниям действительно не хватает возможностей отечественных продуктов, но мы работаем над этим. Для нас и наших конкурентов это вызов.

Павел Коростелев: Рынок NGFW — не одна большая тарелка, а скорее, пчелиные соты. Есть масса разных сегментов и клиентов, зачастую с довольно специфическими требованиями. Если в одной соте пусто, это не значит, что в остальных тоже. Версия о том, что российских продуктов на рынке нет, связана с отсутствием решений под специфические хотелки заказчиков. К тому же большинство компаний просто не готовы так быстро поменять ИТ-ландшафт. NGFW ставится вглубь сетевой инфраструктуры, поэтому перейти на новое решение без перерыва в работе невозможно.

Мы заметили интересную тенденцию: функционал, который заказчики последние пять лет называли неважным, сейчас ставится во главу угла: «Без этих возможностей мы у вас ничего не купим!». Я вижу два объяснения: либо рынок кардинально изменился, и теперь мы живем на Марсе, либо компании психологически не готовы к масштабному переходу. Они говорят, что рынок пуст, потому что хотят выиграть время и отложить трансформацию до 2025–2027 года. 

Александр Баринов: Продолжу мысль Павла. В определенных «сотах» действительно нет качественных решений, но в некоторых уже сформировалась полноценная конкуренция.
Денис Кораблев: Важно разделять огромный рынок NGFW и конкретные ниши, которые закрывают российские игроки. Одно дело — организовать VPN для маленького офиса. Совсем другое — прийти в крупную компанию с предложением: «Давайте переходить на продукты отечественных вендоров». Клиенты гарантированно спросят: «Нормально же жили, ну зачем вы начинаете?».

Каким должен быть качественный российский NGFW?

Денис Батранков: Мы фокусируемся на производительности и надежности. Многие до сих пор ожидают работу всех функций безопасности одновременно на скоростях 10 Гбит/с и выше, включая анализ расшифрованного SSL-трафика. Поддержку high availability упоминали практически все участники наших опросов.

Денис Кораблев: NGFW — это продукт, который клиент не должен замечать. Основные претензии и запросы идут не к функциональности. Если продукт начинает резать сессию, падать и глючить — это боль. Клиенты хотят, чтобы NGFW работал незаметно и прозрачно.

Иван Чернов: Первое, о чем нас спрашивают заказчики, — наличие определенных сетевых функций. Им нужна динамическая маршрутизация, построение туннелей и т. д. Второй запрос — бумажки: реестр Минпромторга, реестр отечественного ПО, ТОРП, сертификат происхождения СТ-1 и др. 

Павел Коростелев: Наш опыт показывает, что самое главное — эффективное обнаружение и предотвращение вторжений. Дальше идут контроль доступа и фильтрация по категориям. Третий пункт — защищенный удаленный доступ, потому что всем нравится работать дистанционно. Четвертый — защита от вредоносного ПО, потоковый антивирус. Это ключевые критерии, за которыми идут масштабируемость, отказоустойчивость, гибкая интеграция в сетевую инфраструктуру, мониторинг и отчетность.

Александр Баринов: На первое место наши клиенты ставят надежность и отказоустойчивость. Мы также хотим, чтобы сигнатуры для IPS стали нашей конкурентной отстройкой, поэтому считаем этот момент очень важным. Еще один ключевой фактор — сертификаты для госсектора, которые никто не отменял. 

«Мой совет — запасайтесь нервами»

Где взять экспертизу, которую вы закладываете в продукт? Чем ваши решения отличаются друг от друга с этой точки зрения?

Александр Баринов: У нас самый большой по выручке коммерческий SOC в стране. Через него идет огромный поток трафика, который рождает экспертизу. Второй момент — прокси. В качестве базы для NGFW мы используем Solar webProxy, которому уже больше пяти лет. Клиенты часто просили реализовать новые фичи, которые пересекались с функционалом NGFW, и мы постепенно превращали систему в сетевой экран нового поколения. 

Павел Коростелев: У нас есть четыре основных столпа. Первый — сотрудники, которые занимаются мониторингом сетей заказчиков. Второй — технологические партнеры, чьи материалы мы используем (например, «Лаборатория Касперского»). Третий столп — open source и инструменты, которые позволяют отсеивать, приоритизировать и создавать контекст. Наконец, последний пункт — наши заказчики. Они говорят: «Мы знаем все о собственной инфраструктуре. Дайте нам инструмент, который позволит загрузить эти знания в ваш продукт». Фактически мы конвертируем опыт клиентов в эффективные механизмы защиты.

Иван Чернов: У нас есть экспертный центр и ресечеры, которые анализируют угрозы и превращают эти данные в экспертизу. Чем отличается наш продукт? В первую очередь мы ориентируемся на реальные угрозы. Далеко не все тратят время на исследование малоиспользуемого софта и написание научных работ. Мы про threat hunting, изучение zero day и создание proof of concept. К примеру, на нашем сайте есть целый раздел security reports с новостями о каждой сигнатуре. Наша главная задача — сократить время реакции: от появления информации об уязвимости до попытки ее эксплуатации. У хакеров должно быть мало времени на атаку.

Денис Кораблев: Мы стараемся не растить коммерческий SOC умышленно. Наша компания долго искала баланс между экспертизой и прибылью от консалтинга. В итоге мы специально снизили поток проектов, а своим специалистам рекомендовали уделять 70% времени исследованиям: брать то, что редко ломается или встречается, и искать новые векторы угроз. В Positive Technologies есть белые хакеры, которые собирают подобную экспертизу в PT SWARM, в дальнейшем она переходит в наши продукты. Аналогично с защитой: у нас есть PT Expert Security Center (PT ESC), который занимается исследованием защиты.

Сколько стоит сделать NGFW?

Денис Кораблев: Пока мы выделили на это 750 млн руб. Но если поймем, что нужно больше, увеличим бюджет. Важно, что Positive Technologies вкладывает в это только собственные инвестиции.

Иван Чернов: Значительные средства могут уйти на генерацию трафика. Предположим, мы ставим железо на тест: 60 Гбит/с проходит — все хорошо, даже процессор не на пределе. Сможет ли оборудование выдержать больше? Чтобы это узнать, придется потратить еще 500 млн — взять дополнительную стойку и залить трафиком.

Павел Коростелев: Как минимум миллиард придется потратить на инфраструктуру. Но сколько еще потребуется, чтобы купить необходимое железо на склад? Ведь зачастую заказчик говорит: «Нужно тысячу устройств, причем уже через три месяца». Кроме того, нельзя забывать про разработку — это отдельная история, которую сложно измерить в деньгах.

Иван Чернов: Инвестировать можно много, но самое ценное — кейсы и реальные внедрения. Если вы не поставите свой продукт в сеть заказчика и не увидите, в чем ошиблись, никакие инвестиции не помогут. 

Александр Баринов: Сейчас у нас есть окно возможностей — нужно потратить столько, сколько потребуется, чтобы к 2025 году у нас был рабочий NGFW, соответствующий ожиданиям заказчика. Сроки ограничены, и в них придется вписаться всем, иначе китайские компании заберут этот рынок.

Вы планируете локализовывать железо и производить собственные платы для NGFW?

Денис Кораблев: Есть сегменты, в которых локализованное железо необходимо. Например, ИТ-решения, которые стоят на заправках и в продуктовых магазинах. В случае высокопроизводительного оборудования необходимость локализации не так очевидна. На данный момент мы не видим в этом никакой выгоды. Нужно фокусироваться либо на очень маленьких, но массовых системах, либо на крупных — для балансировки трафика на десятки Тбит. В этих направлениях мы работаем, середины нет.

Павел Коростелев: Возьмем, к примеру, платы ASIC. Кристалл будет стоить 100 $, только если вы делаете сотни решений. Российский рынок для этого недостаточно большой, поэтому, скорее всего, мы будем опираться на процессоры, которые проектируют российские инженеры (например, в Дубне). 

Александр Баринов: Перспективы параллельного импорта нельзя назвать ясными. Возможно, нам придется самостоятельно делать определенное железо: под управление, логирование, отдельные куски сетевых плат и др. Нужно закладывать эту вариативность уже сейчас, чтобы в будущем возможный переход не оказался болезненным. 

На что стоит обратить внимание при переходе на отечественные решения?

Павел Коростелев: Начинать нужно с планирования. NGFW — сложное железо, которое находится глубоко в инфраструктуре, поэтому плохо продуманный проект может остановить работу компании. Затем определите критически важные для бизнеса функции и убедитесь, что вендор планирует реализовать их к 2025 году. Также обратите внимание на техническую поддержку: есть ли 24/7, что с SLA, сколько инженеров. Четвертый пункт касается поставок: уточните, сможет ли производитель предоставить нужный вам объем в заданные сроки. Также стоит убедиться, что у решения есть все необходимые сертификаты.

Денис Кораблев: Я давно пытаюсь донести до клиентов, что самое главное — это технологический потенциал. Даже при наличии качественной поддержки, всех бумаг и обвязок вы можете получить забагованную железку, которая не будет развиваться. В первую очередь я бы оценил, что у продукта под капотом. Кроме того, нужно четко понимать, насколько железо совместимо с вашей ИТ-инфраструктурой. Если в сети останется хотя бы 10–20% устройств, которые не подружатся с новым решением, это будет боль. 

Александр Баринов: Я дам «вендор-агностичный» ответ. Безусловно, для многих компаний переход на российские решения будет тяжелым. Поэтому начинать этот процесс необходимо с тотального аудита: это поможет набраться смелости перед неизбежной миграцией.

Иван Чернов: Переход с одного продукта на другой всегда проходит сложно и непредсказуемо. К тому же вы не найдете точную копию привычной системы, потому что у всех решений разный функционал и архитектура. К этому просто нужно быть готовым. Мой совет — запасайтесь нервами.  

Круглый стол «NGFW по-русски» на YouTube