Флагманским продуктом российского ИБ-вендора UserGate является межсетевой экран следующего поколения NGFW UserGate. В марте 2024 года вышла версия 7.1 NGFW UserGate, которая, как отметил менеджер по развитию компании UserGate Иван Чернов, заметно превосходит по качеству своих предшественниц. Он полагает, что значительному улучшению устройства способствовало тесное общение специалистов-разработчиков с заказчиками, прежде всего из числа крупных компаний.
За два последних года UserGate реализовала около 5 тыс. внедрений NGFW UserGate, и примерно четверть из них, по оценкам Ивана Чернова, приходится как раз на крупные структуры. Это позволило получить разработчикам уникальный опыт, в том числе и отрицательный, который был учтен в доработках устройства. Он также сообщил, что среди заказчиков UserGate есть, так называемые, ранние адепты, которые помогают вендору перед выпуском своих устройств на рынок проводить тестирование их новых версий на своих инфраструктурах.
Оценивая расстановку игроков на российском рынке NGFW, Иван Чернов сказал: «В России сегодня несколько десятков ИБ-вендров позиционируют себя как разработчики NGFW. В силу непрозрачности рынка сегодня трудно определить, какая доля рынка принадлежит тому или иному из них. По документально неподтвержденным данным первое место по выручке за 2023 год занимает наша компания; в зависимости от того, какую аналитику брать за основу, нам принадлежит
Иван Чернов напомнил о присутствии на российском рынке NGFW (несмотря на действующие запреты) иностранных NGFW-вендоров; наиболее заметна среди них компания Check Point. Из-за малого количества сильных игроков, полагает он, говорить об острой конкуренции между NGFW-вендорами в России не приходится — каждый из них работает в освоенном им сегменте, и проектов, в которых вендоры жестко конкурируют между собой очень мало. «Рынка пока хватает на всех желающих; понятно, что рынок этот привлекательный, большой, потенциально прибыльный, есть, что импортозамещать», — говорит Иван Чернов.
Российские вендоры NGFW пока не могут реализовать весь тот функционал, который на протяжении десятилетий мировые лидеры направления NGFW нарабатывали на мировом рынке, примерно в пятьдесят раз превышающем по объему российский. В то же время при общении с заказчиками, перед которыми стоит задача замещения импортного NGFW от одного из иностранных NGFW-лидеров, заказчики хотят получить при замене полный функционал заменяемого устройства. Приходится объяснять, говорит Иван Чернов, что один в один это невозможно, даже при переходе на устройство другого мирового лидера. Выручает аудит на предмет выяснения реально используемых заказчиком возможностей NGFW, и их список, как правило, получатся далеким от полного перечня функциональных возможностей используемых устройств.
Есть и другой повод для конфликта между заказчиком и поставщиком при внедрении NGFW. От NGFW требуется бесконфликтное его сосуществование с другими сетевым оборудованием, для чего требуется богатый сетевой функционал: динамическая маршрутизация, поддержка широкого спектра сетевых протоколов, поддержка туннелирования и т.д. Вендор смотрит на это, как на необходимость для заказчика вносить изменения в его инфраструктуру; заказчик — как на неготовность вендора адаптировать свое устройство под его инфраструктуру. Из этого тупика помогает выйти консалтинг с целью выяснить, что дороже — доработка NGFW, или внесение изменений в инфраструктуру заказчика. Лучшим способом убеждения заказчиков внедрять устройство являются пилотные проекты.
Российским вендорам помогают также требования программы импортозамещения, подвигающие заказчиков идти навстречу отечественным разработчикам. NGFW, как устройства защиты первой линии, присутствие которых в корпоративной ИБ-инфраструктуре обязательно, оказались в числе первых ИБ-устройств, подлежащих замене в рамках этой программы. Однако, как отметил Иван Чернов, закупка российских продуктов зачастую идет с параллельным использованием иностранных NGFW. По его словам, это наблюдается не только в коммерческих структурах, но даже на российских объектах КИИ, хотя, конечно, в меньшей мере. С другой стороны, стремление к обеспечению непрерывности бизнес-процессов заставляет российские компании отказываться от зависимости политически мотивированных действий иностранных вендоров. Серьезную проблему для российских компаний представляют критичные уязвимости, обнаруживаемые в используемых в России ИТ- и ИБ-продуктах иностранных вендоров, что особенно опасно с усложнением получения обновлений.
Российским вендорам нужно учитывать высокий технологический уровень импортных NGFW: эти устройства в состоянии выполнять такие ключевые ИБ-функции, как инспекция зашифрованного трафика, фильтрация посещаемых веб-ресурсов, контроль и фильтрация используемых заказчиком приложений, внешняя защита от кибератак с требуемой заказчиком производительностью. Российские вендоры NGFW, должны также должны готовить замену инженерам заказчиков, которые за время присутствия в России иностранных вендоров обзавелись сертификатами, подтверждающими их квалификацию, необходимую для внедрения и обслуживания иностранных NGFW.
В этих целях UserGate развивает партнерскую сеть, специалисты которой через Академию UserGate, через взаимодействующие с UserGate центрами обучения, образовательные организации получают необходимые для обслуживания NGFW UserGate компетенции. Следует отметить, что Академия только-только начала свою работу и обучает пока пятнадцать человек в неделю, однако с учетом работы учебных центров это количество гораздо больше.
Емкость российского рынка не позволяет отечественным ведорам NGFW выйти на объемы продаж, достаточные для использования в программно-аппартных версиях NGFW специализированных микросхем (ASICS) — они эффективны только на больших объемах производства устройств. Однако, как пояснил Иван Чернов, есть более подходящий вариант, он подороже, зато проще и в производстве, и для внесения исправлений (если таковые требуются). Это программируемые логические интегральные схемы (ПЛИС, FPGA). Как было сказано, они дороже и уступают в технических характеристиках ASICS, зато гораздо удобнее в мелкосерийном производстве, в отладке, перепрошивке.
В компании UserGate считают, что организация ее производства сегодня такова, что позволяет ей говорить о нем как о российском.
ФСТЭК РФ сформулировала в отношении NGFW (которые в России рекомендуют называть теперь многофункциональными межсетевыми экранами уровня сети) требования по безопасности информации. По словам Ивана Чернова, их выполнение у компании UserGate сложностей не вызывает, однако отсутствие параллельных требований по использованию NGFW в рамках аттестации информационных систем делает процедуру сертификации на выполнение требований к ИБ NGFW в большей степени формальной.
Жизненный цикл NGFW составляет примерно пять лет, по завершении которого заказчик может рассматривать переход на других вендоров. Этим и следует пользоваться российским вендорам в процессе импортозамещения внутри страны и при выходе на зарубежные рынки. Однако на зарубежных рынках российским вендорам нужно быть готовым к недобросовестной конкуренции, использующей политические, а не технические, рычаги воздействия, ведь многие ключевые дистрибьюторы на местах давно работают с ведущими мировыми вендорами и находятся под их давлением.
UserGate планирует движение за границу от более дружественных рынков (где недружелюбное политическое влияние слабее) к нейтральным. Так, в Беларуси намечается открыть полноценный офис и центр разработки UserGate. Ведутся подготовительные работы для освоения рынков и в других регионах.
