На фоне современных геополитических событий количество компьютерных атак в России выросло примерно вдвое, и 10% из них приходится на сетевые атаки, что в очередной раз подчеркивает актуальность киберзащиты сети.
Как обязательный инструмент сетевой защиты сегодня рассматриваются межсетевые экраны следующего поколения (NGFW). C 2022 г. спрос на них заметно вырос, на что повлиял уход из страны большинства иностранных вендоров, а также указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», подразумевающий запрет с 1 января 2025 г. на использование средств защиты информации, «странами происхождения которых являются недружественные иностранные государства».
Согласно экспертным исследованиям, весь рынок кибербезопасности России в 2021 г. оценивался примерно в 186 млрд. руб.; рынок NGFW, по оценкам компании «Код Безопасности», составлял
Как «продать» NGFW бизнес-руководству
Руководитель центра компетенций ИБ FERRUM IT Group Кирилл Уголев считает, что руководство компаний должно стремиться достичь такой зрелости в области ИБ, при которой ему станут понятны преференции для бизнеса от наличия NGFW и недостатки от его отсутствия. Тогда оно точно будет согласно на лицензионные подписки, вендорскую техподдержку и привлечение квалифицированного персонала (как собственного, так и привлеченного) для эксплуатации NGFW. Вместе с этим достаточный уровень экспертизы персонала в сфере защиты информации позволит руководству персонализировать в компании ответственность за безопасную обработку информации, что, конечно, скажется положительно на состоянии корпоративной ИБ.
Ведущий эксперт отдела продвижения продуктов «Кода Безопасности» Дмитрий Лебедев полагает, что необходимый уровень корпоративной зрелости в отношении NGFW в нашей стране уже достигнут, и «продавать» NGFW не требуется. По его мнению, бизнес-руководителям понятно, что это решение позволяет закрыть почти все потребности в области корпоративной сетевой безопасности, помогает ИБ-службе контролировать действия пользователей в сети, а бизнесу дает возможность повысить эффективность работы персонала.
С таким мнением согласен менеджер по развитию UserGate NGFW Кирилл Прямов. Он тоже считает, что российский рынок NGFW достиг такого уровня зрелости, что объяснять, зачем этот продукт требуется компании, уже нет нужды. Однако, если ИБ-директору все же придется объяснять генеральному или финансовому директорам, далеким от вопросов кибербезопасности, зачем бизнес должен инвестировать деньги в решение NGFW, можно напомнить, что оно вместе с антивирусом представляет собой сегодня обязательный минимум корпоративной кибербезопасности, столь же необходимый, как в гигиене мытье рук и чистка зубов. NGFW.
Использование инструментов ИБ, отмечает директор компании Ideco Дмитрий Хомутов, напрямую связано с понятным для бизнеса управлением рисками. Для наиболее распространенных средств ИБ-защиты существуют проверенные модели оценки рисков, позволяющие вычислять вероятность инцидентов и потенциальный ущерб от них. NGFW, напоминает он, способны предотвращать заражения шифровальщиками, DoS-атаки, распространение ботнетов в корпоративной сети, кражу данных и т. д., в итоге они помогают минимизировать киберриски и избегать значительных финансовых и репутационных потерь.
Обязательные свойства NGFW
Примерно с 2018 г., по наблюдениям экспертов, в функциональный набор NGFW на мировом рынке не было добавлено сколь-нибудь принципиально новых, базовых компонентов. При этом у российских заказчиков сильно изменился список ИКТ-инфраструктурных компонентов за счет отечественных импортозамещающих разработок, а они тоже нуждаются в защите с помощью NGFW. Это позволяет сделать вывод, что базовые требования к NGFW (функциональность, производительность, надежность, масштабируемость) остаются прежними, но российские локальные требование к функциональности NGFW (в силу необходимости защищать инфраструктурные компоненты, используемые вместо импортных) значительно меняются.
Выражая общее мнение ряда экспертов, продакт-менеджер InfoWatch ARMA Стас Румянцев напоминает о необходимости соответствия NGFW действующим регуляторным требованиям к этого класса решениям (в первую очередь это относится к NGFW для КИИ), важности наличия в них возможности управлять политиками безопасности, наличия систем обнаружения и предотвращения вторжений, контентного фильтра, контроля приложений, антивирусной защиты, киберзащиты почтового трафика, поддержки работы с широким перечнем VPN-протоколов (в том числе ГОСТ VPN), возможности глубокой инспекции сетевых пакетов. Кроме того, решение NGFW должно иметь возможность централизованного управления и масштабирования, обладать отказоустойчивостью и способностью быстрого восстановления; у заказчика также должна быть уверенность в том, что производитель не откажется за время жизни продукта от своей разработки, продолжит ее развивать и обновлять.
Как выбрать российский NGFW и не ошибиться?
К концу 2024 года на российском рынке NGFW ожидаемо наблюдается высокая конкуренция среди производителей этого класса решений, число которых продолжает расти. Как составить шорт-лист вендоров, рассказывает Стас Румянцев, продакт-менеджер InfoWatch ARMA.
1. Изучите информацию о продукте из разных источников
Важно получить от вендора не только маркетинговые материалы, но и технические спецификации (datasheet) по каждому ПАКу продукта, а также результаты тестирований, в том числе и независимых. Например, один из ключевых показателей при выборе NGFW, — это производительность. Параметры производительности, заявленные в рекламных материалах, как правило, получаются в результате применения внутренних методик и при наличии определенных условий тестирования продукта, которые у многих вендоров свои собственные. Запросите результаты экспертизы независимой тестовой лаборатории, которая пользуется доверием рынка, или попросите провести тестирование продукта в условиях эксплуатации, схожих с вашими. Сравнение информации из разных источников поможет получить объективное представление о качестве и возможностях продукта. Вот одно из независимых тестирований лаборатории «Инфосистемы Джет» в котором собраны основные российские NGFW-решения.
2. Запросите у вендора результаты реальных кейсов внедрения у заказчиков со схожими запросами
Кейсы внедрения NGFW наглядно демонстрируют, как NGFW функционирует в реальных условиях эксплуатации с учётом всех возможных сложностей и ограничений, а также дают представление о том, как продукт был адаптирован под конкретные задачи и условия заказчика.
Внедрение NGFW требует затрат не только на покупку самого решения, но и на его поддержку, обучение команды, интеграцию с существующими системами. Реальные кейсы помогают оценить эти затраты и понять, сколько будет стоить владение NGFW в долгосрочной перспективе. Для крупных проектов также важно понимать, как система будет вести себя при увеличении нагрузки или расширении функционала. Реальные примеры внедрения покажут, насколько легко и эффективно можно масштабировать технологию в зависимости от роста потребностей вашего бизнеса.
Ориентируйтесь на сценарии использования продукта, которые совпадают с вашими и решают ваши задачи. При этом не стоит ждать показателей зарубежных решений от отечественных продуктов — более важен опыт внедрения, который полезен вашему бизнесу сейчас.
3. Уточните условия техподдержки
Многие российские компании получили негативный опыт после ухода из России зарубежных вендоров, когда остались без техподдержки и обновлений продуктов. В этой ситуации необходимо еще на этапе выбора NGFW определить, предоставляет ли вендор качественный поддержку, будет ли она соответствовать вашим требованиям, как решаются вопросы с гарантийным и сервисным обслуживанием. Запросите подробную информацию об уровнях поддержки, стандартных сроках ответа на запрос, сколько времени требуется на замену оборудования и устранение неполадок, есть ли подменный фонд, склад и как обстоят дела с логистикой, сможет ли вендор организовать обучение так, чтобы процесс устранения мелких неполадок проходил на вашей стороне или в удаленном режиме? А главное — готов ли вендор идти вам навстречу в вопросах техподдержки и пересмотреть ее базовые условия в случае необходимости.
4. Запросите план развития продукта
Переход всей инфраструктуры на новое решение требует значительных вложений и ресурсов. Хорошо, если этот процесс происходит в диалоге с вендором, который развивает и регулярно обновляет свой продукт с учетом обратной связи с рынка и трендов отрасли. Наличие открытой дорожной карты продукта — хороший знак, что разработчик прислушивается к запросам клиентов, учитывает их в релизах продукта, понимает, куда решение развивается и что нужно целевой аудитории. Обращайте внимание на то, как производитель исследует ваши потребности, реагирует на ваши пожелания, работает с обратной связью и использует ее для доработки продукта.
5. Постарайтесь получить максимально полную информацию о компании-производителе и команде, которая занимается его созданием и управлением
NGFW — это сложная технология, в которой много подводных камней, и которую невозможно создать с нуля за короткий срок. Для создания таких сложных, комплексных продуктов важен релевантный опыт разработки и экспертиза компании-разработчика. Очевидно, что уже имеющийся опыт создания межсетевых экранов, то есть работы не только с софтом, но и с железом, вендор будет применять и при создании NGFW. И это будет качественно другой уровень разработки и погружения в специфику технологии, нежели у вендора, который никогда раньше не занимался сетевой безопасностью и вообще не соприкасался с межсетевыми экранами.
По мнению Кирилла Уголева, за заказчиком важно оставить возможность гибкого, исходя из своих конкретных потребностей, подбора компонентов и механизмов для построения решения NGFW. Чем большее разнообразие этих компонентов предоставит разработчик, тем более адекватную систему защиты сможет построить заказчик.
Российский подход к разработке NGFW
Руководитель группы сетевой безопасности компании «Инфосистемы Джет» Роман Асаев отмечает, что небольшие игроки на рынке, как правило, идут по пути технологического партнерства и используют готовые модули сторонней разработки для развития своих решений. В то же время лидеры рынка стремятся создавать технологически независимые решения и не полагаются на сторонних партнеров. Для создания аппаратных платформ, утверждает он, вендоры либо разрабатывают собственные решения, либо используют открытые проекты поставщиков аппаратных платформ и адаптируют их под свои требования.
Дмитрий Хомутов убежден, что только открытые экосистемы и партнерство в построении NGFW позволят создавать не просто «быстрые маршрутизаторы», но действительно эффективные решения мирового уровня. Он полагает, что этот подход позволяет вендорам сосредоточиться на своих ключевых компетенциях, одновременно используя поддержку партнеров для развития и внедрения решений, самостоятельная разработка которых потребовала бы значительных ресурсов на протяжении многих лет. Сотрудничество и интеграция усилий с партнерами, считает он, дает возможность выпускать инновационные продукты, соответствующие современным кибервызовам.
Роман Асаев обращает внимание заказчиков на то, что российским разработчикам не всегда удаётся полноценно протестировать обновления, выпускаемые зачастую под давлением рыночных запросов. В результате не все апдейты, по его наблюдениям, не содержат ошибок, и вендорам приходится оперативно выпускать для них «горячие» исправления.
Российским разработчикам NGFW, отмечает Кирилл Прямов, приходится работать в условиях жесткой конкуренции за квалифицированные кадры и сопутствующего ей роста издержек, сложностей с логистикой, отставания российской микроэлектроники, высоких требований заказчиков, получивших опыт эксплуатации лидирующих мировых NGFW. Они также сталкиваются с инфраструктурными проблемами, поскольку прикладные системы еще не полностью оптимизированы для работы с новыми ОС отечественного производства.
Дмитрий Хомутов обращает внимание на то, что российским вендорам NGFW приходится адаптировать свои решения под требования как отечественных, так и международных стандартов, на трудности, которые возникают при интеграции решений с устаревшими и проприетарными системами.
Дмитрий Лебедев отмечает несколько способов достижения высокой производительности NGFW, которые применяют российские разработчики. Один — использование аппаратных чипов ASIC и FPGA. Наряду с этим он указывает на возможность увеличения производительности на программном уровне, например, через перенос логики обработки трафика c программного уровня Kernel на уровень User Space. Он также указывает на возможность горизонтального масштабирования решений NGFW. Каждый способ, по его мнению, имеет свои плюсы и минусы.
«Континент 4» — NGFW и VPN-сервер от «Кода Безопасности» предназначен для защиты:
- периметра сети;
- внутренней инфраструктуры;
- геораспределенной сети;
- центров обработки данных.
Главное преимущество «Континент 4» — централизованное управление и мониторинг с интуитивно понятным интерфейсом. Корпоративные и серверные сегменты защищаются с помощью следующей функциональности:
- защита от сетевых атак — IDS/IPS, поведенческий анализ;
- контроль доступа пользователей в Интернете — идентификация пользователей, контроль приложений, URL-фильтрация и категоризация, потоковый антивирус, фиды Threat Intelligence;
- шифрование каналов связи — Site-to-Site VPN, Remote Access VPN.
«Континент 4» поставляется как в виде программно-аппаратного комплекса, так и в виде виртуального исполнения.
Сегодня вендоры достигают высокой производительности разными путями, и какой из них лучше других обеспечит потребности рынка, будет видно через несколько лет.
По мнению Дмитрия Хомутова, концепция аппаратного ускорения ИТ-решений была актуальна лет пять назад, когда мощностей центральных процессоров, количества ядер в них было недостаточно для параллельной обработки большого трафика в реальном времени. К 2024 г., отмечает он, появились программные компоненты (DPDK) и мощные многоядерные системы, дающие возможность обходиться без специализированных интегральных микросхем. Тенденцию использования этих возможностей он наблюдает сегодня и у лидеров зарубежного рынка NGFW. Достигнуть больших скоростей без ASIC, по его мнению, дешевле с учетом стоимости «железа» и перспективнее на гипервизорах в облаках.
Приоритеты российских заказчиков при выборе NGFW
Заказчики настойчиво требуют от российских вендоров, чтобы их NGFW не уступали по основным характеристикам зарубежным аналогам, отмечает Стас Румянцев, чтобы при импортозамещении они поддерживали перенос настроек и конфигураций с иностранных решений на отечественные, имели подробную документацию и при необходимости техподдержку специалистов вендора, возможность интеграции с отечественными ИКТ-решениями для быстрого встраивания в корпоративную инфраструктуру.
Дмитрий Хомутов отмечает запросы российских заказчиков NGFW для решения инфраструктурных задач таких функций, как динамическая маршрутизация, поддержка виртуальной маршрутизации VRF. Особое внимание, по его мнению, заказчики уделяют таким функциям, как работа модулей уровня L7, систем обнаружения и предотвращения вторжений (IDPS), дешифрация SSL-трафика, по сути всего, что касается реализации практического обеспечения безопасности информационных процессов.
Для заказчиков из СМБ при выборе NGFW, в первую очередь важны цена, функциональность класса «всё в одном», простота интерфейса, считает Кирилл Прямов. Заказчики уровня enterprise на первый план ставят производительность, отказоустойчивость, стабильность работы, гибкие сетевые возможности (так как решение нужно встроить в сложную сформированную корпоративную инфраструктуру), надежность поставщика, централизованное управление.
NGFW для СМБ
По оценкам Дмитрия Хомутова, решения NGFW в России зачастую недоступны малому бизнесу. Проблему он видит не столько в стоимости покупки решения, сколько в затратах на обслуживание, настройку и постоянный мониторинг ИБ-инцидентов, хотя для многих компаний препятствием остается также цена базового оборудования или мощностей гипервизора для развертывания виртуального NGFW. По его наблюдениям, сервисные модели, такие как лизинг или аренда, другие финансовые схемы, практически не применяются в нашей стране, что он связывает с низким уровнем проникновения в российские корпоративные ИКТ-инфраструктуры облачных технологий.
В свою очередь Роман Асаев обращает внимание на то, что специализированные решения NGFW для малого и среднего бизнеса на рынке присутствуют. Они есть как в продуктовых линейках поставщиков решений широкого класса — от уровня enterprise до небольших компаний, так и у поставщиков нишевых решений. Эти решения обычно имеют более низкую производительность по сравнению с решениями для крупных заказчиков, могут не включать некоторые функции, характерные для более масштабных систем (например, SD-WAN). Для СМБ рынок предлагает также сервисные модели полнофункциональных систем с возможностью выбирать требуемый набор функций.
Важный итог обсуждению темы «NGFW для СМБ» подводит Стас Румянцев. Поскольку, отмечает он, компании СМБ сталкиваются практически с теми же угрозами, что и крупные организации (фишинг, DoS-атаки, вредоносные программы, атаки на платежные системы...), им стоит выбирать решения пусть менее производительные, но без ограничений функциональности (что доступно, напоминает он, прежде всего в виртуальных средах).
Как найти «своего» поставщика NGFW
При выборе поставщика NGFW Роман Асаев рекомендует заказчикам проанализировать в предлагаемых решениях реализованные функции, сравнить среднюю и пиковую загрузки по трафику. Это поможет отобрать реально необходимые функции и уровень производительности, которые являются критичными для конкретного бизнеса конкретного заказчика. Полезно использовать результаты пилотных проектов, опыт успешных внедрений через референс-визиты, возможности независимого тестирования NGFW.
На данный момент, полагает Роман Асаев, невозможно полностью заменить все функции иностранных решений российскими решениями, однако можно отбирать ключевые для заказчиков требования, и адаптировать решения под них.
При выборе поставщика Кирилл Прямов советует смотреть не только на функциональность предлагаемых продуктов, которая, по его мнению, часто оказывается «продажей вендорами будущего» (проверять это он рекомендует тестированием), но и на историю продукта: как давно продукт разрабатывается и продается, сколько состоялось внедрений. Средний срок жизни NGFW составляет пять-семь лет, и нужно быть уверенным, что вендор останется на рынке хотя бы в течение этого времени.
Дмитрий Хомутов указывает на то, что заказчику необходимо провести тестирование и пилотные проекты с несколькими NGFW. Это позволит оценить производительность и функциональность решений в реальных условиях и убедиться, что выбранный NGFW интегрируется с существующими ИТ- и ИБ-системами компании. Тестирование и пилотирование также помогают оценить удобство эксплуатации, включая интерфейс управления.
Чтобы убедить российских заказчиков отказаться от иностранных решений NGFW, Роман Асаев рекомендует использовать два основных аргумента. Первый — регуляторный: под давлением регуляторики многие ключевые отрасли вынуждены переходить на отечественные решения. Второй — угроза прекращения техподдержки и предоставления обновлений для России после ухода западных производителей с нашего рынка.
Сроки окупаемости NGFW
Для оценки окупаемости развернутого решения NGFW Дмитрий Хомутов рекомендует создавать отчетность по выявленным угрозам с переложением их и на финансовые показатели. Он полагает, что это помогает точнее оценить окупаемость решения и уменьшает ошибки оценки бюджета на новые версии NGFW.
Кирилл Прямов, исходя из многолетнего опыта своей компании, средний срок окупаемости NGFW оценивает в два года.
Роман Асаев советует оценивать окупаемость NGFW с первого дня эксплуатации, поскольку интегрированный в сеть заказчика NGFW начинает защищать ее сразу же. Отдельно он советует рассматривать окупаемость при организации ИБ по подписке (MSSP). Он также напоминает о штрафах за утечку персональных данных (размеры которых регуляторы планируют резко увеличить).
Из ответов наших экспертов можно заключить, что российский рынок NGFW в настоящее время переживает пору высокой турбулентности. С одной стороны, она характеризуется острой конкуренцией между NGFW-вендорами, ряды которых за последние года два резко пополнились. Каждый из них ищет свои способы — технологические и маркетинговые — если не победить, то хотя бы удержаться на этом обещающем большие перспективы на протяжении ближайших лет направлении.
Со другой стороны, российские компании, длительное время имевшие возможность знакомиться, приобретать и эксплуатировать лучшие мировые NGFW-продукты, теперь в силу экономико-политической ситуации вынуждены от них отказываться. Подталкиваемые политикой импортозамещения, они оказывают давление на российских разработчиков NGFW, предъявляя к ним зачастую нереальные требования представить рынку в короткие сроки NGFW-решения, конкурентные с лучшими мировыми образцами.
Можно ожидать, что ситуация стабилизируется за ближайшие два-три года: на российском рынке определятся три-пять лидирующих NGFW-разработчиков, чьи продукты не только удовлетворят современные запросы российских компаний, но и смогут составить конкуренцию на мировом NGFW-рынке. Остальные претенденты либо уйдут с рынка, либо станут нишевыми игроками.
