Павел Коростелев, «Код Безопасности»: Российский рынок NGFW переживает бум развития

Павел Коростелев: Если мы говорим про механизмы защиты, то это система предотвращения вторжений в сетевом трафике, потоковый антивирус, контроль доступа пользователей в интернет по категориям и по собственным «черным» и «белым» спискам. Кроме того, должен быть реализован механизм идентификации пользователей, чтобы фильтровать трафик не только по IP-адресам, но и по идентификаторам пользователей.

Также в NGFW должен быть организован Site-to-Site VPN, то есть защита каналов связи, и Remote Access VPN, обеспечивающий защищенный удаленный доступ. При этом необходимо, чтобы NGFW поддерживал отечественные алгоритмы шифрования, то есть алгоритмы ГОСТ. Таким образом, вендор сможет покрыть задачи, связанные как с защитой каналов связи, так и с защитой удаленного доступа в государственных организациях.

Павел Коростелев: В данном вопросе все зависит от сценария использования, которых насчитывается пять:

• периметровый NGFW;
• NGFW уровня ЦОД;
• NGFW для защиты технологических сетей;
• NGFW для среднего и малого бизнеса;
• территориально-распределенный NGFW.

В первых четырех многое зависит от того, какую способность необходимо обеспечивать файрволу, поэтому могут быть как сравнительно небольшие устройства, так и высокопроизводительные. Скажем, в контексте файрвола уровня ЦОД обязателен высокий уровень отказоустойчивости и, конечно, высокая пропускная способность.

Если говорить про защиту АСУ ТП, то в данном варианте необходимо обеспечить защиту аппаратной части от дополнительных нагрузок: вибрации, пыли, влаги, пониженных или повышенных температур – в зависимости от того, в каких условиях будут использоваться устройства. Также должны быть специализированные крепления на рейки.

Что касается требований к базовому ПО, то это в первую очередь высокая оптимизация, потому что в NGFW очень много различных механизмов, которые потребляют аппаратные ресурсы, а их всегда не хватает. Также требуются высокая стабильность, ведь файрвол ставится в разрыв, и неправильная работа NGFW, которая приводит к его зависанию или отключению, негативно скажется на работоспособности всей сети. К этому добавляются продвинутые механизмы отказоустойчивости, поэтому файрволы, как правило, работают в кластере – Active/Standby. И если один выходит из строя, то его функции быстро «подбирает» другой, а пользователи даже не видят процесс переключения.

Также в рамках базового ПО крайне важен высокий уровень безопасности, который подразумевает отсутствие уязвимостей. Дело в том, что файрвол смотрит наружу, в «дикий» интернет, а оттуда обязательно что-нибудь придет, поэтому разработчик должен вдумчиво и тщательно тестировать базовый софт на наличие уязвимостей.

Отдельно стоит отметить, что для государственных организаций, относящихся к субъектам критической информационной инфраструктуры (КИИ) оборудование должно обязательно входить в РЭП и, соответственно, иметь статус ТОРП. То есть необходимо, чтобы продукт был разработан и собран в России, а у вендора имелась вся конструкторская документация и исходные коды. Таким образом, обеспечивается более высокий уровень логистической предсказуемости, и решение может продаваться в те отрасли экономики, где существуют жесткие требования по локализации. В этом плане «Код Безопасности» был первой компанией на рынке, у которой вся линейка оборудования имела статус ТОРП.

Павел Коростелев: Вопрос достаточно сложный, потому что, с одной стороны, NGFW в виде облачного сервиса – это частая история, но надо понимать, что защита, как правило, реализуется только для тех нагрузок, которые расположены в этом же облаке. Кроме того, эксплуатанты имеют склонность использовать встроенный файрвол, предоставляемый оператором облака, а не файрвол вендора, который защищает основную сеть. Это связано с тем, что обычно «облаками» пользуются отдельные команды компании, и эти инфраструктуры часто не интегрированы в общую инфраструктуру.

В целом NGFW в виде облачных сервисов можно считать перспективным направлением, но оно зависит от уровня развития облачных сервисов, а не сетевой инфраструктуры и файрволов. Так что всплеск интереса к этой истории мы увидим не сейчас, а, в среднесрочной перспективе, примерно через пять лет.

Павел Коростелев: Во-первых, должна быть техническая поддержка, поскольку файрвол – критичное устройство, и его отключение может положить всю сеть. Во-вторых, необходима сервисная поддержка. 95% файрволов представляют из себя «железку», и если с каким-либо его компонентом что-то пойдет не так, то это опять же приведет к серьезным последствиям.

Третий момент – наличие поддержки, связанной с обновлением сигнатур, то есть вендор должен уметь самостоятельно создавать сигнатуры для механизмов безопасности, которые реализованы в NGFW. Вдобавок к этому вендор должен предоставлять открытый API для взаимодействия с внешними сущностями: это поставщики знаний об угрозах, такие, как индикаторы компрометации; это технологические партнеры, которые обеспечивают дополнительную ценность относительно внедренного файрвола, например, механизм многофакторной аутентификации, дополнительный уровень проверки трафика в песочнице, балансировка нагрузки с помощью внешнего брокера, система SOAR (оркестрация и автоматическое реагирование на инцидент). По большому счету это открытая экосистема, и она крайне важна для того, чтобы файрвол считался полноценным.

Учитывая критичность NGFW, вендор также должен оказывать сервис мониторинга. Как правило, у всех производителей NGFW есть собственные сервисы СОПКА, куда отправляется информация об инцидентах, а затем идет в НКЦКИ. В «Коде Безопасности», помимо этого механизма, реализован мониторинг стабильности устройств. То есть мы отслеживаем работоспособность NGFW, и если замечаем, что с ним что-то может пойти не так, то в проактивном режиме уведомляем об этом заказчика и своевременно реагируем. Эта функция бесплатна, если у клиента есть расширенная техподдержка.

Павел Коростелев: Российский рынок NGFW переживает бум развития. За два года он вырос примерно в три раза, при этом тот вакуум, который возник после ухода «Большой четверки», практически закрыт. Осталось всего около полутора миллиардов «лишних» денег.

Также завершился процесс формирования рынка, который теперь расслоился на несколько эшелонов.

Первый – два лидера, один из которых – «Код Безопасности», чьи решения заказчики активно внедряют в свои инфраструктуры. К этим заказчикам относятся те организации, которые должны перейти на отечественные решения до начала 2025 года, при этом они нередко предпочитают покупать продукты сразу обоих топов.

Второй эшелон – вендоры, которые предлагают более нишевые решения: защита АСУ ТП, защита организаций малого и среднего бизнеса и так далее. Их продукты уже разработаны и сертифицированы, но «отгружают» они в разы меньше лидеров.

Третий эшелон – игроки, которые на данный момент либо не выпустили решения, либо выпустили некие бета-версии. В лучшем случае они будут сертифицированы к концу года, а скорее всего только в следующем. По факту работающих решений у них нет, но в инфополе они существуют.

К четвертому эшелону относятся иностранные продукты, которые не ушли с российского рынка. Это относится к китайским, израильским и ряду других вендоров.

Естественно, главная тенденция нашего рынка – активная фаза перехода инфраструктур отечественных организаций с иностранных продуктов, даже дружественных стран, на российские. При этом заказчики предпочитают покупать решения сразу нескольких вендоров, а затем выбирать, кто более качественно выполняет свои обещания, насколько эффективно работают продукты, каков уровень техподдержки.

Павел Коростелев: В целом NGFW – это достаточно независимый сегмент отрасли, и здесь активнее всего действуют госорганизации, ИТ и телеком, финансовые организации, энергетика и обрабатывающая промышленность. Компании этих отраслей находятся в интенсивной стадии импортозамещения – кто-то уже перешел на российские продукты, кто-то планирует и при этом ведет работу с вендорами, делясь своими потребностями. Разумеется, на все эти компании закон о КИИ влияет напрямую, потому что для субъектов КИИ критичны требования, во-первых, по защите, во-вторых, по импортозамещению, к которому необходимо прийти к 1 января 2025 года.

Павел Коростелев: Поскольку NGFW – не какая-то принципиально новая продуктовая категория, то на рынке хватает опытных в сетевых технологиях кадров.

Для обеспечения [кадрами] в первую очередь стоит выделить специалистов по сетевой инфраструктуре, потому что чаще всего именно они выступают эксплуатантами NGFW. Затем необходимы ИБ-специалисты, которые должны разбираться в механизмах защиты, знать, как правильно создавать политики безопасности, в том числе какому пользователю и куда можно идти, какой трафик нужно блокировать или пропускать и так далее. Третья востребованная категория – аналитики Центра обеспечения кибербезопасности, он же SOC. Они должны уметь понимать контекст сетевых угроз, правильно на них реагировать и вносить необходимые изменения в настройки NGFW.

Павел Коростелев: В первую очередь это повышение требований к пропускной способности оборудования, потому что данный сегмент рынка меньше остальных заполнен отечественными решениями. Хотя он не очень большой по объему, но имеет критическое значение. Следующая тенденция – развитие и внедрение механизмов защиты на основе машинного обучения и искусственного интеллекта, а также интеграция средств защиты между собой для обмена информацией и получения большего контекста, что позволит обеспечить совместное реагирование на уровне сети и эндпоинтов.

При этом российские тренды сильно отличаются от общемировых, потому что, например, на западе уже произошел фазовый переход, и центр притяжения сместился от собственной инфраструктуры заказчика в облако. Поэтому большое распространение получили облачные файрволы, системы управления и так далее. На нашем рынке пока такого не просматривается, но если у заказчиков возникнут такие потребности, вендоры быстро к этому придут.

При этом мы, вероятно, увидим реализацию концепта гибридного файрвола. Поскольку инфраструктура заказчика находится в разных средах – физической, виртуальной, распределенной, – то и файрволы для их защиты будут иметь разный набор требований. Идея гибридного NGFW в том, что с течением времени они будут все сильнее отличаться друг от друга. Например, на западе файрволы для публичных «облаков» технологически уже достаточно серьезно отличаются от обычных аппаратных NGFW.

Также будут усиливаться механизмы, связанные с определением доверия сетевых узлов. То есть если к какому-то сетевому хосту, согласно политике безопасности, можно отправлять трафик в другой сегмент, то при подозрительном поведении хоста файрвол будет его блокировать. Это определение доверия непросто с технологической точки зрения, но крайне перспективна.

Другая перспективная история – тенденция к сотрудничеству, то, что «Код Безопасности» реализуется в рамках КиберАльянса. Концепция предусматривает, что мы берем NGFW в качестве ядра сетевой безопасности и вокруг него строим несколько технологических партнерств, обеспечивающих более высокую ценность для заказчика. Скажем, если это удаленный доступ, то добавляем механизмы контроля соответствия требованиям безопасности, так называемый компленс. Если это механизмы анализа политик безопасности, то интеграция с продвинутыми средствами обнаружения вредоносного софта – песочницами.

В сегменте аппаратных решений и всего, что касается повышения пропускной способности, идет интеграция с брокерами сетевых пакетов и в целом построение многоузловых систем. То есть мы объединяем несколько NGFW либо в рамках лезвийного сервера с балансировщиком нагрузки (коммутатором), либо в виде отдельного набора файрволов, которые связаны между собой брокером сетевых пакетов/ балансировщиком. С точки зрения «Кода Безопасности», такой подход – наиболее перспективен в овпросе создания высокопроизводительных ферм, потому что на данный момент на отечественном рынке нет достаточно эффективных чипов, которые позволят быстро обрабатывать трафик.