На АМ Live поговорили на тему использования отечественных средств сетевой безопасности, рассказали о ситуации, сложившейся после ухода с российского рынка ряда западных вендоров. Как клиентам справиться с отсутствием обновлений и технической поддержки, «окирпичиванием» устройств, дефицитом «железа», ростом цен и сложностью миграции?
- Введение
- Российские компании — за цивилизованный рынок ИБ
- Что изменилось на рынке сетевой безопасности после 24 февраля?
- Российские продукты ИБ отличаются от западных аналогов
- Лучший российский ИБ-продукт
- Топ-3 технологий сетевой безопасности
- Российским ИБ-продуктам нужен рост
- «Железный» голод в России: миф или реальность?
- Трудности переходного периода
- Не догонять, а идти вперёд
- Выводы
Введение
Эфир АМ Live от 29 июня 2022 года был посвящён теме использования отечественных средств сетевой безопасности. В студию были приглашены представители наиболее зрелых игроков российского рынка. Они рассказали о ситуации на рынке, проблемах отсутствия обновлений и технической поддержки со стороны «ушедших» западных вендоров, рисках «окирпичивания» устройств, дефиците «железа», росте цен и сложностях миграции на отечественные решения.
В дискуссии приняли участие:
- Андрей Бондарев, руководитель направления сетевой безопасности «Solar Интеграция», «РТК-Солар».
- Павел Коростелев, руководитель отдела продвижения продуктов, «Код Безопасности».
- Иван Чернов, менеджер по развитию UserGate.
- Сергей Черномашенцев, исполнительный директор компании «Смарт-Софт».
- Сергей Плотко, директор по аналитике и интеграции, НПП «Цифровые решения».
- Алексей Данилов, руководитель продуктового направления отдела развития продуктов, «ИнфоТеКС».
- Денис Батранков, руководитель направления сетевой безопасности, Positive Technologies.
Модератором выступил Алексей Лукацкий, бизнес-консультант по безопасности Cisco.
Российские компании — за цивилизованный рынок ИБ
События, начавшиеся 24 февраля и приведшие к существенным изменениям на российском рынке программных систем и систем ИБ в частности, открыли новые возможности для российских вендоров и интеграторов. Уход с рынка ряда важных западных игроков в сегменте сетевой безопасности (прежде всего, Palo Alto Networks и Fortinet) позволил отечественным вендорам усилить свои позиции и начать предлагать свои продукты без сильной конкуренции со стороны прежних лидеров.
Со слов Павла Коростелева («Код Безопасности»), по оценкам на конец 2021 года объём рынка сетевой безопасности в России составил около 25 млрд рублей в год по вендорским заказам и 50 млрд рублей в год по заказам интеграторов. В результате ухода западных компаний высвободилась часть рынка, равная около 17 млрд рублей в год.
Кажется, что в такой ситуации отечественным компаниям можно действовать напористо. Альтернатив нет, российским заказчикам всё равно придется покупать отечественные продукты. Оценивая сложившуюся ситуацию, ведущий Алексей Лукацкий вспомнил о «расстрельной» статье 58.10 УК РСФСР, применением которой раньше не допускалась критика «отечественных предложений». Раньше любые материалы с информацией о недоступных иностранных товарах распространялись только под грифом секретности, поэтому полная информация о реальных возможностях отечественных продуктов была недоступна.
Сегодня на российском рынке систем сетевой безопасности совсем другие условия. Российские компании не собираются умалчивать об имеющихся проблемах и готовы делиться подробными сведениями о своих продуктах, как показал прошедший эфир AM Live. Открытый подход не только будет полезен для того, чтобы помочь российским заказчикам в выборе продуктов, но и позволит отечественным вендорам совершенствовать свои продукты.
Рисунок 1. Эксперты дискуссии AM Live «Российские средства сетевой безопасности»
Что изменилось на рынке сетевой безопасности после 24 февраля?
«Изменились спрос и возможности», — заявил Алексей Данилов («ИнфоТеКС»), описывая ситуацию на российском рынке сетевой безопасности. Сергей Плотко (НПП «Цифровые решения») добавил, что ситуация поменялась нелинейно: «одновременно произошло торможение многих запущенных ранее проектов». Он отметил, что только часть из них была перенаправлена на покупку российских решений. Многие проекты были «поставлены на паузу». Это указывает, что рынок ещё не принял новые условия до конца. Многие участники пробуют выдержать паузу, разобраться с ситуацией, только потом действовать.
Отдельные российские игроки отмечают скачкообразный рост спроса на свои решения. Как отметил Сергей Черномашенцев («Смарт-Софт»), «наш доход за март-апрель составил сумму равную годовому доходу за 2021 год». Полученный доход не стал поводом для резкого извлечения прибыли компаниями. Осознавая, что в будущем ситуация может измениться, многие компании решили потратить «сверхдоход» на развитие, покупку и аренду «железа», наём новых сотрудников.
Иван Чернов (UserGate) отметил резкий рост «количества входящих запросов». Он заявил, что российские заказчики, накопившие большой опыт в работе с иностранными решениями, не торопятся «хватать всё подряд». Они проявляют требовательность к российским решениям и хотят получить возможности аналогичные тем, которые имели раньше при работе с западными продуктами.
Андрей Бондарев («Ростелеком-Солар») отметил, что сейчас заказчики бросились на поиски доступных альтернативных российских решений. Часть из них требует полного соответствия тому, с чем привыкли иметь дело в западных продуктах. Заказчикам приходиться объяснять, что российские продукты не могут рассматриваться как копии западных аналогов. Для их доработки потребуются время и инвестиции.
Павел Коростелев («Код Безопасности») отметил, что новые условия принесли очень много задач, где требуются нестандартные решения. Теперь требуется плотно работать с заказчиками, поставщиками и партнёрами, проводить внутренний анализ, переоценивать очерёдность выполнения задач. В то же время, отметил Денис Батранков (Positive Technologies), у российских вендоров растёт экспертиза.
Российские продукты ИБ отличаются от западных аналогов
Перед участниками рынка стоит сейчас важный вопрос: уступают ли российские продукты западным аналогам?
По мнению Ивана Чернова (UserGate), «по своему функциональному наполнению многие российские продукты ИБ не отстают от иностранных. Единственное отставание — это инсталляционная база». Для создания многофункционального продукта необходима обширная база инсталляций. «Это позволяет собирать полезную информацию с рынка и сделать продукт таким, каким рынок хочет видеть его».
Сергей Плотко («Цифровые решения») отметил, что заказчики хотят получить прежде всего удобный и простой интерфейс. «Нажал и забыл» — мечта многих. Российские решения уступают западным, считают часть участников рынка со стороны заказчиков. «Они выстраивают интерфейс так, чтобы упростить доступ к максимально большому количеству функций». По оценкам пользователей, «настраивать такие продукты сложно».
«Заказчики привыкли к универсальным иностранным решениям, которые покрывали разом весь спектр задач ИБ», — считает Андрей Бондарев («Ростелеком-Солар»). Российские решения более «фрагментированны». «Мы вынуждены создавать “комбайны”. Объяснить это заказчикам непросто».
В новых условиях российские заказчики сразу осознали: теперь им придётся пользоваться «совсем другими» продуктами. Как отметил Павел Коростелев («Код Безопасности»), в марте на российском рынке возникла паника. Заказчики стали покупать всё подряд. Потом ажиотаж спал. «Апрель-май стали временем, когда заказчики занялись тестированием. Они стали изучать продукты шести основных российских брендов в ИБ (по сетевой безопасности. — Прим. ред.).
Рисунок 2. Каковы ваши планы по миграции на российские средства сетевой безопасности?
Лучший российский ИБ-продукт
По мнению Павла Коростелева, если сравнивать результаты «тестов заказчиков», то «в настоящее время на российском рынке нет единоличного лидера: каждое решение обладает своими достоинствами, но и уступает в чём-то другим».
Значительная часть инвестиций на российском рынке уходила до недавнего времени в западные компании. Это сдерживало повышение качества российских продуктов, считает Сергей Черномашенцев («Смарт-Софт»). У российских компаний сейчас нет в запасе пяти лет на развитие, когда они могли бы спокойно доделать продукты до полного набора ожидаемых заказчиками функций. Им приходится идти на технологическое партнёрство с другими вендорами для восполнения недостающих функций. «Заказчик привык, что все функции можно получить “из одного окна”». С этим приходится считаться. «Технологическое партнёрство — это естественный путь для роста российских компаний сейчас», — подтвердил Алексей Данилов («ИнфоТеКС»).
В то же время российские компании не ограничиваются только уже готовым набором функций ИБ. Как отмечает Денис Батранков (Positive Technologies), ещё год назад поменялась парадигма безопасности. Результаты исследований Positive Technologies показывают, что «девять из десяти компаний не осознают, что их корпоративные ресурсы уже взломаны. Более того, 71 % проводимых у заказчиков пентестов указывают на то, что подбор логина-пароля перестал быть неразрешимой задачей. Взлом может занимать от 30 минут, хотя в среднем на это уходит ещё 1-2 дня. Эти данные подтверждаются и другими компаниями, которые проводят пентесты».
По мнению Дениса Батранкова, уже сформировалась новая парадигма сетевой безопасности. Сейчас важно не просто выстроить эшелонированную защиту, но и обеспечить необходимый набор инструментов, помогающих вовремя увидеть, что взлом произошёл. Новые инструменты помогают проводить анализ поведения сотрудников, исследовать содержимое хостов, вести запись трафика и выявлять угрозы взлома.
Новый инструмент Positive Technologies получил название Network Attack Discovery. Он помогает увидеть признаки вторжения на самом раннем этапе. При его разработке была использована экспертиза полученная путём анализа реальных корпоративных взломов, для устранения которых заказчики обращались к Positive Technologies.
Рисунок 3. Как вы относитесь к использованию решений с открытым исходным кодом вендором сетевой безопасности?
Топ-3 технологий сетевой безопасности
Алексей Лукацкий предложил участникам назвать три наиболее востребованные среди заказчиков функции сетевой безопасности.
По мнению Ивана Чернова (UserGate), базовый набор должен быть представлен поддержкой функций XDR (Extended Detection and Response) и внедрением межсетевого экрана нового поколения (NGFW). «Главная задача внедряемых средств сетевой защиты — обеспечить стопроцентную видимость ИБ-событий, происходящих в корпоративной сети». Применяемые инструменты помогают наладить контроль, взяв под охрану периметр, переходы между сетями, внутреннюю сеть и т. д. Максимальная прозрачность позволяет выполнять дешифрацию SSL-трафика, инспектировать трафик по любым протоколам, в том числе специальным (IoT, промышленные протоколы).
«Желание проводить мониторинг всей сети порождает спрос на установку брокеров сетевых пакетов. Ещё совсем недавно подобные решения не находили широкого спроса, — добавил Сергей Плотко («Цифровые решения»). — Теперь ситуация изменилась».
По мнению Алексея Данилова («ИнфоТеКС»), для максимальной защиты инфраструктуры необходимо внедрять автоматизацию рутинных процессов. Нужно обеспечить прозрачное взаимодействие между ИБ-системами сетевой безопасности, применяя различные технические средства — программные, аппаратные, виртуализованные.
Реалии сегодняшней ситуации, отмечает Сергей Черномашенцев («Смарт-Софт»), состоят в том, что уже в скором будущем средствам сетевой безопасности придётся уметь работать с огромным «зоопарком» техники и ПО. Главная проблема сейчас — это недостаточная производительность российских систем. Этот недостаток может быть устранён с помощью горизонтальной кластеризации.
Российским ИБ-продуктам нужен рост
Приобретая межсетевой экран нового поколения (NGFW), заказчик до сих пор ожидал получить полный набор из пяти основных функций, считает Павел Коростелев («Код Безопасности»):
- Централизованное управление.
- Удобство эксплуатации и устранение проблем (troubleshooting).
- Контроль доступа пользователей в интернет.
- Система предотвращения вторжений (Intrusion Prevention System, IPS).
- Средства для дешифрования трафика.
Заказчик обычно рассматривает для себя несколько сценариев применения NGFW: периметровый файрвол и контроль удалённого доступа, сегментирующий внутренний файрвол, распределённый файрвол для подключения удалённых площадок, SMB-файрвол, файрвол для технологических сетей.
Доступные на рынке иностранные решения позволяли реализовать любой из перечисленных сценариев. Это обеспечивало им популярность среди российских заказчиков. В то же время российские продукты были до сих пор более ориентированы на поддержку только отдельно взятых сценариев.
По мнению Павла Коростелева, в ближайшие один-полтора года будет происходить наращивание функционального набора российских продуктов. Вендоры будут добавлять функции, которых недоставало раньше для смежных сценариев. Ожидать полной готовности обновлённых российских решений можно к середине-концу будущего 2023 года.
Рисунок 4. Поможет ли аудит политик безопасности оптимизировать производительность устройств?
«Железный» голод в России: миф или реальность?
Ситуация с доступностью аппаратных решений в России не настолько катастрофична, как об этом принято говорить, считают эксперты.
Например, со слов Сергея Плотко, «Цифровые решения» используют разработанную ими самими программно-аппаратную платформу. Её производство налажено на мощностях в России и охватывает полный цикл от монтажа компонентов на печатной плате до выпуска готовых плат в сборе после нагрузочного тестирования. Производство чипов ведётся за пределами России, но задержки с поставками стали возникать ещё во время пандемии и были связаны с глобальными причинами. Сроки поставок сейчас могут достигать трёх месяцев, но компания старается поддерживать склад в состоянии полной готовности. Пока ей удаётся делать это.
Поставки аппаратных модулей поддерживаются на должном уровне, подтвердил Сергей Черномашенцев («Смарт-Софт»). Павел Коростелев («Код Безопасности») отметил, что проблемы с доступностью процессоров затрагивают в первую очередь российские «Эльбрусы», а не Intel. Что касается сборки, то проблемы чаще встречаются именно на зарубежных производствах, а не российских. Поэтому компания намерена перевести производство всей продуктовой линейки в Россию до конца года. Из-за изменённой логистики цены будут выше на 10–25 %, но сама логистика станет более прозрачной.
По оценкам Ивана Чернова (UserGate), в России изменились сроки планирования поставок. Это привело к тому, что цены на аппаратные изделия поднялись на 25 %, но производство располагается теперь ближе к заказчикам, что обеспечивает технологическую независимость.
Сергей Черномашенцев («Смарт-Софт») отметил, что их компания решила не поднимать цены на программные продукты.
Рисунок 5. Что вас больше всего не устраивает в российских средствах сетевой безопасности?
Трудности переходного периода
По мнению Алексея Данилова («ИнфоТеКС»), реальность перехода на российские решения в сегменте сетевой безопасности не вызывает сомнений. Российские устройства вполне вписываются в принятые нормативы по настройке (по данным NSS Labs, первичная настройка занимает 8 часов). В то же время процесс полного внедрения и перехода на использование российского оборудования потребует не только обеспечить поставку оборудования, но и провести переобучение сотрудников.
Сергей Черномашенцев («Смарт-Софт») связывает успешность перехода на отечественные решения с добавлением поддержки протоколов западных вендоров. Он отметил, что заказчикам предлагается сохранить в своей корпоративной инфраструктуре прежнее оборудование, хотя бы в качестве маршрутизаторов. Пусть в новом амплуа они не будут выполнять защитных функций, но это избавит руководство от болезненных решений, связанных с отказом от использования ранее закупленного оборудования. Даже при отключённых функциях ИБ эти устройства можно применять для поддержки внутренней сетевой инфраструктуры. Российские решения можно закупать в рамках импортозамещения.
По мнению Павла Коростелева («Код Безопасности»), прогресс перехода компаний на российские решения к концу этого года достигнет 30 %. Основной переход будет завершён к 2025 году.
Рисунок 6. Повлияет ли на ваш выбор наличие устройства в реестре Минпромторга?
Не догонять, а идти вперёд
Денис Батранков (Positive Technologies) предложил не останавливаться на уровне, который был достигнут к началу года. Необходимо переходить на новые решения, двигаться вперёд и внедрять новые технологии.
«Сейчас на сайте OpenConfig.net ведётся выработка единых правил в сетях для управления продукцией от разных производителей. Создаются единые конфигурации, единый REST API, идёт стандартизация обмена данными. Было бы хорошо, если бы в России также появились аналогичные стандарты».
Рисунок 7. Участники разработки единых сетевых стандартов на OpenConfig.net
По мнению Дениса Батранкова, «надо брать пример с того, как было стандартизировано использование IPsec среди разных производителей. Из-за того что возможность для стандартизации VPN была упущена, нынешние VPN оказались несовместимыми между собой». Сейчас можно «заняться стандартизацией средств управления межсетевыми экранами, другого сетевого оборудования. Это необходимо для защиты заказчиков, в первую очередь».
Рисунок 8. Каково ваше мнение относительно российских средств сетевой безопасности после эфира?
Выводы
В связи с изменившимися условиями российские заказчики вынуждены переходить теперь на российские решения. Но это не приведёт к потере ими сетевой безопасности. Уровень перехода компаний на российские решения к концу этого года можно оценить уже в 30 %. Основной переход будет завершён к 2025 году, считают эксперты.
Самые горячие для российского рынка информационной безопасности темы мы обсуждаем в прямом эфире онлайн-конференции AM Live. Чтобы не пропускать свежие выпуски и иметь возможность задать вопрос гостям студии, не забудьте подписаться на YouTube-канал Anti-Malware.ru. До встречи в эфире!
