Михаил Родионов: Идея единой платформы защиты нравится многим заказчикам

Михаил Родионов: Идея единой платформы защиты нравится многим заказчикам

Выпускник Московского инженерно-физического института, Михаил Родионов получил диплом MBA в университете Warwick (Великобритания). 

Имеет 12-летний профессиональный опыт на рынке новых технологий и информационной безопасности. 

С 2015 года Михаил занимает должность главы представительства в компании Fortinet и отвечает за активное ведение бизнеса в России, Казахстане, а также других странах Средней Азии (Узбекистане и Кыргызстане), формирование эффективной партнерской сети, развитие экспертизы решений, управление региональным представительством. 

Одна из основных целей нового главы представительства — вывести Fortinet на лидирующие позиции на рынках России и Казахстана. 

...

Глава Fortinet в России рассказал Anti-Malware.ru о рынке сетевой безопасности и особенностях конкуренции в нашей стране, а также о том, что стоит за понятием Security Fabric и почему физические фаерволы популярнее виртуальных.

Михаил, прежде всего, хотелось бы поговорить о рынке сетевой безопасности в России. Какие тенденции последнего времени вы можете отметить?

М. Р.: Если сравнить с тем, что мы видели два года назад, то самым сильным изменением трендов с точки зрения объема продаж стал активный спрос на системы обнаружения вторжений и системы эмуляции кодов. Песочницы стали занимать ощутимую долю в нашем объеме продаж. У Fortinet по миру, согласно различным отчетам, 80% продаж приходится на межсетевые экраны и 20% — на остальные продукты. На нашем рынке ситуация отличается — российские компании серьезно интересуются системами эмуляции кодов, то есть песочницами.

С чем вы это связываете?

М. Р.: Несколько лет назад это была новая технология. Сейчас она «акклиматизировалась» на рынке, люди ее поняли и стали использовать для построения еще одного эшелона защиты. Это может быть связано и с нашими успехами. Наша песочница — это действительно тот продукт, который помогает многим заказчикам детектировать угрозы нулевого дня.

А эпидемии, такие как WannaCry и NotPetya, простимулировали продажи песочниц?

М. Р.: Да, этот год был богат на эпидемии и крупные утечки данных. С годами мы видим, что ситуация только ухудшается и становится все более динамической. Тем не менее, те песочницы, которые были нами проданы, были включены в бюджет еще до этих эпидемий, то есть спрос возник раньше. Возможно, покупатели уже чувствовали, что может произойти что-то нехорошее.

Это радует, потому что, если верить исследованиям, бюджеты многих компаний расходуются на технологии защиты от вчерашних угроз, а к новым они оказываются не готовы. На ваш взгляд, меняется ли отношение компаний к защите от таргетированных атак?

М. Р.: Может быть, нам повезло, но компании, с которыми мы работаем, — прогрессивные, открытые к взаимодействию и всегда ищут лучшие способы защиты, доступные на настоящий момент. Большинство песочниц устанавливаются с агентами, которые усиливают борьбу с различными типами атак. Это может быть и наше собственное решение FortiСlient, которое ставится на рабочие станции, но могут быть решения и других вендоров. То есть, помимо песочницы, работает целый ряд других механизмов, которые появляются или одновременно с песочницей, или чуть позже, или чуть раньше, но в любом случае на расстоянии нескольких месяцев.

Одним из наиболее важных элементов защиты от целевых атак в архитектуре Fortinet является анализ файлов и объектов в облаке, но у нас в России облакам не доверяют.

М. Р.: Это правда. 99 процентов решений устанавливаются локально и фактически не имеют коммуникаций вовне. Дальше на усмотрение заказчика — например, они могут отключить или не отключить облачные сервисы, тот же FortiGuard, и в России предпочитают закрывать доступ и ничего никому не отдавать.

Несмотря на наличие сильных конкурентов, ваш объем продаж за несколько лет вырос многократно. А за счет чего идет этот рост —  за счет замещения устаревших решений? Или покупают клиенты, у которых раньше ничего не было?

М. Р.: У нас песочницы — это практически всегда новые инсталляции. Пересечения с конкурентами бывают только на этапе выбора решения заказчиком. А что касается межсетевых экранов, то тут периодически идут «кровопролитные» бои с вендорами-соперниками. Мы видим много замещений устаревшего или дорогого в поддержке оборудования.

Вендоры порой берут 50-60% от первоначальной стоимости только за сигнатурную аналитику, обновление базы URL и прочие базовые вещи. Естественно, заказчики ищут что-то более приемлемое по стоимости, но отнюдь не компромиссное с точки зрения безопасности. Но есть и совершенно новые инсталляции межсетевых экранов — например, когда ЦОД создается с нуля или когда речь идет об обслуживании клиентов. У нас хорошо развита MSSP-модель, когда заказчики могут обратиться к нашим партнерам и получить оборудование в составе услуги по защите сервиса. Наконец, третья группа покупателей межсетевых экранов — это государственный сегмент. Благодаря тому, что наши решения сертифицированы, у нас есть ряд заказчиков из государственных организаций.

Отечественные вендоры воспринимаются как альтернатива Fortinet, они уже стали вашими конкурентами?

М. Р.: Как правило, заказчики, которые выбирают себе решение, делят его на две части: с одной стороны — это российская криптография, с другой — межсетевое экранирование. Заказчики приходят к нам с позицией, что экранирование не будет отдано тому же вендору, который делает шифрование, поэтому мы не видим конкуренции с российскими вендорами.

Fortinet активно продвигает Security Fabric. Что за этим стоит помимо маркетинга, и почему клиентам стоит обратить внимание на этот подход?

М. Р.: В нашем случае за концепцией Fortinet Security Fabric стоит реальный продукт, который можно взять, протестировать и, если понравится, приобрести. Если заказчик использовал наш межсетевой экран и ему все понравилось, он смотрит дальше, как построить систему безопасности оптимальным образом. Он видит, что у нас есть песочница, которая может взаимодействовать с межсетевым экраном и с системой защиты почты. По сути песочница выступает единой платформой для защиты от таргетированных атак. Эта идея нравится многим заказчикам, потому что это позволяет построить эффективную защиту и сэкономить деньги.

Наши конкуренты, как правило, предлагают несколько систем защиты от различных векторов атаки. Для почты — один комплекс, для трафика — другой. В нашем случае это единая платформа, которая может работать с разными векторами. Заказчики управляют приоритетами — например, сколько почтовых файлов песочница должна обработать, прежде чем будет обрабатывать другой трафик. Если клиент приобретает песочницу, то ночью он может запланировать ее работу на проверку файловых хранилищ. Если мы говорим про защиту конечных станций, то тут будет стоять FortiСlient, который отправляет в песочницы подозрительные объекты. То есть Fortinet Security Fabric — история не маркетинговая, это реальная концепция защиты, состоящая из нескольких компонентов. При этом надо упомянуть еще Web Application Firewall, который по значимости у нас идет сразу за фаерволами и пеcочницами. А если в песочнице найдена угроза, то благодаря Threat Intelligence об этом будут моментально знать все фаерволы, и дальше вредонос уже не пройдет.   

А с появлением новой версии FortiOS эта история как-то связана?

М. Р.: Да, безусловно. С выходом операционной системы FortiOS версии 5.4, которая была сертифицирована и послужила основой нашей «Фабрики безопасности», за ней подтянулись другие компоненты, такие как песочница и система защиты почты, и они начали между собой «разговаривать». Все это началось года два назад и сейчас вышло на хороший уровень зрелости и будет развиваться в еще более глубокий уровень интеграции.

Можно подключать к Security Fabric сторонние продукты защиты?

М. Р.: «Фабрика безопасности» — открытая, есть целый ряд интерфейсов, которые можно настроить, чтобы наладить взаимодействие с нашими продуктами. Из последних трендов это SD-WAN. Он поддерживается как нами, так и нашими партнерами. «Фабрика» должна быть открыта, необходимо иметь возможность передавать данные другим системам, например SIEM. Мы свой SIEM приобрели полтора года назад, сейчас он вышел на хороший уровень зрелости, но на сегодняшний день практически во всех наших инсталляциях мы видим уже купленные заказчиками различные SIEM и делаем интеграции с ними. Здесь обязательно нужны коннекторы, чтобы передавать и анализировать данные. «Фабрика» в этом плане продолжает совершенствоваться.

Со сторонними антивирусными продуктами у вас есть интеграция?

М. Р.: Есть интересная интеграция с Carbon Black, и к ней есть интерес на рынке, так как EDR сейчас — тема горячая. Взаимодействие с Carbon Black автоматизировано и позволяет использовать все преимущества решения Carbon Black Enterprise Protection: фактически это единственное решение, работающее в режиме реального времени, собирающее исторические данные с серверов и рабочих станций, обладающее центральным репозиторием файлов в реальном времени. Имея полный список файлов в сети, возможно отправить любой из них на дополнительную проверку в песочницу FortiSandbox в автоматическом режиме либо в ручном, решение представляет гибкость создания политик и действий над неизвестными файлами, а работа в совместном режиме позволяет ощутимо поднять уровень безопасности компании.

Удивительно, почему виртуальные устройства не растут такими темпами, ведь это очень удобно, а железка может устареть уже в момент покупки. С чем связано такое консервативное отношение к программно-аппаратным комплексам?

М. Р.: Есть несколько факторов. С одной стороны, информационная безопасность существует в заданных рамках сетевой инфраструктуры. Надо обеспечить безопасность в интеграции с сетевой инфраструктурой, потому что сегодня во внешнем сегменте превалируют аппаратные железки. Вариантов с виртуальными устройствами многие даже не рассматривают. А если говорить про микросегментацию и защиту ЦОДов, здесь организации активно рассматривают виртуальные машины, но возникает другой нюанс — они не используют специальные чипы FortiASIC, которые ускоряют функции безопасности, а это значит, производительность виртуальной машины будет отличаться от аппаратной платформы.

Невозможно представить сейчас виртуальную машину, которая бы обрабатывала трафик до 100 Гб/с. Дорогой и высокопроизводительный сервер с нашим сетевым экраном будет выдавать что-то похожее по производительности, но такой сервер вкупе с программным обеспечением будет стоить дороже, чем межсетевой экран с аппаратной частью от Fortinet. Проведенные тесты у крупных заказчиков показали, что многие современные решения на базе виртуальных машин не могут выдать даже производительность 10 Гб/с включенными функциями экранирования, в то время как Fortinet был фактически единственным, продемонстрировавшим большую производительность.

Есть ли какая-то программа для быстрого апгрейда, если железо не справляется?

М. Р.: Мы в этом случае всегда идем навстречу заказчику и готовы взять его по программе трейд-ин, если вдруг произошла ошибка и недооценили размер трафика или иные требования, и зачесть стоимость купленного оборудования в обмене на новое железо. При этом мы просим, чтобы заказчики и партнеры работали с нашими инженерами и учитывали минимальный запас на рост потребностей, чтобы оборудование отвечало не только сегодняшним запросам, но и завтрашнему дню. В частности, мы видим кейсы, которые были у других заказчиков по разным индустриям, и можем порекомендовать, как построить инфраструктуру.

В последнее время активно обсуждается вопрос государственных преференций тем вендорам, которые локализуют производство оборудования в России. Планируете ли вы шаги в этом направлении? 

М. Р.: Интересная инициатива и, безусловно, это правильный подход. У нас есть различные сценарии в данном ключе, и, вероятно, скоро мы сможем говорить об этом публично.

Благодарим за интервью и желаем успехов!