Дмитрий Курашев: Мы поняли, что мы не разработчики ПО, мы — разработчики решений

Директор UserGate Дмитрий Курашев в беседе с Anti-Malware.ru рассказал о стереотипах и скепсисе, которые присутствуют на российском рынке сетевой безопасности, о новом устройстве-ускорителе — «Катуни», а также поделился планами компании на будущий год.

Расскажите о ситуации на рынке сетевой безопасности в России. Что влияет на этот рынок, и какие основные движения на нем происходят?

Д.К.: Если говорить о российском рынке, то движений происходит довольно много. Суть — в том, что этот рынок был захвачен сколько-то лет назад несколькими зарубежными компаниями (в основном это — известные три компании и еще несколько других), а сейчас происходит определенная ревизия, потому что многие заказчики хотят или должны переключаться на что-то отечественное. До недавнего времени они думали, что это невозможно, потому что всем хочется не просто переключиться ради галочки, а получить работающий продукт. Собственно, раньше так часто и делали — покупали два решения: одно — для галочки, другое — для того, чтобы работало.

Долгое время был и до сих пор еще остается скепсис относительно того, возможно ли перейти на отечественные решения, которые будут выполнять функции в том же масштабе, на том же уровне и хотя бы с той же производительностью, что зарубежные.

Мы со своей стороны делаем всё возможное, чтобы этот скепсис развеять. Мы во всех случаях доказываем любому заказчику, что наше решение способно сделать свою работу ничуть не хуже, чем то, которое у них использовалось. Это не всегда легко, но мы работаем, мы не боимся никаких проектов. Основная тенденция — уход  от зарубежных решений.

Импортозамещение?

Д.К.: По сути, да.

Государство, помимо сертификации, как-то влияет? Помогает ускорению этого процесса? Говорят, сертификационная политика того же ФСТЭКа облегчает задачу отечественным вендорам; это верно?

Д.К.: И да, и нет. С одной стороны, какое-то давление, конечно, есть и играет определенную роль. С другой стороны — я не вижу, чтобы государство, в частности ФСТЭК, вводило меры прямого воздействия на участников рынка. Поэтому многие эти требования просто игнорируют. Или декларируют, что собираются что-то сделать, но по сути ничего не делают. Получается такая «итальянская забастовка».

Еще раз говорю: основная проблема — в том, что существуют стереотипы. Считается, что хороший продукт может быть только импортным, а российские продукты нужны только для галочки. То есть наличие сертификата, формальное соответствие каким-то бумажным требованиям — это лишь возможность защититься от проверок. Еще стереотип — в том, что все российские решения — некачественный продукт, представляющий собой какой-нибудь open-source, который слегка переделан, отсертифицирован и технологически абсолютно не соответствует современным стандартам. К сожалению, почву для этого дали многие разработчики, и мнение не на пустом месте основано. Но опять же, мы со своей стороны делаем всё возможное, чтобы этот скепсис развеять и показать, что не все российские разработчики такие, что есть те, которые реально занимаются развитием своих технологий, своей интеллектуальной собственности, и делают это качественно.

Многократно обсуждался вопрос использования open-source. Наиболее простой способ: взять какой-нибудь Snort или Suricata, упаковать под видом отечественного продукта и продавать его. Как я понимаю, у вас изначально был другой подход? Насколько правильным оказался этот путь? Разработка требует много ресурсов, но клиент понимает эту разницу?

Д.К.: Начну с конца. Клиент это далеко не всегда понимает, к сожалению. Есть клиенты вообще такие, не сильно думающие — они просто сравнивают цены и говорят: «А вот это дешевле. Почему этот продукт дешевле, чем ваш?». Я говорю: «Вы не правы, он не дешевле». — «Почему? Он в три раза дешевле!». — «Этот продукт — это просто open-source, который под своим шильдиком выпустила какая-то компания. Они продают за эти деньги то, что стоит ноль (бесплатно). Мы продаем то, что реально сделали». Поэтому не все понимают.

Что касается правильности нашего подхода: честно скажу, путь был трудным. Местами мы сомневались, потому что всё, что мы сейчас предлагаем на рынке, мы разрабатывали с 2011 года, то есть это — путь длиной в восемь лет (всё-таки это — не мало). И все эти восемь лет трудилась довольно большая команда. У нас, слава Богу, был наш старый проект, который позволял это дело «кормить». Было трудно, особенно когда в 2014 году наступил кризис, и всё упало. В общем, нелегко поддерживать разработку такого достаточно амбициозного продукта в тяжелое время. Потом, где-то в 2016-2017 году, мы постепенно начали предлагать наши разработки на рынке, стали получать проекты, заказы, и всё стало намного интереснее.

Существуют компании, которые выходят на рынок буквально за год, следуя по другому пути. Иногда у них получается провести первый-второй год очень успешно, но в конечном итоге это приводит к краху, потому что некачественный продукт не может долго быть на рынке. Сразу возникает разочарование, и прочее.

В целом, если говорить об этом подходе — об использовании open-source, — понятно, что в каких-то случаях ПО с открытым исходным кодом реализует интересную идею, которая востребованна и актуальна для многих ситуаций. Но мы работаем в очень сложной сфере: обеспечение безопасности и анализ трафика в больших крупных проектах. И по нашему опыту внедрения могу сказать, что у заказчиков возникают самые различные, уникальные ситуации. Мы можем иметь продукт, который работает идеально у 99% заказчиков, а у одного процента будут наблюдаться какие-то проблемы, связанные с его особенностями, например с тем, как у него работает Active Directory, или как настроено сетевое оборудование, и т.д. Когда код написан не своими программистами, когда разработчик завязан на чужую архитектуру, могут возникнуть случаи, что ситуацию просто невозможно исправить. На своем пути мы прошли через большое количество ошибок и «детских болезней», выявили и устранили много багов. Мы делали это быстро и эффективно. И главное — мы были в состоянии их править.

Сколько компаний сейчас инвестируют в свои исследования? Зачастую сигнатуры для IPS используются от того же open-source. И если бегло посмотреть по рынку, то оказывается, что реальный анализ угроз и уязвимостей ведется в России всего у нескольких компаний. Вы входите в это число?

Д.К.: Мы, безусловно, входим.

Мы не предоставляем наши базы как объект отдельной продажи, мы делаем это как сервис. У нас есть аналитики, которые анализируют новые угрозы, мы пишем свои сигнатуры, мы, естественно, пользуемся открытыми источниками, это тоже важно. У нас есть технологическое партнерство, мы имеем сейчас самые современные средства тестирования, в том числе на предмет различных уязвимостей, нам эти средства позволяют получать возможность делать новые сигнатуры. И мы это направление очень интенсивно развиваем.

Буквально на прошлой неделе вами был анонсирован выход аппаратного ускорителя. Что даст ваш аппаратный ускоритель рынку и заказчику? Какие функции он способен выполнять?

Д.К.: Самая главная идея, и в этой новости, и вообще в том, что мы делаем, — мы перестали себя ощущать разработчиками ПО, программистами, мы поняли, что наша компания занимается производством устройств в области сетевой безопасности. Эти устройства могут быть чисто «софтверными», в виде виртуалок, они могут быть «железными». Соответственно, наша компетенция должна лежать не только в области ПО, но и в области разработки своих аппаратных средств. Объемы передаваемой информации постоянно растут, для их обработки необходимы все более и более совершенные технические средства. Для того чтобы идти в ногу со временем, необходимо заниматься в том числе и созданием совершенной аппаратной части. Основное сейчас – это скорость. И ее невозможно кардинально улучшить, не занимаясь работой над аппаратной частью. 

Hardware-дизайн?

Д.К.: В том числе. Соответственно, мы этим направлением занялись больше двух лет назад. Создали свою лабораторию, и анонсированная нами плата-ускоритель «Катунь» стала просто первым изделием, о котором мы сказали. Но это — только начало длинного пути. Если говорить про «Катунь»…

Какие результаты? Что она дает?

Д.К.: Если говорить в цифрах, то на нее могут выгружаться определенные затратные по ресурсам процессы, с которыми не очень эффективно справляется обычный CPU. Она может давать выигрыш от 10 до 40 Гбит в режиме межсетевого экрана. Соответственно, мы можем на наши платформы ее добавлять (можно одну, можно несколько) и получать просто потрясающую производительность.

Я предположу, что это в основном необходимо при работе с зашифрованным трафиком. Или для каких-то других целей?

Д.К.: Не только. Это могут быть самые разные вещи: это — и обнаружение / отражение атак, и контент-анализ, и многое другое (вплоть до искусственного интеллекта).

То есть это — некое универсальное устройство? И плата не «заточена» под что-то одно, и ее можно использовать под целый спектр задач?

Д.К.: Да, совершенно верно. Это — платформа, которая нам позволяет на нее переносить те задачи, с которыми недостаточно эффективно справляется традиционное CPU-устройство.

Сейчас все устройства будут идти с этой платой? Или она будет доставляться по желанию заказчика и отдельно лицензироваться?

Д.К.: Наша новость была не про продажи, а про технологии. А как это будет продаваться, сколько будет стоить, будет ли это поставляться во все платформы или не во все — ждите новостей. В свое время, в 2020 году, мы всё объясним.

Неоднократно я слышал, что у вас — именно российское производство, российская аппаратная платформа. Можете поподробнее об этом рассказать? Где это собирается? Что собой представляет сама «железка»?

Д.К.: Здесь мы не отошли от своего подхода — мы по-прежнему всё делаем сами, это — наш проект. Соответственно, плата была нами спроектирована полностью: все разводки, всё тестирование — всё это было сделано нами, вся архитектура проекта, буквально всё. Естественно, мы используем «голые» (готовые, но «голые») чипы, которые работают полностью под нашим контролем. У нас — все свои низкоуровневые драйверы. Мы даже сами эти платы паяем. На данный момент серийного производства не запущено, всё делается у нас в лаборатории. Серийное производство, понятно, пойдет на каком-то конвейере — это уже не проблема. Но еще раз подчеркну: всё спроектировано нами. Просто объясню: подобные платы (правда, за немаленькие деньги) можно купить готовыми, наклеить на них свой шильдик и сказать: «Вот — наша плата», но это — не тот случай. Это — полностью сделанное нами устройство, а не чужая разработка с нашим наклеенным шильдиком. Опять же, мы ее полностью контролируем: можем развивать, можем устранять любые проблемы. Это всё — полностью наше.

Почему плата называется «Катунь»? Такое интересное название.

Д.К.: Хороший вопрос, ждал его. Хотелось найти какой-то образ, какой-то символ, который, с одной стороны, соответствует тому, что этот ускоритель делает, а с другой — имеет какой-то смысл, связанный с географией. Здесь идея была в том, что ускоритель через себя пропускает трафик. Трафик — это как течение воды, как река. А «Катунь» это должна делать быстро. Поэтому мы хотели, чтобы название символизировало какую-то очень быструю реку, бурлящую, при этом очень чистую, красивую. И еще один очень важный подтекст — это то, что компания произошла из Сибири. Разработчики, которые занимаются этой платой, тоже (в большинстве) оттуда. И всем было приятно, когда название соответствовало месту, откуда они родом. Многие там были, сплавлялись по этой замечательной реке. Еще хотелось названием подчеркнуть не только сибирское происхождение компании, но и вообще российское. Что-то сильное, обладающее скрытой силой. Поэтому в этом названии заложен определенный смысл.

Надо как-то обыграть в дизайне самого продукта. В цветах, в орнаменте.

Д.К.: На этот счет есть разные мысли. Со временем придем. Может быть, какой-нибудь логотипчик «Катунь inside» или что-то из этой серии.

Насколько сложен был этот проект? Ведь в течение двух лет, что шла разработка, необходимо было найти нужных людей, специалистов в этой области, разобраться в архитектуре и в конечном итоге довести до реализации. Пример всё-таки нетипичен для российского рынка.

Д.К.: Да, сначала даже не верилось, что за столь короткий срок это получится сделать. Хотелось верить, но какое-то сомнение, конечно, присутствовало. В общем, было сложно. Мы нашли талантливых людей, которые знают свое дело. Очень многое они привнесли в компанию. Много того, о чём мы и понятия не имели. У нас в стране, как оказалось, существуют реально классные инженеры именно в этой сфере. Как вы понимаете, многие из них были востребованы раньше в проектах другого рода. Мы были рады их, скажем так, перевести на то, чем занимаемся мы. И еще очень важно взаимодействие разработчиков «железа» с разработчиками «софта», потому что при реализации задачи такого типа одно не может существовать без другого.  Взаимодействие между командами было налажено отлично, поэтому результат пришел весьма быстро.

Каковы планы компании по производству своего железа за рамками аппаратного ускорителя?

Д.К.: Планы — очень большие. Я сказал изначально: мы поняли, что мы — не разработчики ПО, мы — разработчики решений. Поэтому наши планы относительно аппаратной части не ограничиваются только ускорителями. Мы планируем идти дальше. Что конкретно и когда мы будем выпускать — следите за новостями.

Если абстрагироваться от аппаратного ускорения, насколько компания в целом уделяет внимание производительности? Проводит ли какие-то специализированные тесты?

Д.К.: Да, мы очень большое внимание уделяем производительности. Сейчас уже был ряд исследований, прогонов, тестов наших платформ, это делалось в лабораториях определенных заказчиков. Мы стали сотрудничать с лабораторией BI.ZONE. Я думаю, по поводу этого сотрудничества и результатов официальных тестов будут новости в перспективе.

Нам очень важно показать нашим заказчикам независимые исследования, а мы сейчас обладаем очень хорошей технической базой, программно-аппаратными средствами, которые в том числе позволяют нам тестировать наши платформы на скорость. Мы можем увеличивать ее не только программным тюнингом, но и аппаратным, поэтому уже на данный момент получаем отличные результаты, сопоставимые с ведущими мировыми компаниями в этой сфере. А в дальнейшем планируем их просто превосходить.

И хотелось бы еще узнать про песочницу: на данный момент у вас ее нет, но вы идете в эту сторону?

Д.К.:  Это — отдельное направление. У нас всё-таки ресурсы тоже имеют какие-то ограничения: мы не можем делать всё, что связано с безопасностью. В ряде проектов наши заказчики замечательно используют другие песочницы, и мы с ними отлично взаимодействуем по протоколу ICAP. Поэтому в данный момент ситуация такая.

Очень интересная тема на днях обсуждалась на SOC-форуме в контексте промышленной безопасности: для защиты КИИ (объектов критической информационной инфраструктуры) нужны межсетевые экраны. Вы смотрите в эту сторону? Необходима ли определенная кастомизация и доработка по протоколам, по аппаратному исполнению?

Д.К.: На 187 Федеральный закон мы, конечно, смотрим, и наше решение для заказчика является необходимым звеном для соответствия ФЗ. Потому что, безусловно, объекты КИИ должны использовать межсетевой экран, имеющий сертификат ФСТЭК. Как МЭ, мы выполняем все требования ФСТЭК. Они с каждым годом становятся всё более жесткими. Но и мы с каждым годом сами тоже делаем определенную работу, чтобы соответствовать этим новым требованиям.

Нужен ли вам сертификат ФСТЭК по профилю «Д»?

Д.К.: Это — сертификация для АСУ ТП (автоматизированных систем управления технологическим процессом). Мы имеем устройства, которые могут работать в АСУ ТП. У нас есть платформа под буквой «X» («Икс»), она как раз для этого и создана. Она может использоваться на улице, в мороз, в жару и т.д.

Мы поддерживаем промышленные протоколы. А сертификацию ФСТЭК по профилю «Д» мы пока еще не прошли, но этим занимаемся, так что, я думаю, это тоже будет скоро.

А что касается КИИ — еще  хочу добавить, что отдельно мы установили сотрудничество с GOV-CERT, то есть с ГосСОПКА. И по мере развития всей этой системы можем помогать, содействовать нашим заказчикам по информированию системы ГосСОПКА о каких-либо инцидентах.

Ваш продукт сам может взаимодействовать с НКЦКИ?

Д.К.: По сути — да, но технически к системе ГосСОПКА должен подключаться сам заказчик, поэтому, условно, канал коммуникаций устанавливается между заказчиком и ГосСОПКА. А мы, в свою очередь, даем заказчику возможность предоставить данную информацию в нужном формате.

Что будет в 2020 году? Каковы планы по развитию UserGate, если их можно как-то приоткрыть?

Д.К.: Тут, как говорится, — быстрее, выше, сильнее.

У нас есть дорожная карта, которая автоматически формируется за счет того, что мы имеем значительное число замечательных заказчиков, которые перешли (или переходят) на наши решения с других. Поэтому отчасти она формируется из этих требований. Всё основное мы, наверное, сделали, но что будет развиваться особенно сильно в следующем году — это система централизованного управления. Удобство заключается в том, что когда у заказчика много сетей, с помощью СЦУ можно осуществлять управление различными серверами из одной консоли (она так у нас и называется — «центральная консоль»).

У нас сильно развивается функциональность, связанная со статистикой, репортингом, мониторингом; это — тоже отдельный продукт, который комплементарен нашей основной платформе UserGate, он называется UserGate Log Analyzer.

Дальше, конечно, мы проводим громадную работу по улучшению скоростных показателей, по обеспечению большего уровня безопасности. Как я сказал, мы используем современные средства для этого. И здесь работа идет планомерно. Естественно, у нас идет развитие аппаратных средств. Оно даст еще большее увеличение по скоростным параметрам.

Вот это, наверное, — основное, что мы сейчас делаем.

Есть ли планы поддержки SD-WAN?

Д.К.: Что касается чисто SD-WAN, то это — отдельное направление, оно — не простое. На данный момент мы тоже имеем партнеров, с которыми можем взаимодействовать и решать какие-то сложные задачи, которые именно касаются SD-WAN. Еще раз подчеркну: NGFW — это, с одной стороны, такой комбайн, который сочетает очень много функций безопасности, а с другой — мне кажется неправильным, когда его пытаются напичкать вообще всеми функциями, которые только возможны. По сути, то, что связано с программно-определяемыми сетями, — это особенная отдельная функция и тема для отдельного решения.

У нас очень часто в специализированных группах обсуждалась тема терминов. Вы считаете, что UserGate — это UTM, USG, NGFW. Какой из этих аббревиатур вы придерживаетесь и почему?

Д.К.: Мне кажется, что это — словесные перепалки на ровном месте. Я хочу другое сделать, я хочу, чтобы мы через несколько лет придумали свой термин, и он стал бы стандартом. Вот это будет круто.

Большое спасибо!