Иван Чернов, UserGate — о буме на рынке NGFW и отличительных особенностях собственного продукта
Сейчас NGFW стала одним из наиболее перспективных направлений для российских разработчиков средств защиты, однако так было не всегда. Компания UserGate с самого начала занялась разработкой именно NGFW, и долгое время ей приходилось конкурировать только с иностранными производителями. Тем не менее, компания отработала свой продукт и теперь фактически является лидером этого сегмента в России. Ее понимание максимально приближенно к концепции Gartner, поэтому узнать мнение ее специалистов наиболее ценно. На вопросы TAdviser ответил Иван Чернов, менеджер по развитию UserGate.
Какое, по вашему мнению, основное преимущество вашего NGFW для заказчика и почему?
Иван Чернов: Основной тенденцией на российском рынке NGFW является импортозамещение. Поэтому мы основным преимуществом считаем самый широкий сетевой функционал, который есть у представленных на рынке NGFW. Заказчику нужно устройство, к которому он уже привык за много лет, и примерно такое же, какое у него в сети уже функционирует. Поэтому ему, прежде чем ставить что-то новое, нужно убедиться, что в нем есть все необходимое, чтобы достаточно было внести минимальные изменения в свою инфраструктуру. Поэтому первое преимущество у наших продуктов в широком функционале, который позволяет проводить проекты по миграции. Кроме того, заказчикам нужно приобрести функции безопасности, к которым он привык за многие годы. Они есть у нас, но это базовый фундамент комплексного средства защиты. А также у нас есть большое количество дружественных интеграторов с обученными инженерами, собственные курсы, где можно обучить новых специалистов, и сценарии для переноса уже разработанных для других NGFW политик безопасности. В целом, нашим ключевым преимуществом является набор мер и функций, которые позволяют проводить импортозамещение безболезненно. То есть наш продукт максимально соответствует иностранным аналогам как по функциональным характеристикам, так и по возможностям технической поддержки.
Какие механизмы защиты должны быть реализованы в NGFW?
Иван Чернов: Концепция NGFW – это в первую очередь возможность писать политики безопасности с использованием трех ключевых параметров: пользователей, приложений и устройств. Соответственно, хороший NGFW умеет идентифицировать пользователей и их действия. Кроме того, он должен идентифицировать приложения и их трафик. И понимать с каких устройств и с помощью каких приложений пользователи работают в сети. С помощью оперирования этими тремя параметрами и появляется возможность создавать наиболее точные политики безопасности: разграничение доступа, контроль используемых приложений, поиск вредоносных вкраплений в сетевом трафике, возможность глубокого инспектирования содержимого сетевого пакета – это все относиться к приложениям.
Если мы говорим про пользователей, то для их контроля нужно все различные способы идентификации и аутентификации. У нас есть UserID, который поддерживает разные протоколы: Kerberos, Radius, NTLM, контроль событий в LDAP-серверах. В общем, любого пользователя, который подключился к сети вне зависимости от точки и метода аутентификации, мы узнаем по перечисленному выше набору функций. Их достаточно много, и это все технология UserID.
Если мы говорим про безопасность приложений, то это инспекция сетевых пакетов и в целом полезной нагрузки на уровне приложений (седьмой уровень по модели OSI). Разбор содержимого выполняет так называемый глубокий анализатор пакетов (Deep Packet Inspection – DPI). Он определяет, что в каждом пакете передается – тип информации и полезной нагрузки. Она позволяет проводить идентификацию приложений – мы видим какое приложение отправляет трафик. Сюда же относятся и системы обнаружения вторжений (СОВ или Intrusion Detection/Prevention System – IPS/IDS), которые проверяют полезную нагрузку на наличие исполняемого вредоносного кода. Эти функции должны быть в NGFW. Здесь же должна быть возможность фильтрации по URL-адресам и их репутации, проверки HTTP/HTTPS-запросов к внешним серверам и очистка пользовательской активности от обращений к потенциально опасным ресурсам. С помощью этих технологий можно решить две проблемы: контроль продуктивности сотрудников, чтобы они не увлекались социальными сетями, и, куда важнее, проверка на обращение к фишинговым, вредоносным и скомпрометированным ресурсам с истекшими или некорректными сертификатами. Это все является основой для безопасного использования Интернета. К защите устройств можно также отнести и разбор промышленных протоколов, которые используются в устройствах АСУ ТП, поскольку механика защиты такая же.
В основе всех перечисленных механизмов лежит технология анализа сетевых пакетов, которая и обеспечивает работу всех перечисленных выше механизмов: проверка приложений, проверка интернет-трафика, проверка промышленных и IoT-протоколов. Это технология DPI.
Какие требования предъявляются к аппаратной части и базовому ПО, на котором работает NGFW?
Иван Чернов: Если мы говорим про виртуальный образ, который мы также предлагаем свои клиентам, то это минимум 4 ядра и 8 Гбайт оперативной памяти. Это минимальная конфигурация в среде виртуализации, которые мы поддерживаем. А поддерживаем мы очень много вариантов поставки для различных виртуальных сред. Мы общаемся со многими производителями российской виртуализации, такими как «РЕД Виртуализация» одноименной компании, «Брест» разработки Astra Linux, zVirt компании Orion soft и другими. Многие из них основаны на KVM — среде с открытыми исходными кодами. Мы поддерживаем базовый KVM, и когда к нам приходит российский производитель со своей средой виртуализации, то мы спрашиваем «что в основе?».
В большинстве случаев у нас уже есть готовое решение для этого. Мы просто тестируем, чтобы все функции корректно работали. С zVirt было сложнее, поскольку там был использована другая система виртуализации. Наш продукт также может работать в российских облаках, таких как «Яндекс Облако», где обеспечена установка решения прямо из маркетплейса. Достаточно нажать на кнопочку, и весь продукт сразу разворачивается в облаке «Яндекса».
Остальные продукты мы поставляем только в виде программно-аппаратных комплексов (ПАК) и в виде виртуализации. Здесь по требованиям к оборудованию особого смысла говорить нет, поскольку все устройства, которые у нас есть, они оптимизированы и адаптированы под работу с нашим NGFW.
Новая линейка, которая разрабатывается нашим конструкторским бюро в Новосибирске, базируется на оборудовании, построенном по нашим требованиям и собирается на партнерском предприятии в Ленобласти. Мы сами проектируем печатные платы, определяем их логику работы, добиваясь максимально возможной производительности за счет сочетания нашего софта и специализированного железа. К сожалению, далеко не все, что нам нужно, производиться в России, но конструкторская экспертиза – наша. Это позволяет быть более свободными в выборе поставщиков элементной базы для наших решений. Так, мы отказались от процессоров Intel и перешли на более свободную и доступную архитектуру.
Возможна ли реализация NGFW в виде облачных сервисов? Насколько это перспективно?
Иван Чернов: В предыдущем вопросе я уже частично ответил на этот вопрос. Для нас с облаками связаны две истории. Первая – это, когда у заказчика уже есть определенная инфраструктура в облаке – IaaS, PaaS или SaaS – и ее нужно защищать.
Когда я арендую какие-то серверные мощности в облаке и туда же я могу арендовать решение, которое будет мне защищать доступ и предотвращать негативное воздействие. В целом, информационная безопасность – это производная функция от ИТ. Если айтишники идут в облака, значит мы несем NGFW в облака. Сейчас таких историй не так много.
Проникновение облаков в нашей стране не такое высокое – оно отстает от среднемировых темпов, поэтому, хотя данный запрос и есть, пока что превалирует установка оборудования на территорию заказчика. Все хотят установить у себя внутри собственное оборудование.
Если мы говорим про частные облака, которые по своей сути являются инструментами автоматизации собственных ЦОДов, то в них лучше установить NGFW в виде отдельного устройства. Когда речь заходит про облака, то мы имеем в виду публичные облака, находящиеся под контролем операторов.
Какая инфраструктура поддержки продуктов должна быть на стороне производителя NGFW?
Иван Чернов: У нас полный цикл: и предпродажная поддержка, и инженеры пресейла, которые позволяют подготовиться к реализации проекта, и различные услуги по анализу топологии, и советы с предложениями лучшей реализации, и пилотные внедрения. На техническом уровне мы предоставляем максимальную поддержку, чтобы устройство заработало так, как того ожидает заказчик.
Есть и послепродажное обслуживание с технической поддержкой – предусмотрены различные планы техподдержки: обычные и премиальные с разными опциями. Для крупных заказчиков у нас есть сервисные инженеры. Это, как правило, специалисты, которые работают с конкретным пулом заказчиков – выделенный дежурный инженер на нашей стороне, который помогает реализовывать различные проекты. Это дополнительный сертифицированный инженер, который знает и понимает работу как наших технологий, так и потребности заказчиков. Причем это инженеры, которые работают у нас в штате и помогают нескольким крупным заказчикам обеспечить работу наших устройств у них внутри сети.
Можно также подключить другие коммерческие услуги, такие как аренда центра реагирования на инциденты (SOCaaS), которые позволяют подключить инфраструктуру заказчика и перенести выявление инцидентов безопасности на нашу сторону. Также мы можем проводить различные аудиты безопасности и консалтинг с точки зрения ИБ. В целом нам можно доверить не только обслуживание NGFW, но и концептуальные вопросы обеспечения информационной безопасности в целом.
Как вы оцениваете российский рынок NGFW? Назовите ключевые тенденции его развития.
Иван Чернов: До 2022 года российских игроков было мало - их можно было пересчитать поштучно. Мы – одни из старейших с точки зрения технологии NGFW. Например, «Код Безопасности» как компания, конечно, старее, но продукт класса NGFW они запустили позже. На первом этапе темпы развития были низкие, поскольку крупных корпоративных заказчиков не очень интересовали российские решения. Мы соревновались с иностранными продуктами в нижних сегментах рынка, и даже добились при этом определенных успехов.
В 2022 году из-за глобального исхода у потребителей очень сильно повысился интерес к рынку NGFW, и игроков в одночасье появилось очень много. Кто-то начал переделывать то, что у них было, чтобы назвать это NGFW. Кто-то начал обещать, что скоро сделает своё NGFW. В целом активность разработчиков в этом классе продуктов очень сильно возросла, и у заказчика сейчас есть хороший выбор. Они уже могут собрать несколько именитых производителей с громкими именами и обеспечивать настоящую конкуренцию между этими игроками. Это ведет к самому главному – повышению качества продукции. Конкуренция – это всегда хорошо. Произошел бум, и очень много производителей начали делать NGFW.
Следствия из этого, к сожалению, очевидные – на всех рынка не хватит. По разным оценкам сейчас от 25 до 40 производителей NGFW – это количество должно сократиться. Не нужно столько производителей для рынка NGFW в нашей стране. Останутся только самые стойкие. В перспективе 3-5 лет мы увидим заметное сокращение предложения. Останутся самые громкие, самые именитые, самые качественные. Загадывать, кто это будет – рано, но тенденция после такого всплеска направлена на сокращение игроков.
Нишевые игроки, которые предоставляют ограниченный продукт, просто не выживут, поскольку им не хватит рынка, чтобы поддерживать процесс разработки и производства своих продуктов. Этот процесс не только дорогостоящий, но и требует большого количества времени. Взять 1 млрд рублей у государства и начать делать NGFW недостаточно, нужно еще много лет разработки и, важнее даже, количество установок продукта, чтобы набить все шишки и наступить на все грабли, но доделать все необходимые заказчикам функции. Этот процесс живого развития просто необходим. И потому, что наш продукт старейший, то это нас вывело в лидеры на сегодняшний день.
Если взять статистику продаж NGFW и сравнить, например, нас с тем же «Кодом безопасности», то они заявили, что продали своих NGFW на 3 млрд рублей, мы же отгрузили своих продуктов на 8 млрд рублей. А между нами никого нет. И после «Кода безопасности» такой же разрыв до следующего.
Какие отрасли наиболее перспективны для внедрения NGFW? Как на это влияет законодательство о КИИ?
Иван Чернов: Те отрасли, которые продвинуты в ИТ в целом, перспективны и для NGFW. На сегодня это энергетика и банки. Это те самые бизнесы, которые являются флагманами развития ИТ в стране. Что они творят в развитии технологий – это фантастика. Где развитие технологий, там и развитие безопасности – это аксиома.
По КИИ – хорошо, что такое законодательство есть, потому что оно увязывает информационную безопасность с физическим миром. Повреждение техпроцесса или жизни и здоровья людей – это все хорошо понимают. Однако, будем честны, на многих предприятиях, которые относятся к классу КИИ, уровень информатизации не такой высокий. Пересечение между КИИ и передовыми отраслями – это энергетика. Там и уровень информатизации высокий, и уровень критичности. Если брать ОПК, то там уровень информатизации ниже – многое делается вручную. Если брать банки, то там высокий уровень информатизации, но уровень критичности пониже. По нашим проектам, которые мы ведем, доля КИИ не является превалирующей.
Объекты КИИ – это больше история про импортозамещение. У них есть требование использовать российские средства защиты. Часто так бывает, что объекты КИИ дублируют контуры: один на российском, другой – на привычном. Поэтому нельзя сказать, что вышел закон №187-ФЗ и сразу NGFW начали продаваться. Это не совсем так. У этих событий нет прямой связи.
Какие специалисты нужны для обеспечения работы NGFW на стороне заказчика? Оцените потребность в кадрах для повсеместного внедрения этих продуктов.
Иван Чернов: Две роли специалистов предусмотрено для эксплуатации NGFW: сетевой инженер (сетевая связность и каналы связи); и специалист по безопасности, который определяет политику безопасности. В небольших предприятиях – это один и тот же человек, а в больших предприятиях – это два разных департамента. Проблемы с кадрами всегда были и будут. Мы запустили целую UserGate Академию, которая предназначена с помощью курсов и дополнительного образования как-то нивелировать эту проблему. Она позволяет взять сетевого инженера, послать на 3-5-дневные курсы по UserGate, и, когда возвращается, он готов для эксплуатации наших продуктов. За короткий срок можно ввести в эксплуатацию и устройство, и человека, который им управляет.
Можно также взять специалиста, который занимался эксплуатацией иностранных продуктов, и переучить его на UserGate. Это тождественные истории, поскольку все сетевые специалисты так или иначе могут пользоваться либо Polo Alto, либо Fortinet, либо Cisco – это люди, которые уже много лет потратили на обучение. Они знают фундамент и базовую технологию. Им нужно дать возможность быстро освоить новый инструмент, который работает не так как они привыкли, хотя и выполняет те же задачи. Их нужно научить как это делать по-другому. Эти курсы таким людям очень сильно помогают быстро войти в работу.
Тяжелее ситуация, когда заставляют переходить с привычного продукта на новый, но он не хочет учиться. Ему некогда, а проект авральный. Он пытается эксплуатировать новое устройство по привычке, как предыдущее, а оно по-другому работает и не соответствует его ожиданиям.
Типичная инсталляция NGFW – это кластер из двух устройств. То есть в большой организации должно стоять как минимум два устройства, и один человек их может обслуживать. Это означает, что для обслуживания условной тысячи устройств достаточно 500 специалистов. Если же предприятие большое, то одному специалисту могут доверить эксплуатацию большего количества устройств, но не тысячу, не пятьсот, ни даже сто.
Для уменьшения количества требуемых для обслуживания инженеров, кроме, собственно, их обучения, у нас есть вспомогательный инструмент – централизованная консоль управления, которая называется Management Center. С ее помощью один человек теоретически может управлять и тысячью устройствами, если это большое предприятие, хотя это будет не просто, и он будет заниматься только этими устройствами. Но такая история утопична – в реальности одного человека не хватит. Но более реально, что для эксплуатации тысячи NGFW в среднем потребуется около 500 специалистов.
Какие тенденции кибербезопасности определят будущее развитие NGFW в России в течении следующих 3 лет? Насколько они отличаются от общемировых тенденций?
Иван Чернов: Технология NGFW бросает вызов производительности. Нагрузка на сети растет, поэтому устройства должны обрабатывать все больше и больше трафика.
Соответственно, NGFW должны обрабатывать его быстрее. Это общемировая тенденция – она совпадает с российской. Темпы развития у нас и в мире могут несколько отличаться, но концептуально: повышение производительности NGFW – основное развитие технологии.
Еще одной тенденцией развития технологий и сетей в целом является поддержка новых протоколов, которые придется защищать с помощью NGFW. Например, пару лет назад вышел TLS 1.3 – нужно уметь его расшифровывать. Это не все умеют. Есть также протокол QUIC (сокращение от Quick UDP Internet Connections, придуманный Google в конце 2012 года), который почти не используется, но его употребление явно будет нарастать. Нужно будет уметь с ним работать.
Можно рассмотреть тот же IPv6, перейти на который все давно грозятся, но до сих пор не перешли. Но вдруг через год это случиться. Мы к этому готовимся, но не можем сказать, что сейчас все российские NGFW будут готовы работать в сетях IPv6. Как я уже говорил, информационная безопасность – производная от ИТ, поэтому нужно следить за развитием ИТ.
В развитии аппаратного обеспечения NGFW мы пошли по пути мировых лидеров. Это производство программируемых логических интегральных схем (ПЛИС или FPGA) и ASIC. Мы пока начали с ПЛИС, потому что их цикл производства несколько проще, и на них легче тестировать гипотезы. Они позволяют выполнять функции разгрузки основного процессора и выполнять рутинные задачи на дополнительных кристаллах. Сейчас уже есть пилоты на одной модели ПЛИС. Мы изучаем результаты эксперимента, и по завершении — примем решение о запуске такого устройства в серию. Это не послезавтрашний день, но уже на пороге – над этими технологиями идет активная работа. В целом также ожидается переход на более свободные процессорные архитектуры.
У нас есть внутреннее исследование о использовании искусственного интеллекта в безопасности. Мы даже показали с его помощью внушительный процент обнаружения атак на модуле системы обнаружения вторжений с помощью ML без использования сигнатур. Но мы не готовы это выпускать в боевую эксплуатацию. Мы считаем, что ML и ИИ – это максимум советники и консультанты, и доверять им принимать решения мы пока не готовы.
Все пророчат использование этих технологий во всех отраслях, и эти прогнозы базируются на восторге от больших лингвистических моделей (LLM), которые способны мило пообщаться в чате, но не способны принимать адекватные решения и анализировать информацию. Я считаю, что этот бум несколько преждевременен, но могу и ошибаться. Возможно, мои коллеги в лабораториях разработали много интересного на базе ИИ, но точно не на LLM.
Мы в России сейчас находимся на этапе перенимания опыта у мировых лидеров. Сегодня горячий запрос на отечественном рынке: "сделайте нам так же, как мы привыкли". Этим придется заниматься и сейчас. Когда мы этот спрос удовлетворим, сложно загадывать дальнейшее развитие. Мы же понимаем, что железного занавеса нет, и мы видим как развивается технология за рубежом. Возможно, некоторое перенимание опыта будет продолжаться далее. Важно отметить, что все зависит от того, в каком направлении будет развиваться российское ИТ. Если оно пойдет в сторону закапывания за периметр, отход от облаков, то и ИБ будет развиваться в эту сторону.
Однако может возникнуть и обратный процесс – перенос вычислительной инфраструктуры в облака. В этом случае заказчики захотят скинуть с себя головную боль по прокладке ИТ-инфраструктуры на стороннего провайдера, который будет самостоятельно развивать свои облака. Что при этом измениться? Тогда нашими клиентами будут уже не конечные потребители, но эти самые провайдеры, которым тоже нужно оборудование и железо, и у которых болит голова о используемых процессорах. Глобально больших изменений не будет. Да, нужны будут адаптация под сетевую облачную инфраструктуру – мы этим и так уже занимаемся. Нужно будет обеспечить поддержку характерных протоколов шифрования и так далее. Но это все – нюансы. Глобально, местоположение наших NGFW – у конечного потребителя или облачного провайдера – почти ни на что не влияет.
Могу привести простой технический пример. Если переход в облака в России воплотиться в жизнь, то это будет значить, что облачные провайдеры будут просить нас о такой функциональности как виртуальные контексты. Они захотят покупать большие устройства и иметь возможность разделять их между своими клиентами. Так будет адаптироваться ИБ. Если будут какие-то еще запросы, то будем думать дальше. Причем у зарубежных конкурентов этот функционал есть, но в нашей стране он не был востребован до недавнего времени, однако нам все-равно им придется заниматься рано или поздно как бы мы этого не хотели. Но я не очень верю в переход в облака. Я верю, что у нас `Гособлако` запустят для всех государственных проектов – к этому все идет. Частный же бизнес, особенно крупный, будет больше окапываться за своим периметром.
В любом случае мы будем адаптироваться под требования ИТ – этим мы и будем заниматься. Именно поэтому нам важно встречаться с нашими заказчиками и согласовывать с ними планы развития. Для этого у нас есть целая конференция, где мы эти позиции и согласовываем. Когда они будут цифровизовать свой бизнес на новом уровне нам надо к этому быть готовыми для их защиты. Это важное партнерство.