Сергей Петренко, МТС RED: Нас ждут две волны внедрения NGFW: первая — чтобы погасить пожар, и вторая — реальное замещение

Сергей Петренко: На российском рынке NGFW сейчас представлено свыше 30-ти решений данного класса, при этом потребности в сетевой защите у небольшой компании и у крупной корпорации кардинально отличаются. Мы выбрали для себя сегмент крупного бизнеса, для него и разрабатываем свое решение. Для таких компаний ключевым в продукте является оптимальное соотношение трех основных показателей – производительности, отказоустойчивости и масштабируемости. Все они так или иначе связаны с аппаратной составляющей. Мы видим, что на российском рынке есть достаточно зрелые NGFW с вполне развитой функциональностью. Однако с точки зрения сбалансированности показателей производительности, отказоустойчивости и масштабируемости имеющиеся решения далеки от возможностей ведущих мировых NGFW, к которым привыкли российские заказчики за годы, прошедшие до ухода с нашего рынка зарубежных вендоров. Начали мы со стабильной производительности — это первое качество, которое будет отличать наш продукт. Мы сфокусированы на достижении максимальных скоростей стабильной работы своего решения для крупных заказчиков. А дальше будем планомерно работать над отказоустойчивостью (сейчас реализован кластер Active-Passive, а будет Active-Active) и затем — над масштабируемостью. Мы уже на старте выпустим высокопроизводительное устройство и считаем, что на горизонте следующего года его сильно масштабировать не потребуется. Но так как в целом скорость обработки информации растет, то со временем потребность в масштабировании возникнет.

Кроме того, мы не отдельный разработчик, а часть одной из крупнейших российских цифровых экосистем. В состав нашей группы входят компании телеком-сферы, поэтому мы понимаем потребности крупных операторов и, в целом, территориально распределенных корпораций с большим объемом трафика. Мы разбираемся в распределенных высоконагруженных системах и эту экспертизу реализуем в нашем продукте. Мы делаем продукт, ориентируясь на собственные высокие требования, и рассчитываем его в дальнейшем масштабировать на весь рынок.

Сергей Петренко: NGFW – это многофункциональное решение, которое предназначено как для защиты компании от сетевых атак, так и для маршрутизации трафика. Поэтому для решения задач защиты межсетевой экран нового поколения должен фильтровать трафик на уровнях 3, 4 и вплоть до 7-го по модели OSI. Также необходимо иметь на борту технологии предотвращения вторжений (IDS/IPS), URL-фильтрацию, Site-to-Site VPN, идентификацию пользователей и глубокую инспекцию трафика (DPI). Необходим потоковый антивирус, но его обычно не разрабатывают самостоятельно, а берут на борт зрелые рыночные решения. Защитные функции решения значимо усилят индикаторы компрометации с расширением до TI-платформы.

Для реализации сетевых функций современные NGFW должны включать в себя динамическую маршрутизацию, поддержку IPv6. Для возможности разделения одного физического устройства на несколько виртуальных решение должно поддерживать виртуальные контексты и иметь мультитенантную архитектуру.

Сергей Петренко: Поскольку мы ориентированы на крупный бизнес, им важна скорость стабильной фильтрации трафика не менее 100 Гбит/с. Таких показателей можно достичь только при программно-аппаратной реализации решения. Именно программно-аппаратные комплексы (ПАК) наиболее востребованы у наших заказчиков и при этом обозначены в требованиях регулятора. В первых версиях МТС RED NGFW не будет отдельных программных или сервисных реализаций. Такие решения уже есть на рынке, но по умолчанию они низкопроизводительны, и мы в этот сегмент пока идти не хотим. ПАК МТС RED NGFW в одном из ближайших релизов будет поддерживать многопользовательский интерфейс для обслуживания клиентов из облака. Его можно будет развернуть в облачной инфраструктуре и выделить виртуальные контексты разным потребителям, департаментам одной компании или группам компаний в холдинге. Наш продукт хоть и аппаратный, но разрабатывается с учетом сценариев использования из облака.

Что касается самой производительности, вендоры берут стандартные аппаратные платформы и адаптируют их под требования, предъявляемые к NGFW. Однако в этих аппаратных платформах есть архитектурные ограничения, например, такие как пропускная способность шины PCI четвёртого поколения: как ее ни оптимизируй, данные по шине физически быстрее не побегут. Поэтому в наших устройствах изначально предусмотрены аппаратные ускорители, на которых будет производиться часть трудоемких операций по обработке трафика без задействования шины PCI-Express и всей стандартной архитектуры x86 общего назначения. Именно такое аппаратное решение позволит нам показать высокую производительность.

Сергей Петренко: Да, такая реализация возможна. МТС RED изначально вышел на рынок как сервис-провайдер и уже позже – как вендор, и мы верим в востребованность сервисов кибербезопасности прежде всего для малого и среднего бизнеса. Да и для крупного, который хочет диверсифицировать риски: одни технологии развернуть у себя, а другие использовать от надежного провайдера. Поэтому МТС RED NGFW создается с прицелом на то, что в будущем станет доступен в виде облачного сервиса. Перспективно, востребованно, – значит, будет реализация.

Сергей Петренко: В процессе создания и внедрения такого сложного продукта, как NGFW, помимо вендора задействовано множество технологических партнеров, интеграторов и прочих подрядчиков. Но на наших клиентов это никак не влияет, поскольку мы отвечаем за конечный продукт сами: клиенту не нужно будет отдельно обращаться к партнерам за технической поддержкой, ее обеспечим мы.

Другая важная составляющая поддержки NGFW – это сертификация решения. Естественно, мы уже движемся в данном направлении, причем это не разовая работа, а постоянный процесс. После первичной сертификации нужно поддерживать процесс разработки безопасного программного обеспечения. ПАК будет наращивать свою функциональность, и все эти изменения необходимо также приводить в соответствие с требованиями законодательства через определенные процедуры во ФСТЭК России. В случае с ПАК необходимо сертифицировать не только ПО, но и аппаратную часть.

Также при поддержке любого ИТ-решения не обойтись без SLA. Для МТС RED NGFW предусмотрен SLA на замену аппаратных компонент: в его рамках мы планируем предоставлять заказчикам услугу оперативного восстановления работоспособности вышедшего из строя оборудования или отправки нового ПАК для замены в течение одного рабочего дня (так называемая услуга Next Business Day). Производством аппаратных решений, на которых выстроен наш NGFW, занимаются наши технологические партнеры. Их территориально распределенная инфраструктура, как и инфраструктура МТС, позволят нам осуществлять оперативную поддержку МТС RED NGFW по всей стране. Причем не только для коммерческого внедрения, но и для пилотирования системы – сейчас формируется большая группа пресейл-инженеров, которые будут вместе с заказчиками интегрировать эти устройства в их инфраструктуру, тонко настраивать под требования заказчиков. Продукт класса NGFW не может работать из коробки, и мы не оставим наших клиентов один на один со сложным и неизвестным для них устройством.

Для распространения нашего решения мы строим классический партнерский канал: уже подписаны соглашения с несколькими дистрибьюторами и системными интеграторами, – все ждут старта продаж.

Сергей Петренко: Я считаю этот рынок перспективным, находящимся в стадии бурного роста и формирования. И продлится эта стадия еще не год и не два. Не только мы, но и другие крупные игроки рынка кибербезопасности включились в эту гонку после ухода западных вендоров. В ближайшее время – в этом и следующем году – на рынок выйдут еще несколько решений, которые изменят ландшафт рынка NGFW с точки зрения конкуренции. Но и уже существующие игроки никуда не денутся. Особенность enterprise-сегмента этого рынка в том, что он не только высококонкурентный, но и высокомаржинальный.

Если говорить о тенденциях, то глобальной является импортозамещение, поскольку до недавнего времени на российском рынке NGFW доминировали иностранные игроки. Но этот процесс проходит не без сложностей: указ №250 и прочие нормативные акты, предписывающие применение отечественных средств защиты, уже приняты, и сроки их реализации названы. Но крайне вероятно, что значительная часть бизнеса и госструктур за оставшееся до дедлайна время физически не сможет перейти на отечественные продукты и останется на уже работающих решениях. Их сейчас называют трофейными NGFW. Они будут работать без технического сопровождения или с поддержкой, предоставляемой через посредников. При этом клиенты продолжат тестировать российские NGFW, выбирать подходящие под их требования и постепенно на них переходить. Этот переход займет несколько лет, и, возможно, будет реализован поэтапно. Сначала перейдут на то, что доступно на рынке, чтобы формально выполнить требования законодательства. А через какое-то время могут начать мигрировать на более зрелые и высокопроизводительные решения. Вторая волна и будет реальным замещением передовых зарубежных устройств: лучшие российские NGFW разместятся в ядре сети, обеспечат высокопроизводительную фильтрацию трафика и защиту сетевой инфраструктуры. Предполагаю, что первый этап завершится в течение 2025 года, а второй – в 2026-2027 году.

Следует отметить, что наш рынок NGFW не склонен к консолидации. О ней все говорят, она нужна, но пока мы ее не наблюдаем. Идут разовые покупки и слияния, но они достаточно точечные. Я считаю, что рынку необходима консолидация, поскольку почти половина заказчиков этих решений – это крупный бизнес, который формирует запрос на функционально очень развитые и высокопроизводительные NGFW. Разработку таких решений не осилят небольшие вендоры, а крупным компаниям отрасли зачастую проще докупить на рынке недостающую технологию, чем создавать ее самостоятельно с нуля. Однако когда игроки этого рынка наконец начнут объединяться в сколь-либо значимом масштабе, – вопрос открытый ввиду особенностей российского менталитета.

Сергей Петренко: В целом не только законодательство в сфере КИИ, но и все последние инициативы нормативного регулирования в области ИБ влияют на рынок положительно – склоняют заказчиков к переходу на отечественные решения, что в свою очередь дает вендорам возможности для их развития. Законодательство – драйвер, но лишь один из нескольких. Другой мощной движущей силой является рост количества угроз. В текущей геополитической обстановке объем кибератак увеличился кратно. Так, по данным центра мониторинга и реагирования на кибератаки МТС RED SOC, в первом полугодии 2024 года на российские организации было направлено в 2,5 раза больше атак, чем в первом полугодии 2023 года. Как следствие, компании, которые не были ранее озабочены защитой, попадают под атаки и начинают всерьез заниматься информационной безопасностью либо сами, либо обращаясь к сервис-провайдерам. В целом все отрасли экономики активно цифровизуются, а чем больше у вас цифровых активов, тем больше на вас может быть направлено векторов атак. Вся ИТ индустрия, телеком, банки, где есть живые деньги, промышленность и здравоохранение с особо ценной конфиденциальной информацией постоянно находятся под угрозой. Госструктуры и весь крупный бизнес под угрозой из-за высокой резонансности успешных атак на такие организации. С целью получения громкого эффекта сейчас атакуют даже социальную сферу, хотя это не несет никакой финансовой выгоды. По-прежнему распространены и программы-шифровальщики, которые могут атаковать любую инфраструктуру, парализовать ее работу с целью потребовать выкуп.

Сергей Петренко: Для управления такими устройствами нужны сетевые инженеры, обладающие знаниями в области кибербезопасности. Причем прежде всего они должны быть именно грамотными сетевыми инженерами, поскольку NGFW – это сетевое устройство. Оно устанавливается в инфраструктуре и имеет очень широкую функциональность, относящуюся к работе сети. Функции безопасности также нужно уметь настраивать, но с этим всегда может помочь производитель или интегратор, через которого поставлялось оборудование. А вот разобраться в собственной сетевой инфраструктуре — какие потоки данных, протоколы, порты и т.д. и как необходимо защищать — вряд ли кто-то поможет со стороны. Поэтому клиенты должны иметь именно сетевую экспертизу.

Мы понимаем, что на рынке большой кадровый голод в ИБ-сфере. Даже крупные компании не могут себе позволить укомплектовать штат, не потому что нет финансовых возможностей, а потому что на рынке нет людей. Однако вузы сейчас активно наращивают подготовку кадров: если лет 20 назад специалистов в области ИБ выпускали только единицы вузов, то сейчас их уже больше 200. Поэтому я считаю, что кадровый голод за несколько лет будет нивелирован.

А пока мы реализуем в своем NGFW другой подход. Если крупная компания приобретает сотню многофункциональных межсетевых экранов, то они, скорее всего, будут территориально распределены по всей России, если, конечно, компания имеет филиальную сеть. Мы понимаем, что в таком случае управлять отдельно каждым устройством – задача нерешаемая. Нельзя взять в штат сразу десять специалистов по сетевой безопасности, а один не справится. Поэтому мы делаем ставку на отдельную платформу управления, и это тоже будет одно из ключевых преимуществ нашего решения. МТС RED NGFW – устройство для крупного бизнеса и госструктур. Мы осознаем, что одним заказчикам нужно 5-10 устройств, а другим – десятки единиц. И все они смогут контролировать множество межсетевых экранов посредством платформы управления, которая с точки зрения архитектуры решения нами заранее прогнозировалась и была спроектирована. Нам не придется позже решать проблему, как нашими устройствами эффективно управлять, – мы разрабатываем платформу управления одновременно с созданием ПАК. Она должна сократить потребность в высококвалифицированных кадрах: достаточно будет одного-двух специалистов дежурной смены, которые, сидя в центральном офисе, смогут управлять всеми устройствами, оркестрировать систему защиты целиком, тиражировать и централизованно менять политики безопасности для всего парка устройств и т.д. Причем можно будет управлять не только устройствами нашей разработки, но и любыми сторонними NGFW, у которых есть открытый API. При этом количество устройств может быть действительно любым: сотня, две, тысяча. Для управления ими через платформу в принципе достаточно одного-двух человек, но естественно всегда нужно предусматривать резерв. Штат, обслуживающий NGFW, может иметь специализацию: один сотрудник – выполнять задачи сетевого инженера, а другой – специалиста по информационной безопасности. Первый занимается настройкой сетевых аспектов работы NGFW, а второй – политик безопасности.

Сергей Петренко: От общемировых трендов наш рынок NGFW отличает прежде всего то, что у нас буксует процесс консолидации. Западные игроки очень крупные – это огромные корпорации, такие как Cisco, Palo Alto, Fortinet. Каждая из них за время своего становления поглотила по несколько компаний. Они постоянно покупали производителей нишевых продуктов и интегрировали их разработки в свои NGFW. В результате они и получили очень многофункциональный комбайн. У нас этого не происходит – особо никто не продается и не покупается, поэтому для развития функциональности NGFW приходится использовать Open Source и OEM-партнерства, на что мы и делаем ставку. Ну и безусловно очень много кода нужно написать самим.

Вторая тенденция – сферу NGFW, скорее всего, затронет бум искусственного интеллекта. Должны появиться модели машинного обучения для специализированного использования – не общего назначения, а именно для решения задач обработки трафика. ИИ для целей защиты может применяться в самых разнообразных сферах: для выявления аномалий, предиктивной аналитики и решения ряда других задач. Западные коллеги уже несколько лет назад анонсировали этот тренд. Я помню пресс-релиз Palo Alto, где они объявили, что у них первый в мире NGFW с искусственным интеллектом. Когда-нибудь и в России тоже такой появится. Однако лично я понимаю под искусственным интеллектом технологию, которая может не только самостоятельно выполнять рутинные операции, но и реагировать без участия человека и делать что-то новое. Например, написать новое правило безопасности при обнаружении новой аномалии. Наверно, со временем такой «разум» появится и в NGFW. Эти технологии будут востребованы, если будет доказана их эффективность. Поскольку людей мало, и они дорогие, они болеют и ошибаются, а машина не болеет и не ошибается (но это не точно). Полезна любая автоматизация и предиктивная аналитика, которая позволяет не просто реагировать, а предсказывать следующие шаги атакующего, чтобы быстрее его обнаружить и заблокировать. Человеку это сделать сложно, а искусственному интеллекту вычислительная мощность в теории должна позволить на большом объеме данных выявлять какие-то закономерности и предсказывать возможную атаку. Например, предстоит государственный праздник, и в его преддверии появилась информация в Darknet о неких действиях группы хактивистов. Машина на основании этих и ряда других данных сможет предсказать возможные действия атакующих и выдать предупреждения: в день праздника высока вероятность атаки такого-то вектора. Это было бы здорово, похоже на искусственный интеллект, который может создавать новую ценность.

Значимым трендом является параллельное развитие облачной и on-premise моделей использования NGFW. По нашим оценкам, соотношение облачных технологий и локальных установок NGFW будет распределяться примерно 50% на 50%. Поэтому производителям, которые хотят занять значимую позицию на рынке (и нам в том числе), надо работать в обоих сегментах. Не получится сделать ставку на что-то одно, поскольку половина рынка у тебя останется за скобками. Как я уже упоминал, мы начинаем с большого высокопроизводительного ПАК, но он также будет технологически готов к многопользовательскому применению в облачных условиях.

В целом нас ждут интересные три года, в течение которых клиенты, разработчики, телеком и облачные провайдеры будут активно участвовать в становлении российского рынка NGFW. Поживем-увидим, честная конкуренция должна выявить сильнейших. Мы только «за».