CNews: Какая ситуация сложилась на рынке сетевой безопасности?

Анастасия Хвещеник: Сетевая инфраструктура уже давно перестала быть чем-то второстепенным для организаций. Её критичность и важность не требует доказательств и, как следствие, защите сетевой инфрастуктуры уделяется самое серьезное внимание.

Вот уже много лет слово «импортозамещение» не сходит со страниц СМИ и бесконечно обсуждается на всех площадках. Если посмотреть на статистику поисковых запросов Яндекс, то можно увидеть, что до марта 2022 года в среднем запросы по теме импортозамещения варьировались от ~16 тысяч до ~36 тысяч. Но с марта 2022 года количество таких запросов резко увеличилось до ~320 тысяч и стабилизировалось на сегодняшний день в районе ~81 тысяч.

Подобный взрывной рост запросов произошёл неслучайно. Никто даже в самых страшных стресс-тестах не мог предположить, что подавляющее большинство западных вендоров уйдет из России. Рынок сетевой безопасности десятилетиями выстраивался под архитектуру таких вендоров как Cisco, IBM, Palo Alto, Fortinet и других не менее известных брендов отрасли. Несколько десятков лет рынок развивался и, по нашим данным, по итогам 2021 года достиг 44 млрд руб. (без учета НДС), притом, что объем всего рынка информационной безопасности составил 98 млрд руб. (без НДС). Согласно нашим данным, доля зарубежных игроков к началу 2022 года составляла 80%, а к 2025 году ожидается падение до 25%.

При этом инвестиции компаний в сетевую безопасность включают в себя не только аппаратные или программные средства, но и компетенции персонала. Покинувшие нас вендоры вырастили целое поколение приверженцев своих решений. И, если оборудование или программное обеспечение еще хоть как-то можно в теории поменять, то переобучение тысяч и тысяч специалистов под новые решения займет существенно больше времени.

Многие компании оказались зажаты в жесточайшие временные рамки из-за угрозы «окирпичивания» критически важной инфраструктуры. В такой ситуации решения нужно принимать моментально, и все службы должны быть мобилизованы для замены ранее внедренных решений, а рынок должен обладать соответствующими ресурсами, для удовлетворения запроса.

CNews: С чем столкнулись потребители на рынке?

Анастасия Хвещеник: Заказчики оказались в сложной ситуации. На отечественном рынке безусловно есть поставщики решений сетевой безопасности. Но каждое решение обладает своими особенностями.

Создание любого серьезного программного продукта требует времени. Каждый вендор начинал свой путь с разработки какой-то отдельной функциональности под конкретных заказчиков, после чего постепенно его развивал.

Кто-то начинал с маршрутизации, кто-то с предотвращения вторжений, кто-то с антивирусной защиты. Потребовались долгие годы, чтобы довести свои продукты до коммерчески успешных и стабильных решений.

Часть заказчиков, которая понимает отечественный рынок, оказавшись в ситуации критической волатильности, бросилась скупать всё подряд. Вендоры оказались в ситуации внезапно возникшего лавинообразного спроса, стремительно тающих складских запасов и бесконечных авралов на внедрении своих решений. Ажиотажный спрос и множественные риски неизбежно подтолкнули цены вверх, и стоимость отечественных решений информационной безопасности выросла на 20%.

Другая часть заказчиков, не обладающая опытом работы с отечественными решениями, потребовала от отечественных поставщиков равнозначной замены ушедшим западным вендорам. При этом большинство заказчиков финансово были не готовы к таким внеплановым тратам (бюджеты никто не закладывал, ресурсы не планировали). Но чтобы провести закупку, надо еще сформулировать требования к ней. Это оказалось, пожалуй, самым сложным. Ведь эти заказчики длительное время учились и наращивали экспертизу в том, что они уже эксплуатировали. Нехватка экспертизы в отечественных решениях неминуемо потребовала консультаций и переобучения.

CNews: Каким образом нужно выбирать решение?

Анастасия Хвещеник: Если посмотреть статистику поисковых запросов, то мы увидим резкий рост интереса к отечественным решениям сетевой безопасности начиная с марта. Многие заказчики начали строить свои планы на основе результатов поиска в интернете, маркетинговых материалов, статей в блогах, мнений и фрагментов экспертизы в разнообразных специализированных и не очень специализированных ресурсах.

Каждый вендор описывает своё решение исходя из своих стратегических интересов и интерпретации результатов тестирования и эксплуатации решений. В этом нет ничего предосудительного. Особенно в ситуации, когда на всём рынке не существует единых стандартов, описывающих весь перечень технологий. Есть, например, стандарт на тестирование каналов связи RFC-2544. Но не существует стандарта тестирования производительности межсетевого экрана. Существуют формальные требования к межсетевым экранам, утвержденные ФСТЭК России, но не существует требований к NGFW (Next Generation Firewall). Список можно продолжать очень долго.

В условиях дефицита времени и недостатка экспертизы, заказчикам остаётся только запускать пилотирование решений и писать техническое задание на внедрение по ходу пилотирования. Качество пилота и готовность команды вендора участвовать в его поддержке становится залогом успеха проекта. Ситуация осложняется тем, что в составе лиц, принимающих решения о внедрении тех или иных систем информационной безопасности, как правило, нет людей с отраслевой экспертизой, и принятие решений идёт на основании маркетинговой информации. Например, сравнивается пропускная способность по трафику, но полностью игнорируются профили нагрузки (количество сессий, объемы пакетов, их частота, типа трафика L2/L3/L7, журналирования и т.п.).

Качественное проведение пилотного проекта в значительной мере обеспечивается проработанными требованиями и выбором наиболее репрезентативной области для пилотирования. Точное описание инфраструктуры и сетевого окружения, проработка схемы подачи трафика и тип подаваемого трафика — все это будет определять то, насколько результат пилота получится приближенным к перспективам полноценной эксплуатации выбираемого решения.

Существуют международные практики, позволяющие оценить производительность и реальные спецификации решений. Например, в рамках инициативы NetSecOpen и EANTC проводятся лабораторные исследования по собственным методикам. Но данный тип услуги недоступен отечественным продуктам, и его можно лишь изучать с точки зрения воспроизведения у нас.

Отдельное беспокойство вызывает доступность аппаратных ресурсов. Большинство отечественных аппаратных решений построено на процессорах Toffino от Intel. Это общедоступные процессоры, которые на отдельных задачах имеют понятные пределы производительности. В ряде случаев (например, крипто-функции) требуется специализированные аппаратные ускорители, которые на сегодняшний день практически недоступны.

В этом смысле нам очень помогает доступность сетевой лаборатории «Ростелеком» с самым современным и мощным оборудованием и соответствующая экспертиза коллег.

CNews: А так ли нужен NGFW?

Анастасия Хвещеник: Начнём с определения NGFW, которое было сформулировано аналитическим агентством Gartner в 2009 году, хотя концепция данного вида решения была предложена ими еще в 2007 году.

NGFW от файерволов предыдущего поколения отличает то, что раньше средства сетевой безопасности отрабатывали на уровнях от 2 до 4 сетевой безопасности, а в NGFW от 2 до 7. Помимо этого, NGFW обладает обратной совместимостью с традиционными брандмауэрами (пакетная фильтрация, NAT, VPN и т.д.), обладают интеллектуальным IPS, могут получать дополнительные данные из внешних источников для улучшения качество работы, содержат централизованные средства управления, высокой производительностью. И множество других функций, которые могут сильно отличаться от вендора к вендору.

Если совсем коротко, то NGFW — это средства, предоставляющие возможности управления высоконагруженными объектами со сложными схемами управления.

Сломано немало копий на тему отличий NGFW от UTM-решений или от традиционных решений, вышло множество аналитических публикаций и сделано немало попыток стандартизировать эту тему. За последний год в поисковых запросах «Яндекс» термин NGFW уверенно поднялся со 130 тысяч запросов год назад до 280 тысяч запросов. Это однозначно показывает интерес заказчиков к этой теме. Но очень важно понимать, что при выборе решения нужно смотреть не на название или класс решения, а на необходимые функции и прочие параметры защищаемой инфраструктуры.

На отечественном рынке появилось немало компаний, которые заявляют, что являются поставщиками такого рода решений. Но, как уже было сказано, важно смотреть на историю создания такого решения. Если производитель существует на рынке уже много лет, демонстрирует стабильные финансовые показатели (выручку, прибыль, рентабельность, среднесписочную численность, патенты и т.д.), то к такому производителю можно присмотреться.

Особенно внимательно следует изучить историю создания такого решения, в ней явно будут проявляться ключевые компетенции вендора. Невозможно, например, сравнивать решения для рынка крупных компаний и рынка малого и среднего бизнеса. Между этими решениями лежит пропасть. Опыт и экспертиза не собираются за один день или год. Создание коллектива в сотни или тысячи сотрудников требует не одного года и больших инвестиций. Например, сертификация продукции под требования ФСТЭК России или ФСБ может занять от года работ, и это далеко не «бумажная безопасность»: разработка документации, прохождение испытаний, фаззинг тестирование, выявление ошибок во внешних библиотеках и т.д.

Отечественные компании оказались в ситуации, когда необходимо резко нарастить инвестиции. Ведь без этого невозможно нарастить команду, увеличить объемы и скорость выпуска решений. Кредитные линии в банках чрезвычайно дорогие и получение их сопряжено с массой сложностей. Государство пришло на помощь и предоставило ИТ-компаниям меры господдержки (снижение налогов, предоставление льготных кредитов, предоставление отсрочки и т.д), даёт возможность получения дополнительной грантовой или иной субсидиарной поддержки через, например, Российский фонд развития информационных технологий (РФРИТ).

При этом существует практика достижения быстрого выхода на рынок за счёт использования open source решений. Когда производитель берёт уже готовый модуль (например, OpenVPN, Suricata) и встраивает его в своё решение. В этом есть понятные плюсы и минусы. Плюсы — быстро наращиваем функциональность, большая база знаний сообщества. Минусы — необходимость серьезного тестирования (регрессионное, нагрузочное и т.д), риски встраивания вредоносного кода, уязвимости. Поэтому при общении с вендором надо внимательно изучать, что именно легло в основу разработки, где уже эксплуатируется данное решение и были ли пройдены сертификации (это не является панацеей, но снижает риски безопасности).

CNews: Какие специалисты нужны вендору, чтобы сделать успешный продукт?

Анастасия Хвещеник: Принципы создания программных продуктов несильно отличаются от промышленного производства. Существуют мифы, что достаточно собрать нескольких талантливых студентов, посадить их в гараже и через какое-то время мы получим корпорацию мирового масштаба. Мир устроен совсем иначе.

Только для создания решения потребуются аналитики для проработки требований, разработчики для написания программного кода, тестировщики для проверки качества, инженеры для настройки оборудования и стендов, технологи для обеспечения непрерывности процессов, менеджеры для общего управления, технические писатели для подготовки документации, пресейлы для общения с заказчиками, сервисные инженеры для оказания поддержки, специалисты по сертификации и еще множество-множество других специалистов разного уровня подготовки.

Управление такими коллективами также требует качественных лидеров и руководителей. Ведь лидерство далеко не всегда определяется экспертностью или опытом работы. А без лидеров ни один коллектив не сможет мотивированно двигаться к поставленным целям.

Для одной только разработки может потребоваться несколько команд разработки: группа поддержки (устраняют ошибки и выпускают патчи), группа исследований (работают над научно-техническим заделом будущих периодов), группа текущего релиза (работают в рамках текущего плана по дорожной карте), группа специальных решений (которая работает над очень специфическими решениями) и т.д.

Если подсчитать всю возможную команду, то это десятки людей. В нашем случае это коллектив из сотен сотрудников, который формировался десятилетиями. Невозможно собрать и сработать такую команду даже за год.

Но помимо умения управлять коллективом, необходимо еще где-то найти сотрудников. Необходимо формировать научно-технический задел для будущего развития.

Нужно понимать внедрение и эксплуатацию решений, сервисное и постгарантийное обслуживание, интеграцию и построение общей архитектуры инфраструктуры у заказчиков.

Всё это требует еще и соответствующих технологий управления. Часто эти вопросы пытаются закрыть рассказами про Agile и про гибкую разработку. И в какой-то части это работает, но лишь в какой-то. Например, никакая гибкая методология не позволит совместить инвестиционный или какой-то другой бизнес-план на три-пять лет с Agile.

В нашем случае мы регулярно обращаемся к опыту нашего акционера и другим компаниям, входящим в ПАО «Ростелеком». Например, в части используемого оборудования, в части эксплуатации конкурентных решений на реальных задачах, в части масштабных тестовых исследований. Подобный симбиоз позволяет очень быстро достигать нужного результата с существенно меньшими затратами.

CNews: Значит невозможно найти подходящее решение на рынке или всё-таки возможно?

Анастасия Хвещеник: Количество факторов, которые необходимо учитывать в рамках внедрения средств информационной безопасности или их замещения столь велико, что найти идеально подходящее решение практически невозможно. И уж тем более невозможно заменить одного вендора на другого — идентичного ему.

Конечная архитектура — это всегда компромисс между желаниями и возможностями.

При выборе партнера для решения описываемых задач надо смотреть не только на зрелость предлагаемого решения, но и на наличие ресурсов и опыта у вендора. Причем опыта реального, который можно проверить через финансовые показатели, пресс-релизы, отзывы других заказчиков, готовность к проведению пилотов и демонстраций под реальной нагрузкой.

Надо понимать, что «много функций» не равно «лучшее решение». Не надо много функций и не надо мало, надо ровно столько, сколько нужно для решения конкретных задач. Для этого необходимо работать совместно с партнером над требованиями и проектными решениями.

При этом нельзя сказать, что отечественный рынок пуст, и на нём нет решений. Они есть, они рабочие и доступные, они закрывают потребности заказчиков. Но они не идентичны тем, что ушли с рынка, и, к сожалению, это пока не все могут принять.