NGFW отличаются от традиционных файрволов тем, что работают на уровне приложений, а не портов и протоколов, поэтому и подход к их технической поддержке должен быть соответствующим – техподдержка должна разбираться не только в сетевых протоколах, но и в современных веб-приложениях, облачных сервисах и мобильных платформах. Кроме того, NGFW часто интегрируются с системами анализа угроз и репутационными базами данных, что требует постоянного обновления и настройки.
Почему техподдержка критически важна для NGFW
Когда речь заходит о безопасности, самое важное – оперативность реакции на угрозу. Это понятие комплексное и оно должно оцениваться на разных уровнях абстракции. Конечно, банальная скорость ответа на заявку о входящей угрозе – это первый фронт срабатывания поддержки, но есть и другие.
Например, менее очевидный момент – скорость замены оборудования. Она может потребоваться при резком росте нагрузки на сеть, обнаружении угроз, физическом повреждении устройства. Скорость замены критически важна, потому что любой простой в работе файрвола создает окно уязвимости. Если на время простоя изолируются связанные с открывающейся угрозой бизнес-процессы, то организация может понести финансовые и репутационные потери.
Второй, менее очевидный и особенно болезненный для российских вендоров момент – доступность информации. Часто документация к решению размещена на внутренних порталах поставщиков NGFW. Конечно, у каждой серьезно относящейся к ИБ компании на экстренный случай заготовлены протоколы действий для всех вовлеченных сотрудников. Но в случае реальной комплексной атаки организация переживает шоковое состояние. А во время нестандартного нападения специалист должен "действовать в соответствии с документацией поставщика", которую можно получить лишь по запросу. Замечу, что у зарубежных вендоров эта информация всегда находится в открытом доступе.
То же касается соглашений об уровне обслуживания (SLA) – иногда ИБ-специалисты компании не могут быстро получить квалифицированную помощь от вендора для настройки NGFW под новый вектор атаки. Время реакции растягивается на часы, а то и дни. За это время атака может нарушить работу критических сервисов компании, вызвать утечку данных или пройти этап закрепления и открыть путь для более серьезного вторжения.
Автоматизация рутины и разработка гайдов
Одна из фундаментальных проблем NGFW – баланс между безопасностью и производительностью. Файрволы нового поколения могут создавать узкие места в сети при неправильной настройке. Часто возникают проблемы с ложными срабатываниями, особенно при использовании функций IPS (системы предотвращения вторжений). Техподдержка должна уметь тонко настраивать правила и политики, чтобы минимизировать количество ложных срабатываний без ущерба для безопасности.
Техническая поддержка зарубежных компаний совершенствовалась и оттачивалась годами. Можно создать идеальный проект в теории, но пока не набьешь шишек на реальных кейсах защиты инфраструктуры, уязвимости будут оставаться. А значит – их будут обнаруживать и использовать злоумышленники.
В российской практике таких случаев множество, хотя они редко предаются огласке. Есть реальные кейсы, когда внедрение затягивалось больше чем на год. Столкновение теории, в которой все работает, и реальной архитектуры с уникальными особенностями не всегда выдерживает проверку опытом.
На совершенствование алгоритмов поведения сотрудников техподдержки российских вендоров уйдет минимум два года. Хотя с нынешней частотой атак на объекты цифровой инфраструктуры кто-то, возможно, справится с этой задачей быстрее.
Для ускорения процесса стоит ориентироваться на практики мировых лидеров рынка – у них поддержка работает с точностью хороших часов. До того, как сотрудника допускают к реальной работе, он учит объемные воркбуки. После этого ему открывают доступ к огромным библиотекам с данными, где говорится, куда смотреть в каждой ситуации, как приоритизировать задачи при конкретном типе атаки. Учитывая, что NGFW работает с огромным количеством сценариев нападений, без такой библиотеки обойтись невозможно.
Нельзя сбрасывать со счетов опыт корпоративного взаимодействия – интеграторы NGFW не только годами копили экспертизу на крупнейших инфраструктурах, но и активно ею обменивались. Российскому рынку подобная открытость конкурентам пока чужда. Регулирование отечественного рынка ИБ делает достижение подобного гибкого подхода еще более сложным. И, конечно, на ситуацию влияет нехватка кадров.
Как машинное обучение используется в техподдержке NGFW
В крупных компаниях (Cisco, FortiGate, Check Point и др.) уже давно используются различные лингвистические движки для выявления проблем в выводе диагностической информации. Многие инженеры используют его для решения проблем и в российских NGFW.
Направление стремительно развивается, и, возможно, в ближайшее время подобные рабочие решения уже появятся на российском рынке. Cisco, Huawei и другие крупные игроки работают над программно-определяемыми сетями. За сетями первого поколения последует и второе, в которое будет встраиваться машинное обучение. Но пока это, скорее, перспективное направление, чем распространенная практика.
Теоретически, мы можем заимствовать использование LLM вроде ChatGPT, прошедших файнтюнинг и обучение для работы с конкретными задачами ИБ и техподдержки. Это упростит работу операторов, но дублирует воркбук, правда, в гораздо более гибком и функциональном ключе: то есть сократит время реакции на заявку и обучение персонала.
Языковые модели можно использовать для поиска проблем в Linux Shell. Возможность просто вставить ошибку и получить развернутый ответ почти мгновенно локализовала проблему – беспрецедентно удобно. Конечно, работать нужно с обезличенными данными, а языковая модель должна быть развернута локально и отвечать российским протоколам безопасности. Эти проблемы решаются прямо сейчас.
Как совершенствовать техподдержку
Скорость срабатывания любых процессов в поддержке – это ключевая метрика эффективности. Поэтому необходимо проводить тестирование снова и снова – с таймером. Найти, что можно оптимизировать, кого и чему обучить, закрыть проблемные места, и снова провести тестирование.
Большого прироста скорости реагирования можно добиться с помощью повышения вовлеченности инженеров: добавлять выездные сервисные работы, не бояться менять оборудование. Стараться избегать ротации инженеров, чтобы сотрудник знал, что конкретно происходит на объекте, какое железо подключено, как работает схема.
Из этого естественно вытекает необходимость ценить и растить сотрудников, инвестировать в обучение, избегать перегрузок и регулировать поток заявок. Зачастую штат комплектуется из сотрудников, пришедших из других отделов, из других компаний, в экстремальных случаях – это студенты, не знающие ничего, кроме воркбуков.
Как правило, разработчики не идут работать в техподдержку, поэтому между создателями решения и исполнителями существует значительный разрыв в экспертизе. Закрыть его можно только обучением и детально прописанными скриптами. После обучения персонала организуется этап практического взаимодействия, в котором тоже нужно учиться, учиться и еще раз учиться.
Стандарт работы крупнейших вендоров – выезд на объект с потенциальной заменой всего оборудования. Лучшим решением, которое я видел у российских вендоров, была прямая телефонная линия, доступная 24/7. Некоторые используют для этого выделенный канал в Telegram, которым люди вынуждены пользоваться в обход технической поддержки. Взаимовыручку на уровне исполнителей, а не организаций, можно считать еще одной особенностью отечественного подхода к ИБ.
Ситуация будет меняться. Сейчас на отечественном рынке развиваются больше десятка NGFW. Конкуренция вынуждает вендоров совершенствовать техподдержку, которая становится важным преимуществом решений.
Краткие тезисы статьи
Алмаз Мазитов, эксперт по развитию бизнеса ИТ-компании Innostage в авторской колонке изданию Information Security раскрывает преимущества и точки роста отечественных межсетевых экранов нового поколения (Next Generation Firewall, NGFW).
- NGFW – комплексное решение, объединяющее функции сетевого экрана (файрвола), обнаружения угроз и глубокого анализа пакетов. Сложность системы требует особого подхода к техподдержке.
- NGFW работают на уровне приложений, и персонал, обеспечивающий их техническую поддержку, должен разбираться в веб-приложениях, облачных сервисах и мобильных платформах.
- ИБ-решения этого класса часто интегрируются с системами анализа угроз и репутационными базами данных, требуя постоянного обновления и настройки.
- Эксперт приводит ряд аргументов, почему техподдержка критически важна для NGFW. Во-первых, оперативность реакции на угрозу - критически важный фактор безопасности, то есть необходимо как можно быстрее обрабатывать поступающие заявки о входящей угрозе. Во-вторых, часто пользователь не может оперативно получить доступ к технической документации ИТ-решения. Тут ускорить процесс работы техподдержки поможет разработка гайдов.
- В ряде российских NGFW пока не решена задача автоматизации и разработки гайдов. Баланс между безопасностью и производительностью требует тонкой настройки правил и политик.
- Для выявления проблем и оптимизации работы в техподдержке NGFW может использоваться машинное обучение. Лингвистические движки и LLM (такие как ChatGPT) могут упростить диагностику и работу с заявками, языковые модели могут использоваться для поиска проблем в Linux Shell.
- Скорость срабатывания процессов напрямую влияет на эффективность кибербезопасности. Рынок заинтересован в совершенствовании техподдержки NGFW, которое включает тестирование, повышение вовлеченности инженеров, обучение и регулирование потока заявок.
- Крупнейшие российские вендоры сегодня предлагают выездные сервисные работы, для поддержки пользователей 24/7 используется горячая телефонная линия, выделенные каналы в мессенджерах, создаются коммьюнити с взаимопомощью и обменом опытом. Все возрастающая конкуренция между вендорами NGFW будет способствовать дальнейшему совершенствованию техподдержки.
