Символика чисел
В своё время 250-й указ стал революционным: обязал госорганы и корпорации, стратегические предприятия и объекты КИИ внести в организационные структуры отдельное подразделение по информационной безопасности (ИБ), назначить ответственного по направлению и обеспечить выполнение перечня ключевых мер по ИБ.Пожалуй, одним из самых трудновыполнимых и потому пугающих был пункт 6: запрет с 1 января 2025 года использовать средства защиты информации, произведённые в недружественных странах или под их контролем. Огромной проблемой стало то, что многие мировые лидеры по производству софта и оборудования для киберзащиты имеют «недружественную» юрисдикцию. Как следствие, заказчикам потребовалась оперативная замена продукции, а во многих случаях — ещё и терпеливое ожидание импортонезависимых аналогов, которые только начали разрабатываться.
Неудивительно, что само появление через два года указа № 500 автоматически было воспринято как новый перечень и двукратное «нельзя». На деле же в части ограничений и требований к импортозамещению ПО свежий документ лишь закрепил в правовом поле уже сформированные в отрасли тенденции, актуализировав положения своего предшественника.
Три изменения из четырёх касаются установки требований к аккредитованным центрам ГосСОПКА, порядка получения и отзыва аккредитации. Такие центры привлекаются для противодействия цифровым угрозам, направленным на ведомства и субъекты КИИ, а также для реагирования на инциденты и их расследования.
А вот заключительный пункт Указа № 500 действительно добавляет к действующим ограничениям на использование зарубежных СЗИ новый запрет. С 2025 года госучреждениям и приравненным к ним по части кибербезопасности предприятиям нельзя будет пользоваться как софтом, так и сервисами (работами или услугами) по ИБ от компаний из недружественных государств. Таким образом, под запретом окажутся не только установка и внедрение в инфраструктуру решений по информационной безопасности от западных вендоров, но и использование их облачных вариантов по подписке, которое продолжали практиковать отдельные компании из перечня субъектов критической информационной инфраструктуры.
Образно выражаясь, корпоративным пользователям из госсектора и стратегически значимых сфер вслед за закрытием дверей и окон предписано плотно прикрыть форточки.
Зарубежные межсетевые экраны: реально ли заменить?
Одна из самых больших трудностей — замещение межсетевых экранов нового поколения (Next Generation Firewall, NGFW), способных обрабатывать большой поток данных при максимальном включении сервисов киберзащиты.Эта ниша СЗИ долгое время была прочно занята вендорами из США и Израиля. Последние годы разработкой межсетевых экранов, способных стать полноценной альтернативой западным, усиленно занимаются и российские производители.
При этом отечественные NGFW должны пройти сертификацию ФСТЭК России и иметь достаточный запас прочности, чтобы выдерживать постоянно возрастающий натиск хакеров. Это ровно тот случай, когда «надо бежать вдвое быстрее, чтобы просто оставаться на месте».
Кроме того, из-за сложности подобных решений и специфики их применения создание прототипа, запуск «пилотов» и выход в промышленную эксплуатацию требуют гораздо больше времени, чем в случае со многими другими классами ПО. К примеру, взять «сырую» BI-систему и индивидуализировать её под задачи бизнеса куда менее рискованно, чем использовать незрелый МЭ. Это примерно то же самое, что выставить малоопытного вратаря на ответственный футбольный матч с принципиальным соперником: вроде бы и неплохо дать новичку боевой опыт, но сперва пусть наберётся опыта на других соревнованиях — тем более если ещё вчера в команде были такие зрелые «голкиперы», как Check Point, Fortinet, Palo Alto или Cisco.
С другой стороны, к 1 января 2025 года в ворота будут ставить только российских «вратарей», без права замены на легионеров.
Давайте посмотрим, какие отечественные МЭ сейчас сидят на скамейке запасных или разминаются на бровке футбольного поля.
Российские NGFW: общий уровень и перспективы
Считаю, что в лабораторных условиях, без обкатки на реальных проектах МЭ не дозреет до того уровня, который необходим для сдерживания хакерских атак. Конечно, выпустив на рынок «сырое» решение, производитель рискует сформировать у заказчиков негативное первое впечатление о продукте, которое в дальнейшем будет очень тяжело изменить. Однако и стратегия с максимальной шлифовкой граней в попытке довести решение в лаборатории и на стенде до идеала тоже имеет недостатки. Так можно упустить момент и попасть в ситуацию, где рынок уже начал насыщаться, а клиенты уже приобрели продукты конкурентов — тем более что те российские вендоры, которые к февралю прошлого года успели выпустить свои продукты в нише МЭ, уже фактически формируют рынок и стремятся стать его ядром.
Сегодня на российском рынке существует десяток NGFW от разных вендоров: UserGate, Positive Technologies, «Кодмастер», «Смарт-Софт», InfoWatch, «А-Реал Консалтинг», «Код Безопасности», НПО «Эшелон» и т. д. Удастся ли им сохранить лидерство, станет ясно через пару лет, т. к. ряд крупных производителей СЗИ также заявляют о планах по созданию собственных NGFW.
В классификаторе ПО от Минцифры РФ на конец июня 2024 года имеется 10 записей о включении межсетевых экранов нового поколения в единый реестр российских программ и БД. Примечательно, что первая запись появилась в апреле 2016 года, следующая — в 2018 году, ещё две — годом позднее. Настоящим скачком на этом фоне выглядит период с мая по декабрь 2023 года, когда были зарегистрированы сразу четыре новых NGFW. Ещё несколько команд разработчиков прямо сейчас пытаются довести свои решения до соответствия требованиям регулятора. По итогу, вероятно, часть игроков выйдет из гонки либо займёт узкие ниши с индивидуализацией продуктов под отдельных заказчиков. Как именно поменяется рынок — вопрос на краткосрочную перспективу.
Самая большая трудность для нынешних заказчиков — найти производительный и в то же время максимально надёжный NGFW. Вроде бы не самые прихотливые желания, но на нашем рынке в этой нише всё ещё крайне мало эффективных решений. Один из таких продуктов, который обеспечивает отказоустойчивость, надёжность бизнеса, защиту от кибератак, — межсетевой экран нового поколения PT NGFW от Positive Technologies, который уже с июня 2024 года доступен для приобретения.
Мы являемся стратегическим партнёром Positive Technologies и ранее сделали серию тестов их «железа». Лабораторные испытания показали: запрос на производительность они удовлетворяют вполне. Теперь ждём, когда твёрдо можно будет ставить галочку по пункту «надёжность».
Взгляд заказчиков: чего хотят и на что согласны
На киберфестивале PHDays 2, который проходил в Лужниках 23–26 мая, Innostage организовала специальный демонстрационный стенд, где показывала работу ранней версии межсетевого экрана нового поколения PT NGFW, а заодно опросила более 50 заказчиков.Результаты были проанализированы, и я готов поделиться ими в обезличенном формате. Итак, все клиенты при выборе NGFW ориентируются главным образом на два критерия: функциональность и отказоустойчивость. Для крупных заказчиков плюсом к ним идут удобство интерфейса и широта интеграций, например с DLP, песочницей, антивирусом и т. д.
Высокая функциональность и отказоустойчивость NGFW обеспечивают надёжную защиту сетевой инфраструктуры и позволяют гибко контролировать сетевой трафик, начиная от фильтрации на основе IP-адресов, портов и протоколов и заканчивая централизованным управлением безопасностью сети и блокировкой аномального поведения систем, срывом попыток несанкционированного доступа и эксплуатации уязвимостей. Эти характеристики также помогают заказчикам соответствовать регуляторным требованиям и стандартам безопасности, в том числе обеспечивать комплекс мер согласно указу № 250.
Функциональность решения, как правило, оценивается исходя из текущих запросов и прогноза по его использованию в ближайшие пять лет с учётом развития ИТ-инфраструктуры и усиления натиска хакеров. В то же время не стоит переплачивать за функции, которые могут не понадобиться в будущем: лучше заложить бюджет на тестирование и выбор наиболее подходящего решения после определения конкретных задач.
Требования к функциональности могут варьироваться в зависимости от того, где стоит NGFW: в ядре сети, в ЦОДе или на периметре. Минимальный набор (но иногда не все эти функции нужны, а иногда нужно и больше): L2 / L3 FIREWALL A/S, NAT, USER-ID, OSPF, BGP, CLI, группы (IP-адреса, порты, приложения, GeoIP), RBAC, ANTI-SPOOFING, LACP, LOGS, S2S, RA VPN.
Также стоит учитывать бесшовную интеграцию продукта с другими системами безопасности, такими как песочницы (Sandbox), системы управления событиями (SIEM), автоматизаторы и оркестраторы (SOAR), комплексы по управлению идентификацией (IdM) и службы каталогов (AD / LDAP).