Тема межсетевых экранов нового поколения, поднятая Денисом Батранковым в статье «Что такое NGFW. Недавние конкуренты вместе создают новые продукты для защиты страны» неожиданно, но в то же время и ожидаемо стала лейтмотивом в отечественной ИБ 2023 года. По крайней мере, в части развития новых программно-аппаратных комплексов (ПАК).
И если одни производители смело вышли к потребителям с рассказом «да у нас такое есть давно, мы просто называли его иначе», другие аккуратно назвали продукцию «межсетевым экраном или универсальным шлюзом безопасности» с или без уточнения версии поколения, а кто-то объявил, что начал разработку собственного NGFW на базе ранее созданных продуктов. Не остались равнодушными к популярной у производителей и потребителей теме фаерволов и регуляторы. Но по порядку…
РЕГУЛЯТОР
Есть ли у нас свои NGFW? Отвечая на этот вопрос в мае на PHDays 2023, представитель ФСТЭК России В. С. Лютиков уклончиво ответил, что выйдут требования, там и увидим.
В июле (информационное сообщение ФСТЭК от 19.07.2023 г. № 240/24/3584) ФСТЭК выпустил «Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети», утвержденные приказом ФСТЭК России от 7 марта 2023 г. № 44. Указанный документ предназначен для организаций, осуществляющих разработку и (или) производство многофункциональных межсетевых экранов уровня сети (МЭ), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
По этим требованиям МЭ должен соответствовать также и «Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», утвержденным приказом ФСТЭК России от 2 июня 2020 г. № 76 (с изменениями). В них к МЭ устанавливаются три класса защиты.
В соответствии с классами защиты к управлению доступом в МЭ предъявляются минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия МЭ, управлению доступом в МЭ, идентификации и аутентификации пользователей, фильтрации сетевого трафика, обнаружению и блокированию компьютерных атак, обнаружению и блокированию вредоносного ПО, доверенной загрузке МЭ, тестированию и контролю целостности МЭ, производительности, аппаратной платформе, режимам работы, регистрации событий безопасности, обеспечению бесперебойного функционирования и восстановления МЭ, взаимодействию с иными средствами защиты информации, а также к централизованному и удаленному управлению многофункциональным межсетевым экраном уровня сети.
При включении в МЭ дополнительных функций безопасности, требования к таким функциям должны быть заданы в технических условиях или техническом задании, а полнота и корректность их реализации оценены при проведении сертификации МЭ.
Сертификация МЭ на соответствие Требованиям осуществляется с 14 июня 2023 г. В соответствии с приказом ФСТЭК России от 7 марта 2023 г. № 44 пункт 15 документа (требования к аппаратной платформе) вступает в силу с 1 января 2025 г.
Согласно данным Государственного реестра сертифицированных средств защиты информации, по состоянию на конец сентября сертификацию на полное соответствие новым требованиям не прошел ни один МЭ. На большинство действующих изделий подобного типа были переоформлены действующие сертификаты с учетом соответствия классам защиты МЭ, поэтому называть их полноценными «многофункциональными межсетевыми экранами уровня сети» не совсем корректно. Впрочем, для включения свежих решений МЭ в реестр новых ПАК прошло слишком мало времени.
ПОД НАЗВАНИЕМ NGFW…
Согласно классификации Gartner, термин NGFW (New Generation FireWall) появился в 2008 г. для описания фаервола от компании Palo Alto Networks, который контролировал доступ пользователя к приложениям и обрабатывал трафик на нескольких процессорах одновременно. Считается, что современный NGFW — программно-аппаратный комплекс с большим количеством функций, обеспечивающих централизованное управление и комплексную защиту масштабных IT-инфраструктур. Он реализует технологии SPI (stateful packet inspection), встроенной системы предотвращения вторжений IPS (Intrusion Prevention System) и IDS (Intrusion Detection System), обладает возможностью контролировать и блокировать трафик на уровне приложений и предоставляет дополнительные возможности брандмауэра (Extra Firewall Intelligence), что обеспечивает постоянную актуализацию механизмов защиты.
По данным все того же Gartner, в 2023 г. потребители в мире отдают предпочтения NGFW от американских компаний Palo Alto Networks и Fortinet. Однако после февраля 2022 г. эти решения недоступны на российском рынке и не поддерживаются производителями. В соответствии с Указами Президента России № 166 и № 250, постановлениями правительства и требованиями регуляторов после 01.01.2025 г. обязателен переход на доверенные отечественные ПАК на объектах КИИ.
Тема импортозамещения и, в частности, использования отечественных межсетевых экранов нового поколения многими производителями и потребителями была воспринята как панацея от всех бед в информационной безопасности. И если первые видят в ней способ получения прибыли в непростых экономических условиях, то вторые часто ведутся на красивые слова маркетологов и полагают, что NGFW станет универсальным выходом из сложной ситуации с учетом ухода иностранных вендоров и ужесточением требований регуляторов.
Рынок производителей МЭ условно можно поделить на три категории:
ПРОИЗВОДИТЕЛИ
Позиция первой категории производителей проста: мы давно предвидели такую ситуацию и занялись разработками МЭ еще во второй половине 2010-х гг. «Мы давно выпускаем доверенную продукцию, удовлетворяющую требованиям заказчиков без оглядки на классификацию Gartner, рост компании составляет 20-30% в год. Тем, кто только пришел на рынок МЭ, не стоит изобретать велосипед — он давно уже ездит», — примерно такой посыл звучит на многочисленных пресс-конференциях и презентациях продуктов ряда компаний.
Весной этого года на IV ежегодной конференции UserGate Александр Левченко, сооснователь и директор компании, отмечал, что вокруг только и говорили, что про NGFW. На начало 2023 г. появилось пять или шесть решений межсетевого экрана нового поколения, к середине года их число приблизилось к двум десяткам. Презентуя потребителям новую линейку продукции сезона 2023, представители UserGate сообщили, что извлекли уроки прошлого года, когда запасы устройств на складах компании быстро иссякли, и возникли проблемы с логистикой и получением компонентов ПАК. Менеджеры подчеркивали, что на складах покупателей ждут несколько тысяч серийных платформ, часть решений находится в предсерийной разработке или в виде прототипов и будет предоставлена на тестирование постоянным клиентам позже.
По оптимистичным оценкам коммерческого директора компании «Код безопасности» Федора Дбара, «на начало 2023 года отечественными NGFW пользовалось примерно 30% заказчиков». «За 2023 год количество заказчиков, которые будут иметь отечественные NGFW, составит около 50% от всего рынка», — считает эксперт. — «Общий процент компаний, которые мигрируют на российские NGFW, к 1 января 2025 года (когда вступит в силу указ президента РФ № 250) достигнет 75%. Оставшиеся 25% будут пользоваться доступными иностранными продуктами, поскольку не подпадают под требования Указа» (цитаты из сообщений ТАСС). Напомним, что компания продвигает на российском рынке многофункциональный межсетевой экран (NGFW/UTM) с поддержкой алгоритмов ГОСТ «Континент 4». Модельный ряд включает 11 вариантов ПАК разной производительности и три МЭ в виртуальном исполнении.
КОММЕНТАРИЙ ЛУКАЦКОГО
Как отметил в своем телеграм-канале Алексей Лукацкий, арифметика у коллег не сходится: на 2,77 млн коммерческих компаний до конца года нужно почти 1,5 млн NGFW. «Если предположить, что у кого-то эти решения уже стояли и были отечественного производства, то по оценкам заказчикам до конца года должно быть поставлено около 500-700 тысяч устройств, — пишет А. Лукацкий. — Если предположить, что средний ценник на NGFW у нас порядка 200 тыс. рублей, то до конца года будет продано железок на 100-140 млрд рублей, что составляет больше половины всего рынка ИБ в 2023-м году по оценкам ЦСР (отчет «Прогноз развития рынка кибербезопасности в РФ на 2023-2027 годы», — прим. ред.). А ведь у ЦСР на всю сетевую ИБ приходится всего 40% рынка. А это далеко не только NGFW, но и NTA, песочницы, VPN и т. д. В общем, не сходится у меня пазл». Продолжая мысль эксперта, можно напомнить, что совокупные возможности отечественных вендоров ограничены производством десятков тысяч, но никак не сотен тысяч устройств.
А КОГО СЕРТИФИЦИРОВАЛИ?
На сегодня сертифицирована ФСТЭК России в части соблюдения требований профиля защиты МЭ продукция 45 организаций, реестр регулятора охватывает 123 устройства, в т. ч. российских компаний АО «ИнфоТеКС», АО «Позитив Текнолоджиз», ООО «БИЗон», ООО «ИнфоВотч АРМА», ООО «Код Безопасности», ООО «Юзергейт». Сертифицированы в России до 2027 г. ПАК шлюз безопасности «Check Point Security Gateway R80.XX» (Израиль), функционирующий на аппаратной платформе семейства SG15XX (заявитель — ООО «Сертифицированные информационные системы груп»), и китайские межсетевые экраны HUAWEI различных серий (ООО «Техкомпания Хуавэй»). Среди других обладателей сертификатов — компании, работающие с госструктурами, предприятиями оборонного комплекса, ТЭК и промышленностью, телекоммуникационными и финансовыми организациями и часто использующие в своих решениях СКЗИ. В процессе разработки и подготовки к сертификации в 2024 г. находятся решения Solar NGFW от компании «Солар».
ТЕХНИЧЕСКИЕ УСПЕХИ
Один из главных вопросов, который волнуют всех производителей МЭ, — пропускная способность на различных режимах работы. В ~10 раз планируют повысить скорость обработки запросов разработчики VipNet xFirewall («ИнфоТеКС»). Сегодня тесты оборудования по стандарту RFC 2544 показывают скорости от 800 Мбит/с (решения для малого и среднего бизнеса) до 7600 Мбит/с (крупные предприятия) и 45 000 Мбит/с для ЦОД (по данным презентации компании, представленной на практической конференции ИнфоТеКС ТехноФест).
О том, что 40 ГБ/c — не предел, который может выжать центральный процессор аппаратных платформ, используемых в России, рассказывали и представители UserGate в рамках фестиваля кибербезопасности Positive Hack Days, который прошел в мае 2023 г. Им удалось обойти аппаратное ограничение и ускорить UserGate FG более чем в четыре раза.
Фактически в прямом эфире ведут разработку PT NGFW специалисты АО «Позитив Текнолоджиз». И если в начале одной из презентаций описание возможностей новой системы вызывало ухмылку конкурентов, присутствовавших в зале, то к концу мероприятия смешки сменились глубокой задумчивостью и погружением в тему. По утверждениям PT, новый МЭ может работать на оборудовании различной производительности и форм-фактора: от настольных устройств для передачи данных на скоростях до 100 Мбит/c до высокопроизводительных серверов с пропускной способностью до 100 Гбит/c. Очередной этап представления возможностей PT NGFW запланирован на ноябрь 2023 г.
СВЕТ И ТЕНИ КОНКУРЕНЦИИ
Конкуренция — один из двигателей рынка производителей. И хотя пока отечественным решениям по многим показателям далеко до продуктов ушедших иностранных компаний, активные разработки и поиски новых решений идут на пользу развитию российских технологий. Многие NGFW создаются как на базе проприетарных решений, так и на базе OPNsense решений для малого, среднего, крупного бизнеса и госструктур. Однако упор производителей на создание МЭ как «универсального решения с широкими функциональными возможностями» (и весьма дорогостоящего для компаний малого и среднего бизнеса) и усилия маркетологов по продвижению «страшного» и потому привлекательного зверя NGFW среди не сильно сведущих в вопросах кибербезопасности потребителей может сыграть дурную шутку с рынком ИБ. Ведь помимо МЭ есть иные средства и технологии ИБ, которые выполняют защитные функции, достойны развития и внимания потребителей.
Завершим краткий обзор цитатой из уже упомянутого А. Лукацкого: «… видя результаты пентестов, я бы с точки зрения продуктов фокусировался не на NGFW, а на тех же NDR, EDR, WAF и VM. Они ловят и предотвращают то, что NGFW в принципе не видит».
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных