Компания InfoWatch объявила о выпуске нового продукта — межсетевого экрана нового поколения для корпоративного сектора. Разработка была проведена в рекордные сроки — всего за полгода. Как удалось столь быстро создать новый продукт и даже подготовить к продажам линейку из сразу трёх программно-аппаратных устройств NGFW?
- Введение
- Межсетевой экран InfoWatch ARMA Industrial Firewall
- Изменившиеся условия на российском рынке
- Позиция регулятора
- Российский межсетевой экран InfoWatch ARMA NGFW
- На что обращать внимание?
- Межсетевые экраны как «набор мер»
- Выводы
Введение
В начале декабря компания InfoWatch объявила о выпуске межсетевого экрана InfoWatch ARMA NGFW. Новый продукт предназначен для корпоративного сектора. Согласно спецификации и по словам руководителя проекта Игоря Души, новый продукт поддерживает все основные функции, которые российские заказчики хотят видеть в NGFW.
Разработка заняла всего полгода. Сжатые сроки диктовались прежде всего непростой ситуацией, которая сложилась на российском рынке после ухода основных игроков — производителей NGFW.
Возможно ли создать NGFW с нуля за полгода? Конечно, невозможно, даже при бесконечных ресурсах. Секрет InfoWatch кроется в том, что ранее компания уже имела в своём портфеле родственный продукт — межсетевой экран InfoWatch ARMA Industrial Firewall промышленного класса. Новый NGFW — это, по сути, обновлённая версия прежнего продукта с рядом существенных дополнений.
Рисунок 1. Пресс-конференция по запуску InfoWatch ARMA NGFW
Межсетевой экран InfoWatch ARMA Industrial Firewall
Исторически разработчики InfoWatch ARMA фокусировались на создании межсетевого экрана для промышленных предприятий и АСУ ТП. Разработка началась около пяти лет назад, и в конце 2019 года новый программный продукт был включён в реестр отечественного ПО. Тогда же он получил сертификат ФСТЭК России по 4-му уровню доверия.
Межсетевой экран InfoWatch ARMA Industrial Firewall обеспечивает защиту устройств и компьютеров промышленного интернета вещей и АСУ ТП от угроз со стороны внешних сетей. Он позволяет скрывать архитектуру и конфигурацию защищаемой системы, использует данные транспортного, сетевого и прикладного уровней. InfoWatch ARMA Industrial Firewall позволяет обнаруживать и предотвращать кибератаки на сетевом и прикладном уровнях, обеспечивает экспорт событий по безопасности в SIEM, способен осуществлять статическую и динамическую маршрутизацию трафика, обнаружение вторжений, выполняет другие функции.
Но…
InfoWatch ARMA Industrial Firewall — это прежде всего разбор только промышленных протоколов. Главные его отличия на алгоритмическом уровне от корпоративных NGFW — это строгий запрет на любой «паразитный» трафик, наличие строгих требований к контенту, использование адресов только из белого списка, конкретные технические требования по производительности.
Можно также добавить к этому перечню следующие ограничения: невысокий объём трафика, относительно редкие обновления сигнатур и списка угроз, отсутствие контрмер для риска взрывного роста трафика после установки новых компонентов в сети, простые правила отражения угроз. Межсетевой экран промышленного уровня работает по принципу «запрещено всё, что не определено».
Как видно, отличий от NGFW очень много. Продукту корпоративного класса требуются высокая гибкость и «живучесть» при относительно частом обновлении сигнатурных баз и правил.
Возможна ли трансформация при таких существенных различиях?
Изменившиеся условия на российском рынке
Наталья Касперская, президент компании InfoWatch и председатель АРПП «Отечественный софт», охарактеризовала ситуацию, существовавшую на российском рынке NGFW до февраля 2022 года, очень образно: «Иностранные вендоры захватили российский рынок». Это — явно эмоциональное определение, но оно отражает суть: отсутствие конкуренции со стороны российских вендоров в сегменте NGFW для крупных предприятий и отчасти для средних компаний, а также высокая конкуренция между продуктами западных производителей, которые активно осваивали российский рынок.
Рисунок 2. Наталья Касперская
Ещё летом 2019 года, когда Anti-Malware.ru проводил сравнение продуктов этого сегмента рынка, российское присутствие на нём было представлено двумя программными решениями: «Континент 4.0» («Код Безопасности») и UserGate («Юзергейт»).
Конечно, помимо этих продуктов на рынке были и другие решения — например, межсетевой экран «ИВК Кольчуга-К». Он появился ещё в 2012 году, а к 2021 году выпускались программно-аппаратные комплексы уже четвёртого поколения. Однако это был продукт лишь для части российских предприятий, прежде всего оборонного комплекса.
До февраля 2022 года «зарубежная доля» на российском рынке NGFW была очень представительной: Cisco ASA / Firepower NGFW, Check Point Next Generation Firewall, Dell SonicWALL SuperMassive, Fortinet FortiGate, Juniper SRX, Huawei USG, Palo Alto Networks NGFW. Очевидно, что пробиться при таком «столпотворении» хорошо отработанных, первоклассных продуктов иностранных производителей было просто невозможно без помощи государства. Увы, эта помощь была явно недостаточной. Поэтому российским вендорам удавалось конкурировать только в сегменте NGFW для небольших компаний — другими словами, только на рынке программных NGFW.
После февраля произошёл не только уход с российского рынка западных игроков: «пробудилась» помощь государства. Оценив сложившуюся ситуацию и осознав, что именно NGFW обеспечивают реальное управление и контроль над интернет-трафиком, государство выступило с рядом регуляторных инициатив.
Рисунок 3. Оценка ситуации на российском рынке ИБ, сложившейся после февраля 2022 года
Позиция регулятора
О поддержке российской отрасли рассказал Юрий Плясунов, директор департамента радиоэлектронной промышленности Минпромторга России. Он отметил, что сейчас в реестре российской радиоэлектронной продукции насчитывается восемь межсетевых экранов российского производства.
В рамках постановления правительства РФ № 109 из госбюджета выделяется до 70 % от объёма того финансирования, которое необходимо для подобного рода разработок. Если же проводить «создание электронных компонентов, блоков и модулей», то объём господдержки может доходить до 90 %.
Главное отличие от госзаказа состоит в том, что все права на создаваемый продукт остаются за разработчиком. По сути, вендор получает беспроцентный кредит, только 10–30 % требуется брать из других источников. Сами проекты могут охватывать полный цикл разработки, вплоть до вывода продукта на рынок. Длительность проектов может составлять до семи лет.
Рисунок 4. Юрий Плясунов, директор департамента радиоэлектронной промышленности Минпромторга России
Юрий Плясунов отметил, что правительство также сделало многое для лоббирования продукции российских производителей. Согласно федеральному закону № 44-ФЗ, достаточно появления в тендере при проведении госзакупки одной заявки с продуктом из российского реестра, чтобы отклонить любые другие заявки с иностранными продуктами. Проще говоря, для победы в тендере достаточно просто разместить заявку, указав в ней отечественный продукт. При этом согласно закону № 223 ценовая преференция по закупкам любой российской продукции составляет 15 %, а в радиоэлектронике — 30 %.
Российский межсетевой экран InfoWatch ARMA NGFW
Наталья Касперская заявила на пресс-конференции, что решение о развитии продукта InfoWatch ARMA Industrial Firewall до версии ARMA NGFW было продиктовано изменившимися внешними условиями. Уход зарубежных производителей межсетевых экранов нового поколения и существующий дефицит аналогичных отечественных решений обострили проблему защиты корпоративных сетей.
«Мы внесли определённые изменения и протестировали конфигурацию на корпоративных протоколах. В течение последующих трёх-четырёх месяцев мы подбирали аппаратную конфигурацию, создав в итоге новый продукт».
Рисунок 5. Игорь Душа, заместитель генерального директора InfoWatch и руководитель проекта ARMA
Игорь Душа, заместитель генерального директора InfoWatch и руководитель проекта ARMA, объяснил, как всё происходило. «Сначала нам потребовалось найти высокопроизводительное оборудование, на котором можно запускать программную часть NGFW. В итоге мы нашли и оборудование, и поставщиков. Далее мы убедились в том, что оно обладает необходимой производительностью, и провели оптимизацию ПО. Наконец, добавили функции, за счёт которых корпоративные решения NGFW будут отличаться от промышленных».
Рисунок 6. Список функций, реализованных в InfoWatch ARMA NGFW
На что обращать внимание?
Если оценивать нынешнюю ситуацию, то сейчас не так уж много свободы для выбора подходящего NGFW на российском рынке.
Первое обстоятельство — это то, что западные вендоры ушли из России. Они поступили при этом по-разному. Например, Fortinet «окирпичила» свои устройства, работающие в России. В то же время большинство других западных вендоров просто прекратили заключать новые контракты, продолжая поддерживать прежние проекты в рамках заключённых договорённостей до истечения срока их действия. Что будет дальше, можно только гадать. Эти решения западных компаний были продиктованы во многом политическим давлением, которое оказывают правительства соответствующих стран.
Сложившаяся ситуация может рассматриваться как выигрышная для российских вендоров. Они впервые получили возможность для конкуренции на собственном рынке, при этом регулятор явно лоббирует их развитие. Появление в таких условиях InfoWatch ARMA NGFW вполне логично.
Но всё равно есть ряд трудностей, которые российским вендорам придётся преодолевать. Недостаток кадров, о котором многие говорят, — это, пожалуй, наименьшая проблема. Например, в российских решениях, в т. ч. NGFW, непременно будут проявляться затруднения в области производительности.
Широкий список поддерживаемых протоколов и функций, а также напряжённый трафик заставляют вендоров NGFW переходить на программно-аппаратные решения. Более того, часто бывает недостаточно использования просто выделенного «железа», требуются аппаратная оптимизация и достаточный объём системных ресурсов. Поэтому наиболее развитые NGFW представляют собой, по сути, специализированные ASIC-устройства.
Игорь Душа представил линейку подготовленных аппаратно-программных решений InfoWatch ARMA NGFW. По его словам, в списке есть решения для компаний любого масштаба.
Рисунок 7. Линейка аппаратно-программных решений InfoWatch ARMA NGFW
InfoWatch не разглашает спецификацию своих новых продуктов. Но очевидно, что они выстроены на платформе x86 / x64 и работают, по всей видимости, под управлением Astra Linux. Данных по нагрузочным тестам (бенчмаркам) тоже нет.
Напомним, что весной этого года, после ухода западных вендоров, ранее закупленные компаниями иностранные комплексы остались без обновлений, и тогда эксплуатанты попробовали использовать на этом оборудовании российские программные файрволы. «Поднять» их в целом оказалось несложно, но сообщалось об отдельных проблемах, таких как отсутствие видимости полной конфигурации или трудности при оптимизации. Поэтому подобное «оживление» ASIC-устройств вряд ли может стать альтернативным решением для российских программных NGFW.
Также, как отметил Игорь Душа, компания InfoWatch планирует предоставлять централизованное управление работой файрвола и автоматизацию реагирования на инциденты. Вендор также берёт на себя функции по поддержке баз обновлений и внесению данных о новых типах обнаруженных кибератак.
Для крупных предприятий будет предоставляться услуга по автоматизации задач поддержки парка NGFW.
Межсетевые экраны как «набор мер»
Как отметил Евгений Хасин, замдиректора департамента обеспечения кибербезопасности Минцифры России, главное в настоящее время — это обеспечить безопасность. Замена межсетевых экранов на отечественные решения необходима в соответствии с Указом № 250, она должна быть осуществлена до 2025 года. В то же время такие решения сильно зависят от особенностей защищаемой инфраструктуры, поэтому просто заменить старые решения на новые невозможно.
Рисунок 8. Евгений Хасин, заместитель директора департамента обеспечения кибербезопасности Минцифры России
По мнению Евгения Хасина, переход на новые, отечественные модели NGFW может потребовать доработки инфраструктуры. Поскольку межсетевой экран нового поколения де-факто представляет собой набор различных инструментов, в нынешних условиях защиту, возможно, придётся выстраивать путём декомпозиции функций за счёт нескольких компонентов, а не использования готового продукта. Это даст время, в течение которого вендор NGFW будет искать новые пути, чтобы достичь нужной производительности и функциональности.
Выводы
Пока нет полной ясности, насколько хорошим получилось новое решение InfoWatch ARMA NGFW. Модернизация файрвола, который ранее предназначался для индустриальных задач, путём дополнения новыми функциями на выделенной аппаратной платформе стандартной архитектуры — это вполне реализуемо. Но без бенчмарков трудно делать какие-либо выводы.
Впрочем, отечественный NGFW — это в любом случае лучше, чем отсутствие отечественного NGFW. Существующий продукт можно улучшить, избавив его от «детских болезней», а вот несуществующий улучшению точно не поддаётся.