Интервью с Алексеем Андрияшиным, Fortinet

Алексей Андрияшин: Fortinet уже разрабатывает решения для сетей 5G

Алексей Андрияшин: Fortinet уже разрабатывает решения для сетей 5G

Алексей Андрияшин

Руководит командой системных инженеров российского представительства Fortinet. Приобрел большой опыт в области информационной безопасности за время работы на крупные отечественные компании, а также ведущих международных производителей решений ИБ.

Является постоянным участником крупных отраслевых мероприятий, на которых делится опытом по построению современных эффективных систем защиты информации. Большое внимание уделяет локализации и сертификации решений Fortinet, а также консультирует крупных отечественных заказчиков. В свободное время увлекается горнолыжным спортом и занятиями айкидо.

...

Алексей Андрияшин, технический директор Fortinet в России, рассказал о тенденциях в области сетевой безопасности и развитии продуктов компании, а также поделился перспективами развития технологий SD-WAN и 5G.

Хотелось бы начать разговор с обсуждения технологических тенденций на рынке сетевой безопасности. Что с вашей точки зрения изменилось за последний год и какие тенденции вы можете отметить?

А. А.: Что касается информационной безопасности, то тут по-прежнему действует традиционная и всем известная модель: есть злоумышленники, угрозы и жертвы, на которых эти угрозы направлены. И последние должны от этих угроз защищаться. Это всем известная азбука, и в ней ничего не меняется. Но если копнуть глубже, то можно посмотреть на ситуацию со стороны злоумышленников и угроз. Со стороны злоумышленников появляются новые атаки, и организации должны подбирать решения для противодействия новым атакам.

Если говорить об угрозах, я недавно участвовал в киберучениях одной из крупных организаций на территории SOC. Весь полигон был организован так, чтобы противодействовать DDoS-атакам, шифровальщикам, проникновению malware, троянов. Особую угрозу представляют собой инсайдеры. Чтобы противостоять этому, появляются новые средства защиты и новые элементы, которые некоторые оценивают критически, а некоторые оценивают как прорывные технологии — машинное обучение и UEBA. Все это поддерживается анализом больших данных. На этих трех столпах строятся прорывные технологии, но ими пользуются и как маркетинговым инструментом, чтобы продвинуть существующие решения. 

Насколько активно на практике используются машинное обучение и UEBA? Или пока это общие слова и красивые концепты?

А. А.: В первую очередь это красивый математический аппарат, который разработан достаточно давно: в 60-70-х годах прошлого века. Сейчас у каждого есть что-то построенное на основе нейронных сетей — например, распознавание образов в телефоне. Пятнадцать лет назад реализовать его было сложно, потому что требовались серьезные вычислительные ресурсы, а сейчас это доступно на обычных телефонах. Понятно, что нейронные сети и машинное обучение применяются не только в бытовых устройствах, но и в серьезных решениях, таких как межсетевые экраны нового поколения, системы противодействия новым угрозам. 

Возникает, правда, вопрос, насколько это правильно и корректно используется, у разных вендоров все сделано по-разному. Раньше никто не заикался о машинном обучении, а в прошлом году у всех вендоров появилась эта тема. Было это раньше или не было — это остается на совести производителей. Что касается нас, то мы давно используем этот аппарат в подготовке различных категорий, анализа угроз и методов противодействия им, которые применяются нашей лабораторией FortiGuard. Понятно, что противодействие миллионам угроз вручную невозможно, поэтому используется механизм классификации на базе нейронных сетей. Дальше в зависимости от продукта, будь это межсетевой экран, Web Application Firewall или песочница, используются различные элементы противодействия угрозам. Если взять продукт FortiWeb, то там есть механизм, который не требует участия человека для того, чтобы защищать веб-ресурс. Система изучает поведение защищаемого ресурса, и в дальнейшем проводится классификация аномального поведения.

Если говорить о Next Generation Firewall, машинное обучение используется там как часть коллективного разума. Собираются данные со всех устройств, анализируются FortiGuard и система обучается и распространяет на конечные устройства. А на локальных устройствах это может работать автономно или пока нет?

А. А.: Автономный режим, если говорить о межсетевых экранах, возможен, но так как угрозы появляются ежедневно и ежеминутно, нельзя отграничивать межсетевой экран от возможности обмена информацией. Без этого невозможно обмениваться статистикой на защищаемом узле, чтобы ее можно было коррелировать с классификаторами, которые позволяют обнаружить угрозы. Межсетевые экраны используют механизмы облачной оценки данных, когда в облако отправляется сэмпл, хэш или сам файл и проверка происходит в облаке. Обратно приходит вердикт, является объект зловредным или нет. Зловредность иногда определяется с помощью сигнатуры, иногда с помощью предварительного анализа, иногда с помощью поведенческого анализа. Все, что происходит, пользователю недоступно и зависит от скорости и корректности классификации этих угроз. Другими словами, современные решения в изолированном режиме работать могут, но эффективность их значительно снижается.

Мы видим по обсуждению нашего будущего сравнения, что производительность средств сетевой безопасности — одна из ключевых вещей при выборе продукта. Как Fortinet решает проблемы с производительностью?

А. А.: Вопрос производительности важен, но его нельзя отрывать от эффективности. Можно развить производительность до невероятных значений, но при этом будет возникать большое количество ошибок. И наоборот, можно довести эффективность до невероятных значений, но в этом случае производительность будет снижаться. Нужно найти баланс, и как раз поиском этого баланса специалисты Fortinet занимаются с момента образования компании. Сейчас это решается с помощью средств межаппаратного ускорения, которые раньше назывались FortiAsics, а теперь называются SPU Security Units. Если не вдаваться в подробности, то можно сказать, что единственной важной характеристикой производительности решений является именно наличие аппаратных модулей ускорения. Они работают, чтобы обеспечить производительность при использовании межсетевого экрана, шифрования данных и выполнения контентного анализа данных. Важно отметить, что Fortinet постоянно публикует производительность различных сочетаний функций безопасности, но если нужно оценить производительность в условиях конкретного трафика у заказчика, для этого у нас есть отдельная лаборатория Performance Lab.

А как это работает? Потенциальный заказчик должен сообщить какие-то параметры трафика?

А. А.: По-разному, иногда сообщают композицию трафика, то есть различные сочетания в процентном соотношении. Это называется по-разному — Enterprise Traffix Mix, IMIX и так далее, но часто этого недостаточно. У каждого заказчика есть уникальные условия, поэтому у нас есть специальные опросники, и мы ждем информации от заказчика с подробным описанием характеристик трафика. Идеально, когда есть слепок трафика в виде пикап-файла, который можно воспроизвести, и мы эмулируем его на оборудовании. Это хороший инструмент, привлекающий заказчиков, которые не хотят опираться только на публичные данные.

Вернемся к производительности. Как закладывается резерв по производительности? Ситуация же меняется: например, раньше количество SSL-трафика было заметно меньше 50%, а сейчас его как минимум 80%.

А. А.: Конечно, это надо учитывать. Производительность оборудования при анализе потокового трафика без дешифрования или SSL-инспекции — это одна производительность. При необходимости дешифровать или проксировать трафик с помощью SSL-инспекции производительность у многих вендоров падает кардинально. Мы все эти данные публикуем, и на них можно опираться. Скоро весь трафик будет шифрованным, но тут возникает другой вопрос: как разработчики прикладных систем, таких как сайты и приложения, относятся к межсетевым экранам и проксированию. Сегодня есть инструменты, которые предназначены, чтобы обойти межсетевой экран и не позволять вскрывать трафик.

Что в этом случае делать?

А. А.: Пока это решается созданием различных исключений на типы трафика, который не нужно вскрывать — например, от медицинских учреждений, финансовых институтов, частный трафик. 

То есть белые списки?

А. А.: Да, но трафик легальных приложений довольно большой, а информационные ресурсы и традиционные узлы интернета такой механизм не используют. Однако надо учитывать тот факт, что вскрывать SSL-трафик становится все сложнее, и надо придумывать другие инструменты. Очень часто говорят, что интернет развивается по направлению к интернету вещей, но надо отметить и создание интернета приложений. Сегодня доступ к интернет-ресурсам пользователь получает через приложения, и оценивать доверенность приложений — ключевая задача служб безопасности.

На одном из докладов вашей компании говорилось про важность работы с трафиком TLS 1.3. Можете еще раз рассказать, почему это важно?

А. А.: Все мы знаем, что стойкость алгоритмов шифрования определяется ключом и алгоритмами шифрования. При этом VPN-сервисы постоянно развиваются и повышается криптостойкость. TLS 1.3 — это следующий шаг развития алгоритмов шифрования, чтобы повысить их устойчивость к вскрытию. Поддержка TLS 1.3 все чаще используется в различных веб-сервисах, и сегодня просто необходимо отвечать этим технологическим вызовам. 

Была новость, что наши власти хотят применять к SSL ГОСТовый алгоритм шифрования. Если часть сайтов будет переходить на ГОСТовое шифрование, потребует ли это какой-то дополнительной поддержки на уровне конечных устройств и межсетевого экрана?

А. А.: В данный момент, чтобы поддерживать ГОСТовый алгоритм шифрования, надо иметь такой элемент, как криптопровайдер. Очевидно, что переход на алгоритм ГОСТ в прикладных системах потребует внедрения соответствующих механизмов на конечные абонентские устройства, веб-браузеры, мобильные устройства, чтобы избавить пользователя от установки клиента и сертификации. Все это должно поддерживаться в оборудовании, которое поставляется в том числе из-за рубежа. Как мы знаем, наши регуляторы запрещают поставку алгоритмов шифрования из-за рубежа, поэтому широкого применения эта идея не найдет. Может быть, это будет применяться только при определенных условиях для определенных заказчиков и индустрий. Пока можно расслабиться.

Мы сейчас активно работаем над сравнением межсетевых экранов и много копий было сломано на этапе подготовки перечня критериев. Из вашего опыта общения с заказчиками, на что стоит обратить внимание при выборе межсетевых экранов?

А. А.: Начнем с того, что сам термин NGFW уже несколько устарел. Межсетевые экраны нового поколения являются уже по сути обычным явлением, отвечая необходимым минимальным требованиям, которые предъявляются к межсетевым экранам. Возможность анализа веб-приложений, анализа пользовательского трафика, идентификация пользователей и так далее — это минимальный набор требований, которым должен соответствовать межсетевой экран.

Но все же, если суммировать какие-то пожелания заказчика, что наблюдается? Например, заказчики хотят читать Telegram. 

А. А.: Насчет чтения Telegram — это перебор, но в принципе это можно реализовать с помощью модуля Application Control. Сейчас очень востребован анализ трафика облачных приложений. Несмотря на скептическое отношение к облакам, многие компании переходят на Office 365, переходят на хранение почты  в облачной среде, потому что это дешево, удобно и гибко. CASB — это очень важный механизм, который присущ многим межсетевым экранам, и он встроен в наш сетевой экран.

Поддержка архитектуры сети SD-WAN набирает популярность. Кто ее использует и есть ли потребность в защите SD-WAN?

А. А.: Это направление получает все большую популярность среди организаций, структуру которой можно определить как географически распределенную сеть. 

Многие считают, что это экзотика.

А. А.: Я не соглашусь — уже есть примеры реализации полноценных SD-WAN-решений в России. А распределенные сети с децентрализацией и большим количеством филиалов строятся давно. SD-WAN является жизненно необходимым для таких сетей. Здесь можно отметить появление новых игроков, которые нацелены только на рынок SD-WAN, и есть сегмент давно известных вендоров, которые перестраивают свои решения на поддержку SD-WAN. Fortinet встраивает механизмы SD-WAN в межсетевой экран и другие наши решения, и если вы откроете консоль управления межсетевого экрана, вы увидите вкладку SD-WAN. Но, конечно, каждый проект с SD-WAN требует доработок.

А основные заказчики — это телеком и крупные банки?

А. А.: В первую очередь это торговые сети, за ними банки и затем телеком. В ритейле максимальное количество филиалов, и торговым сетям необходимо реализовать унифицированную передачу данных между сегментами. 

Если говорить о новых или набирающих популярность требованиях к SD-WAN, что можно выделить?

А. А.: Общее требование к SD-WAN — возможность использования разных каналов связи, подключенных к объекту, с применением политик, которые бы адаптивно подстраивались под неизвестное заранее количество операторов связи. Система должна определять качественные характеристики при подключении к объектам и в зависимости от требуемой надежности к приложениям, выбирать канал динамически, причем данные должны ходить в обе стороны — от филиала к центру и от центра к филиалу. Традиционные решения, которые начали называть SD-WAN, не имеют возможность двунаправленной оценки при передаче из центра в филиал и наоборот. 

Кроме того, система должна поддерживать заранее заданные качественные характеристики обмена данными, то есть выбирать динамически тот канал, который позволит эти характеристики реализовать. Ну а за этим следуют централизованное управление, управление политиками из единого центра, журналирование и так далее. Разумеется, стоимость решений при построении сетей SD-WAN тоже важна. 

Растет ли количество заказчиков из промышленного сегмента? Какие особенности в реализации проектов для этих заказчиков вы отметите?

А. А.: В сегменте АСУ ТП внедрить решение сложно, потому что оно должно удовлетворять огромному количеству требований. Добиться этой совместимости на технологическом уровне достаточно легко, а получить сертификат соответствия со стороны вендора — сложно. Анализ промышленного трафика всегда носит индивидуальный характер, и каждый проект отличается. 

По мнению многих экспертов, сертификация на рынке сетевой безопасности становится одним из самых важных критериев. Как с ней обстоят дела у Fortinet? Текущий сертификат будет действовать еще год, что дальше?

А. А.: Закон есть закон, его надо исполнять. Есть типы информационных систем, где возможно использование только сертифицированных ФСТЭК России решений. Fortinet на протяжении многих лет поддерживает решения в этом состоянии и регулярно выпускает сертификат на новые решения. Раньше сертификат выдавался на три года, сейчас на пять лет, и это хорошо, потому что срок актуальности продукта этим ограничивается.

Что нового появится в версии 6.2?

А. А.: Появятся методы, связанные с поддержкой облачных приложений, будут решены многие вопросы, связанные с производительностью, расширятся функции, связанные с SD-WAN, добавится поддержка различных VPN-коммьюнити, чтобы распределенным организациям проще было поддерживать решения. Словом, все упирается в SD-WAN.

А какие еще интересные новинки Fortinet вы можете отметить?

А. А.: Появились новые продукты, которые многим неизвестны, но они предлагаются нашими партнерами. Но сначала я хотел бы отметить продукт, который существует давно, но пока не имеет широкой популярности. Это FortiSIEM — решение, которое уже внедрено у ряда отечественных заказчиков и доказало свою состоятельность, а кроме того, обросло функциями, чтобы соответствовать требованиям российского рынка.

Из новых решений отмечу FortiDeceptor — оно дополняет портфолио решений, призванных защищать от продвинутых и неизвестных угроз. По сути, это продвинутый ханипот — система, которая позволяет направить злоумышленника по ложному следу, рассыпать хлебные крошки в инфраструктуре, для того чтобы злоумышленники направляли действия по отношению к эмулированной инфраструктуре, где можно анализировать их действия и им противодействовать. 

Это программно-аппаратный комплекс?

А. А.: Он может быть поставлен в виде программно-аппаратного решения, а также возможен виртуальный вариант этого продукта. Методы эксплуатации их не отличаются.

Набор ложных целей преконфигурирован или при его внедрении требуется длительная настройка?

А. А.: Есть готовые шаблоны, но решение может быть подвержено тонкой настройке под конкретную инфраструктуру, потому что можно перестараться. Злоумышленники тоже не дремлют и знают, что есть такого рода решения. Есть песочницы — злоумышленники их определяют и обходят. Так и с ханипотами — если мы откроем все порты, то сразу возникнет подозрение. 

Что еще из новинок заслуживает внимания?

А. А.: Если посмотреть на те решения, которые мы уже предлагаем, то реализация функций машинного обучения и UEBA все сильнее проявляется во всех наших продуктах.

Еще один продукт — FortiNAC. Он нужен для реализации сценариев IoT. FortiNAC позволяет автоматически классифицировать устройства, которые используются в инфраструктуре, для того чтобы строить автоматизированные или полуавтоматизированные системы защиты и динамически определять, кто этими устройствами пользуется. Этот продукт позволяет устранить риски, связанные с неавторизованным использованием сетевых устройств, которые имеют доступ в сеть, чтобы исключить угрозы, связанные с открытыми портами или подобными угрозами.

Одной из ключевых проблем, которые исходят от интернета вещей, как раз является проблема идентификации. Мы видим, что по IP-адресу есть устройства, и не понимаем, что это и какие политики на него накатывать. Я правильно понимаю, что этот продукт позволяет нотифицировать устройства и эта информация передается на FortiGate?

А. А.: Она может быть интегрирована с межсетевыми экранами, например FortiGate, но поддерживаются практически все известные вендоры. Если какое-то решение отсутствует в списке поддерживаемых, оно добавляется в рамках стандартной технической поддержки. FortiNAC масштабируется в распределенной инфраструктуре и является прекрасным элементом как для FortiNAC-сетей, так и для реализации различных вопросов, связанных с развитием и появлением сетей, в том числе с использованием технологий 5G. 

5G многие считают убийцей других сетевых интерфейсов, что здесь ожидает рынок сетевой безопасности? 

А. А.: 5G — это неизбежность, которая накроет нас в ближайшие полтора-два года. Сейчас 5G проходит тестовую эксплуатацию. Как только будут решены вопросы с регуляторами, я думаю, сразу же начнется строительство сетей 5G для коммерческой эксплуатации. 5G привлекает огромной скоростью передачи данных, отсутствием задержек при работе с сервисами, и это подстегнет развитие пользовательской инфраструктуры. То есть, с одной стороны, это интересный тренд, с другой — возникают вопросы безопасности. Одна из проблем с 5G заключается в скорости передачи данных — данные могут улетать в облако незаметно и успеть среагировать на политику будет невозможно. 

Fortinet тоже активно за этим следит и уже разрабатывает решения для сетей 5G. Если говорить о межсетевых экранах — повышается производительность, разрабатываются методы масштабирования, добавляется поддержка протоколов. Дорабатываются Web Application Firewall, потому что надо будет защищать среду доступа к сервисам. И, наконец, FortiNAC — с помощью этого продукта можно реализовать защиту сервисов в 5G.

А не будет такого, что вся безопасность уйдет в облако, если будет много IoT-устройств, и они будут по 5G обращаться к сервисам?

А. А.: Там, где присутствует коммерческая тайна и требуется аттестация, никакого 5G не будет, потому что сети будут строиться в защищенном режиме. Но в прикладных сервисах 5G будет активно применяться. 

То есть вам будет что продавать.

А. А.: Да, спрос на решения, связанные с 5G, появится, как только она будет введена в коммерческую эксплуатацию. Есть много различных теорий, как это будет развиваться, но на практике, конечно, все будет иначе. И мы к этому готовы.

Спасибо за беседу и успехов в бизнесе!