Дмитрий Хомутов, Ideco: Мы выбрали путь технологического совершенствования NGFW

«NGFW (межсетевой экран следующего поколения) в каждый дом и в каждый офис» — именно под этим девизом живут и работают многие ИБ-вендоры. Благодаря этому NGFW у нас в изобилии. Но есть ли среди них по-настоящему уникальные решения? Если да, то в чём именно состоит их уникальность? Поговорим об этом с Дмитрием Хомутовым, директором компании Ideco.

Мы уже какое-то время наблюдаем за гонкой производителей NGFW. Как компания Ideco будет вырываться в лидеры этой гонки? Какими уникальными технологическими особенностями вы готовы похвастаться?

Д. Х.: Есть разные пути по выходу в лидеры. Кто-то использует маркетинг, кто-то «прокачивает» свои команды продаж, нанимает директоров по общению с государственными структурами, входит в крупные корпорации, наращивает партнёрскую базу. Мы же выбрали путь совершенствования самого продукта — Ideco NGFW. Если бы невозможно было превзойти лидеров рынка, то мир бы до сих пор использовал только компьютеры и ноутбуки IBM. Однако это не так. Ideco потратил годы на совершенствование платформы, DevOps и процессов разработки, чтобы достичь лидирующих позиций. Сейчас стремимся сделать продукт максимально быстро, удовлетворяя требования Enterprise заказчиков. Мы внедряем функции, которые входят только в западные NGFW-решения.

Наша дочерняя компания — SkyDNS. У нас интегрирован её модуль, обеспечивающий защиту от различных угроз, в том числе от тех, которые злоумышленники используют для обхода привычных решений.

Почему в России более 20 NGFW, но только один SkyDNS? 

Д. Х.: Чаще всего используются статические функции фильтрации. Это IPS-системы, контроль приложений, правила файрвола. Часто, в 80 % случаев, DNS эксплуатируется как инструмент обхода NGFW и антивирусных решений с помощью автоматически генерируемых доменов. Есть интересный способ, когда злоумышленник мгновенно регистрирует домен, который быстро исчезает. Однако, ботнет-программа заранее знает о его существовании. Например, там находится текстовая запись с командами, вредоносный код её считывает, обходя системы сетевой безопасности NGFW.  Мы стремимся за счёт этого модуля сделать такие попытки обхода невозможными.

Получается, нужен отдельный сервис по защите DNS?

Д. Х.: Да, у нас он является частью NGFW, но основная функциональность вынесена в облако, потому что требуется мгновенное реагирование на угрозы. Это невозможно сделать на файрволе внутри сети.

Если рассматривать историю, ваш опыт создания этой функции, то как всё начиналось, как зарождалось и эволюционировало?

Д. Х.: Путь именно к DNS-безопасности был не совсем прямым. В рамках компании Ideco ещё в 2011 году выделился стартап SkyDNS, который использовал DNS-технологии для контентной фильтрации: запрещения и разрешения сайтов и приложений на уровне как провайдера, так и конечных пользователей. Это не совсем ИБ, скорее ИТ. В России он получил распространение как средство фильтрации в учебных заведениях: запрета неподобающего контента, не соответствующего законодательству. На западном рынке этот метод DNS-фильтрации применим и для защиты от угроз безопасности. Сейчас на Западе он — один из обязательных.

То есть это сейчас «мастхэв»?

Д. Х.: Да, причём на Западе — скажем, в Израиле и США — это делается ещё и для критической инфраструктуры, на уровне страны. В Израиле сейчас проектируется «железный купол» для критической инфраструктуры в сфере ИТ, и в США точно так же. У них этим занимаются их аналоги Роскомнадзора, но они не блокируют разные сервисы, а именно обеспечивают безопасность.

Как вы считаете, мы пойдём по такому же пути или у нашей страны какой-то свой путь?

Д. Х.: Я думаю, что путь один и тот же. Конечно, за счёт ухода зарубежных вендоров NGFW возник бум замены зарубежных решений. Но неизбежно тренды обеспечения ИБ с Запада к нам придут. Это показывает и практика предыдущих лет. Может быть, через два-три года это явление будет более массовым.

Это уже скоро, практически сейчас. А функция есть пока только у вас.

Д. Х.: Ещё есть некоторый аналог у BI.ZONE. Но таких решений на рынке всё-таки поменьше, чем файрволов, потому что тут требуются уже не просто программисты, а разработчики под ядро Linux, специалисты в области искусственного интеллекта и машинного обучения, которых в России пока мало.

Может ли SkyDNS заместить «недостающие» базы фильтрации в зарубежных решениях, оставшихся без обновлений?

Д. Х.: Да, действительно, у нас сейчас много кейсов, где заменить файрволы и NGFW на российские трудно. Поскольку всё завязано на VPN, внутренняя маршрутизация и переход сложны. Тем не менее устройства лишились поддержки и фактически превратились в L3-файрволы, то есть не стало всех функций Next Generation Firewall. И в этом случае применение SkyDNS полезно, поскольку тут базы обновляются и обеспечивают необходимый уровень защиты. Сетевую часть этот файрвол без поддержки производителей реализовывает.

Что ещё можете добавить в копилку плюсов или уникальных возможностей, которые получает заказчик с вашим решением?

Д. Х.: Первое — у нас самая быстрая разработка, то есть мы часто даже на этапе «пилота» успеваем доработать продукт, чтобы пользователь мог его внедрить и получил всю функциональность, которую раньше получал на зарубежных решениях. Второе — это DNS Security. Третье — у нас весной этого года вышел модуль VPN, связанный с технологией Zero Trust. То есть сейчас мы не просто обеспечиваем возможность подключить множество пользователей с любыми ОС по современным VPN-протоколам (и WireGuard, и IKEv2): дополнительно осуществляется проверка наличия антивируса, нужной версии операционной системы, двухфакторной аутентификации. И четвёртый плюс — сам сервис. Все заказчики отмечают высокую квалификацию и отзывчивость нашей технической и предпродажной поддержки. Только у нас есть чат с технической поддержкой непосредственно в веб-интерфейсе, время ответа в нём — меньше минуты. И мы стремимся этот сервис ещё больше совершенствовать.

А есть ли что-то такое, чего не хватает?

Д. Х.: Конечно, у нас множество задач в разработке, буквально тысячи. Мы на каждом совещании обсуждаем изменения и ускорения. Прежде всего, сейчас у нас два решения: обычный Ideco NGFW и производительная версия VPP, у которой меньше сетевой функциональности, зато очень высокая скорость обработки трафика. В следующем году мы объединим эти решения в рамках одного, то есть будут и функциональность, и высокая скорость на уровне лучших российских и западных решений. И вот тогда, я думаю, решение полностью будет соответствовать требованиям энтерпрайз-клиентов.

Что бы вы посоветовали директорам по безопасности?

Д. Х.: Я бы посоветовал искать плюсы в модернизации. Конечно, приходится менять устоявшуюся надёжную инфраструктуру, но в этом нет ничего страшного. У нас много таких кейсов, где, к примеру, клиент хочет перенести 2000 прав, но уже в процессе «пилота» понимает, что сам не знает большинства из них, равно как и причин их добавления — потому что там даже по комментариям сложно это понять. Много лет они формировались, и вот сейчас настал такой момент, когда можно улучшить защиту своей сети и использовать возможности по её модернизации. Российские решения этому уже вполне могут помочь.

Как будет развиваться рынок DNS-защиты в целом в России? Начнём ли мы вообще выходить на мировой уровень?

Д. Х.: Все занимают свои ниши. Лидеры, конечно же, — Cisco и Fortinet, причём они могут продавать свои продукты даже ниже себестоимости «железа», чтобы, к примеру, за пять лет выйти на норму прибыли. Любое финансирование там гораздо больше, чем в России. Поэтому там конкурировать трудно, но это позволяет нам не идти напролом: скажем, не делать тридцатый NGFW в мире и пытаться конкурировать, а предложить, например, сервис DNS Security. Опять же, с ним у нас успехи за рубежом гораздо больше.

То есть вы планируете идти дальше? Может быть, в какие-то страны Азии?

Д. Х.: Ну да. Азия, Южная Америка — всё, что у нас осталось. Впрочем, например, что касается стека, то новые правила по межсетевым экранам действительно разрабатывались в сотрудничестве с индустрией, в том числе и с нами, поэтому имеют смысл. Мы начали сейчас сертификацию по ним, и их требования к конечным заказчикам стимулируют рынок. Если бы их не было, то большая часть придерживалась бы принципа «работает — не трогай, будем сидеть на устаревших решениях, на простых файрволах, на снятых с поддержки западных программах до бесконечности». Поэтому я считаю, что действия регуляторов рынку идут на пользу.

Есть ли ещё какие-то факторы, которые влияют на происходящее?

Д. Х.: Раньше в плане развития продукта нужно было ходить к заказчикам, которые были всем довольны, и искать неудовлетворённые потребности. Сейчас, конечно, потребность понятна: это замена западных решений, ещё пару лет она будет актуальной.

Сильно влияет на потребности заказчиков деятельность злоумышленников. Конечно, часть атак попадают и в публичное поле, их количество очень сильно увеличилось по понятным причинам. Здесь спрогнозировать поведение вообще очень трудно: мы можем только догадываться, с какой стороны зайдёт злоумышленник. Но как раз в этой области мы уже и работаем в SkyDNS с технологиями искусственного интеллекта и машинного обучения, поскольку и злоумышленники их используют.

Вы оторвались от конкурентов в какой-то части. Что было бы для вас переходом ещё на один уровень выше, как для разработчиков?

Д. Х.: Для нас, я думаю, триггером будет как раз тот момент, когда мы объединим два продукта в один быстрый и многофункциональный. Наш новый продукт будет разительно отличаться от существующих сейчас на рынке решений, которые либо многофункциональные, либо очень высокоскоростные.

Дмитрий, спасибо за интервью! Было очень интересно пообщаться!