Антон Иванов, «Лаборатория Касперского»: Kaspersky NGFW создан в соответствии с требованиями заказчиков

На международной конференции по промышленной безопасности Kaspersky Industrial Cybersecurity Conference был презентован межсетевой экран нового поколения (NGFW), созданный для защиты от эволюционирующих сетевых угроз. О том, как этот продукт повлияет на рынок кибербезопасности в России, мы поговорили с Антоном Ивановым, директором по исследованиям и разработке «Лаборатории Касперского».

Это одно из серии интервью с экспертами «Лаборатории Касперского», которые были записаны на конференции KICS Conf.

Выход Kaspersky NGFW — очень важное событие для «Лаборатории Касперского» и, я уверен, для всего рынка. Расскажите: с чего всё начиналось?

А. И.: Да, это действительно важный день и для «Лаборатории Касперского», и для наших заказчиков. Всё началось ещё когда мы стали выходить на рынок SD-WAN и, соответственно, приобрели прекрасную команду, которая позволила нам ускориться и сделать лидирующий продукт на российском рынке. Мы уже тогда продумывали концепцию SASE. Это облачная концепция, которая подразумевает и наличие межсетевого экрана в облаке. Мы прорабатывали это в 2020 году. В рамках текущих процессов по импортозамещению после 2022 года мы переориентировались и начали создавать программно-аппаратный комплекс на базе прежней разработки.

Мы свой экран делаем с 2020 года силами команды, которая имеет огромную экспертизу именно в рамках разработки и внедрения сетевых решений. Честно сказать — мы, наверное, один из немногих вендоров на российском рынке, у кого имеется обширный опыт по внедрению таких сложных сетевых продуктов, потому что мы работаем совместно с сетевыми инженерами в крупных компаниях, в промышленном комплексе в том числе. Наши решения уже внедрены у большого количества крупных заказчиков, и это даёт нам тот опыт, который мы будем использовать при внедрении NGFW.

Мы занимались разработкой четыре года. Это солидный срок, не как у некоторых, которые за полгода слепили что-нибудь из Open Source и выпустили. Мне кажется, это важно понимать.

Насколько большая команда стоит за этой разработкой? Насколько большие ресурсы потребовались?

А. И.: Разработать межсетевой экран — это действительно дорого и требует колоссальных ресурсов, если честно. В команде порядка 100 человек. Это инженеры, архитекторы, тестировщики, которые разрабатывают продукты. Но самое важное — это, конечно же, те центры экспертизы, которые добавляют свои знания, чтобы этот продукт действительно мог реагировать на текущие тренды в угрозах и, соответственно, успешно их детектировать и нейтрализовывать. Если мы посчитаем всех вместе, то количество задействованных людей превысит 200.

Просто разработать хороший сетевой стек сейчас недостаточно. Необходимо, чтобы эта «железка», которая поставляется заказчику, могла реагировать на актуальные угрозы.

Какие требования легли в основу именно вашего NGFW? Всё-таки это — многофункциональный продукт, разработчики делают акценты на разных вещах. Что в вашем случае самое важное?

А. И.: Перед началом разработки и во время процесса мы уточняли требования в непосредственном общении с заказчиками. Мы показывали им те наработки, которые у нас уже есть. 

Конечно, в первую очередь сейчас все озабочены производительностью межсетевого экрана. Все меряются цифрами. У кого-то — 50 гигабит, у кого-то — 100. При этом, что важно, существует большое количество методологий измерения, каждый оценивает по-своему. Мы берём три основные методологии. Соответственно, у нас сейчас уже достигнуто 20 гигабит на уровне приложений. Это — очень хороший показатель. В целом, это уже готовый продукт, который можно внедрять и тестировать в сложных инфраструктурах.

Есть ещё один показатель: как продукт будет функционально отвечать на имеющиеся угрозы. Мы уверены, что просто межсетевой экран без внедрения в экосистему XDR не даст тех преимуществ, которых можно достичь вместе со всеми остальными продуктами, необходимыми для выявления сложных угроз.

Какие практики вы использовали для безопасности разработки? Об этом тоже очень много говорят сейчас на рынке. Я знаю, что у вас есть экспертиза. Надёжность — это, наверное, как минимум один из трёх самых важных для NGFW пунктов: нельзя, чтобы он выходил из строя.

А. И.: У нас в «Лаборатории Касперского» практикуется пристальнейшее внимание к безопасной разработке, анализу требований ФСТЭК, в том числе при сертификации. Есть специальная группа сотрудников, которая отдельно занимается именно проверкой и внедрением практик по безопасной разработке. Если те уже внедрены, они удостоверяют, что все практики применяются, что все технологии, необходимые для безопасной разработки, использованы на всех этапах.

За прошлый год в топе уязвимостей по проникновению в инфраструктуры заказчиков были бреши в межсетевых экранах иностранных производителей. Сейчас все перейдут на отечественные межсетевые экраны, и злоумышленники, к сожалению, также начнут пользоваться уязвимостями в этих продуктах. Если это периметровый межсетевой экран, то он стоит снаружи, злоумышленник его видит, и это может быть одной из входных точек для проникновения.

Мы доносим нашим заказчикам, что важно использовать именно те продукты, которые хорошо зарекомендовали себя, производители которых применяют полный цикл безопасной разработки. Эти продукты создаются с наивысшими требованиями по качеству.

Насколько важен NGFW для вашего портфеля? Значимо ли то, насколько он усиливает тот же XDR?

А. И.: Это очень значительный и весомый компонент, даже в сценарии атаки с использованием взломанного подрядчика. С выходом этого продукта мы значительно усиливаем наш портфель тем, что можем теперь охватить полностью все сценарии как на конечных точках, так и на уровне всей сети. 

Получается, это открывает прямой путь к полноценному автоматизированному реагированию на уровне сети, чего раньше вы не могли делать?

А. И.: Да, полностью автоматизированное реагирование, но в том числе и обогащение по новым индикаторам, которые были выявлены в рамках атак — потому что теперь мы получаем больше информации о сети, понимаем, с каких адресов атака происходила, какая группировка за этой атакой стоит и на что стоит обратить внимание.

Есть ли какой-то символизм в том, что вы представили свою новинку именно на конференции по промышленной кибербезопасности? Планируете ли вы предлагать или дорабатывать Kaspersky NGFW для промышленного использования?

А. И.: В этом есть символизм. Мы очень много новых продуктов запускаем именно на этой конференции, потому что вся концепция нашей экосистемы подразумевает объединение индустриального и информационно-технологического сегментов. И, конечно же, тот опыт, который мы приобрели с продуктом для индустриальной защиты, будет внедрён и в наш межсетевой экран в рамках интеграции.

Будет ли эта связка в ближайшее время работать? По идее, Kaspersky NGFW может даже уйти внутрь SD-WAN и стать одним из его модулей.

А. И.: Совершенно верно. Мы такую платформу сейчас прорабатываем, потому что это правильный путь. Есть заказчики, которые хотят именно функциональность SD-WAN и межсетевого экрана. Поэтому всё базируется на основной платформе и такие функции будут в ближайшее время предоставлены: это позволит как сэкономить средства при внедрении и построении сетей нового поколения, так и значительно повысить их защищённость.

Важна также экспертиза внутри Kaspersky NGFW. Кто-то должен писать сигнатуры для IPS, правила для приложений, предустановленные политики и так далее. Откуда вы всё это берёте? Если вы всё разрабатываете сами, то хватает ли этого?

А. И.: Всё наше. Все эксперты, которые разрабатывают правила для IPS и IDS, располагаются у нас. 

Мы следуем тому принципу, что вся экспертиза должна быть внутри, и благодаря этому можем делать независимые, очень сильные продукты. Растя такую экспертизу, мы добавляем новые технологии, которые являются прорывными на рынке. Поэтому — да, все основные детектирующие компоненты разработаны внутри «Лаборатории Касперского». И, соответственно, всё их наполнение, включая категоризацию приложений, тоже делается внутри «Лаборатории Касперского».

Антон, большое спасибо за очень важное и интересное интервью!