О сертификации NGFW - текущий статус

О сертификации NGFW - текущий статус
В январе я написал заметку о том, что согласно новым подходам ФСТЭК, сертифицировать многие зарубежные средства защиты будет скоро невозможно. В апреле я продолжил тему, когда ФСТЭК выпустила письмо, требующее до 1-го января 2020 года (осталось 4 месяца) обновить все действующие сертификаты и подтвердить соответствие требованиям по доверию. И вот сейчас, спустя 4 месяца после последней заметки я хотел бы обновить тему и написать о текущем статусе сертификации NGFW.

Несмотря на кочующий из доклада в доклада, из статьи в статью, тезис о том, что 100% организаций имеют межсетевой экран и антивирус, в реальности все-таки речь обычно идет не об обычном МСЭ, а о межсетевом экране следующего поколения (NGFW), задача которого не только фильтровать трафик на прикладном уровне, но и распознавать приложения и осуществляемые внутри них действия, применяя к ним соответствующие политики, блокировать атаки, нейтрализовывать вредоносный код, предоставлять функцию VPN и контролировать доступ в Интернет, беря на себя функцию прокси. Это типовой функционал NGFW, который в зависимости от вендора расширяется песочницами, CASB, глубокой DNS-инспекцией, отражением DDoS-атак, WAF, сканером уязвимостей и т.п.

Как я уже писал в январе, чтобы получить по новым требованиям ФСТЭК сертификат на такой "комбайн", необходимо проверить весь функционал (хорошо, что ФСТЭК пока не требует, чтобы в NGFW функция VPN строилась на базе сертифицированных СКЗИ). Прошли те времена (хотя иногда раз-раз, да проскользнет мимо ФСТЭК такой сертификат) когда можно было получить для NGFW сертификат только по РД к МСЭ. Сегодня будь добр сертифицировать все - и антивирус (на соответствующий РД), и систему обнаружения вторжений, и WAF. А для того, для чего у ФСТЭК нет РД, будь добр прописывай проверку этих функций и среды функционирования в задание по безопасности. Весь непроверяемый функционал должен быть удален. Правда, в этом случае уже не приходится говорить о продукте класса NG, но это уже частности (кому-то важна именно бумажка, а не чистота процесса).


Все это была прелюдия, о которой я уже писал. Теперь пора посмотреть, что происходит у нас в части сертификации популярных в России NGFW по линии ФСТЭК (по линии ФСБ это и в голову никому не приходит). Не слукавлю, если скажу, что 99% всех NGFW, которые продаются в России, имеют иностранное происхождение. Специально не буду называть вендоров, но думаю, что их все и так знают. Так вот, общаясь с коллегами из всех этих компаний, но не называя имен, у меня сложилась сейчас следующая картина по состоянию сертификаций из NGFW:
  • Один вендор вырезал из своего продукта часть основного (например, обнаружение приложений) и управляющего функционала (например, поддержку SSL, что поставило вопрос о работе с HTTPS, управлении по HTTPS и получении обновлений по нему же). В итоге NGFW превратился в обычный МСЭ (без приставки NG).
  • Другой вендор, имея на NGFW-платформе, несколько вариантов ПО, сертифицирует только тот, который содержит только функционал МСЭ. Даже СОВ уже сертифицировать нельзя (это касается всех производителей), так как они все обновляются из-за рубежа, что по версии регулятора является угрозой ИБ.
  • Третий вендор пытается запустить для России разработку особой ветки своего продукта, в котором от NGFW останется только FW, превратив его, да, в гораздо более удобный, чем российские МСЭ, продукт, но все-таки это уже не решение класса NG.
  • Кто-то пытается скрыть свой NGFW в корпусе другого продукта, в котором еще установлен российский VPN, что якобы должно сделать продукт российским и обойти преграды при сертификации. Но судя по отсутствию сертификата, этот фокус тоже не прошел.
  • Последний из иностранных вендоров и вовсе отказался от сертификации, понимая всю бесперспективность этого процесса для своего продукта.
Что в итоге? Полное отсутствие популярных сертифицированных NGFW на российском рынке, каковая тенденция сохранится и в будущем. И дальше у иностранного вендора два пути. Первый - продолжать сертифицировать свои решения только как МСЭ (если вендор в состояния представить продукт в варианте "нестареющей классики" без всяких модных технологий, упомянутых выше), но не выше 6-го класса по РД на МСЭ. Нужен ли будет кому-то такой сертификат - большой вопрос. Вариант второй - забить на сертификацию. И что-то по общению с коллегами я вижу, что многие стали склоняться к этому варианту развития событий. Слишком большие усилия необходимо предпринять с обеих сторон (и в штаб-квартире, и в России), чтобы получить минимально возможный класс. Овчинка не стоит выделки.

А заказчикам стоит задуматься, им нужны шашечки или ехать? 

ЗЫ. Кстати, с сертификацией даже на 6-й класс сейчас тоже немало интересного происходит. Прописанный в требованиях ФСТЭК к доверию фаззинг - это то еще приключение, "карта" которого не понятна до конца даже регулятору, не говоря уже об испытательных лабораториях и заявителях. 
Alt text