Российские средства сетевой безопасности. Заменят ли они ушедших лидеров рынка?

На днях мне довелось вновь модерировать прямой эфир AM Live, посвященный российским средствам сетевой безопасности, который продолжил серию эфиров AM Live, которые в последнее время, и по понятной причине, переориентировались на тему российских вендоров (это и технологии SOC , и средства защиты от целевых атак , и средства защиты бренда и мониторинга Даркнета , и т.п.).

По традиции я хотел бы тезисно осветить некоторые моменты, озвученные на мероприятии, сдобренные моими собственными комментариями и замечаниями:

1. Так сложилось, что из 7 участников эфира 4 представляли сегмент российских «NGFW», 1 — сегмент сетевых брокеров (аналога Gigamon), 1 — сегмент средств обнаружения сетевых аномалий (NDR) и 1 представлял сегмент интеграции. Часть игроков, желающих поучаствовать в эфире, не смогла принять участие по причине избытка участников, но если посмотреть на список российских разработчиков, их у нас гораздо больше десяти и даже ста. Правда, не факт, что часть из них доживет до следующего 24 февраля, но пока у российских игроков есть карт-бланш, который они и пытаются разыгрывать. Но, если  честно, пока получается это не у всех. Согласно проведенному во время эфира вопросу, к полному импортозамещению готовы только 24% зрителей; 35% занимаются точечной заменой. 1% вообще не рассматривает российские продукты, а 24% заняли выжидательную позицию (этот показатель за последние 4 месяца изменился в сторону увеличения!). Мне кажется связано во многом с тем, что многие заказчики уже потратили свои бюджеты и до конца года (как минимум) не смогут потратить такие же суммы на российские средства ИБ. К концу же срока действия купленных лицензий на иностранные решения (а некоторые покупали в предверии санкций на 3-5 лет) ситуация может кардинально поменяться и не понятно в какую сторону.
2. Согласно проведенному мной на конференции IT IS Conf опросу двумя неделями ранее, многие заказчики хотели бы увидеть у российских разработчиков нормальный NGFW. Участники же эфира считают, что у нас есть такие продукты, просто заказчики привыкли к «кнопкам» Сиско, Фортинета, Палоальто и им сложно переходить на отечественные решения. При этом другие участники эфира считают, что у нас в стране нет явного лидера NGFW — кто-то силен в одном, кто-то в другом, кто-то в третьем. Поэтому отталкиваться надо от потребностей заказчиков, которые могут быть закрыты отечественными NGFW, только по-другому. Ну или несколькими продуктами, но уже нюансы ???? И обязательно надо учитывать сценарии внедрения — для защиты периметра, для внутренней сегментации, для защиты ЦОДа, для АСУ ТП, для облаков и т.п. Это тоже важный момент при выборе NGFW.
   

   Кстати, на конференции IT IS Conf прозвучало, что УЦСБ планирует разработать свой аппаратный МСЭ, составив тем самым конкуренцию тому же UserGate, который свои FPGA ваяет.

3. Кстати, о ценах. На явно заданный вопрос некоторые отечественные вендора отвечают что рост составил всего 10-25%, но в разговоре прорывается «в 2 раза» ???? На AM Camp , прошедшем месяцем ранее, звучали и вовсе пугающие цифры роста в 7 раз по некоторым решениям. Другие производители говорят, что у них цены не выросли вообще. Третьи отвечают классическим английским «it depends» («это зависит от множества факторов»). Но если попробовать начать копать, то оказывается, что роста почти нет в сегменте программных решений по сетевой безопасности, «маленькие железки» (для малого бизнеса) выросли в цене действительно незначительно, а вот стоимость производительных устройств действительно может иметь коэффициент 1.5-2. При этом коллеги из интеграционного бизнеса срывают покровы с деятельности российских производителей средств сетевой безопасности, рассказывая, что ценник на продукты может меняться в течение 2-3 месяцев (пока идет обсуждение проекта с заказчиков) несколько раз и к моменту готовности оплаты, ранее озвученная цена уже отличается от текущей на десятки процентов.
4. Изменение цен часто связывается с логистическими проблемами. «Маленькие железки» у многих есть на складах в определенном количество (от нескольких сотен до нескольких тысяч устройств), а вот крупные устройства обычно идут под заказ и срок поставки может достигать и 120 и даже 180 дней. По крайней мере во время эфира прозвучало, что высокопроизводительные устройства одного из вендоров стоит ждать не ранее конца года. И проблема логистики не только связана с санкциями, но и с последствиями COVID-19.
5. Я на последних мероприятиях постоянно задаю вопрос относительно требований ФСТЭК по использованию аппаратных платформ, внесенных в реестр Минпромторга, и про требования этого же регулятора по использованию отечественных процессоров с 01.01.2024. Тут, конечно, полный швах. Одни вендора говорят, что с аппаратными платформами полная жопа — Минпромторг вычистил реестр и туда приходится вносить завозимые платформы заново. Другие вендора говорят, что Минпромторг с ФСТЭК вообще никак не координируют свои действия (это мы еще Минцифры не упомянули). Про российские процессоры прозвучало несколько мнений — от «Intel купить проще Эльбруса и Байкала» до «а мы используем ARM и смотрим в сторону открытой архитектуры процессоров». У многих надежда, что ФСТЭК все-таки в текущих условиях поменяет свои требования, чтобы учесть сложившуюся ситуацию с микроэлектроникой.
6. Мы специально особо не погружались в тему регуляторики, но в эфире прозвучало то, о чем я писал три года назад и что  сертификация встроенного в NGFW антивируса сегодня невозможна, так как для сертификации нужно предоставить исходники, а их нет. В итоге получить сегодня сертификат ФСТЭК на полный функционал NGFW невозможно, так как писать собственный антивирус при наличии Лаборатории Касперского и Dr.Web не имеет смысла, а без исходных кодов используемых чужих движков, сертификация невозможна и эта проблема до сих пор не решена.
7. Классический вопрос — можно ли эффективно заниматься сетевой безопасностью (исключая тему МСЭ, VPN и сетевых брокеров), не имея собственного R&D-подразделения, которое бы занималось исследованиями новых угроз, вызвал определенную дискуссию. Но почти все игроки справились с этим, заявив, что у них либо есть собственные подразделения «белых хакеров», изучающие методы хакеров, либо специалисты, пишущие правила и сигнатуры, пополняющие базы знаний, репутаций и т.п. При этом почти никто не использует зарубежных источников Threat Intelligence.
8. Миграция с иностранных решений на отечественные занимает по мнению многих участников от полугода до полутора, если учитывать не только само время на инсталляцию нового решения, но и время пилотирования, заказа, доставки заказанных решений, обучения специалистов и т.п. Интересно, что от коллег из интеграции прозвучала мысль, что внедрением российского средства сетевой безопасности процесс перехода не заканчивается — нужно еще не менее года на поддержку специалистов заказчика в процессе эксплуатации новых средств. Одно дело пройти курсы и прочитать документацию и совсем другое — применять решение в дикой природе.
9. При этом процесс миграции происходит не очень легко и просто. В отличие от иностранных игроков рынка ИБ, имеющих средства миграции с продуктов конкурентов на свои и позволяющих переносить политики и правила одного решения в настройки другого, у наших таких инструментов нет и в лучшем случае они появятся к концу года. Пока процесс миграции политик происходит вручную. Кстати, чем сложнее продукт, тем дольше идет миграция.
10. На днях прошла новость о том, что якобы сейчас невозможно стало приобрести поддержку и обновления у иностранных средств защиты и ИТ-решений. Хочу раскрыть глаза — этого невозможно уже 4 месяца, ровно с того момента как иностранные компании приостановили свою деятельность в России. Комментарии в Интернете касались опасений, что такой отказ может привести к потере функциональности купленных ранее решений. Так вот на эфире я задал аналогичный вопрос уже российским производителям и, о, чудо, у них ровно такая же ситуация. Есть функционал «вечный», типа МСЭ, VPN или сетевого брокера, а есть функционал, продаваемый по подписке и имеющий срочные лицензии (обычно на 1 год). Так вот окончание срока действия лицензий на обновление систем обнаружения вторжений, репутационных баз, баз URL, антивирусных сигнатур и т.п., приводит к тому, что продукт также теряет свою функциональность и он продолжает работать с теми обновлениями, которые были на момент окончания лицензии. Так что в этом плане, подписочная модель ничем не отличается у иностранных или отечественных игроков рынка ИБ.
11. Ближе к концу эфира вдруг всплыла тема совместимости СКЗИ разных производителей, которые, несмотря на использование одного стандарта шифрования и иногда даже одного протокола IPSec, все равно не могут взаимодействовать между собой. Аналогичная история оказалась актуальной и для решений SD-WAN, которые сегодня не совместимы. Это стоит учитывать при выборе соответствующих решений; особенно если стоит задача организации защищенного взаимодействия с партнерами, контрагентами и государственными организациями.
12. Последним вопросом, который я бы хотел подсветить, и который вскользь прозвучал на эфире, стали экосистемы, которые разрабатывают некоторые вендора по ИБ. Это интересная история, которая отражает и мировой тренд, когда игроки рынка кибербезопасности выпускают в довесок к своим флагманским продуктам и различные дополняющие их модули и подсистемы. Например, SIEM, SOAR и т.п. Глубокими возможностями они обычно не обладают, но как дополнение к уже купленным продуктам, да еще приобретенными со скидкой, оно может хорошо расширить и объединить имеющееся портфолио.

Как обычно я подсвечиваю далеко не все, что мы обсудили на эфире, длящемся более двух часов. Если вы хотите узнать больше деталей и новостей, как участники подкалывали друг друга, что они будут делать в ближайшие полгода-год, что не устраивает заказчиков в российских решениях, а также как сейчас обстоят дела у Cisco в России, то посмотрите сам эфир:

Заметка Российские средства сетевой безопасности. Заменят ли они ушедших лидеров рынка? была впервые опубликована на Бизнес без опасности .