Михаил Кадер
Куда идет NGFW?
Архитектор клиентского опыта UserGate
КОГДА СХОДЯТСЯ ЗВЕЗДЫ
Актуальность этого вопроса в России предельно высока. Подтверждением тому может служить факт, что тема обсуждается на самом высоком государственном уровне. Уже есть несколько лабораторий тестирования, созданных как крупными системными интеграторами и разработчиками, так и отраслевыми предприятиями и организациям.
В настоящий момент на рынке присутствует несколько десятков производителей, начиная от компаний, специализирующихся на решениях в области кибербезопасности и заканчивая производителями сетевого оборудования и серверов. При этом, если мы оглянемся на мировой рынок, то увидим там всего-навсего десяток компаний, четыре из которых «съели» большую часть пирога.
“
Поэтому вопрос, что сейчас происходит с российским рынком NGFW, куда он движется и куда он может прийти в краткосрочной и среднесрочной перспективе, занимает умы многих людей
Начну с вопроса терминологии. Хотелось бы использовать названия, принятые в российской нормативной базе, поэтому слово NGFW мы без особого сожаления заменяем на ММЭУС — многофункциональные межсетевые экраны уровня сети, а на самом деле даже на ММЭ (многофункциональные межсетевые экраны). При этом можно сказать, что ММЭ — тот самый случай, когда маркетинг победил здравый смысл и концентрация внимания именно на этом классе продуктов может приводить к общему снижению уровня защиты.
Давайте посмотрим на примеры из других индустрий. Представим, что кто-то попытаться сделать велосипед, который одновременно идеален, как шоссейный, горный и трековый. Или кто-то другой пытается сделать машину, на которой одновременно можно победить в гонке Формулы 1, ралли Париж-Дакар, а заодно на ней можно еще и ездить по городу. Согласитесь, такие попытки выглядят смешно.
Почему же вдруг появилась идея, что это возможно, да еще и в такой технологически сложной области, как кибербезопасность?
В результате — в попытке объединить множество функций безопасности и попытке обеспечить при этом высокую производительность, разработчики придумывают множество дорогостоящих продуктов с непредсказуемой производительностью и стабильностью работы. А с точки зрения кибербезопасности мы потенциально получили единую точку взлома, отказа, т. е., в целом, сложили «все яйца в одну корзину». Причем это не специфика именно российских разработок. Достаточно вспомнить «успехи» мировых производителей.
Еще одна интересная тема связана с процессами управления информационной безопасностью предприятия. Раньше все было почти просто и понятно. За «классические» межсетевые экраны чаще всего отвечали специалисты сетевого департамента или департамента эксплуатации. За системы обнаружения и предотвращения вторжений отвечали эксперты департамента инфор- мационной безопасности. За антивирусную защиту, например, администраторы и т. п.
“
Все эти процессы распределялись на разнообразные средства защиты информации и консолидировались как сервисы Центра управления кибербезопасностью предприятия (SOC — Security Operations Center)
Теперь у нас есть одно средство защиты — такой многофункциональный комбайн, используемый для реализации множества процессов. Возможно, еще и разными подразделениями. При этом все его операции взаимозависимы с точки зрения функциональности и производительности. Можно ли сказать, что это удобно, надежно, безопасно? Лично у меня есть большие сомнения по этому поводу. Но «потребители голосуют рублем» и хотят покупать именно ММЭ.
Сейчас во всем мире рынок продуктов этого класса растет примерно на 11% в год. Такой рост прогнозируется и на десяток лет вперед, при том, что рынок уже весьма насыщен. В России же этот сегмент является одним из самых «горячих», так как надо заменять тех, кто медленно растет за рубежом. Поэтому, по оценке Центра стратегических разработок, российский рынок в 2024 году вырос больше, чем на 30%. Дальнейший среднегодовой рост рынка российских ММЭ прогнозируется сейчас в районе 20%, с учетом перехода с западных решений на отечественные.
Итак, давайте теперь отложим в сторону финансовые показатели и вернемся к обсуждению вопроса о том, куда идет этот рынок с точки зрения своего технологического развития. Начнем с краткосрочных перспектив. Можно предположить, что следующий год будет ознаменован началом сокращения количества игроков на этом рынке. Просто потому, что небольшие игроки или станут нишевыми, обслуживающими задачи конкретной области или заказчика, или поймут, что им уже нет места на рынке.
Таким образом, реальный выбор решений постепенно сведется до 5−7 основных рыночных игроков.
Мы уже видели подобные примеры, когда компании сворачивали свои проекты по разработке ММЭ. Таким образом, реальный выбор решений постепенно сведется до 5−7 основных рыночных игроков. Я ожидаю увидеть среди них UserGate, «Код Безопасности», PT NGFW, Ideco, ГК «Солар», Kaspersky NGFW. Кстати, заранее прошу простить, если кого-то забыл или о ком-то просто не знал. Как мы отметили, ситуация с количеством разработчиков ММЭ меняется каждый день.
Тут важно подчеркнуть: часть компаний предлагает свои продукты достаточно давно. Их продукты обладают хорошим набором функционала. Эти компании будут основное внимание уделять повышению качества и производительности своих решений, а также повышению качества технической поддержки. Для тех же компаний, которые вышли на рынок относительно недавно, основным будет вопрос развития функционала по запросам конкретных ключевых заказчиков. С попутным решением вопросов управления качеством продукта и его производительностью.
“
В любом случае, это приведет к тому, что постепенно все больше заказчиков начнут идти как в тестирование отечественных разработок, так и в реальное замещение западных продуктов
То есть процесс перехода будет происходить на практике, не только формально, как иногда бывает сейчас. При этом большим и отдельным вопросом останется разработка или подбор аппаратных платформ. Ограниченность выбора доступной элементной базы, с одной стороны, приведет к унификации аппаратных платформ
для части производителей. С другой стороны, те компании, которые имеют опыт разработки собственных аппаратных платформ, будут, помимо разработки программного обеспечения, еще активнее вкладываться в именно в аппаратное направление, создавая себе конкурентное преимущество на будущее.
для части производителей. С другой стороны, те компании, которые имеют опыт разработки собственных аппаратных платформ, будут, помимо разработки программного обеспечения, еще активнее вкладываться в именно в аппаратное направление, создавая себе конкурентное преимущество на будущее.
Итак, в перспективе одного года мы можем говорить о консолидации и ранжировании рынка, в том числе с учетом реального опыта внедрения и эксплуатации у заказчиков. А также дальнейшее активное наращивание инвестиций производителей ММЭ в разработку необходимых функций, повышение качества и производительности программного обеспечения, повышение качества технической поддержки пользователей и в разработку собственных аппаратных платформ.
Говоря о среднесрочной перспективе в горизонте следующих трех лет, можно выделить следующие значимые моменты:
- Практически полное отмирание рынка классических межсетевых экранов и систем обнаружения и предотвращения вторжений — люди будут покупать, а производители будут предлагать именно ММЭ, даже если им нужны не все доступные функции.
- Дальнейшее развитие практик эшелонированной обороны с применением ММЭ, чтобы предотвратить / замедлить / сделать более заметными попытки хакерских проникновений.
- Дальнейшая консолидация рынка: крупные игроки останутся. При этом мелкие, даже ставшие нишевыми, продолжат терять свои позиции.
- Расширение спектра моделей. Сейчас на рынке представлено мало моделей нижнего диапазона по стоимости и производительности, что, в том числе, ограничивает возможности миграции решений западных производителей.
- Новый скачок спроса, связанный с выходом новых нормативных документов ФСТЭК, которые, как я надеюсь, будут учитывать наличие на рынке продуктов класса ММЭ.
- Большее внимание к рынку виртуальных ММЭ, необходимых как в многочисленных существующих и строящихся ЦОДах, так и при оказании облачных услуг безопасности.
- Развитие предоставления сервисов безопасности ММЭ по модели SaaS от поставщиков облачных услуг.
- Развитие API для упрощения и улучшения реализации процессов управления информационной безопасностью и интеграций с другими продуктами.
- Существенное улучшение в процессах управления уязвимостями в ММЭ, которые неизбежно будут появляться при росте их сложности, связанной с добавлением новых функций.
- Появление нового поколения аппаратных платформ, использующих специализированные компоненты для ускорения рутинных и ресурсоемких операций, таких как шифрование, сравнение регулярных выражений, обработка заголовков TCP/IP и прочего.
- Полнофункциональная поддержка протокола IPv6, о которой сейчас многие производители и заказчики забывают.
- Дальнейшее улучшение качества технической поддержки, выстроенной по опыту и подобию покинувших нас западных компаний.
- Развитие осмысленного использования технологий машинного обучения и искусственного интеллекта.
Причем как для задач более широкого и эффективного обнаружения и блокирования угроз, так и для повышения качества технической поддержки. При этом, в отличие от многих иностранных решений, и наборы данных, и сами инструменты ИИ будут доступны и в виде облачного сервиса, и в виде решения, разворачиваемого на территории заказчика. Могу предположить, что в ряде решений агенты искусственного интеллекта будут являться одной из компонент ММЭ, и будут уметь, в том числе, использовать графические процессоры, интегрированные в аппаратные платформы.
Так что, если мой трехлетний прогноз реализуется хотя бы процентов на 70, то можно будет с уверенностью утверждать: мы не только решим вопрос импортозамещения, но и продвинемся немного дальше. И будем говорить уже о технологическом суверенитете.
При достижении соответствующего уровня зрелости часть характеристик которого приведена выше, российские ММЭ будут реально применяться не только в России, а и в ряде других стран мира. В первую очередь это коснется тех стран, для которых важно иметь ключевые технологии кибербезопасности развернутыми у себя и не зависеть от заграничных облаков и получаемой из них сомнительной информации.
Резюмируя, я бы хотел отметить: ММЭ — это как облачные технологии. Мы можем их любить, мы можем их ненавидеть, мы можем про них не знать — но все равно рано или поздно окажется, что мы их используем. И именно поэтому сейчас пришло время принять участие в использовании российских решений — хотя бы частичном. Потому что именно пользовательский опыт позволит этим продуктам быстрее дойти до уровня реальной зрелости и применимости.
Также необходимо продолжать применять, развивать и адаптировать подходы к построению многоуровневой архитектуры сетевой безопасности предприятий. И, конечно, в целом доработать процессы управления информационной безопасностью с учетом всего того богатого функционала, который дают ММЭ для обес- печения кибербезопасности различных предприятий и организаций.
