19 Декабря 2022 16:17 | 19 Дек 2022 16:17 | |

Поделиться

Екатерина Сюртукова, «РТК-Солар»: Сейчас как никогда предприятиям необходимо системно подходить к вопросам киберзащиты

CNews: Какие решения для защиты инфраструктуры пользовались спросом у ваших заказчиков в 2022 году?

Екатерина Сюртукова: Максимальный интерес заказчиков был направлен на средства обеспечения сетевой безопасности. Это устойчивая тенденция спроса, которая применима к организациям всех масштабов и любого направления деятельности: все защищают свои сети.

Также ключевой особенностью этого года стало смещение фокуса компаний в сторону импортозамещения. Если посмотреть по сегментам, малый бизнес активно подключал сетевые ИБ-сервисы: UTM (Unified threat management) для комплексной защиты от сетевых угроз, сервисы для защиты от DDoS-атак, WAF (Web Application Firewall) для защиты веб-приложений. Средние и крупные компании все силы направили на подбор замены решений иностранных вендоров, ушедших с российского рынка. В приоритете также были сетевые технологии, в первую очередь NGFW.

Заметно увеличился интерес к мониторингу ИБ и, как следствие, возросло количество проектов по созданию и развитию центров мониторинга (Security Operation Center, SOC) с фокусом на отечественные технологии. Компании существенно расширили область охвата SOC, добавив новые площадки и источники, потому что сейчас как никогда важно своевременно выявлять подозрительные активности в инфраструктуре и максимально оперативно на них реагировать.

CNews: Расскажите, пожалуйста, о самом интересном проекте по созданию системы кибербезопасности в 2022 году.

Екатерина Сюртукова: Мы реализовали много крупных проектов и для коммерческого сегмента, и для организаций госсектора, но хочется рассказать о проекте в крупном промышленном холдинге, объединяющем около десяти дочерних компаний. Проект интересен тем, что для решения задач импортозамещения наша команда провела тщательное сравнение нескольких межсетевых экранов и внедрила у себя новую методологию сравнения критериев. Сейчас многие компании решают аналогичные задачи, и мы готовы поделиться полученным опытом и методикой.

В рамках проекта нужно было подобрать отечественные межсетевые экраны для технологического сегмента сети и перепроектировать архитектуру системы защиты с учетом замены зарубежных решений на российские. На словах кажется просто, но работа по тестированию и выбору решения была колоссальной.

В лаборатории мы развернули стенды для тестирования трех межсетевых экранов российского производства от компаний «Код Безопасности», UserGate и ИнфоТеКС. Сначала мы составили расширенный список функциональных требований, который далее сократили примерно до 40 критериев, наиболее важных для нашего проекта. В первую очередь рассматривали параметры, специфичные для сегмента АСУ ТП, например поддержку промышленных протоколов и журналирование событий автоматизированных систем управления.

Помимо функционального, проводили полноценное нагрузочное тестирование: замеряли производительность решений при разном наборе опций и правил. Например, проверяли, какую пропускную способность каждое из решений показывало на одном правиле обработки трафика, затем на 501 и на 1001 правиле. Достичь заявленной производительности удавалось не всегда.

Также детально сравнивали архитектурные возможности: легкость масштабирования от одной технологической установки до всей группы компаний, возможность обеспечения индивидуальности настроек для отдельных обществ в случае централизованной архитектуры, удобство механизмов для имплементации политик безопасности, гибкость лицензирования и другие.

Помимо технических, сравнивали и экономические показатели — совокупную стоимость владения продуктом, то есть капитальные затраты на старте и затраты на его техподдержку на горизонте трех и пяти лет.

При этом мы использовали специальную методологию сравнения разных критериев с учетом их веса и значимости для нашего проекта. Это важный момент, так как одни и те же критерии на разных проектах могут иметь совершенно разную значимость. Такой комплексный подход к тестированию и сравнению помог нам выбрать оптимальное решение для проекта.

Тестирование длилось три месяца. Защита результатов проходила в максимально прозрачном и независимом формате. На защите присутствовали представители всех трех вендоров, заказчик и наша проектная команда, проводившая сравнение. Производители решений могли задавать друг другу вопросы и комментировать результаты. Получилась яркая и серьезная дискуссия.

CNews: В октябре 2022 года ИБ-директора госкорпораций рассказывали на форуме CNews, что главной проблемой 2022 года стали изощренные и беспрецедентные по масштабу DDoS-атаки. Существуют ли отечественные решения, которые могут обеспечить нормальную работу инфраструктуры крупной компании в таких условиях?

Екатерина Сюртукова: Да, такие отечественные решения существуют. Во-первых, есть сервисы от российских провайдеров. Например, у «РТК-Солар» есть специализированный сервис для защиты от DDoS-атак на базе продукта «Гарда Периметр». Если компания хочет внедрить решение на собственной площадке по модели on-premise, тоже есть из чего выбрать. Решения вендоров «Гарда Технологии» и «Бифит» (продукт Mitigator) способны отражать мощные атаки. Если говорить про DDoS-атаки на уровне приложений, то с этой задачей справляются отечественные системы защиты веб-приложений (WAF).

Сейчас основная проблема в том, что количество атак резко выросло. Многие компании до 2022 года фокусировались на борьбе с вирусами-шифровальщиками, а защите от DDoS придавали меньшее значение. И когда в начале года произошел резкий всплеск таких атак, у некоторых организаций просто не оказалось защиты от них, и сейчас они вынуждены внедрять отечественные решения, находясь под непрерывными атаками. Для этого им приходится нарушать бизнес-процессы и отключать инфраструктуру от сети. Компании, чья защита ранее базировалась на зарубежных решениях, например Arbor, после ухода из страны иностранных вендоров также начали переход на отечественные системы и сталкиваются с аналогичными сложностями на проектах миграции. Поэтому главная сложность сейчас не в отсутствии выбора, а в реализации проектов в условиях высокой интенсивности атак.

CNews: Наблюдаете ли вы изменения в динамике спроса со стороны российского бизнеса на проведение комплексного ИБ-аудита? Можно ли сказать, что 2022 год развернул подход российских организаций к обеспечению кибербезопасности?

Екатерина Сюртукова: Спрос на комплексный ИБ-аудит и в целом на разработку стратегий в области кибербезопасности существенно вырос. Сейчас как никогда предприятиям необходимо системно подходить к вопросам киберзащиты. В первом полугодии большая часть аудитов была направлена на решение задач импортозамещения: необходимо было проанализировать все элементы ИБ-инфраструктуры, выявить зарубежные составляющие, расставить приоритеты по замене решений и сформировать план перехода на отечественные продукты с учетом критичности замещаемой функциональности.

Сейчас же компании переходят к более долгосрочным планам развития ИБ и проводят аудиты для получения комплексной оценки защищенности и устойчивости процессов в целом. Цель таких аудитов — провести всесторонний анализ защищенности бизнеса, выявить узкие места и разработать программу проектов на несколько лет.

CNews: На какие параметры необходимо обращать внимание в первую очередь при тестировании российских продуктов по кибербезопасности?

Екатерина Сюртукова: Кроме основной функциональности, необходимо проверять совместимость с ИТ-окружением, иначе интегрировать решение будет проблематично. При выборе средств сетевой безопасности важно уделять внимание нагрузочному тестированию. Нельзя слепо верить синтетическим тестам, которые показывают производители в описании решений. При добавлении опций и новых политик заявленная производительность нередко падает.

CNews: Летом 2022 года многие отечественные ИБ-компании и интеграторы развернули тестовые среды, чтобы заказчики могли оперативно проверять, подходят ли российские решения для внедрения в инфраструктуру предприятий. Насколько можно доверять результатам такого тестирования, если у заказчика, например, более 20 000 хостов?

Екатерина Сюртукова: Это очень важный вопрос. Чтобы можно было доверять результатам тестирования, необходимо максимально детально воссоздать реальную инфраструктуру, четко определить цель и задачу, которую заказчик хочет решить в результате внедрения продукта, декомпозировать на конкретные требования и разработать детальную методику и программу испытаний.

Если есть возможность, желательно проводить тестирование не в лаборатории, а выделить для него тестовую зону в реальной инфраструктуре. На стенде не всегда можно отыграть все возможные сценарии и воссоздать всю специфику реальной среды. Для получения наиболее реалистичных результатов пилотный проект должен включать фактических пользователей, необходимо имитировать их взаимодействие, моделировать основные кейсы, для которых компания приобретает решение. Например, при проведении тестирования на промышленных предприятиях необходимо воссоздать и корпоративный, и технологический сегменты, а также разные типы площадок. Реализовать это на стенде сложно, для полноценного тестирования лучше выделить пилотные зоны в разных сегментах реальной инфраструктуры.

Если мы говорим про тестирование хостовых решений, чтобы отработать возможные проблемы, необходимо рассмотреть все типы самых распространенных устройств и максимально точно воссоздать окружение — операционную систему и прикладные системы, установленные на устройствах. Нужно досконально проверять не просто совместимость, а всю необходимую функциональность ИБ-решения, только так можно подтвердить применимость и эффект от последующего внедрения.

Также важно внедрять решение поэтапно. Если пилотная зона включала 500 хостов, не надо охватывать сразу 20 000. Поэтапное внедрение позволит постепенно устранять проблемы, процесс будет плавным и менее болезненным.

CNews: По вашему мнению, совпадают ли направления разработки отечественных ИБ-решений с приоритетами заказчиков на 2023 год?

Екатерина Сюртукова: Сейчас рынок ИБ-потребителей и разработки максимально синхронизирован, средства защиты активно дорабатываются под требования заказчика. В основном направления развития продуктов формируются под большие проекты и инсталляции крупных холдингов и государственных компаний. Выбирая решения под большой ЦОД или распределенную инфраструктуру масштаба страны, заказчики четко определяют список требований к функциональности и производительности. В случае несоответствия разработчик берет на себя повышенные обязательства по доработке, которые вписываются в договор с указанием сроков.

CNews: В исследовании «РТК-Солар» говорится, что меньше всего компании удовлетворены российскими межсетевыми экранами следующего поколения (NGFW), сканерами уязвимостей и системами контроля привилегированных пользователей (PAM). Какой функциональности не хватает этим решениям в сравнении с зарубежными аналогами?

Екатерина Сюртукова: Начнем с межсетевых экранов следующего поколения, самого востребованного решения 2022 года. Среди российских продуктов этого класса не хватает комбайнов All In One: заказчики привыкли к многофункциональным иностранным NGFW и сейчас вынуждены внедрять несколько решений, чтобы закрыть все необходимые функции. Это неудобно.

Для NGFW отсутствуют конвертеры политик, сейчас это особенно важно для проектов миграции. Приходится вручную писать скрипты, это долго и в принципе не всегда возможно. Нет удобных инструментов для управления, формирования отчетности, мониторинга функционального состояния решения и мониторинга ИБ-событий. При работе с зарубежными решениями можно было проактивно смотреть загрузку процессора, оперативной памяти, анализировать статистику по аномальным всплескам трафика и другим инцидентам ИБ. Российские вендоры активно дорабатывают свои продукты в этом направлении, но пока эти задачи эффективно можно решить только с помощью интеграции с внешними системами, такими как Zabbix в части функционального мониторинга или SIEM в части ИБ-мониторинга.

Если говорить о сканерах уязвимостей, то они бывают агентские и безагентские. Последние при определенной архитектуре решения могут создавать высокую нагрузку на сеть, например, если продукт установлен в центральной части и контролирует удаленные площадки. Этого можно избежать, добавляя дополнительные узлы сканирования.

Также нередко мы сталкивались с тем, что на больших инсталляциях могут очень долго формироваться определенные типы отчетов. Отчет сравнения защищенности с ретроспективой в один месяц можно ждать несколько часов. Это очень неудобно. К тому же стоимость российских сканеров уязвимостей заметно выше, чем зарубежных аналогов, хотя это в целом характерно для большинства отечественных средств защиты.

Российские системы класса PAM поддерживают гораздо меньше протоколов, чем зарубежные аналоги. Если российский PAM не поддерживает какой-то промышленный протокол, то анализ сессий происходит через терминальный сервер. Это не глобальная проблема, но делает неудобным поиск событий, так как придется просмотреть видео всех действий за этот день. Также в продуктах класса PAM не хватает расширенной функциональности, например двухфакторной идентификации и кластеризации. То есть заказчик, привыкший к иностранным решениям, может испытывать неудобства.

CNews: В исследовании «РТК-Солар» перечислены основные причины, по которым респонденты не удовлетворены каждым из рассматриваемых классов российских средств защиты. Среди них называются ограниченность функциональности, сложность эксплуатации и ряд других проблем, характерных для конкретных классов решений. Какие из перечисленных проблем решить сложнее всего?

Екатерина Сюртукова: Дело в том, что разные отечественные решения находятся на разном уровне зрелости. Производителям решений, которые находятся на начальной стадии развития, предстоит пройти огромный путь.

В 2022 году разработчики получили большой приток инвестиций за счет выросшего числа проектов. Поэтому требуется только время, команда разработчиков и готовность вендора дорабатывать свои продукты.

Другая общая проблема, которую мы не рассматривали в исследовании, касается аппаратного обеспечения. Даже если оборудование собирается в России, элементная база иностранная и объемы производства недостаточные. Эту проблему сложно решить без господдержки.

CNews: Как вы справляетесь с проблемами на проектах внедрения российских средств защиты?

Екатерина Сюртукова: Для многих иностранных продуктов по кибербезопасности нет полноценных отечественных аналогов, и нам приходится творчески подходить к решению задач клиентов. Мы создаем сложные конструкции и оказываем серьезный консалтинг по процессам и организационным мерам.

Например, если возвращаться к проблемам с NGFW, заказчики активно применяли функциональность виртуального контекста. Например, в ЦОДах можно было использовать одно физическое устройство сразу для нескольких клиентов с обеспечением полной изоляции данных. Сейчас вместо этого необходимо внедрять десять программно-аппаратных аплайнсов, что усложняет интеграцию и поддержку.

У решений All In One очень низкая производительность. Чтобы обеспечить требуемую производительность, мы осознанно внедряем несколько решений. Например, вместо NGFW с прокси мы иногда ставим отдельно межсетевой экран, отдельно прокси, то есть работаем с отдельными инсталляциями.

Не хватает российских решений класса Firewall Management, позволяющих проанализировать тысячу правил, выявить среди них неактуальные или повторяющиеся. Такие решения только разрабатываются. Пока приходится такие задачи по большей части решать вручную.

Большая проблема организовать защиту удаленного доступа. Сегодня ни один российский производитель не обеспечивает полноценную концепцию ZTNA. И если защищенный удаленный доступ реализован на импортном решении, в рамках импортозамещения приходится собирать конструктор из нескольких продуктов.

В целом же, несмотря на отмеченные проблемы, я бы смотрела на ситуацию с оптимизмом. На рынке представлено достаточно много российских продуктов, и многие из них вполне зрелые.

Поделиться

Короткая ссылка