Подписывайтесь на Газету.Ru в Telegram Публикуем там только самое важное и интересное!
Новые комментарии +

«Закладку в обновлении иностранной техники рискует получить почти каждая компания в РФ»

ИБ-эксперт Кораблев: российские компании продолжают защищаться от хакеров иностранным ПО

После начала спецоперации многие российские компании лишились обслуживания важного для защиты от хакеров иностранного оборудования Next-Generation Firewall (NGFW). Оно фильтрует весь входящий и исходящий интернет-трафик, ищет в нем признаки кибератак и следы вирусов. Но российские компании продолжают пользоваться иностранной техникой и скачивают для нее обновления через подставные организации в СНГ. Эта схема опасна тем, что на любом этапе доставки обновления в Россию в него может быть интегрирован вирус, блокирующий работу всей компании. О проблеме и путях ее решения «Газете.Ru» рассказал управляющий директор и директор по продуктам Positive Technologies Денис Кораблев.

– Что NGFW представляет собой физически?

– NGFW – это программно-аппаратный комплекс (ПАК), некая разновидность компьютера, который представляет собой серверный «шкаф» или даже кластер таких «шкафов» со специальной программой. Бывают еще облачные и виртуальные решения. Это либо просто программа для ПК, которая связывается с теми самыми «шкафами», либо небольшое устройство вроде роутера. Облачные и виртуальные решения нужны для работы в небольших компаниях: магазинах, заправках и так далее.

– Какие главные функции выполняет NGFW?

– NGFW решает две задачи: разграничение доступа и обеспечение стабильного и надежного подключения сотрудников компании к бизнес-приложениям и интернету в целом, а также защита внутренней сети от массовых и целевых кибератак.

В первом случае NGFW однозначно знает (с подсказкой администратора), кому в сети нужен доступ к определенному списку приложений и обеспечивает скоростное подключение к ним. А также запрещает доступ к сторонним ресурсам, не относящимся к рабочему процессу. Грубо говоря, NGFW делает так, чтобы, например, у компьютера секретаря на ресепшене не было доступа к бухгалтерии.

Во втором случае NGFW является первым рубежом сетевой безопасности любой компании и отражает хакерские атаки за счет комбинации продвинутых технологий. Например, фильтрует подозрительные ссылки и останавливает загрузку опасных объектов, несанкционированный доступ к ресурсам компании.

– Как?

– По соединениям, которые устанавливают компьютеры внутри корпоративной сети между собой или со внешними адресатами. Существует целая группа признаков, которые характеризуют соединение как вредоносное. Это могут быть определенные адреса из Tor или специфичного облачного хранилища, которое ранее засветилось в атаке вируса-шифровальщика, может быть сигнатурный признак (определенная последовательность действий и признаки, встреченные ранее в ходе атаки), либо же подозрительный домен.

– Что случится с компанией, если ее NGFW вдруг перестанет работать?

– У западных поставщиков NGFW существует обязательство по актуализации баз знаний об атаках (Service Level Agreement, SLA). Согласно этому SLA, в базе данных NGFW сигнатура трендовой уязвимости должна появиться в течение 4-12 часов после ее публикации в базе данных общеизвестных уязвимостей (CVE, Common Vulnerabilities and Exposures) или появления публичного эксплоита, инструкции по применению уязвимости. Если сигнатуры не попадают в базу знаний NGFW, то система не способна обнаружить новейшие типы угрозы. Значит из глобальной сети во внутреннюю начнет проникать вредоносное ПО, могут быть пропущены атаки. Проще говоря, злоумышленники могут закрепиться во внутренней сети компании и осуществить неприемлемые для бизнеса события.

– Компании какого типа и масштаба в России пользуются NGFW?

– Согласно нашему опросу, NGFW используют около 70% российских компаний всех размеров. Но тут есть нюанс: представители некоторых компаний, утверждавших, что у них нет NGFW, могли не знать, что на самом деле такие системы у них есть. Даже маленькие компании используют разного рода дешевые облачные решения с базовой функциональностью. По моей оценке, в реальности такие системы применяются в 85% российских компаний – в каждом магазине формата «у дома», на каждой заправке, в каждом отделении банка или оператора сотовой связи.

– Какие компании являются основными поставщиками NGFW-решений в России?

– До 2022 года наиболее глубокое проникновение на российском рынке имели три вендора: Palo Alto (США), Fortinet (США) и CheckPoint (Израиль). В марте 2022 года первые две компании довольно некрасиво ушли, а большинство их продуктов в короткий срок перестали работать у российских клиентов.

CheckPoint тоже прекратил работу в РФ, но частично. Согласно источникам на рынке, были прецеденты, когда CheckPoint не продавал российским государственным организациям свои решения.

– А что за «некрасивый уход» вы упомянули?

– Некоторые компании, начиная с февраля 2022 года, перестали обслуживать свои NGFW-системы в России. Российские представительства уведомили клиентов о том, что, если они продолжат скачивать обновления баз данных, оборудование «окирпичится», то есть превратится в бесполезное неработающее железо. И такие примеры были. Остальные продолжили использовать технику и ПО в автономном режиме, то есть без загрузки сигнатур новых уязвимостей.

– Как российские компании искали выход из этой ситуации?

– По нашему опросу, около 30% компаний открыто признают, что продолжают пользоваться западными системами и обновлять их через страны СНГ. То есть российская компания через промежуточное юрлицо в Казахстане или Армении скачивает там обновление баз данных Palo Alto или Fortinet, а потом передает его в РФ, где файл загружается в работающую автономно систему.

Остается только догадываться, какой процент компаний продолжает обновлять западные системы, но не говорит об этом открыто.

– Я правильно понимаю, что это... не очень безопасно?

– Точнее – это очень небезопасно. Во-первых, есть риск интеграции в файл обновления какого-нибудь вредоносного ПО третьим лицом. Во-вторых, вендор прекрасно понимает, где в конечном итоге это обновление оказывается и может сам внедрить скрипт, активирующий бэкдор или «окирпичивание» оборудования по геолокации. В конце концов, юрлица в СНГ могут подвергнуться санкциям, и лазейка закроется.

– Прецеденты с интеграцией вредоносного ПО в обновления уже были?

– Не в случае с NGFW, – с ПО другого класса. Есть немецкая компания SAP, которая выпускает и поддерживает одноименную систему управления бизнес-процессами. В 2022 году она тоже перестала работать в РФ. Российские клиенты начали качать обновления через другие страны. В какой-то момент в них начали появляться нелегитимные функции. К счастью, всего лишь политизированные призывы и манифесты, а не вредоносное ПО.

– Получается, пока Palo Alto и Fortinet играют в эту игру и закрывают глаза на «серую» схему обновлений, можно не париться?

– Париться нужно. На мой взгляд, рано или поздно закладку в обновлении иностранной техники рискует получить почти каждая компания в РФ. Не важно даже по чьей инициативе – цепочка настолько удлинилась, что шанс на внедрение стал очень большим. Осознают это и регуляторы. Так, с 2025 года в силу вступит закон, который обяжет госорганизации пользоваться только отечественными средствами информационной безопасности.

– А в России есть чем заменить западные NGFW?

– Скажем, два года назад, мы видели на рынке около четырех компаний, заявлявших о производстве NGFW либо элементов таких систем. В марте 2022 года, по нашим подсчетам, российских производителей NGFW было уже 16, – разработчики традиционных фаерволов стали быстро модернизировать свои продукты. Не так давно мы насчитали больше 20 вендоров. На одном из последних совещаний Минцифры упомянуло уже 21 компанию.

– То есть нет никаких проблем с импортозамещением?

– Имеющиеся российские средства NGFW пока сильно уступают в качестве западным аналогам. Существует небольшая часть бизнеса, которая в 2022 году попробовала перейти на российские продукты. Довольно быстро выяснилось, что отечественные решения не предназначены для работы с теми объемами трафика, которые «пережевывали» западные продукты. А на тех объемах трафика, на которых российские средства могут справиться, стабильность их работы оставляет желать лучшего. А в случае любых проблем со стабильностью, компания оказывается без интернета, что в свою очередь приводит к простою бизнеса и потере денег, потому что, напомню, NGFW – ключевой узел во внутренней сети.

Одной из метрик, которая определяет эффективность NGFW, является количество ложных срабатываний в сутки, требующих внимания дежурной смены кибербезопасников. Сюда входят эпизоды, когда NGFW не дает скачать безопасный файл, не позволяет открыть легитимный сайт или наоборот пропускает вирус. С американскими системами такие ситуации происходят в среднем 50 раз в неделю или около 8 раз в сутки. С российскими – заявки специалистам по ИБ прилетали несколько тысяч раз в неделю, сотни раз в день.

– Почему в России нет NGFW, достойного западных систем?

– Их очень мало не только в России, а во всем мире в принципе. Дело в том, что NGFW – это особый класс систем, от которых требуется абсолютный уровень отказоустойчивости, так называемый «уровень пять девяток». Он означает, что система стабильно работает 99,999% времени. В любом другом софте по безопасности таких жестких требований к устойчивости нет и близко. ПО и оборудование для безотказной обработки огромного объема данных исторически разрабатывалось на Западе.

Российские NGFW создавались для использования в более щадящих условиях, для обработки специфического трафика в небольших объемах в качестве дополнения к западным системам. Отдельные отечественные NGFW, даже те, которые разрабатывались 10 лет, приобретались в силу требований регулятора. Надо российский NGFW иметь в компании? Хорошо. Покупаем. При этом вся инфраструктура продолжала работать на западных решениях. Как итог, российский NGFW не получает никакого фидбека от клиентов и не развивается.

– И как решается эта проблема?

– Российские компании начали разрабатывать NGFW, скажем так, «второго поколения». В частности, над этим работаем и мы.

– За счет чего ваша система сможет соответствовать возможностям и качеству иностранных решений?

– Palo Alto, Fortinet и CheckPoint установили парадигму, согласно которой NGFW может работать только на ASIC, специализированных процессорах, заточенных под выполнение строго ограниченных типов задач. Мы же предлагаем делать NGFW на базе классических процессоров х86 (данная категория процессоров главным образом представлена решениями от Intel и AMD, – прим. ред.).

Это единственно правильное решение на сегодняшний день, так как ASIC и для западных вендоров NGFW делаются небольшими партиями под конкретных клиентов на заводах типа тайваньского TSMC. То есть, даже если какой-нибудь российской компании удастся встать в очередь TSMC за ASIC'ами, такая цепочка будет очень уязвима для санкций. Процессоров же x86 очень много – их можно приобрести в тех объемах, которые нам нужны. Переход на x86 позволяет развязать хотя бы один узел, который точно не самый важный в проблеме с NGFW.

– Ну а как же российские процессоры: «Эльбрус», «Байкал»?

– Никто из разработчиков NGFW в эту сторону сейчас не смотрит. По одной простой причине – тайваньская полупроводниковая фабрика TSMC перестала производить российские процессоры. Да, у нас есть проекты отечественных процессоров, но нам негде их делать. Мы даже собственный ASIC можем разработать и выпустить где-нибудь в Китае пару-тройку экземпляров. Но тиражировать это изделие для массового пользования в текущих реалиях невозможно.

– Но ведь и x86-процессоры в России официально недоступны?

– Все так, но выходы есть. В мире массово производятся как процессоры x86, так и сервера на их базе. Этих устройств миллионы и производитель не в состоянии контролировать конечного покупателя. За счет массовости есть уверенность, что в любой момент будет существовать несколько логистических цепочек по поставке таких процессоров.

– И все же почему ваш NGFW на х86 технически способен сравниться с NGFW на ASIC? Американские же компании не просто так пользуются другими процессорами?

– Если сильно упрощать, то мы смогли добиться сопоставимой эффективности от х86, оптимизировав программную часть NGFW. В фильме «Основатель» о создателе «Макдональдс» есть эпизод, когда сотрудникам объясняют, в какой момент и куда они должны повернуться во время приготовления бургера, чтобы работа была быстрой и гладкой. Мы в каком-то смысле превратили x86-процессор в кухню «Макдональдс». Мы не только оптимизировали процесс, но и выкинули из него много лишнего, а также заставили систему выполнять различные задачи параллельно.

– Как будут организованы поставки ваших решений?

– Мы планируем продавать ПАК'и – железо, собранное, конечно, в России, плюс софт. При этом мы оставим возможность клиентам использовать свое железо. Если оно подходит, мы будет устанавливать на него свое ПО.

– То есть что-то будет производиться непосредственно в России?

– На аппаратном уровне наш NGFW будет представлен в двух видах: небольшие коробочки для небольших объемов трафика и сервера с процессорами х86. И то, и другое будет собираться в России.

– Сколько нужно NGFW систем крупной компании?

– Насколько крупной? Обычно – сотни или тысячи. Есть клиент, у которого около 45 тыс. западных NGFW.

– Российские производственные центры и вы, в частности, готовы к таким объемам?

– До этой проблемы мы еще не дожили. Но, я думаю, если все российские разработчики сделают хороший NGFW на уровне ПО, а потом ринутся воплощать их на аппаратном уровне, рынок неминуемо упрется в недостаток железа. Максимальная мощность производства серверов в РФ – 1,5-2 тыс. штук в месяц. «Коробочек» можно делать больше. Около 10-15 тысяч в месяц. Клиент, заказавший 45 тыс. устройств, будет ждать заказ до полугода.

– Когда ожидается релиз вашей NGFW системы?

– Выпуск готового продукта запланирован на ноябрь 2024 года. Но, по сути, мы уже начали показывать клиентам ранние версии решения, и в конце года запустим пилотные проекты для тех компаний, которым сегодня от NGFW не требуется вся функциональность. Среди первых наших заказчиков банки и компании энергетической отрасли.

Коммерческий релиз скорее станет отсечкой, обозначающей превращение нашего NGFW в супермассовый продукт. Первые продажи наша компания ожидает уже в этом году, а в 2024 году, согласно планам, NGFW станет приносить компании существенные деньги. В 2025-м наша система должна занять половину российского рынка NGFW.

Загрузка