В сфере кибербезопасности существуют как трендовые решения, так и базовые технологии. К последним можно смело отнести межсетевые экраны нового поколения (NGFW).
Разбираемся, что такое NGFW, зачем он нужен и готовы ли российские вендоры конкурировать с западными решениями?
Что такое межсетевые экраны нового поколения?
NGFW похожи на пропускные пункты с многоуровневой проверкой. Это первая линия защиты, задача которой – сузить «горизонт атаки» и ограничить пространство для действий злоумышленника.
Ключевое отличие «нового поколения» от предшественников заключается в возможностях анализа. Файерволы предыдущего поколения позволяли анализировать трафик только на уровне L3, проверяя IP-адреса и номера портов. NGFW позволяют анализировать трафик на уровне L7 и соответственно имеют гораздо более мощные средства для работы с сетью.
Зачем это бизнесу?
Многие думают, что NGFW ставят исключительно для выполнения регуляторных требований. Но практика показывает, что значительную долю заказчиков составляют коммерческие компании, для которых сертификация не является обязательной. Они внедряют NGFW для решения собственных задач в области защиты информации, в том числе в рамках импортозамещения.
Набор средств защиты в значительной степени зависит от специфики деятельности компании, масштаба ее инфраструктуры и требований регуляторов. Для организаций, работающих с персональными данными и попадающих под действие законодательства (например, 152-ФЗ), уже определен необходимый минимум решений. Для других подход должен быть индивидуальным и основываться на анализе рисков.
Однако важно понимать: NGFW – это лишь один из кирпичиков в стене. Выделяют топ-3 элемента, формирующих основу защиты:
1. Многофакторная аутентификация (MFA) – закрывает 80% угроз.
2. Антивирус с функциями EDR на всех рабочих станциях.
3. Сам NGFW.
Конкуренция с мировыми гигантами
Российский рынок информационной безопасности активно развивается, вызывая закономерный интерес: смогут ли отечественные разработчики конкурировать с крупными международными игроками – Check Point, Palo Alto Networks и FortiGate?
Некоторые компании уже заменили западное решение на отечественные продукты и тем самым улучшили ИБ-защиту, потому что у них были устаревшие зарубежные решения. Российские межсетевые экраны нового поколения эффективно справляются с основными задачами, хотя и уступают зарубежным конкурентам в некоторых дополнительных функциях. Например, компания Ideco уже реализовала примерно 80% функций, характерных для лидеров отрасли.
В чем смысл NGFW?
Эффективная стратегия защиты должна включать многоуровневую защиту. Чем сложнее, дороже и дольше процесс взлома, тем меньше заинтересованность киберпреступников продолжать атаку.
Использование решений вроде NGFW снижает привлекательность вашей сети для хакеров, поскольку они понимают сложность прямого проникновения через такую защиту. Вместо этого злоумышленники выбирают обходные пути. Поэтому важно обеспечить защиту по всем направлениям, включая NGFW, так как оно является обязательным компонентом обороны.
Однако наличие продвинутых технологий защиты – это всего лишь малая часть общей картины. Существенным элементом являются люди – аналитики безопасности, которые могут интерпретировать данные и реагировать на инциденты.
Миграция на отечественные решения
Для некоторых компаний импортозамещение связано с необходимостью соответствия регуляторным требованиям, для других – реальной необходимостью в обновлении системы информационной безопасности.
Сегодня отечественные решения способны закрыть большинство базовых потребностей бизнеса. Хотя некоторые уникальные требования могут временно не поддерживаться российскими вендорами. По оценкам экспертов, около 80% рынка сегодня могут спокойно перейти на российские решения, закрыв ими свои базовые потребности.
Типичный сценарий импортозамещения выглядит следующим образом: долгое время работает проверенный зарубежный продукт, например, Check Point, Cisco или FortiGate, и никто не задумывается о замене. А когда выясняется, что нужно заменить на что-то другое, это как снег на голову. В компаниях, например, не знают, что настроено на Check Point и почему, откуда взяты IP-адреса, какую задачу оно решает, почему у Иванова есть доступ, а у Сидорова нет, и так далее. Эти компетенции бывают иногда потеряны. Поэтому требование «сделайте, пожалуйста, вот ровно то же самое, чтобы продолжило работать» не всегда работает.
Процесс успешной миграции предполагает не копирование конфигурации, а восстановление исходного технического задания. Необходимо заново ответить на вопросы: зачем внедрялось старое оборудование, какие задачи решались, как убедиться, что новое решение соответствует нуждам компании? Этот подход значительно упрощает замещение.
К процессу внедрения рекомендуется привлекать опытных консультантов, особенно интеграторов, знающих особенности процесса перехода на российскую продукцию. Самостоятельные попытки тестирования зачастую заканчиваются неудачей, так как не хватает опыта и знания тонкостей продукта.
Проконсультироваться по вопросам замены иностранных межсетевых экранов на российские аналоги можно у экспертов ICL Services.