Преимущества и недостатки российских ИБ-продуктов.
Истоки недоверия
В 2022 году импортозамещение приобрело новую актуальность, а на государственном уровне все чаще стали употреблять понятие «импортонезависимость». При этом нельзя сказать, что к началу 2022 г. российские продукты на рынке ИБ на голову превосходили иностранные. После февраля 2022 года иного выбора практически не осталось. Многие популярные иностранные решения стали недоступны для потребителя. В результате новых наложенных санкций многие предприятия были вынуждены искать замену имеющимся решениям на отечественные аналоги. Так почему же, несмотря на то, что о начале импортозамещения было объявлено в далёком 2014 году, многие организации (включая госпредприятия) продолжали пользоваться зарубежными продуктами до последнего? Стоит признать, что одной из главных причин стало распространенное мнение о том, что отечественные решения уступают иностранным. Мнение, которое появилось оно не на пустом месте.
Истоки подобного недоверия лежат во временах начала новой России. После распада СССР финансовые потоки в инновации истощились, после чего многие НИИ и производственные предприятия пришли в упадок. В результате этого отставание от западных решений начало увеличиваться. Многие привыкли к тому, что иностранное — значит лучшее.
Несмотря на это, ситуация постепенно менялась. Российские разработчики постепенно наращивали свои компетенции, государство стимулировало переход на внутренние решения за счёт ужесточения мер по сертификации. И, конечно же, 2022 год внёс свою весомую лепту в этот вопрос.
Реальная ситуация
Далеко не все российские решения являются догоняющими. Стоит отметить, что отечественные DLP-системы уже давно превзошли зарубежные. Здесь свою роль во многом сыграло законодательство. Иностранные решения сильно ограничены в вопросах слежки за пользователем. В России же таких жёстких ограничений нет, благодаря чему российские компании имели больше возможностей для развития таких систем. Это позволило вывести отечественные решения на гораздо более высокий уровень. Уже к 2016 году на рынке уверенно доминировали решения российских производителей, занимая более 90%. Сейчас даже не стоит вопроса о том, какое DLP выбирать.
Со стороны SIEM-систем всё также обстоит неплохо. Несмотря на то, что некоторые решение в начале своего пути были вариантом ELK Stack (многие до сих пор используют Elasticsearch в основе), к текущему моменту виден серьёзный прогресс, как в части экспертизы, так и со стороны используемых технологий (имеются решения с глубоко переработанным ClickHouse). Рост популярности российских SIEM также связан с тем, что в них активнее внедряют поддержку отечественных решений — антивирусы, DLP, межсетевые экраны, средства защиты от несанкционированного доступа и т. д. В ряде SIEM наметилась тенденция расширения функционала в сторону автоматического реагирования. О росте доверия говорят и цифры. По заявлениям разработчиков, имеется существенное увеличение дохода от реализации SIEM. Выход на рынок IPO и последующий рост торгуемых на бирже акций также говорит о наличии высокого уровня доверия.
Рынок антивирусов в России уверенно занимают российские разработчики. С одной стороны, эти решения имеют большой уровень зрелости и в некоторых исследованиях занимают высокое положение даже на международном рынке . С другой, требования по сертификации накладывали некоторые ограничение на распространение зарубежных решений.
Одним из неоднозначных мест для российских производителей являются межсетевые экраны, включая NGFW. С введением санкций, многие гордо добавили к своим решениям эту приставку из четырех букв, хотя до недавнего времени она отсутствовала. Труднее всего импортозамещению поддаются высокопроизводительные решения для защиты ЦОД. Найти что-то с производительностью выше 80 ГБ/с крайне сложно (и это в режиме обычного МЭ). В результате клиентам приходится собирать сложные схемы с балансировщиками для замещения 2-3 устройств. Например, FortiGate 4400F, который в режиме NGFW выдаёт более 80 ГБ/с, а в режиме простого МЭ производительность стремится к терабиту. А вот в сегменте до 80 ГБ/с российские решения уверенно справляются со своими задачами. Тут мы имеем большой выбор решений на любой вкус в различных исполнениях. Подробней о том, как правильно выбрать NGFW-решение можно прочитать в нашей статье.
Всё меняется, когда приходят они...
С февраля 2022 г. многие иностранные вендора стали уходить с рынка РФ. Кто-то уходил плавно, закрывая свои обязательства перед заказчиками и партнерами, кто-то резко. Так компания Meraki без предупреждения заблокировала российских пользователей, лишив их возможности пользоваться уже оплаченными услугами. Какие-то компании продолжают свою активность на рынке с некоторыми ограничениями, как например CheckPoint (имеются сложности в работе с компаниями из санкционных списков). Подобные действия сильно подорвали доверие к иностранным решениям. Ушли из России такие гиганты как HP (Arcsight), IBM (Qradar), FortiNet (Fortigate FW), Norton и ESET (антивирусы), и ряд других. Некоторые ушедшие компании уверенно лидировали в своих областях, и вопрос об их замене стал существенной проблемой. Например, среди российских МЭ сложно найти решение способное обработать трафик более 200ГБ/с в рамках одного устройства.
Также масла в огонь подлили и рассылки от НКЦКИ и надзорные органы, которые рекомендовали ограничить взаимодействие с иностранными решениями, особенно облачными (например, бюллетень ALRT-20220305.1 от 5 марта 2022 г.).
Не в пользу иностранных решений выступают и регуляторы, ужесточающие процедуры сертификации и вводящие различные ограничения по использованию зарубежных средств защиты информации. Российские регуляторы придерживаются мнения, что важно обеспечить безопасность национальных интересов и сохранить контроль над информацией, которая передается и обрабатывается на территории России. Для этого необходимо использовать средства защиты информации, которые соответствуют высоким требованиям безопасности и не создают рисков для национальной безопасности.
Степень доверия к российским решениям растет не только из-за санкционных ограничений, но и из-за большей отзывчивости производителей и готовности вносить доработки под изменяющиеся потребности клиента. Так, например, среди производителей МЭ есть те, кто разработал механизм перехода с иностранных решений — конвертер правил фильтрации трафика. В то же самое время иностранные компании вносили изменения гораздо медленнее (или вообще могли их игнорировать), т. к. для них наш рынок не является основным, и тратить большие усилия для адаптации на него просто нецелесообразно. В целом, российские производители постепенно завоёвывают доверие среди аудитории, демонстрируя готовность адаптироваться под нужды клиента.
Заключение
В настоящее время, несмотря на все страхи и недоверие, отечественные ИБ-решения получают хорошую репутацию среди потребителя и экспертов. Это связано с высоким уровнем технической экспертизы и контроля качества продукции, а также с усилиями регуляторов по ужесточению процедур сертификации и вводу ограничений на использование зарубежных средств защиты. Конечно, нельзя не сказать и о факторе санкционных ограничений извне, без которого мы могли бы и не увидеть столь стремительного развития. Разумеется, еще остается много векторов для развития и адаптации, ведь киберугрозы также не стоят на месте. Однако в целом, отечественные ИБ-решения уже сегодня являются надежным и качественным выбором для киберзащиты любой современной организации.
Автор: Михайлов Владислав, Начальник отдела внедрения “Астрал. Безопасность”.
