Алексей Петухов, InfoWatch - о функционале и планах развития NGFW для защиты промышленных систем ARMA Industrial Firewall
Под NGFW каждый производитель понимает что-то своё, поэтому TAdviser в серии интервью в рамках подготовки гида по российским NGFW уточняет концепции различных производителей. В чем состоит основной функционал, и какой набор дополнительных механизмов защиты превращает классический межсетевой экран в NGFW. В данном интервью на вопросы TAdviser ответил Алексей Петухов, руководитель отдела по развитию бизнеса InfoWatch ARMA.
Петухов
Какое по вашему мнению основное преимущество вашего NGFW для заказчика и почему?
Алексей Петухов: Мы делаем NGFW для защиты промышленных систем, который учитывает отраслевую специфику и сценарии его использования. В пилотах и при дальнейшей эксплуатации заказчики видят глубину разбора промышленных протоколов и удобство работы с нашим решением, а также стабильность работы и все необходимые возможности для решения повседневных задач:
- Удалённое защищённое соединение (ГОСТ-VPN);
- Авторизация подключаемых по сети пользователей (портал авторизации);
- Сегментирование корпоративной и/или промышленной сети;
- Система обнаружения и предотвращения вторжений;
- Глубокий анализ разрешённого трафика;
- Контроль доступа к web-ресурсам;
- DoS-защита;
- Контроль/фильтрация команд для АСУ ТП.
Какие механизмы защиты должны быть реализованы в NGFW?
Алексей Петухов: Формально NGFW не имеет общего утвержденного перечня функций, а скорее понимается как мощный, многофункциональный "комбайн", способный защитить сетевую инфраструктуру, выявить проникновение вредоносных программ, предотвратить различные киберугрозы и атаки.
В основе любого NGFW лежит межсетевой экран, также базовыми компонентами являются система обнаружения и предотвращения вторжений и контроль приложений (L7 фильтрация).Илья Петухов, Directum: Многие компании уперлись в потолок цифровизации. Пробить его может искусственный интеллект 
В InfoWatch ARMA Industrial Firewall, который мы предлагаем для защиты промышленного сегмента, реализованы следующие возможности:
- Межсетевой экран;
- Система обнаружения и предотвращения вторжений;
- Глубокий анализ промышленных протоколов;
- Web-фильтрация;
- Анализ приложений;
- QoS;
- и множество других функций.
Имеющийся функционал InfoWatch ARMA Industrial Firewall позволяет рассматривать его как NGFW для защиты промышленных сетей. Этот продукт отвечает большинству требований к NGFW в области информационной безопасности, отмечен наградой TAdviser как лучшее решение по защите ИТ-систем в промышленности в 2021 году. Если говорить про универсальный российский NGFW, то его разработку и применение затрудняют множество дополнительных требований, вот некоторые из них:
- Сертификация;
- Отраслевые требования;
- Место использования и ожидаемые задачи (например, в ряде случаев критично иметь ГОСТ VPN, хотя это нужно не всем).
При этом в российском нормативном поле есть "Требования по безопасности информации к многофункциональным межсетевым экранам (далее ММЭ) уровня сети», утверждённые приказом ФСТЭК России от 07.03.2023 N 44), которые устанавливают определенные требования к:
- Идентификации и аутентификации пользователей многофункционального межсетевого экрана уровня сети;
- Фильтрации сетевого трафика;
- Обнаружению и блокированию компьютерных атак;
- Обнаружению и блокированию вредоносного программного обеспечения;
- Управлению доступом в многофункциональном межсетевом экране уровня сети;
- Доверенной загрузка многофункционального межсетевого экрана уровня сети;
- Тестированию и контролю целостности многофункционального межсетевого экрана уровня сети;
- Аппаратной платформе многофункционального межсетевого экрана уровня сети;
- Регистрации событий безопасности в многофункциональном межсетевом экране уровня сети;
- Централизованному и удаленному управлению многофункциональным межсетевым экраном уровня сети.
Какие требования предъявляются к аппаратной части и базовому ПО, на котором работает NGFW?
Алексей Петухов: В России для разных классов ММЭ существуют свои требования. Приведу примеры самых основных, которые применяются во всех классах решений.
К аппаратной платформе:
- Российское производство;
- Наличие аппаратного ускорения;
- Ограничение доступа через сетевые интерфейсы к оперативной памяти;
- На аппаратном уровне должна быть реализована пакетная фильтрация на основе сетевых и физических адресов;
К базовому ПО:
- Отсутствие недекларированных возможностей, то есть обеспечение необходимого уровня доверия;
- Выполнение функционала, определенного ФСТЭК к ММЭ;
- Российская ОС.
Отмечу, что значительное внимание также уделяется вопросам администрирования, работоспособности, производительности и устойчивости ММЭ.
Возможна ли реализация NGFW в виде облачных сервисов? Насколько это перспективно?
Алексей Петухов: Применение NGFW в виде облачных сервисов уже практикуется компаниями, которые используют облако как сервис для размещения инфраструктуры и там же приобретают NGFW как сервис.
Если говорить о том, что кто-то из тех, кто строит собственную инфраструктуру, будет использовать NGFW как сервис, то теоретически это возможно, но скорее всего NGFW будут брать по подписке в виде ПАК.
Какая инфраструктура поддержки продуктов должна быть на стороне производителя NGFW?
Алексей Петухов: Должна быть обеспечена поддержка пользователей, чтобы они могли обращаться за консультацией и оперативно получать ответы на свои вопросы. Поддержка также должна помогать находить информацию по документированным возможностям и практикам использования.
Как вы оцениваете российский рынок NGFW? Назовите ключевые тенденции его развития.
Алексей Петухов: Не только российский, но и международный рынок NGFW - это динамично развивающийся вид технологических решений, который постоянно масштабируется.
Ввиду ряда факторов, затрудняющих разработку российских ММЭ, таких как ограничения в области технологий, относящихся к аппаратным платформам, открытым базам знаний и платным компонентам разработки ПО, российский рынок NGFW развивается медленнее, чем западный, но уверен, что, когда проблемы будут решены, мы быстро наверстаем упущенное.
В InfoWatch ARMA мы движемся сразу по всем направлениям:
- Переход на российские аппаратные платформы;
- Увеличение производительности NGFW;
- Расширение функционала;
- Интегрируемость с другими продуктами;
- Сервис и логистика.
Среди общий тенденций рынка я бы выделил несколько основных:
- Работа над увеличением производительности;
- Развитие функционала по мониторингу и отчётности;
- Расширение инструментов детектирования, анализа и фильтрации;
- Применение VPN ГОСТ;
- Развитие центров управления NGFW.
Какие отрасли наиболее перспективны для внедрения NGFW? Как на это влияет законодательство о КИИ?
Алексей Петухов: NGFW в современном мире - это такое же базовое решение как антивирус, который должен быть установлен в любой отрасли.
Какие специалисты нужны для обеспечения работы NGFW на стороне заказчика? Оцените потребность в кадрах для повсеместного внедрения этих продуктов.
Алексей Петухов: NGFW - это компонент сети и средство безопасности, поэтому часто его администрируют сотрудники ИТ и ИБ подразделений.
Сотрудник ИТ должен иметь знания и опыт создания и эксплуатации сетевой инфраструктуры, так что с точки зрения специализации и компетенций здесь все понятно.
А вот со стороны ИБ количество сотрудников и их навыки определяются тем, в каких сценариях применяется NGFW. Это могут быть следующие специалисты:
- Специалист по защите сетей. Он должен формировать актуальные политики безопасности для сети;
- Аналитик угроз, который будет анализировать события, создаваемые системой обнаружения и предотвращения компьютерных атак и формировать критичные инциденты;
- Криминалист, который разбирает выявленные инциденты и инициирует процессы реагирования на них.
Здесь может возникнуть проблема с нехваткой кадров, если мы говорим о потенциальной необходимости применять NGFW везде.
Крупные компании создают собственные центры мониторинга и реагирования на инциденты и тем самым решают эти задачи, но большая часть компаний себе этого позволит не может. Для них существуют сервисные компании, которые предоставляют данную услугу.
Вместе с тем ряд компаний-разработчиков, в том числе и InfoWatch ARMA, понимают сложность с кадровым обеспечением, и при разработке NGFW исходят из сценария минимального привлечения человеческих ресурсов, развивая центр управления NGFW для удобства консолидации, обработки событий и формирование инцидентов, а также взаимодействия с внешними системами, включая ГосСОПКА.
Какие тенденции кибербезопасности определят будущее развитие NGFW в России в течении следующих 3 лет? Насколько они отличаются от общемировых тенденций?
Алексей Петухов: Сейчас перед российским рынком стоит вопрос - какими будут отечественные NGFW. На этот выбор влияют ограничения на использование открытого ПО, аппаратных платформ и компонентов, а также экспертиза и наличие необходимого количества квалифицированных специалистов.
Возможно, создаваемые сейчас новые подходы и технологии, например, анализ и защита данных с предотвращением их повреждения и утечек или анализ поведения пользователей, станут основными инструментами защиты, а NGFW будет лишь инструментом блокирования и дополнительного обнаружения компьютерных атак. Например, ГК InfoWatch в начале 2024 года представила собственный Центр расследований, который демонстрирует возможность такого будущего для NGFW.
А, возможно, стабильность, производительность и функциональность NGFW будет настолько высокой, что на базе NGFW будут создавать умную и защищённую сеть, внутри которой невозможно будет провести кибератаку.
В любом случае, на будущее NGFW повлияют сразу три фактора:
- Технологии, которые будут доступны или созданы;
- Люди и компании, которые применят эти новые технологии;
- Нормативно-правовая база и государственная политика, которые сделают возможным их применение.
