NGFW: останется только один

Рынок информационной безопасности в России продолжает стремительно развиваться. Постоянный рост количества сетевых атак и разнообразие угроз стимулируют спрос как на классические ИБ-решения, так и на продвинутые продукты, призванные решить проблемы безопасности постепенно усложняющихся ИТ-инфраструктур. Жесткие требования со стороны регуляторных структур вынуждают производителей и разработчиков, как минимум, дорабатывать свои продукты до соответствия новым правилам. Всё это справедливо не только для рынка ИБ в целом, но и для сегмента межсетевых экранов нового поколения (Next-Generation Firewall, NGFW), в частности. Динамика развития этого узкоспециализированного направления лишь подтверждает общие тенденции.

После того, как несколько лет назад российский рынок покинули зарубежные вендоры, лидирующие на мировом рынке NGFW-решений, заказчики были вынуждены пересмотреть свои подходы к организации информационной безопасности. Кто-то решил продолжить работу с зарубежными продуктами, но уже в условиях отсутствия официальной технической поддержки, а иногда и без возможности продления лицензии легальными способами. Другие запустили поиск альтернативных решений на российском рынке и в тех странах, которые не вводили против России санкции. Спустя годы, на фоне сохраняющейся неопределенности в международных отношениях и возросших требований к компаниям, предоставляющим услуги в области сетевой безопасности, наиболее оптимальным выглядит выбор именно российских решений, максимально адаптированных под российские реалии и законодательство. Особенно с учетом того, что отечественные вендоры серьезно восприняли вызовы реальности и начали интенсивно дорабатывать и развивать свое ПО.

Считается, что до определенного момента в России не существовало межсетевых экранов класса NGFW, основная задача которых заключается в глубоком анализе сетевых данных и фильтрации трафика на уровне приложений, пользователей и групп. Продукция компаний, которые заявляли о наличии в их портфолио решений этого класса, не дотягивала до зарубежных аналогов от мэтров рынка вроде Palo Alto, Fortinet, Cisco и других. Однако это утверждение правдиво лишь отчасти: российские решения в области продвинутых межсетевых экранов (файрволов, брандмауэров) были и раньше, однако в условиях доминирования на рынке американских брендов развивались более медленными темпами. В последние годы российские производители были вынуждены нарастить инвестиции в это направление и продолжают делать это и сейчас. Массовый переход с зарубежного ПО на отечественное продолжается, но клиенты, выбирающие между альтернативные решениями, предъявляют достаточно высокие требования к российской продукции. В результате этих процессов качество российских NGFW растет, а конкуренция только усиливается.

NGFW: эра зрелости и консолидации

От программных решений класса NGFW зависит полноценное функционирование компаний любых размеров. Мы пообщались с участниками рынка и обсудили основные тенденции его развития, особенности и проблемы, а также попытались дать осторожный прогноз на ближайшие годы.

Эталон

Чтобы решение можно было причислить к классу NGFW, оно должно соответствовать ряду требований в том, что касается наличия определенных функций и механизмов их реализации. Очевидно, что межсетевые экраны следующего поколения (NGFW), а именно так расшифровывается эта аббревиатура с английского языка, должны существенно превосходить по своим возможностям классические файрволы (FW). Основное отличие NGFW от решений предыдущего поколения в том, что современные решения анализируют трафик на уровне приложений и пользователей с помощью DPI, тогда как традиционные межсетевые экраны делают это на уровне IP, портов и протоколов. Правильный NGFW должен уметь всё перечисленное и многое другое. По крайней мере, именно к такому раскладу привыкли российские заказчики до ухода крупных иностранных производителей. На тот момент немногие российские решения соответствовали международному уровню, поэтому заказчикам, которые решились на миграцию или старт новых проектов в промежуточный период, пришлось немного снизить уровень требований к доступным на рынке решениям. Также определенные сложности возникают в связи с тем, что NGFW – это системы на стыке ИТ и ИБ, поэтому разные специалисты по-разному видят этот инструмент. Так что крайне важно разобраться не только в том, чего ждут пользователи от NGFW, но и что в реальности могут предложить производители.

Павел КОРОСТЕЛЕВ («Код Безопасности»): «В NGFW большое количество функций, но есть стандартный набор, которого ожидают от этого класса устройств. В первую очередь это фильтрация трафика (фаервол), обнаружение и идентификация приложений в сетевом трафике, защита от атак, то есть вскрытие SSL (проверка зашифрованного трафика), контроль доступа пользователей в интернет, защита каналов связи, защищенный удаленный доступ и антивирусная защита трафика».

Алексей ДАНИЛОВ («ИнфоТеКС»): «Автор термина – агентство Gartner, определяет NGFW как сетевое устройство, объединяющее в себе следующие функции безопасности: 1) межсетевой экран L3/L4 еще его называют SPI (stateful packet inspection), то есть межсетевой экран с инспекцией состояния сетевых сессий; 2) межсетевой экран уровня приложений или DPI (deep packet inspection); 3) система выявления и предотвращения атак (IPS); 4) модули, использующие дополнительные сведения об угрозах, полученные из дополнительных источников. К ним можно отнести такие сведения как DNS-имена, URL-ссылки и т.д.».

Руководитель продуктового направления компании «ИнфоТеКС» Алексей ДАНИЛОВ делает акцент на определении NGFW, которое изложено в требованиях ФСТЭК России к многофункциональным межсетевым экранам уровня сети. Это детализированный документ, в котором многофункциональный межсетевой экран уровня сети представлен как продукт со всеми функциями, описанными у Gartner, плюс маршрутизатор, средство аутентификации пользователей, потоковый антивирус, средство контентного и морфологического анализа. При этом в требованиях ФСТЭК России есть классификация NGFW, согласно которой функциональные возможности NGFW возрастают с ростом класса, подчеркивает г-н Данилов.

Александр ДЖАГАНЯН («Инфосистемы Джет»): «Все функции перечислить довольно затруднительно, но можно, как минимум, выделить функциональные блоки, которые, на наш взгляд, должны быть у полнофункционального NGFW».

Руководитель направления сетевой безопасности «Инфосистемы Джет» Александр ДЖАГАНЯН полагает, что решение этого класса должно поддерживать следующие функции: 1) развитые сетевые функции для полноценного встраивания в любую сетевую инфраструктуру; 2) возможности обеспечения отказоустойчивости и масштабирования; 3) классическое межсетевое экранирование; 4) система предотвращения вторжений; 5) контроль на уровне приложений L7; 6) SSL-инспекция; 7) веб-фильтрация; 8) контентная фильтрация; 9) потоковый антивирус; 10) обнаружение и блокирование bot-активностей; 11) VPN (Site-to-Site и Remote Access).

Стас РУМЯНЦЕВ (InfoWatch): «Под капотом у NGFW должна быть регулярно обновляемая система обнаружения вторжений, возможность потоковой проверки трафика встроенным антивирусом, возможность проверки почтового трафика с актуальными базами угроз, возможность управления аутентификацией и авторизацией пользователей».

Старший менеджер по продукту InfoWatch ARMA Стас РУМЯНЦЕВ считает, что когда мы говорим про требования или свойства продукта, в первую очередь стоит отталкиваться от специфики бизнеса и типа объекта, на котором необходимо обеспечить кибербезопасность. Именно с учетом потребностей бизнеса можно сделать выводы о том, насколько то или иное решение соответствует ожиданиям и насколько эффективно позволяет решать бизнес-задачи ИБ- и ИТ-подразделений заказчика. По его мнению, помимо базовой функциональности файрвола и возможности маршрутизации трафика NGFW обеспечивает VPN, глубокую инспекцию трафика с возможностью распознавания приложений, выполняет анализ зашифрованного SSL/TLS-трафика и осуществляет фильтрацию контента. Поэтому от NGFW требуется высокая отказоустойчивость, регулярное обновление ПО, стабильная производительность, соответствующая сетевой инфраструктуре бизнес-заказчика, заключает он.

Евгений НОВИКОВ (Trust Technologies): «Полноценный NGFW-продукт должен не только обладать классическим функционалом брандмауэра, включающим фильтрацию пакетов (Packet Filtering), сетевой транслятор адресов (NAT), поддержку VPN, но и обеспечивать контроль приложений (возможность идентификации и контроля на уровне протокола), защиту от атак в режиме реального времени, фильтрацию веб-трафика (включая управление трафиком QoS (Quality of Service) для обеспечения приоритетности критически важных приложений), инспекцию шифрованного трафика и интеграцию с другими системами безопасности».

Динамика

Динамика развития рынка NGFW впечатляет. Количество конкурирующих друг с другом продуктов уже превышает несколько десятков (по разным оценкам, достигает 30-40 позиций), причем немалая их часть появилась на рынке в течение 2024 года. Количество реальных игроков на рынке чуть меньше, чем компаний, так как у многих в портфолио представлено по несколько решений этого класса. В то же время, нужно держать в уме тот факт, что в реальности на рынке доминирует 3-5 вендоров. Доли остальных, несмотря на фактическое присутствие, невысокие. В денежном эквиваленте рынок NGFW оценивается в очень широком диапазоне в связи со сложностью сбора данных: от 20 до 50 млрд рублей. Доля российских решений также варьируется в зависимости от источника информации и составляет от 50 до 80%.

Павел КОРОСТЕЛЕВ («Код Безопасности»): «За 2024 год, по нашим оценкам, вендоры NGFW заработали порядка 25 млрд рублей, то есть рынок вырос примерно на 7 млрд. Рост по сравнению с предыдущими годами составил уже не 80%, а 40% – темпы замедляются и будут замедляться дальше, поэтому мы считаем, что бум NGFW прошел. Хотя этот класс устройств по-прежнему будет востребован на рынке».

Руководитель отдела продвижения продуктов компании «Код Безопасности» Павел КОРОСТЕЛЕВ считает, что можно выделить два основных эшелона игроков рынка: тех, кто начал разрабатывать NGFW до 2022 года, и тех, кто приступил к этому в течение 2022-го. Кроме того, характерно разделение рынка на окологосударственную и коммерческую части. Для первой характерна конвергенция рынка криптошлюзов с поддержкой отечественной криптографии и NGFW, то есть эти два класса решений постепенно начинают объединяться, а вот для коммерческой части это не так важно. Получается, что рынок достаточно сильно сегментирован, что накладывает определенные особенности на развитие продуктов и на самих вендоров, заключает г-н Коростелев.

Руководитель направления сетевой безопасности «Инфосистемы Джет» Александр ДЖАГАНЯН считает, что динамика развития в целом неплохая, уже появились продукты разной стадии зрелости и некоторые перспективные прототипы. При этом если судить объективно, пока прошло мало времени для создания полнофункциональных продуктов с нуля. Как говорит г-н Джаганян, не менее активная стадия развития выпускаемых решений еще впереди — с наращиванием инсталляционной базы в продуктивных средах количество обратной связи и пожеланий к доработкам нового функционала и/или улучшения и развития уже имеющегося будет только расти. Он надеется, что это послужит хорошим импульсом для производителей и многим поможет выйти на качественно новый уровень.

Старший менеджер по продукту InfoWatch ARMA Стас РУМЯНЦЕВ подчеркивает, что инвестиции российских ИТ-компаний в разработку NGFW оказывают позитивное влияние на развитие продуктовой линейки отечественных решений. Наблюдается рост количества отечественных решений, которые претендуют на долю рынка и бюджеты заказчиков, нуждающихся в обеспечении кибербезопасности. При этом, InfoWatch как компания, вышедшая на рынок задолго до появления тренда на отечественные NGFW, продолжает усиливать свои позиции в этом сегменте.

Евгений НОВИКОВ (Trust Technologies): «Основные тенденции рынка включают в себя рост количества отечественных вендоров, готовых предложить NGFW, интеграцию систем NGFW со смежными системами безопасности, например, с песочницами (sandbox), а также использование ИИ для выявления аномалий и повышения эффективности защиты».

Генеральный директор Trust Technologies Евгений НОВИКОВ подтверждает, что за последние два года рынок демонстрирует значительный рост и развитие. Прежде всего, это связано с необходимостью в кратчайшие сроки предложить заказчикам достойную замену зарубежных решений – продукт, способный если не быть лучше, то, по крайней мере, соответствовать мировым стандартам.

(Окончание следует)