Кодовый замок: как работают импортозамещенные файрволы

Российские компании начали внедрять перспективные отечественные инструменты для защиты внешнего контура от кибератак, сообщают эксперты и участники рынка. Что такое NGFW, как меняется подход организаций к информационной защите в России и какие угрозы наиболее актуальны для отечественной инфраструктуры — в материале "Известий".

Потенциальная опасность

Российские предприятия активно используют отечественные решения в области информационной безопасности. В частности, за прошлый год продуктом компании "Код безопасности" "Континент 4" воспользовались 2200 организаций. При этом самих единиц "железа" поставщик отгрузил десятки тысяч, говорится в пресс-релизе компании. В целом же оборот фирмы за 2022 год вырос на 40%.

Использование зарубежных файрволов стало существенной проблемой после введения в отношении России санкций — одним из последствий стал уход с рынка иностранных вендоров в сфере информационной безопасности. Одни сервисы прекратили работать полностью, другие перестали обновляться, третьи отключили техподдержку.

Коллапса удалось избежать благодаря оперативно принятым мерам. Был введен запрет на использование зарубежных решений в критической информационной инфраструктуре (КИИ). А еще до начала геополитического кризиса регулятор запретил хранение персональных данных за границей.

Отечественные IT-компании вплотную занялись разработками по защите информационной инфраструктуры еще несколько лет назад, включая создание межсетевых экранов (файрволов) нового поколения (NGFW).

Файрвол сегодня

- Файрвол делит структуру на сегменты и по разным правилам и критериям ограничивает доступ из одного такого сегмента в другой. Межсетевые экраны прошлого поколения определяли права и доступ пользователя по IP-адресу. NGFW уже вышли на уровень, когда не важно, какой у тебя IP-адрес, а важно, какой ты пользователь, твоя идентификация плюс использование определенного приложения, — объяснил "Известиям" базовые отличия систем защиты внешнего контура коммерческий директор компании "Код безопасности" Федор Дбар.

У NGFW расширен функционал, он может содержать в себе, например, функции антивируса, прокси и прочие сервисы.

Ранее в апреле в рамках презентации седьмой версии собственной операционной системы компания UserGate рассказала о межсетевом экране следующего поколения, входящем в экосистему.

Еще одно альтернативное решение, Solar NGFW, было представлено в апреле. Производителем заявлена комплексная защита сети крупного бизнеса с централизованным выходом в интернет.

- Минимально достаточный набор средств защиты информации, который необходим сегодня каждой компании: межсетевой экран (желательно использовать NGFW — для закрытия большего количества сетевых угроз), антивирусное ПО, средство защиты почты, при наличии веб-приложений — межсетевой экран уровня приложений (WAF), — сообщил "Известиям" руководитель группы экспертного пресейла Solar JSOC "РТК-Солар" Артем Кильдюшев.

Стоит отметить, что большое число российских компаний продолжает пользоваться продвинутыми файрволами иностранных разработчиков. По оценкам управляющего директора и директора по продуктам Positive Technologies Дениса Кораблева, речь идет почти о трети организаций в стране.

"По нашему опросу, около 30% компаний открыто признают, что продолжают пользоваться западными системами и обновлять их через страны СНГ. То есть российская компания через промежуточное юрлицо в Казахстане или Армении скачивает там обновление баз данных Palo Alto или Fortinet, а потом передает его в РФ, где файл загружается в работающую автономно систему", — рассказал он в интервью СМИ.

С кем и с чем боремся

Увеличение числа хакерских атак с 2022 года затронуло компании и организации практически во всех сферах хозяйственной деятельности.

"С февраля этого года началась третья волна атак. Если раньше атаки были будто бы безобидными, то сейчас атаки уже пошли направленные: а) на критическую информационную инфраструктуру и б) на ее уничтожение, на ее стирание. Уже много примеров, когда действительно целевая атака: врываются хакеры и не просто что-то скачивают, а стирают, уничтожают инфраструктуру", — сообщил гендиректор "РТК-Солар" Игорь Ляпунов во время выступления на ПМЭФ-2023.

Ранее "Известия" писали о том, что тренд на максимальное причинение вреда российским компаниям и пользователям задают не только профессиональные киберворы, но и хактивисты-русофобы. По подсчетам "РТК-Солар", в сеть утекли 300 млн записей с персональными данными, а в DDoS-атаках на объекты КИИ было задействовано практически 100% хакерских ресурсов.

По итогам I квартала 2023 года, самыми актуальными угрозами для отечественных компаний стали заражения вредоносным ПО, сообщил "Известиям" эксперт Артем Кильдюшев.

- Этот вектор проникновения использовался в 46% высококритичных инцидентов, выявленных центром противодействия кибератакам компании, — говорит эксперт.

Также актуальными проблемами остаются атаки на веб-приложения (24% высококритичных инцидентов за тот же отчетный период) и DDoS — ключевой метод хактивистов.

Человеческий фактор

По мнению Кильдюшева, помимо средств защиты важны базовые процессы информационной безопасности: парольная политика (стойкие регулярно обновляемые пароли), контроль периметра на предмет открытых портов и наличия уязвимых активов, мониторинг инцидентов, повышение уровня киберграмотности сотрудников и регулярная проверка их знаний с помощью тестовых фишинговых рассылок (Security Awareness).

- Наконец, важно отслеживать актуальные угрозы и уязвимости, в том числе мониторить даркнет и открытые источники на предмет утечек чувствительной информации (Digital Risk Protection). Наличие таких данных в Сети может помочь злоумышленникам в дальнейшей компрометации компании либо свидетельствует о том, что компания уже скомпрометирована и необходимо применять меры по реагированию на инцидент, — говорит собеседник "Известий".

Развитие инструментов ИБ, очевидно, должно двигаться в сторону их большей автономности и независимости от человеческих ресурсов и компетенций, считает киберэксперт.

- Также важно обеспечить возможность управления из единого окна. При этом необходимо предусмотреть максимально широкий охват защищаемых активов и возможность предотвращать проникновение злоумышленников на самых ранних этапах атаки и по всевозможным векторам атак.

Смотря как считать

Эксперт в области кибербезопасности Федор Дбар не склонен преувеличивать угрозу роста атак на российскую IT-инфраструктуру.

—-Да, рост есть, это проблема. Но само число атак — это почва для манипуляций. Смотря как их считать. Одни специалисты записывают в атаки, к примеру, каждое сканирование портов. Такое сканирование, как правило, лишь предвестник атаки — с помощью спецпрограмм анализируются данные внутри системы (какая операционная система стоит, какие IP-адреса, браузеры используются и т.д.). Но если и эти действия включать, общая цифра атак увеличивается кратно. Результатом атаки принято считать демонстрацию ее результатов — слитые базы, документы… Определенная статистика ведется, но, по личным наблюдениям, критично больше таких данных не стало. На самом деле мы можем лишь догадываться об истинном числе атак.

Он отмечает и позитивный эффект от противостояний: в условиях обострения люди становятся более бдительными. Дбар и его коллеги в целом оценивают ситуацию в сфере ИБ компаний как "стабильно хорошую".

- Критических событий для страны не произошло, и если всё будет протекать в том же русле, каких-либо ухудшений не случится. Безусловно, истории со сливом данных периодически будут всплывать. Но уже появились открытые базы слитых паролей и даже штатные сервисы в гаджетах, где человек может проверить, не скомпрометированы ли его пароли.

Дружеские поставки

Перспективы экспорта отечественных технологий кибербезопасности в дружественные страны вполне ясные. Одна из причин — ошибка западных конкурентов, допустивших смешивание экономико-политического противостояния и бизнес. Не участвующие в конфликте страны понимают, что потенциально могут оказаться в нежелательном списке и "рубильник будет опущен", считает гендиректор "Кода безопасности" Андрей Голов.

Пришло осознание термина "цифровая колонизация", — сказал он во время пресс-конференции. — ИТ-инфраструктура потихоньку вкралась и забрала наши данные, например, в "облака". Мы же редко задумываемся, что наша жизнь лежит "там", а не "здесь". О вас, обо мне, о ком угодно специальные товарищи могут рассказать куда больше, чем вы о себе знаете, потому что уже забыли, где были, с кем разговаривали, что покупали — а далее остается навязать необходимое поведение через соцсети, магазины и так далее. Так произошла цифровая колонизация. Поэтому мы считаем, что цифровая независимость — это как раз то, что поможет удержаться и быть каждой нации независимой физически. И когда мы говорим об экспорте, то говорим об уникальном шансе: если мы объединим государство и бизнес, то можно попробовать решить этот вопрос. Да, бизнес будет вторичен — хотя он возьмет свои дивиденды, — но первичным будет создание альянсов. Тогда у всех нас будет будущее.

В качестве примера такого альянса он привел сотрудничество своей компании с "Лабораторией Касперского", антивирус которой использован в продукте.