Журнал "Information Security/ Информационная безопасность" #6, 2023

Под ММЭ часто понимают универ- сальную "таблетку", которая сможет защитить и ЦОД банка, и магазин, и электросетевую подстанцию. Чаще всего такое видение основывается на представлении, что компьютерные атаки везде одни и те же, да и защищаемая инфраструктура тоже везде идентична. Более того, продукты международных лидеров, производящих ММЭ, подтвер- ждают, что универсальные решения дей- ствительно возможны. Почему же в России нельзя сделать так же уже сейчас? Первое препятствие – это имеющиеся особенности разработки. l Существуют объективные ограничения в перечне аппаратных платформ, кото- рые можно привезти и использовать в России. l Есть регуляторные требования к доле используемой в решении российской компонентной базы, что сужает количе- ство возможных разработок. Например, в России нет производителей аппарат- ных платформ с ускорителями, хотя тре- бования по использованию таких плат- форм есть. l Ограниченно доступны международ- ные библиотеки для разработки ПО. Добавлю, что в процессе своего раз- вития международные лидеры имели возможность и приобретали достаточно много профильных компаний для полу- чения недостающего опыта и технологий. В России достаточного выбора в этом плане нет, а купить зарубежную компа- нию – это задача со звездочкой. Второй барьер – недостаточная прак- тика применения российских межсете- вых экранов для задач защиты от ком- пьютерных атак. Как следствие – отсут- ствие наработанных сценариев целе- вого конфигурирования ММЭ для пред- отвращения атак и интерактивного взаимодействия с ним при расследо- вании и реагировании на инциденты. Важно отметить, что инструментарий автоматизации работы с инцидентами – это зачастую комплекс сложных задач, в ряде случаев требующих системной переработки архитектуры ПО или его компонентов. Можно привести еще множество фак- торов, затрудняющих разработку рос- сийских ММЭ, сравнимых по характери- стикам с лучшими западными образца- ми, но попробуем сфокусироваться толь- ко на вышеописанных барьерах и перей- дем к поиску возможностей для их пре- одоления. Возможные пути решения Вопреки популярному мнению об уни- версальности ММЭ, для получения каче- ственных решений "уже сейчас" необхо- димо формировать приоритетные сце- нарии использования. Дело в том, что невозможно параллельно разрабатывать функционал, подходящий и для банка, и для промышленного предприятия. В ММЭ для банка очень важно иметь продвинутый функционал по работе с интернет-трафиком, например катего- ризацию веб-ресурсов и большой список данных по категориям. В промышленном же ММЭ достаточно иметь возможность указать белый список сайтов, к которым разрешен доступ. Соответственно, не потребуется формировать, поддерживать в актуальном состоянии базы данных сайтов, а также разрабатывать функцио- нал обновления этих баз и фильтрации. Высвободившиеся ресурсы пойдут на разработку более глубокой фильтрации промышленных протоколов, которые опять же в ММЭ для банка не нужны. Например, InfoWatch ARMA Industrial Firewall начали создавать почти пять лет назад именно для защиты промышлен- ного сегмента. При этом была наработа- на большая экспертиза в области защиты трафика, содержащего преобладающую долю промышленных протоколов. ARMA отмечена наградой TAdviser как лучшее решение по защите ИТ-систем в про- мышленности в 2021 г. Все это было до начала 2022 г. и глобальных изменений в российском ИБ-ландшафте. ARMA Industrial Firewall отвечает боль- шинству требований, относящихся к ММЭ в области информационной без- опасности: есть система обнаружения и предотвращения вторжений, есть интеграция с песочницами для выявле- ния сложных атак и зловредов, есть расширенная URL-фильтрация, Applica- tion Control и т.д. Более того, ARMA уже несколько лет используется для защиты в компании InfoWacth, но даже с учетом этих факторов универсальным ММЭ, подходящим и для банков, он станет лишь в обозримом будущем. Об аппаратных платформах Согласно требованиям, ММЭ должны иметь аппаратное ускорение. Хотя для тех задач, что есть в промышленности, во многих случаях вполне хватит и скорости в пределах 100 Мбит/с, что реализуется и без дополнительного ускорения. Более того, такая производительность достаточна не только в промышленности, но и для большинства офисных сетей: множество компаний имеют удаленные офисы, в кото- рых работает несколько человек, и даже малопроизводительный ММЭ легко спра- вится с обработкой такого трафика. Вместе с тем желаемая производи- тельность ММЭ сильно влияет на требо- вания к аппаратной платформе. А сле- довательно, придется разделять и по- разному приоритизировать разработку ПАК для практического использования и сертифицированную версию ММЭ. Понимаем, что это не совсем то, чего ждут от поставщика ММЭ, но мы увере- ны, что быстро, эффективно и каче- 20 • СПЕЦПРОЕКТ О необходимости типизации российских многофункциональных межсетевых экранов ро специфику работы многофункциональных межсетевых экранов (ММЭ, они же NGFW) много сказано и написано. Поэтому поговорим об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования. П Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA