Интервьюер: Илья Шабанов
С уходом западных вендоров российские производители ИБ-продуктов получили большую свободу действий, и, к сожалению, не все из них готовы с пониманием относиться к той непростой ситуации, в которой оказались их заказчики. Об ответственности вендоров перед рынком и о новинках от компании UserGate мы поговорили с менеджером по развитию компании Иваном Черновым.
Компания UserGate создаёт свою экосистему. Вокруг каких ключевых продуктов и технологий она строится?
И. Ч.: Здесь нужно прежде всего пояснить, что мы подразумеваем под экосистемой UserGate SUMMA. Это — совокупность продуктов, сервисов, технологий и некой обвязки вокруг них. Это — среда, попав в которую заказчик начинает активно расти и развиваться. Речь идёт о прохождении стадий зрелости кибербезопасности в бизнесе.
Мы понимаем, что у наших заказчиков разные потребности и задачи — соответственно, сервисы и продукты им тоже нужны разные. Экосистемный подход позволяет решить эти разнообразные задачи.
Ядром экосистемы является межсетевой экран следующего поколения (NGFW), потому что это — базовое средство защиты, обойтись без которого сейчас практически невозможно. Об этом свидетельствует состояние рынка информбезопасности.
Мы можем с уверенностью говорить о высоком качестве нашего ядра защиты.
Мы занимаемся этой разработкой уже давно, и в России заниматься этим первыми начали именно мы. Поэтому для нас развитие экосистемы было логическим продолжением создания NGFW.
Находясь в сердце инфраструктуры, он контролирует сетевые потоки и обеспечивает видимость событий в безопасности. Соответственно, в зоне его контроля находятся и расшифровка трафика, и инспекция, блокирование сетевых пакетов либо разрешение на их доступ по различным политикам.
Таким образом, много чего завязано на NGFW и многое можно отправлять во внешние системы. Так почему не отправить уже расшифрованный трафик в систему, которая занимается его обработкой? Почему бы не добавить сюда файрвол веб-приложений (WAF)? Когда ядро уже защищено, остаются веб-приложения, прикладные интерфейсы (API) и сайт. Это всё можно и нужно синхронизировать.
Отсюда вырастает потребность в централизованном управлении, что называется, «из единого окна», вслед за чем возникает необходимость собирать и читать логи всех этих устройств, для чего опять же нужна централизованная система.
Не слишком реалистично выйти на рынок и заявить о том, что с сегодняшнего дня ты начинаешь разрабатывать экосистему. Мы просто развивали наши продукты, и с течением времени под влиянием потребностей заказчиков, рынка и современных технологий эти решения эволюционировали в экосистему.
Так или иначе, все наши продукты появились на свет в результате усовершенствования методов решения задач кибербезопасности. Такова, например, история создания нашего SIEM, который вырос из решения Log Analyzer и появился потому, что возникла необходимость собирать журналы из разных источников.
Таким образом, экосистема — это эволюционный путь развития продуктов. Наши заказчики являются нашими бизнес-партнёрами ещё и в том смысле, что они помогают нам развивать средства защиты, в то время как мы помогаем им развиваться в кибербезопасности.
У меня родился термин «NGFW-центричная экосистема». Крупные зарубежные компании, такие как Fortinet, Check Point, Palo Alto Networks, тоже развивались в сетевой безопасности и понемногу наращивали экосистемное ядро за счёт других сегментов. Не находите ли вы, что ваш путь развития в чём-то повторяет пройденный ими?
И. Ч.: Мне нравится термин «NGFW-центричная экосистема», хотя его и нелегко произнести. Я считаю, что сравнение с упомянутыми компаниями делает нам честь. Пять лет назад меня спрашивали, чем мы отличаемся от Traffic Inspector, сейчас меня спрашивают, чем мы похожи на Fortinet. Это — определённый показатель нашего эволюционного развития как вендора.
Компании, которые нацелены на долгосрочное партнёрство со своими заказчиками, понимают, что это — именно эволюционный процесс.
Почему нам так важны наши заказчики с точки зрения развития экосистемы? Они — наши поставщики особенностей и функций.
Поэтому я даже сказал бы, что и заказчики входят в нашу экосистему. Они предоставляют нам обратную связь, как с функционально-продуктовой точки зрения, так и с точки зрения тех событий в безопасности, которые у них происходят. Это обогащает экспертизу для других клиентов, что очень важно.
Добавляя продукты в свою экосистему, мы тем самым помогаем заказчикам повысить свой уровень зрелости. Так наша экосистема растёт вместе с ними и возникает ситуация взаимовыгодного обмена, «вин-вин».
Есть авангард заказчиков — это те компании, которые следят за трендами и используют самые передовые технологии. Есть и так называемые «догоняющие». Использовать опыт авангарда и ретранслировать его на «догоняющих», чтобы они прогрессировали быстрее, — это тоже наша ценность как экспертов.
Развивая тему того, на кого мы ориентируемся, поделюсь следующим. После событий февраля 2022 года пул наших заказчиков значительно пополнился за счёт компаний из финансового сектора. Наряду с нефтяной и энергетической отраслями на сегодняшний день этот сектор является одним из передовых в плане реальной безопасности.
Я недавно делал выборку и обнаружил, что свои самые крупные проекты компания UserGate провела для клиентов именно из этих отраслей. Также несколько проектов нам сделали государственные компании, и мы все понимаем, почему у них возник такой заказ. Между всеми этими организациями нет ничего общего, и это хорошо, иначе наше решение было бы неким нишевым продуктом для конкретной индустрии. Мы делаем фундаментальные средства защиты, которые нужны всем.
Кто является основным заказчиком и потребителем вашей экосистемы? Кто даёт вам самый активный стимул к развитию?
И. Ч.: Развитие информационной безопасности диктуется не конкретной отраслью, а теми передовыми компаниями, которые находятся на волне ИТ-трендов. Новые инфраструктурные технологии требуют и новых подходов к защите.
Настоящими стимуляторами развития являются те заказчики, кто высокоразвит в ИТ-сфере, использует самые передовые технологии и увлечённо следит за реальной безопасностью.
Не так давно ваша компания объявила о планах выпустить UserGate SIEM. В какой стадии находится разработка этого продукта и когда он появится на рынке?
И. Ч.: Мы планируем его выпуск на конец октября. Об этом будет объявлено на нашем специальном мероприятии, онлайн-конференции с приглашением в зал избранных гостей. Сейчас мы проводим закрытые тестирования, а недели через три планируем объявить о готовности продукта к бета-тестам. Разумеется, эти сроки могут меняться, так как разработка — вещь непредсказуемая. Также в конце октября мы планируем выпустить SIEM с минимально необходимым функциональным набором (MVP).
Я хотел бы особенно подчеркнуть то, что мы провели большое количество интервью с самыми различными потенциальными пользователями SIEM: большими и малыми организациями, компаниями с собственными и внешними SOC, а также с теми, кто сам предоставляет услуги внешнего SOC.
Таким образом мы получили вполне интересную дорожную карту развития продукта и можем с уверенностью теперь говорить о том, что закрываем минимальные требования заказчиков буквально с первой версии.
Появление этого решения становится логичным шагом в развитии Log Analyzer. Планируете ли вы полную замену последнего или же они оба будут какое-то время сосуществовать на рынке?
И. Ч.: Мы планируем оставить их оба, потому что не всем нужен SIEM и в то же время не всем хватает функциональности Log Analyzer. Объективно они решают всё же разные задачи, и именно из этого мы исходим. Таким образом, это — два разных продукта с разной ценой и ценностью.
В качестве яркого примера такой ситуации можно назвать FortiAnalyzer и FortiSIEM. Многим читателям сразу же станет понятно, в чём здесь разница.
У нас есть замечательная возможность бесшовного апгрейда одного решения в другое: когда вы поймёте, что вам уже нужен SIEM, вы просто покупаете ключ, вставляете его в Log Analyzer, и он превращается в SIEM.
Мы даже приняли решение о том, что все, кто купил Log Analyzer, смогут получить бесплатный апгрейд до SIEM, если будет такая потребность.
Рынок SIEM и рынок NGFW — это, пожалуй, два наиболее высококонкурентных сегмента. Высокая конкурентность существует там не за счёт множества зрелых решений, а за счёт количества компаний, которые борются за долю на них — так называемый «красный океан» (red ocean). Почему в таких условиях компания UserGate всё же приняла решение создать свой собственный SIEM, а не заключить партнёрство с коллегами по цеху, у которых, возможно, уже есть свой неплохой готовый продукт этого класса?
И. Ч.: Первая причина заключается в том, что, как я уже отметил, наш SIEM органически вырос из решения Log Analyzer. Мы создавали продукт для решения задач наших заказчиков, и со временем стало понятно, что он обладает потенциалом SIEM. Наши миссия и ответственность подвели нас к тому, чтобы дать рынку такой продукт.
Во-вторых, решение класса SIEM не столь высокотехнологично, как NGFW, например. По большому счёту, ценность SIEM заключается в экспертизе, и это многие понимают. Партнёрство с кем-то из производителей лишает нас технологического суверенитета, о котором мы постоянно говорим.
Одно дело — позаимствовать чужой исходный код, чтобы просто продавать продукт, и совсем другое — пользоваться чужой экспертизой.
Мы транслируем свою собственную экспертизу нашего центра мониторинга и реагирования. Прямо скажу, она пока не оценена рынком по достоинству.
Именно с помощью нашей собственной экспертизы мы хотим помогать людям. Поэтому все идеи о партнёрстве с другими были отвергнуты ещё в самом начале.
В силу того что мы разрабатываем свежий продукт, мы лишены таких недостатков, как старый код (legacy). Мы сразу начали с современного стека, с современных быстрых баз. Поэтому, когда мы слышим, что «мастодонты» рынка при огромном количестве «железа» выжали 60 000 событий в секунду (EPS), а у нас на средней модели без какого-либо тюнинга — 30 000, а на «большом железе» — 90 000, мы понимаем, что это связано именно с архитектурой решений.
Таким образом мы пришли к созданию нового продукта со свежими идеями, свежими технологиями и с собственной экспертизой. Заказчики только выиграют от появления на рынке SIEM такого сильного игрока, как UserGate. Это заставит расшевелиться закостеневших «мастодонтов», которые сидят на рынке уже много лет и к которым есть очень много претензий.
Это же касается всех больших компаний, которые декларируют создание NGFW. Мы прекрасно понимаем, что это в конечном итоге приведёт к созданию здоровой конкуренции и все от этого выиграют. Новые продукты — это прекрасно.
Возникают разнонаправленные тенденции. Вендоры NGFW идут в сторону SIEM, как компания UserGate, а вендоры SIEM идут в сторону NGFW, как Positive Technologies или «Лаборатория Касперского». У кого из них в этом движении есть преимущество: у тех, кто уже создал SIEM, или у тех, кто уже имеет NGFW?
И. Ч.: NGFW — это технически сложный продукт. SIEM таковым не является, хотя он, безусловно, тоже не из простых. По уровню технологической зрелости NGFW всегда выше SIEM — просто в силу использования более сложной технологии.
У производителя SIEM есть экспертиза, в то время как у производителя NGFW есть развитые сетевые технологии. Здесь я уже оставлю на суд читателя, что быстрее: накопить экспертизу или развить сетевые технологии.
Лично для меня ответ очевиден: хорошие развитые сетевые технологии создаются годами и десятками лет.
Мы это видим на примерах мировых лидеров. Возьмём четыре замечательные известные компании. Они десятки лет занимаются сетевыми технологиями, и там ещё есть с чем поработать. При этом решения класса SIEM от мировых лидеров отличаются друг от друга не так уж сильно. Там всё понятно по технологиям, там уже борются за экспертизу. Поэтому здорово, что все стремятся занять разные ниши: это означает укрепление рынка, его переконфигурацию, создаёт, как мы уже говорили, здоровую конкуренцию.
Рынок всех расставит по своим местам. Мы занимаемся тем, что помогаем заказчикам обеспечивать безопасность. Мы прикладываем к этому все необходимые усилия и разрабатываем те продукты, которые от нас требуются.
Интересно, что именно в сегментах SIEM и NGFW, если не ошибаюсь, нет ни одного случая слияния-поглощения. Кажется, что по ряду причин компании предпочитают создавать своё, а не покупать что-то готовое.
И. Ч.: В контексте SIEM это объясняется легко: покупать имеет смысл только экспертные команды, а большие экспертные команды с хорошим продуктом сами не захотят, чтобы их покупали.
Рынок в России таков, что те, кого хочется купить, не продаются, а тех, кого можно купить, покупать не хочется.
Что можно выделить в качестве сильных сторон, которые сделают UserGate SIEM уникальным продуктом?
И. Ч.: Мы даём заказчику инструмент полного цикла для работы с инцидентами в безопасности. Наше решение позволяет «в одном окне» собирать логи, соотносить их, находить и расследовать инциденты, а также обогащать данные из последних. По итогам далее формируются отчёты — в виде, например, индикаторов компрометации, которые затем снова используются в системе.
Сравнивая наше решение с другими, хочется отметить наличие в нём внятной ролевой модели, а также экспорт отчётов. Мы радуем людей небольшими дополнительными «фишками». И, конечно же, важно ещё раз упомянуть об экспертизе. Мы даём заказчикам инструмент для написания своей экспертизы, потому что есть среди них те, кто умеет и любит это делать. Мы также предоставляем нашу собственную экспертизу в соответствии с методологией MITRE: проникновение, распространение и закрепление. Заказчик получает свободу самостоятельного применения этих политик.
Таким образом, наше решение транслирует нашу экспертизу и концептуально воплощает идею полного цикла расследования событий, чего на рынке пока нет.
Экспертизу очень трудно измерить. Обычно, говоря о решениях класса SIEM, все сравнивают количество коннекторов и производительность в EPS. Как с этим обстоят дела у UserGate SIEM? Насколько вообще важны количество коннекторов и производительность?
И. Ч.: Говоря о коннекторах, нужно сказать, что прежде всего заказчику необходимо дать инструмент для их написания, и именно это мы делаем в первую очередь в нашем минимальном продукте (MVP). Безусловно, мы предоставляем предустановленные наборы, но у нас пока не набрана эта фактура, и с этим мы справимся с помощью наших первых заказчиков.
Я считаю, что более важно дать инструмент.
Написать все коннекторы для всех, а потом их ещё и поддерживать — очень большой труд. Мы, безусловно, это сделаем, но такими задачами можно заняться и чуть позднее.
Что касается производительности, то здесь всё довольно интересно. Я был поражён, когда один очень крупный заказчик со многомиллионными оборотами рассказал, что у них — 2 000 EPS. Такие показатели явно нетипичны для его уровня, но у него так настроено, и его это устраивает.
Часто приходится слышать, как чиновники говорят о том, что они за месяц отразили миллион кибератак на нашу государственную систему. Может быть, это — миллион событий на файрволе? Но и это много. Возможно, они каждый вредоносный пакет считают за атаку. Таким образом, подобные цифры — это некий уровень абстракции, который требует уточнения.
Гораздо более надёжным показателем является стоимость за EPS. Любой производитель, если у него предусмотрена масштабируемость, может продать тебе вагон «железа», и ты получишь 100 000 EPS, но это будет очень дорого.
Стоит требовать от вендора разумно относиться к ресурсам заказчика.
Для этого следует повысить качество кода, сделав его менее требовательным к аппаратной части. Тогда можно будет получить искомые 100 000 EPS при гораздо меньших расходах на закупку оборудования.
А что находится «под капотом» у вашего решения?
И. Ч.: В качестве базы мы используем ClickHouse, хороший проект «Яндекса». Если он перестанет удовлетворять наши потребности, нам, видимо, придётся создать свою базу. Что же касается другого ключевого компонента — ядра, — то мы на опыте убедились в том, что ядро следует писать своё собственное.
На чём будут писаться коннекторы?
И. Ч.: Конструкторы в интерфейсе, регулярные выражения, которые будут «вытаскивать» необходимые данные из потока сетевого трафика.
Мы разделяем термины «коннектор» и «источник данных», потому что коннекторы могут также осуществлять и обратную связь со внешними системами. Мы поддерживаем концепцию SOAR, когда SIEM, отработав инцидент, через коннекторы отправляет запрос на какое-либо внешнее средство защиты.
SOAR является логичным продолжением для решения класса SIEM, именно об этом говорит мировой опыт. Вы тоже движетесь в этом направлении?
И. Ч.: Совершенно верно. Мы «из коробки» будем предоставлять коннекторы к продуктам из нашей экосистемы. Обнаружили атаку — отправили на NGFW — среагировали. Плюс мы идём в сторону открытой экосистемы и создаём возможность интегрироваться с любыми внешними системами.
Я уверен, что рано или поздно компании UserGate придётся объявить о том, что у неё есть XDR, просто потому, что эволюционно экосистема начинает решать соответствующие задачи.
Какие планы по дальнейшему развитию ставит перед собой компания на ближайшие два года?
И. Ч.: Мы довольно часто подсвечиваем для наших заказчиков вектор ближайшего развития. Так, на текущий момент мы планируем расширить функциональность NGFW (например, добавить SD-WAN), готовимся выпустить WAF.
Мы растём и развиваемся. Компания пользуется окном возможностей, занимается развитием команд и инвестирует в наём разработчиков.
Позвольте вас поблагодарить за интереснейшее интервью! Мы желаем вам дальнейших успехов в достижении намеченных целей, а нашим читателям — как всегда, всего самого безопасного!
==========================================================================
Биографии спикеров:
Иван Чернов
Менеджер по развитию UserGate
Окончил Новосибирский государственный технологический университет по специальности «Информационная безопасность».
Активно участвует в развитии продуктов, сборе обратной связи от заказчиков для усовершенствования технологий.
Активно продвигает российские решения класса NGFW на примере компании UserGate.
Автор и ведущий Security Stream — подкаста о людях и технологиях в информационной безопасности, вебинаров по темам ИБ, автор публикаций в отраслевых СМИ.