Иван Чернов, UserGate: Наши заказчики – самый активный элемент нашей экосистемы

С уходом западных вендоров российские производители ИБ-продуктов получили большую свободу действий, и, к сожалению, не все из них готовы с пониманием относиться к той непростой ситуации, в которой оказались их заказчики. Об ответственности вендоров перед рынком и о новинках от компании UserGate рассказал менеджер по развитию компании Иван Чернов.

Компания UserGate создает свою экосистему. Вокруг каких ключевых продуктов и технологий она строится?

Иван Чернов: Здесь нужно прежде всего пояснить, что мы подразумеваем под экосистемой UserGate SUMMA. Это – совокупность продуктов, сервисов, технологий и некой обвязки вокруг них. Это – среда, попав в которую заказчик начинает активно расти и развиваться. Речь идет о прохождении стадий зрелости кибербезопасности в бизнесе.

Мы понимаем, что у наших заказчиков разные потребности и задачи – соответственно, сервисы и продукты им тоже нужны разные. Экосистемный подход позволяет решить эти разнообразные задачи.

Ядром экосистемы является межсетевой экран следующего поколения (NGFW), потому что это – базовое средство защиты, обойтись без которого сейчас практически невозможно. Об этом свидетельствует состояние рынка информбезопасности.

Мы можем с уверенностью говорить о высоком качестве нашего ядра защиты.

Мы занимаемся этой разработкой уже давно, и в России заниматься этим первыми начали именно мы. Поэтому для нас развитие экосистемы было логическим продолжением создания NGFW.

Находясь в сердце инфраструктуры, он контролирует сетевые потоки и обеспечивает видимость событий в безопасности. Соответственно, в зоне его контроля находятся и расшифровка трафика, и инспекция, блокирование сетевых пакетов либо разрешение на их доступ по различным политикам.

Таким образом, много чего завязано на NGFW и многое можно отправлять во внешние системы. Так почему не отправить уже расшифрованный трафик в систему, которая занимается его обработкой? Почему бы не добавить сюда файрвол веб-приложений (WAF)? Когда ядро уже защищено, остаются веб-приложения, прикладные интерфейсы (API) и сайт. Это все можно и нужно синхронизировать.

Отсюда вырастает потребность в централизованном управлении, что называется, «из единого окна», вслед за чем возникает необходимость собирать и читать логи всех этих устройств, для чего опять же нужна централизованная система.

Не слишком реалистично выйти на рынок и заявить о том, что с сегодняшнего дня ты начинаешь разрабатывать экосистему. Мы просто развивали наши продукты, и с течением времени под влиянием потребностей заказчиков, рынка и современных технологий эти решения эволюционировали в экосистему.

Так или иначе, все наши продукты появились на свет в результате усовершенствования методов решения задач кибербезопасности. Такова, например, история создания нашего SIEM, который вырос из решения Log Analyzer и появился потому, что возникла необходимость собирать журналы из разных источников.

Таким образом, экосистема – это эволюционный путь развития продуктов. Наши заказчики являются нашими бизнес-партнерами еще и в том смысле, что они помогают нам развивать средства защиты, в то время как мы помогаем им развиваться в кибербезопасности.

У меня родился термин «NGFW-центричная экосистема». Крупные зарубежные компании, такие как Fortinet, Check Point, Palo Alto Networks, тоже развивались в сетевой безопасности и понемногу наращивали экосистемное ядро за счет других сегментов. Не находите ли вы, что ваш путь развития в чем-то повторяет пройденный ими?

Иван Чернов: Мне нравится термин «NGFW-центричная экосистема», хотя его и нелегко произнести. Я считаю, что сравнение с упомянутыми компаниями делает нам честь. Пять лет назад меня спрашивали, чем мы отличаемся от Traffic Inspector, сейчас меня спрашивают, чем мы похожи на Fortinet. Это – определенный показатель нашего эволюционного развития как вендора.

Компании, которые нацелены на долгосрочное партнерство со своими заказчиками, понимают, что это – именно эволюционный процесс.

Почему нам так важны наши заказчики с точки зрения развития экосистемы? Они – наши поставщики особенностей и функций.

Поэтому я даже сказал бы, что и заказчики входят в нашу экосистему. Они предоставляют нам обратную связь, как с функционально-продуктовой точки зрения, так и с точки зрения тех событий в безопасности, которые у них происходят. Это обогащает экспертизу для других клиентов, что очень важно.

Добавляя продукты в свою экосистему, мы тем самым помогаем заказчикам повысить свой уровень зрелости. Так наша экосистема растет вместе с ними и возникает ситуация взаимовыгодного обмена, «вин-вин».

Есть авангард заказчиков – это те компании, которые следят за трендами и используют самые передовые технологии. Есть и так называемые «догоняющие». Использовать опыт авангарда и ретранслировать его на «догоняющих», чтобы они прогрессировали быстрее, – это тоже наша ценность как экспертов.

Развивая тему того, на кого мы ориентируемся, поделюсь следующим. После событий февраля 2022 года пул наших заказчиков значительно пополнился за счет компаний из финансового сектора. Наряду с нефтяной и энергетической отраслями на сегодняшний день этот сектор является одним из передовых в плане реальной безопасности.

Я недавно делал выборку и обнаружил, что свои самые крупные проекты компания UserGate провела для клиентов именно из этих отраслей. Также несколько проектов нам сделали государственные компании, и мы все понимаем, почему у них возник такой заказ. Между всеми этими организациями нет ничего общего, и это хорошо, иначе наше решение было бы неким нишевым продуктом для конкретной индустрии. Мы делаем фундаментальные средства защиты, которые нужны всем.

Кто является основным заказчиком и потребителем вашей экосистемы? Кто дает вам самый активный стимул к развитию?

Иван Чернов: Развитие информационной безопасности диктуется не конкретной отраслью, а теми передовыми компаниями, которые находятся на волне ИТ-трендов. Новые инфраструктурные технологии требуют и новых подходов к защите.

Настоящими стимуляторами развития являются те заказчики, кто высокоразвит в ИТ-сфере, использует самые передовые технологии и увлеченно следит за реальной безопасностью.

Не так давно ваша компания объявила о планах выпустить UserGate SIEM. В какой стадии находится разработка этого продукта и когда он появится на рынке?

Иван Чернов: Мы планируем его выпуск на конец октября. Об этом будет объявлено на нашем специальном мероприятии, онлайн-конференции с приглашением в зал избранных гостей. Сейчас мы проводим закрытые тестирования, а недели через три планируем объявить о готовности продукта к бета-тестам. Разумеется, эти сроки могут меняться, так как разработка – вещь непредсказуемая. Также в конце октября мы планируем выпустить SIEM с минимально необходимым функциональным набором (MVP).

Я хотел бы особенно подчеркнуть то, что мы провели большое количество интервью с самыми различными потенциальными пользователями SIEM: большими и малыми организациями, компаниями с собственными и внешними SOC, а также с теми, кто сам предоставляет услуги внешнего SOC.

Таким образом мы получили вполне интересную дорожную карту развития продукта и можем с уверенностью теперь говорить о том, что закрываем минимальные требования заказчиков буквально с первой версии.

Появление этого решения становится логичным шагом в развитии Log Analyzer. Планируете ли вы полную замену последнего или же они оба будут какое-то время сосуществовать на рынке?

Иван Чернов: Мы планируем оставить их оба, потому что не всем нужен SIEM и в то же время не всем хватает функциональности Log Analyzer. Объективно они решают все же разные задачи, и именно из этого мы исходим. Таким образом, это – два разных продукта с разной ценой и ценностью.

В качестве яркого примера такой ситуации можно назвать FortiAnalyzer и FortiSIEM. Многим читателям сразу же станет понятно, в чем здесь разница.

У нас есть замечательная возможность бесшовного апгрейда одного решения в другое: когда вы поймете, что вам уже нужен SIEM, вы просто покупаете ключ, вставляете его в Log Analyzer, и он превращается в SIEM.

Мы даже приняли решение о том, что все, кто купил Log Analyzer, смогут получить бесплатный апгрейд до SIEM, если будет такая потребность.

Рынок SIEM и рынок NGFW – это, пожалуй, два наиболее высококонкурентных сегмента. Высокая конкурентность существует там не за счет множества зрелых решений, а за счет количества компаний, которые борются за долю на них – так называемый «красный океан» (red ocean). Почему в таких условиях компания UserGate все же приняла решение создать свой собственный SIEM, а не заключить партнерство с коллегами по цеху, у которых, возможно, уже есть свой неплохой готовый продукт этого класса?

Иван Чернов: Первая причина заключается в том, что, как я уже отметил, наш SIEM органически вырос из решения Log Analyzer. Мы создавали продукт для решения задач наших заказчиков, и со временем стало понятно, что он обладает потенциалом SIEM. Наши миссия и ответственность подвели нас к тому, чтобы дать рынку такой продукт.

Во-вторых, решение класса SIEM не столь высокотехнологично, как NGFW, например. По большому счету, ценность SIEM заключается в экспертизе, и это многие понимают. Партнерство с кем-то из производителей лишает нас технологического суверенитета, о котором мы постоянно говорим.

Одно дело – позаимствовать чужой исходный код, чтобы просто продавать продукт, и совсем другое – пользоваться чужой экспертизой.

Мы транслируем свою собственную экспертизу нашего центра мониторинга и реагирования. Прямо скажу, она пока не оценена рынком по достоинству.

Именно с помощью нашей собственной экспертизы мы хотим помогать людям. Поэтому все идеи о партнерстве с другими были отвергнуты еще в самом начале.

В силу того что мы разрабатываем свежий продукт, мы лишены таких недостатков, как старый код (legacy). Мы сразу начали с современного стека, с современных быстрых баз. Поэтому, когда мы слышим, что «мастодонты» рынка при огромном количестве «железа» выжали 60 000 событий в секунду (EPS), а у нас на средней модели без какого-либо тюнинга – 30 000, а на «большом железе» – 90 000, мы понимаем, что это связано именно с архитектурой решений.

Таким образом мы пришли к созданию нового продукта со свежими идеями, свежими технологиями и с собственной экспертизой. Заказчики только выиграют от появления на рынке SIEM такого сильного игрока, как UserGate. Это заставит расшевелиться закостеневших «мастодонтов», которые сидят на рынке уже много лет и к которым есть очень много претензий.

Это же касается всех больших компаний, которые декларируют создание NGFW. Мы прекрасно понимаем, что это в конечном итоге приведет к созданию здоровой конкуренции и все от этого выиграют. Новые продукты – это прекрасно.

Возникают разнонаправленные тенденции. Вендоры NGFW идут в сторону SIEM, как компания UserGate, а вендоры SIEM идут в сторону NGFW, как Positive Technologies или «Лаборатория Касперского». У кого из них в этом движении есть преимущество: у тех, кто уже создал SIEM, или у тех, кто уже имеет NGFW?

Иван Чернов: NGFW – это технически сложный продукт. SIEM таковым не является, хотя он, безусловно, тоже не из простых. По уровню технологической зрелости NGFW всегда выше SIEM – просто в силу использования более сложной технологии.

У производителя SIEM есть экспертиза, в то время как у производителя NGFW есть развитые сетевые технологии. Здесь я уже оставлю на суд читателя, что быстрее: накопить экспертизу или развить сетевые технологии.

Лично для меня ответ очевиден: хорошие развитые сетевые технологии создаются годами и десятками лет.

Мы это видим на примерах мировых лидеров. Возьмем четыре замечательные известные компании. Они десятки лет занимаются сетевыми технологиями, и там еще есть с чем поработать. При этом решения класса SIEM от мировых лидеров отличаются друг от друга не так уж сильно. Там все понятно по технологиям, там уже борются за экспертизу. Поэтому здорово, что все стремятся занять разные ниши: это означает укрепление рынка, его переконфигурацию, создает, как мы уже говорили, здоровую конкуренцию.

Рынок всех расставит по своим местам. Мы занимаемся тем, что помогаем заказчикам обеспечивать безопасность. Мы прикладываем к этому все необходимые усилия и разрабатываем те продукты, которые от нас требуются.

Интересно, что именно в сегментах SIEM и NGFW, если не ошибаюсь, нет ни одного случая слияния-поглощения. Кажется, что по ряду причин компании предпочитают создавать свое, а не покупать что-то готовое.

Иван Чернов: В контексте SIEM это объясняется легко: покупать имеет смысл только экспертные команды, а большие экспертные команды с хорошим продуктом сами не захотят, чтобы их покупали.

Рынок в России таков, что те, кого хочется купить, не продаются, а тех, кого можно купить, покупать не хочется.

Что можно выделить в качестве сильных сторон, которые сделают UserGate SIEM уникальным продуктом?

Иван Чернов: Мы даем заказчику инструмент полного цикла для работы с инцидентами в безопасности. Наше решение позволяет «в одном окне» собирать логи, соотносить их, находить и расследовать инциденты, а также обогащать данные из последних. По итогам далее формируются отчеты – в виде, например, индикаторов компрометации, которые затем снова используются в системе.

Сравнивая наше решение с другими, хочется отметить наличие в нем внятной ролевой модели, а также экспорт отчетов. Мы радуем людей небольшими дополнительными «фишками». И, конечно же, важно еще раз упомянуть об экспертизе. Мы даем заказчикам инструмент для написания своей экспертизы, потому что есть среди них те, кто умеет и любит это делать. Мы также предоставляем нашу собственную экспертизу в соответствии с методологией MITRE: проникновение, распространение и закрепление. Заказчик получает свободу самостоятельного применения этих политик.

Таким образом, наше решение транслирует нашу экспертизу и концептуально воплощает идею полного цикла расследования событий, чего на рынке пока нет.

Экспертизу очень трудно измерить. Обычно, говоря о решениях класса SIEM, все сравнивают количество коннекторов и производительность в EPS. Как с этим обстоят дела у UserGate SIEM? Насколько вообще важны количество коннекторов и производительность?

Иван Чернов: Говоря о коннекторах, нужно сказать, что прежде всего заказчику необходимо дать инструмент для их написания, и именно это мы делаем в первую очередь в нашем минимальном продукте (MVP). Безусловно, мы предоставляем предустановленные наборы, но у нас пока не набрана эта фактура, и с этим мы справимся с помощью наших первых заказчиков.

Я считаю, что более важно дать инструмент.

Написать все коннекторы для всех, а потом их еще и поддерживать – очень большой труд. Мы, безусловно, это сделаем, но такими задачами можно заняться и чуть позднее.

Что касается производительности, то здесь все довольно интересно. Я был поражен, когда один очень крупный заказчик со многомиллионными оборотами рассказал, что у них – 2 000 EPS. Такие показатели явно нетипичны для его уровня, но у него так настроено, и его это устраивает.

Часто приходится слышать, как чиновники говорят о том, что они за месяц отразили миллион кибератак на нашу государственную систему. Может быть, это – миллион событий на файрволе? Но и это много. Возможно, они каждый вредоносный пакет считают за атаку. Таким образом, подобные цифры – это некий уровень абстракции, который требует уточнения.

Гораздо более надежным показателем является стоимость за EPS. Любой производитель, если у него предусмотрена масштабируемость, может продать тебе вагон «железа», и ты получишь 100 000 EPS, но это будет очень дорого.

Стоит требовать от вендора разумно относиться к ресурсам заказчика.

Для этого следует повысить качество кода, сделав его менее требовательным к аппаратной части. Тогда можно будет получить искомые 100 000 EPS при гораздо меньших расходах на закупку оборудования.

А что находится «под капотом» у вашего решения?

Иван Чернов: В качестве базы мы используем ClickHouse, хороший проект «Яндекса». Если он перестанет удовлетворять наши потребности, нам, видимо, придется создать свою базу. Что же касается другого ключевого компонента – ядра, – то мы на опыте убедились в том, что ядро следует писать свое собственное.

На чем будут писаться коннекторы?

Иван Чернов: Конструкторы в интерфейсе, регулярные выражения, которые будут «вытаскивать» необходимые данные из потока сетевого трафика.

Мы разделяем термины «коннектор» и «источник данных», потому что коннекторы могут также осуществлять и обратную связь со внешними системами. Мы поддерживаем концепцию SOAR, когда SIEM, отработав инцидент, через коннекторы отправляет запрос на какое-либо внешнее средство защиты.

SOAR является логичным продолжением для решения класса SIEM, именно об этом говорит мировой опыт. Вы тоже движетесь в этом направлении?

Иван Чернов: Совершенно верно. Мы «из коробки» будем предоставлять коннекторы к продуктам из нашей экосистемы. Обнаружили атаку – отправили на NGFW – среагировали. Плюс мы идем в сторону открытой экосистемы и создаем возможность интегрироваться с любыми внешними системами.

Я уверен, что рано или поздно компании UserGate придется объявить о том, что у нее есть XDR, просто потому, что эволюционно экосистема начинает решать соответствующие задачи.

Какие планы по дальнейшему развитию ставит перед собой компания на ближайшие два года?

Иван Чернов: Мы довольно часто подсвечиваем для наших заказчиков вектор ближайшего развития. Так, на текущий момент мы планируем расширить функциональность NGFW (например, добавить SD-WAN), готовимся выпустить WAF.

Мы растем и развиваемся. Компания пользуется окном возможностей, занимается развитием команд и инвестирует в наем разработчиков.

* Реклама, Рекламодатель ООО "Юзергейт", ИНН 5408308256
Токен Kra23vYhg