Миграция в ИБ: путь принятия и роста

Более полугода компании находятся в стадии активной миграции на российские ИБ-решения, так как обеспечение кибербезопасности стало приоритетом практически для всех коммерческих и государственных учреждений. За это время некоторые компании уже успели импортозаместиться, преодолев «подводные камни», другие только готовятся, играя в рулетку с параллельным импортом, а кто-то пока не знает, с чего начать. Вместе с Андреем Юрченко, директором департамента клиентских проектов, и Станиславом Навсегда, руководителем отдела сетевой безопасности и аудита компании Axoft, посмотрели на процесс импортозамещения с разных сторон и определили основные шаги для успешного «переезда» на практических примерах. 

Куда мигрируют?

Безусловно, уход иностранных вендоров и требования регуляторов стали основными драйверами миграции на российские решения. И если организации государственного сегмента торопятся с замещением, следуя указу Президента 250, то бизнес реагирует по-разному. Некоторые компании ждут окончания лицензий, параллельно пилотируют и тестируют отечественные решения, другие ищут возможные пути продления работы установленных иностранных ИБ-систем. 

«Многие оценивают иностранное ПО, как некую эталонную базу и, к сожалению, не всегда видят достойные отечественные аналоги. Кроме того, у большинства компаний инфраструктура выстроена на определенных решениях, поэтому одномоментно перейти на другой софт — дорого, болезненно и проблематично. И если кто-то продолжает обновлять свою инсталляционную базу через параллельный импорт, то нужно понимать, что канал может в любой момент закрыться», — отмечает Андрей Юрченко. 

Миграция напрямую зависит от зрелости компании: чем больше организация, тем сложнее инфраструктура и соответственно выше киберриск. Поэтому в первую очередь замещаются крупные федеральные учреждения и банки, промышленный сектор следует поступательно.

Если смотреть в разрезе инструментов, на которые чаще всего переходят, то это достаточно широкий спектр: межсетевые экраны, ANTI-APT, PAM (контроль привилегированных пользователей), DLP, доступ управления базами данных, контроль управления доступа к сетевым файлам и папкам. А также системы SOC: SIEM, Threat intelligence, системы автоматизации. 

Ожидания vs реальность

Российские решения гораздо моложе иностранных, они менее интегрированы в международное комьюнити и у них меньше инсталляционная база данных. Поэтому часто у заказчиков не совпадают ожидания с реальностью, так как в новых ИБ-системах все работает иначе. Собрали самые распространенные «миграционные боли», которые нужно принять, а разработчикам постараться «вылечить» в ближайшее время.

Функционал: продвинутый или базовый 

За годы работы с ИБ-решениями крупных иностранных производителей заказчики привыкли к продвинутому функционалу и дополнительным фичам, которые были удобны и приятны в использовании. К примеру, западный поставщик NGFW обладал широкой базой подписок, развитой системой построения VPN-сетей, облачными технологиями, инструментами идентификацией пользователей, контролем защищенности рабочей среды как у удаленных, так и внутренних пользователей и так далее. 

Конечно, отечественным разработчикам есть над чем работать, но стоит, отметить, что на данный момент они закрывают необходимый базовый функционал: есть URL-фильтрация, IPS, сертификация ФСТЭК — это для многих является критически важным пунктом. 

«Три года назад одному заказчику мы установили NGFW известного иностранного производителя, за это время у него сформировались определенные ожидания и методика работы с системой. Недавно предложили в пилот UserGate, сама установка и тестирование обычно занимает месяц. Вместе с нашими инженерами заказчик познакомился с базовым функционалом и первыми этапами миграции. В результате представители компании отметили, что в отличие от предыдущего поставщика, есть reverse proxy. Кроме того, с отчетами тоже оказалось вполне удобно работать», — рассказывает Андрей Юрченко.

Сертификация: гуру или ученик

Насущный вопрос, с которым сталкиваются инженеры и технические специалисты при работе с российскими ИБ-продуктами — наличие курсов и сертификатов, подтверждающие уровень компетенций. 

«Многие профессионалы не хотят терять сертификаты и квалификацию, которые они получили за время работы с Palo Alto, Fortinet, Cisco. У них было системное обучение с лабораторными, траблшутингом, поддержкой от коучей. В итоге инженер достигал высокого уровня владения продуктами. Пока на данный момент у российских компаний нет такой продвинутой системы, хотя у некоторых есть курсы и профессиональные чаты, например, у Positive Technologies и UserGate», — отмечает Станислав Навсегда.

Документация: инструкция или документ с багами 

Специалисты отмечают нехватку документации по российским продуктам, довольно слабое описание технических деталей, а также не открытые базы знаний. У иностранных вендоров существуют развитые коммьюнити и “knowledge base”, где достаточно подробно расписано, как работать с системами, к одному решению может быть 3-4 статьи по теме. Станислав Навсегда поясняет: 

«В качестве простого примера можно взять почту и настройку bcc. По идее, это не задача вендора заниматься такими вещами. У ушедших поставщиков были целые инструкции, как это сделать на Exchange или Postfix. Нечто похожее есть у Positive Technologies и «Лаборатории Касперского», у них, кстати, достаточно хорошая документация. Но чаще всего при работе с другими решениями сталкиваемся с неточностями в описании или багами, которые не были описаны. К примеру, при внедрении системы защиты почты мы открыли 18 кейсов за проект, что заняло достаточно много времени для решения».

Техническая поддержка: была или надо искать

В недавнем опросе «Ростелеком-Солар» представители бизнеса и государственных учреждений отметили рост цен на отечественные решения на 12-16%. При этом участники исследования указали на многомесячные задержки в поставках решений. Единовременный всплеск запросов и нагрузки на разработчиков также сказался и на качестве технической поддержки, которая при осуществлении миграции очень важна. Конечно, чтобы решить такие проблемы потребуется время. На данный момент часть функционала вендоров берут на себя интеграторы или дистрибуторы, которые с командой инженеров могут по ряду поставщиков осуществлять первую и вторую линии техподдержки. 

«На SOC-форуме 2022 мы демонстрировали работу экосистемы UserGate. Наш специалист настроил интеграцию решения с MikroTik. Это у многих участников вызвало интерес, так как само оборудование довольно специфично и вариативность интеграции широкая. Но мы научились решать подобные задачи и готовы делиться экспертизой», — говорит Андрей Юрченко. 

Что делать?

Для тех, кто только планирует миграцию, наши специалисты собрали рекомендации, которые важно учитывать на первых этапах, чтобы в дальнейшем путь был максимально безболезненным. 

Определите, какой функционал вам необходим

Если мы возьмем ПМИ иностранного вендора и попробуем применить к российским решениям, то будут разочарования и несоответствие ожиданий. Поэтому рекомендуется брать ПМИ от конкретного производителя и смотреть, что необходимо для работоспособности системы. 

Если планируете менять NGFW, то лучше подготовить вопросы к специалистам и обговорить заранее, какой функционал необходим. 

«У нас был в практике заказчик, который ответственно и детально подошел к задаче. Нужно было наладить работу UserGate c Fortinet. Со стороны заказчика была произведена настройка пилотной зоны, с нашей – настройка маршрутов, туннелей, публикация ресурсов. Далее мы приступили к тестированию. Через месяц все функционировало в штатном режиме. Но были и антипримеры, когда покупали продукт и уже на этапе внедрения вспоминали, что нужно опубликовать GPS или построить дополнительные туннели VPN», – делится опытом Станислав Навсегда.

Планируйте бюджет заранее

Необходимо проводить подготовительные работы по закупке, даже если ее нет в планах в ближайший месяц. Это нужно для фиксирования цены, ведь она может существенно вырасти, когда вы решитесь приобрести продукт. Это подтверждает не только наш опыт, но и исследование упомянутое выше. Поэтому важно обсудить с вендором или дистрибутором ценовую политику на начальном этапе. 

Проводите пилотирование

Перед тем, как принимать решение о миграции, протестируйте решение на тестовом сегменте с реальным трафиком, посмотрите, как оно ведет себя под нагрузкой и в различных ситуациях. Обратите внимание на URL-фильтрацию, контроль черных и белых списков, удобную систему отчетов, чтобы можно было нажатием в пару кликов выгрузить статистику за период, также важна производительность системы.

«Помимо пилотов общайтесь с теми, кто уже установил интересующее вас решение. Например, если вам нужна «песочница», то всегда можно найти тех, кто уже ее внедрил и готов объективно поделиться кейсом», – рекомендует Андрей Юрченко.