Импортозамещение ПО в сфере информационной безопасности без потери качества

И без боли. Рассказываем, как обстоят дела на ИБ-рынке.

У российского бизнеса серьёзные проблемы с безопасностью ИТ-инфраструктуры — из страны ушли крупные вендоры программного обеспечения. Теперь иметь дело приходится не только с угрозами информационной безопасности, но и сократившимся бюджетом. Рассказываем, как с этим справиться.

До ухода иностранных вендоров в российских компаниях практиковалась диверсификация защиты цифровой инфраструктуры. Например, безопасность трафика обеспечивало решение вендора A, защиту рабочих станций — вендора B, виртуальных сред — вендора C. Причины были разные: одни таким образом старались подобрать оптимальные решения под конкретные задачи, другие берегли бюджет. И поскольку стопроцентная безопасность недостижима, бытовало мнение, что решения разных вендоров перекрывают недостатки друг друга, усиливая общий защитный контур.

Сегодня отрасль безопасности движется в сторону экосистемности, ведь проблемы с интеграцией решений разных производителей могут свести на нет все благие намерения: например, ИБ-команда будет тратить массу времени на управление большим числом продуктов из разных консолей. К организации централизованной защиты информации подталкивает не только здравый смысл. В начале 2022 года клиенты западных ИБ-компаний оказались в самом невыгодном положении: часть приобретённых инструментов перестала работать или утратила былую эффективность. В итоге на их замену потребовались дополнительные расходы, которые, разумеется, никто не закладывал.

После февральских событий большинство западных поставщиков на рынке информационной безопасности открыто заявили о том, что они уходят с российского рынка. Перечислять отдельные бренды нет смысла: из поставщиков мирового уровня о прекращении операций в России не заявляла только израильская компания Check Point.

На практике клиенты сталкивались с такими проблемами:

Естественно, остановились и продажи инструментов безопасности. Даже если текущая лицензия ещё работает, продлить её нет никакой официальной возможности. Отдельные компании экспериментируют с закупкой лицензий в соседних странах, но никто не даёт гарантий, что такие активации не заблокируют в будущем.

Впрочем, беда не приходит одна. Одновременно с уходом ИБ-вендоров российские компании столкнулись и с ростом вредоносной активности:

Незначительное снижение отмечалось только в активности телефонных мошенников, и то временное. Проще говоря, российские информационные системы оказались под шквалом атак, которые вряд ли прекратятся в ближайшее время, учитывая геополитическую ситуацию.

Ещё недавно на любое импортозамещение программного обеспечения компании реагировали скептически. Зачем инвестировать в российское оборудование и ПО, если все и так вроде бы неплохо работает? Государство настойчиво склоняло в другую сторону: призывало готовиться к переходу, устанавливало предельные сроки, формировало нормативно-правовую базу.

Ужесточались и требования к защите критической инфраструктуры РФ: используемые там решения должны были сертифицироваться ФСТЭК. И такую сертификацию, как правило, получали именно отечественные средства защиты инфомации. Бизнес смотрел на это как на временные инициативы и надеялся обойтись без замены ИБ-инструментов, но наступил конец февраля 2022 года, и те риски, которые прогнозировало государство, стали реальностью.

С этого момента импортозамещение программного обеспечения из действий для галочки превратилось в горящую задачу. К счастью, в ИБ-отрасли в нашей стране работают несколько десятков сильных вендоров. Их решения преуспевали даже в тяжёлой конкурентной борьбе с западными флагманами. Ну а сейчас у отечественных поставщиков программного обеспечения появляется шанс получить дополнительные средства и вложить их в развитие, в том числе на рынке защиты информации.

И хотя весь этот процесс по-прежнему называется импортозамещением, по сути, замещать уже нечего. Сейчас мы скорее имеем дело с закрытием потребностей в киберзащитных решениях, и в подавляющем большинстве случаев это будет отечественный софт, если только речь не идёт о сложных железках, которые достают через серый импорт.

Заменяем отдельные компоненты киберзащиты

В ситуации, когда бизнес оказался в невыгодном и опасном положении, мы в «Лаборатории Касперского» сосредоточились на предоставлении таких решений, которые помогут укрепить кибербезопасность, не травмируя при этом бюджет на средства защиты информации.

Оживляем импортный NGFW

Next Generation Firewall (NGFW) — популярный класс программно-аппаратных решений, обеспечивающий защиту трафика. Ключевой его компонент — постоянно обновляемый поток данных о новых угрозах, на основе которого и происходит блокировка опасных соединений. Если вендор прекратил обновление этого потока данных — а это как раз и произошло, — то решение целиком становится бесполезным, поскольку больше не блокирует угрозы. Получается, что все инвестиции компаний в этот контур защиты информации вылетели в трубу.

У нас есть несколько решений этой проблемы. Прежде всего, это собственный сервис предоставления данных об актуальных угрозах — Threat Intelligence Feed. Мы адаптировали выходные данные так, чтобы их можно было использовать для NGFW-решений других вендоров. На текущий момент надёжно протестирована совместимость с различными конфигурациями решения от Cisco, Fortinet и Palo Alto.

Таким образом, можно не менять импортный информационный продукт целиком, а вернуть ему работоспособность и эффективность, вложив значительно меньше средств. С одной стороны, это очень удобно, а с другой — это, увы, временное решение. Дело в том, что в нормальной ситуации оригинальный поставщик фаервола предоставляет не только данные об угрозах, но и регулярные обновления, включающие патчи безопасности. Теперь, когда обновления безопасности не поступают, происходит постепенное накопление уязвимостей, и в какой-то момент решение всё равно перестанет быть безопасным: слишком велика будет вероятность того, что хакеры воспользуются уязвимостями в самом коде продукта.

Поэтому основной выход — это плановая замена импортного NGFW-решения на отечественные продукты. «Лаборатория Касперского» предлагает в этом сегменте решение Kaspersky Security для интернет-шлюзов. Если объединить его с каким-либо отечественным межсетевым экраном, получится комплексная, глубокая и многофункциональная защита внешнего периметра.

Восстанавливаем защиту почтовых серверов

Ещё одно ключевое направление в импортозамещении ПО — это защита почтовых серверов. Такие решения чаще всего покупали в составе пакетов, вплоть до того, что администратор просто ставил галочку в облачной консоли «защитить почтовый сервер» — и дело сделано.

Если ваш вендор почтовой защиты ушёл с рынка, то корпоративные ящики начинает быстро заваливать спамом и фишинговыми письмами, и компании приходится искать замену. Например, у нас уже давно действует акция «Доступная почта», спрос на которую в этом году вырос в два раза — при том, что данный сегмент рынка относительно небольшой и всегда был плотно занят.

Защищаем информацию на десктопах (и всех остальных компьютерах)

Следующий интересный кейс — защита рабочих станций и серверов, или, как обычно принято их называть, конечных точек. Некоторые наши клиенты, достаточно крупные компании, раньше покупали буквально 10–20 лицензий и обязательно тех, что сертифицированы ФСТЭК, — вероятно, чтобы защитить отдельные узлы и рабочие места, которые должны проходить аттестацию ФСТЭК, что без сертифицированного защитного решения невозможно. Сейчас эти же клиенты закупают сотни и тысячи лицензий, на всю компанию, осознавая возросшие риски. Остаётся только гадать, жили они раньше вообще без защиты рабочих машин или пользовались чем-то бесплатным.

Так или иначе, защита рабочих станций — это базовая потребность защиты информации. В этом случае с импортозамещением ПО никаких проблем нет. «Лаборатория Касперского» предлагает целый ряд решений, рассчитанных на разный размер и потребности бизнеса. Есть на рынке и другие вендоры, поэтому переживать можно только за то, что придётся закупать новые лицензии. Ниже расскажем, как снизить расходы и в этом сценарии.

Импортозамещение комплексной защиты информации

С заменой отдельных компонентов защиты разобрались, однако остаются два вопроса: как в процессе импортозамещения не разориться и, если уж на то пошло, стоит ли отказаться от старой доброй диверсификации защиты и рассмотреть вариант посвежее — централизованную систему кибербезопасности? Мы в «Лаборатории Касперского» начали отвечать на эти вопросы ещё до событий 2022 года. По первому из них предложили программу «Мигрируй», а по второму — комплексную защиту от киберугроз для средних и крупных компаний Kaspersky Symphony.

Так получилось, что сейчас мы можем не только решить проблему импортозамещения ПО, но и сделать это максимально безболезненно для ИБ-бюджета компаний.

Смысл инициативы «Мигрируй» очень простой: при переходе с продуктов других вендоров на решения Kaspersky вы получаете существенную скидку:

Более того, к годовому сроку наших лицензий мы прибавим оставшиеся месяцы ваших текущих лицензий от другого вендора (максимум +6 месяцев). Это радикально снижает расходы при единовременном импортозамещении киберзащитного ПО.

В 2022 году программа изменилась мало (она действует уже несколько лет), но оказалась спасением для многих компаний. Во всяком случае, мы это видим по статистике: количество запросов по программе «Мигрируй» в 2022 г. по сравнению с прошлым годом увеличилось в 4 раза. Всего в ней участвуют около 10 решений, закрывающих разные потребности компаний. Самый большой спрос — на защиту конечных точек и почты.

Разработкой решений для централизованной защиты занимается не только «Лаборатория Касперского»: это естественный результат развития глобального рынка ИБ-решений. Если у вас есть множество продуктов для защиты отдельных компонентов инфраструктуры и сред, логично объединить их в экосистему. В её рамках продукты будут дополнять друг друга и управляться из единого центра. В таком случае очевидны преимущества выбора одного вендора кибербезопасности:

В одной лицензии Kaspersky Symphony собран пакет продвинутых продуктов и сервисов, тесно взаимодействующих между собой. Кроме того, решение изначально заточено под требования российских регуляторов — например, в продукте Symphony XDR есть модуль ГосСОПКА, который умеет обмениваться данными с Национальным координационным центром по компьютерным инцидентам (НКЦКИ).

В зависимости от потребностей бизнеса можно выбрать один из четырёх уровней Kaspersky Symphony. Базовый уровень — Security — обеспечивает надёжную защиту конечных точек (физических, мобильных и виртуальных).

Дальше идут два более продвинутых уровня, которые отличаются по своему подходу. Symphony EDR (Endpoint Detection & Response), как и следует из названия, дополняется инструментами для обнаружения сложных атак и реагирования на них. Он предназначен для команд с сильной экспертизой, где есть ресурсы для работы с такими решениями.

Kaspersky Symphony MDR (Managed Detection & Response) тоже обеспечивает защиту от комплексных угроз, но мониторинг событий безопасности и реагирование осуществляются при помощи «Лаборатории Касперского». В частности, этот уровень подойдёт компаниям, которые лишились привычных средств защиты и хотят выиграть время, чтобы спокойно подобрать замену.

Наконец топовый, четвёртый, уровень — комплексная платформа Kaspersky Symphony XDR (Extended Detection and Response). Она включает дополнительные инструменты для мониторинга ИБ-событий, проактивного поиска угроз и реагирования на сложные инциденты в контуре всей инфраструктуры, защиту почты и шлюзов, модуль повышения киберграмотности и многое другое. Подойдёт компаниям, которые работают в отраслях, наиболее подверженных кибератакам, и обладают собственной экспертизой. Этот уровень помогает соответствовать требованиям регуляторов, в том числе благодаря модулю ГосСОПКА.

Развитием передовых технологий кибербезопасности занимается узкий круг вендоров, которые совсем не равномерно распределены по миру. Так, если бы любая другая страна, кроме России и США, столкнулась одновременно с уходом ИБ-вендоров и таким беспрецедентным ростом числа атак, то наверняка её цифровая инфраструктура оказалась бы парализованной. К счастью, в России хватает компетентных разработчиков решений информационной безопасности, что позволяет компаниям оставаться под защитой даже в условиях стремительно растущего числа угроз.