Топ-100 компаний России еще не мигрировали с зарубежных NGFW на российские — директор Ideco Дмитрий Хомутов

Выходит новая версия Ideco NGFW Novum. Она принципиально отличается от предыдущих или это эволюционное обновление уже привычного решения?

— Да, в этом релизе появятся совершенно новые возможности, как для нашего решения, так и для поколения файрволов на российском рынке в целом. В том числе, потому что это будет первый российский межсетевой экран следующего поколения, в котором реализованы некоторые важные возможности SD-WAN. Это уже не просто VPN, а умный VPN, автоматически маршрутизирующий трафик в зависимости от качества каналов в реальном времени. Это принципиальное изменение. И кроме этого, появилось несколько других эволюционных возможностей. 

Версия 22 переводит Ideco Center из инструмента мониторинга в полноценную платформу управления. Расскажите об этом подробнее, а также о том, как это меняет позиционирование продукта на рынке?

— Это меняет возможности по использованию нашего продукта для клиентов, у которых десятки, сотни или даже тысячи точек, где располагаются межсетевые экраны. Раньше у нас тоже была центральная консоль, и ей можно было управлять. Но по мере роста числа серверов возникает необходимость как в аппаратном дублировании консоли управления, так и в ее геораспределенности.

То есть, если у вас офисы по всей стране, соответственно, и консоль управления тоже должна располагаться в таких местах, чтобы гарантировать надежную работу при потере сетевой связанности или отключении электричества. Это особенно актуально для организаций, у которых много филиалов.

На какой сегмент бизнеса вы рассчитываете (частный средний и малый, крупный бизнес, госсектор) и почему?

— Наше развитие решений и новые возможности ориентированы в большей степени на крупный бизнес и госсектор. Особенно госсектор, потому что в федеральных ведомствах тоже используются большие многофилиальные структуры, в каждой из которых есть свой межсетевой экран. Всем этим нужно централизованно управлять и при этом необходимо использовать надежное ПО.

Собственно, тут и возможности SD-WAN, и возможности центральной консоли управления «бьют» в одну точку. То есть мы позволяем строить защищенные VPN-каналы, включающие, в том числе, защиту от сбоев интернет-каналов, и управлять всем этим централизованно с помощью геораспределенной консоли. С учетом того, что какие-то части системы могут быть недоступны. Это требуется, прежде всего, крупному бизнесу и госсектору.

Небольшим компаниям среднего и малого бизнеса это дает возможности для потенциального роста. Если вы сейчас средняя компания, но хотите в течение следующих десяти лет сильно вырасти, то приобретение и использование новой версии Ideco NGFW Novum будет работать на вас.

Геораспределенный кластер Ideco Center — это требование для организаций с несколькими ЦОД. Насколько, по вашим оценкам, этот функционал востребован на российском рынке сейчас и где без этого не обойтись?

— Да, эта функциональность достаточно востребована, потому что западные решения, от которых сейчас происходит импортозамещение в крупном энтерпрайз-сегменте, обладали такой функциональностью, и их использовали компании из условного списка Forbes «Топ-100 компаний России». У таких организаций есть геораспределенные дата-центры и множество офисов. Наш кластер и его новые возможности позволяют все это связать в единую структуру. 

Нужно добавить, что такие компании массово еще не мигрировали с зарубежных продуктов на российские. А полностью практически никто не перешел. В основном, у них стоит задача — совершить этот переход за 2026–2028 годы. И вот для этого мы, в том числе, делаем свой продукт.

Что в новой версии сделано, чтобы разработчикам не приходилось вручную синхронизировать конфигурации, и зачем это нужно заказчику?

— Большая польза в этом, наверное, не для разработчиков, а для администраторов системы. Потому что появилась возможность работы консоли в геораспределенном кластере, и она автоматически синхронизирует конфигурацию. Даже если были сбои в сетевой связанности, например, при нестабильной работе интернета или в случае, когда часть кластера в каких-то регионах была отрезана от остальной системы, — для этого и были внесены изменения в правилах, чтобы синхронизация проходила автоматически без участия системных администраторов. Это позволяет избавить их от рутинной работы.

Если все нужно регулировать вручную, то при сбоях это бы приходилось делать постоянно. А у таких компаний десятки тысяч правил. Вручную обрабатывать такой объем достаточно сложно. Теперь этим занимается автоматика.

Какие угрозы закрывает DNS Security, не перехватывающиеся стандартными механизмами NGFW? Почему вы решили выделить это в отдельный лицензируемый модуль?

— Есть ряд угроз, которые активно используют злоумышленники. Мы внедрили этот модуль в Ideco NGFW Novum именно потому, что по международной статистике 80% злоумышленников используют DNS как один из каналов связи между своим вредоносным ПО и командными центрами — чаще всего для обхода стандартных методов фильтраций, когда сам трафик не является в чистом виде вредоносным. Допустим, там DNS-туннелирование, то есть маркируется под обычные запросы. Трафика много, он используется в инфраструктуре и очень плохо выявляется. Точнее не выявляется статическими сигнатурами, с которыми работают антивирусы, NGFW, система предотвращения вторжений, потому что он очень динамически изменяется, кодируется и обрабатывается. 

Соответственно, от этих угроз может защитить только облачный сервис с использованием искусственного интеллекта. Потому что выявить среди многочисленных чистых запросов вредоносные — достаточно сложно. Это уже требует нетривиальных алгоритмов, основанных на машинном обучении. Прежде всего это DNS-туннелирование и DGA‑домены (автоматически генерируемые домены на основе даты/времени). Злоумышленники по алгоритму вставляют в свое вредоносное ПО возможность обращения к некоторым доменам, которые еще не зарегистрированы. Допустим, ПО, внедренное в сеть компании, будет знать, что 1 мая 2026 года в 12:00 будет сгенерирован какой-то домен, и к нему обратится. Это происходит довольно часто. Злоумышленники, зная этот алгоритм, сгенерируют домены в будущем, когда они непосредственно понадобятся. Никакие средства статической фильтрации на межсетевых экранах или антивирусах не спасут, потому что эти домены ещё не существуют и не попадут ни в какие списки мировых компаний.

Злоумышленники это используют для входа, а мы, применяя специальные алгоритмы и машинное обучение, можем с помощью модуля DNS Security блокировать эти запросы. 

Мы выделили это в отдельный лицензируемый модуль потому, что он немного выходит за поверхность самого межсетевого экрана, располагается в облаке и требует подписки на его использование. Но при этом является важной частью иммунной системы, которая блокирует атаки. Блокирует уже на первых подступах и даже, когда еще не установлено соединение. Вначале идет резолвинг, потом соединение. Мы блокируем атаки на этапе резолвинга. Это один из редко используемых в отечественных решениях методов, но он применяется во всех зарубежных лидирующих продуктах на базе межсетевых экранов следующего поколения.

Модуль работает по принципу «подключил и забыл» или требует серьезной настройки?

— Да, базово он работает как раз по принципу «подключил и забыл». То есть включив его условной галочкой, вы уже блокируете операции злоумышленников.

Модулю нужны оповещения (алерты) о том, что он делает, — и эти алерты должны попадать во внешние SIEM‑системы. Так ваши специалисты смогут быстро на них отреагировать.

Да, модуль сам блокирует злоумышленников почти мгновенно, но время реакции человека ограничено. Поэтому если система заметила что‑то подозрительное — например, странные DNS‑запросы или попытки вредоносного ПО связаться с командным центром, — нужно сразу проверить сеть и вылечить зараженные устройства. Это могут быть не только компьютеры, но и взломанные IP‑камеры, умные гаджеты и т. д.

Очень часто это используется в устройствах, на которых невозможно установить антивирус или EDR‑клиент. Например, видеокамеры. При обнаружении такой активности требуется привлечь команду ИБ‑специалистов — как правило, из SOC или отдела информационной безопасности клиента. Базово все работает автоматически. А планомерная реакция и лечение требуют привлечения специалистов.

Многофакторная аутентификация (логин/пароль + OTP + машинный сертификат) — серьезный шаг в сторону Zero Trust. На какие боли CISO он отвечает, в первую очередь (например, защита от компрометации учетных записей)?

— Прежде всего, да, дело в защите от компрометации учетных записей. Такая многоуровневая защита нужна, потому что злоумышленники с помощью фишинга — а сейчас его часто дополняют ИИ-инструментами — могут достаточно легко скомпрометировать учетную запись. Например, у вас 10 000 сотрудников, часть из них, возможно, обучена основам информационной безопасности, а часть менее бдительна или не прошла обучение. К тому же злоумышленники активно используют методы социальной инженерии. Из 10 000 всегда найдутся те, кого можно взломать с помощью таких методов. И сейчас это становится дешевле за счет использования ИИ‑инструментов.

Таким образом, даже двухфакторную аутентификацию можно обойти. Например, они вынуждают человека запустить какое‑то вредоносное ПО, которое считывает и крадет ваш логин и пароль, а затем запрашивает СМС‑код или OTP‑код — то есть второй фактор аутентификации. И получают возможность украсть и его, даже если код временный.

На помощь здесь приходит третий фактор — машинный сертификат. Это фактически привязка учетной записи к корпоративному устройству, например, ноутбуку или компьютеру. И это уже невозможно украсть — машинный сертификат содержится в специальном неизвлекаемом хранилище операционной системы. Его нельзя просто так скопировать, пользователь не может его передать, даже если готов выполнить любые требования злоумышленника. Это серьезно блокирует взлом на данном этапе.

Этот третий этап защиты очень важен, поскольку большинство взломов осуществляется с использованием методов социальной инженерии — и самым слабым звеном в этой цепочке является человек. Поэтому мы ставим барьер, который злоумышленнику крайне сложно преодолеть. Особенно с учетом того, что взломщики часто находятся за пределами России. Для удачной атаки необходимо, чтобы жертва не только сообщила логин и пароль, передала второй фактор (прочитала или переслала СМС‑код), но еще и отдала корпоративное устройство. Такая ситуация гораздо менее вероятна.

В чем ключевые архитектурные и технологические отличия реализации Ideco ZTNA от классических VPN‑решений и от облачных ZTNA‑сервисов? 

— Большое архитектурное отличие здесь в том, что мы совмещаем все эти сервисы безопасности в NGFW. То есть клиентам гораздо проще управлять, допустим, защитой периметра на одном устройстве.

Даже если у клиента разные шлюзы для выхода в интернет, для VPN‑подключений и удаленного доступа пользователей, все равно это, по сути, единый периметр организации и его защита. Реализация такой функциональности на NGFW удобна с точки зрения архитектуры, потому что в одном месте мы можем проверять учетные данные пользователей, осуществлять многофакторную аутентификацию, сегментировать доступ.

Мы можем сразу задавать разные правила: пользователь не только проходит многофакторную аутентификацию, но и получает доступ к минимально необходимым ему правам. И все это настраивается в одном месте.

Если же компоненты разнесены — например, VPN‑решение или какой‑то сервис находится в облаке и настраивается отдельно, — трафик пробрасывается внутрь локальной сети, где действуют свои правила. В таком случае система может работать несогласованно. Часто различными элементами управляют разные люди, и все это не укладывается в единую концепцию архитектуры безопасности клиента. Объединение же функций в одно решение значительно упрощает задачу.

Например, при подключении удаленного подрядчика по VPN вы сразу проверяете необходимый уровень соответствия требованиям безопасности (комплаенс). На том же решении даете доступ, например, только к серверу терминалов с 1С, исключаете возможность горизонтального продвижения злоумышленников в случае компрометации его хоста.

Таким образом, можно создавать микросегментацию и управлять доступом в едином сервисе. Это очень удобно и архитектурно выгодно.

Поддержка Astra Linux и синхронизация сессий в кластере делают ZTNA применимым для инфраструктур на отечественных ОС. Это скорее технологический шаг или осознанный маркетинговый ход под требования импортозамещения?

— На самом деле это уже давно не маркетинг. Сейчас мы понимаем, что помимо требований по импортозамещению средств защиты информации, действуют также требования по импортозамещению в сфере прикладного и системного ПО.

Здесь мы сталкиваемся с ситуацией, когда часть IT‑инфраструктуры крупных клиентов работает на зарубежном ПО, а часть — уже на отечественном. В связи с этим необходимо, чтобы средства защиты информации поддерживали интеграцию как с зарубежным, так и с отечественным системным ПО.

Мы расширяем возможности нашей системы и уже обеспечиваем поддержку Astra Linux, других отечественных операционных систем, каталогов на базе Samba, FreeIPA, RADIUS.

Таким образом, все системы аутентификации пользователей и работы с крупными доменами могут функционировать в связке с нашим решением NGFW.

Если 2–3 года назад это было скорее перспективным заделом или маркетинговым ходом, то сейчас мы видим реальное применение технологии. Поступают тикеты в техподдержку, и мы отмечаем активное внедрение отечественных операционных систем, а также обеспечиваем интеграцию с ними.

Как переход на VPP Data Plane отразился на архитектуре, загрузке CPU и RAM — при сохранении пропускной способности?

— В прошлом году мы действительно перешли на собственную архитектуру проверки и обработки трафика — решение на базе DPI и VPN. Соответственно, мы получили возможность значительно повысить производительность решения. Оно может использоваться и для микросегментации в локальной сети.

Скорость обработки интернет‑трафика обычно ограничена пропускной способностью интернет‑канала. Даже у крупных клиентов подключение к интернету редко превышает 10 Гбит/с, а зачастую бывает значительно медленнее. В локальной же сети скорости совершенно иные, они могут достигать сотен гигабит в секунду.

Для работы с такими скоростями мы используем быстрый Data Plane. Это дает возможность проводить микросегментацию, выполнять полнофункциональную проверку трафика, в том числе в локальных сегментах. Такое решение позволяет масштабировать нашу систему как для дата‑центров, так и для крупных клиентов.

Реклама. ООО «Айдеко», ИНН 6670208848 Erid: 2VtzqvE9byy