Иван Чернов, UserGate — об ответственности ИБ-вендоров перед рынком
С уходом западных вендоров российские производители ИБ-продуктов получили большую свободу действий, и, к сожалению, не все из них готовы с пониманием относиться к той непростой ситуации, в которой оказались их заказчики. Об ответственности вендоров перед рынком и о новинках от компании UserGate рассказывает менеджер по развитию компании Иван Чернов.
«Мы занимаемся этой разработкой уже давно, и в России заниматься этим первыми начали именно мы»
Компания UserGate создаёт свою экосистему. Вокруг каких ключевых продуктов и технологий она строится?
Иван Чернов: Здесь нужно прежде всего пояснить, что мы подразумеваем под экосистемой UserGate SUMMA. Это — совокупность продуктов, сервисов, технологий и некой обвязки вокруг них. Это — среда, попав в которую заказчик начинает активно расти и развиваться. Речь идёт о прохождении стадий зрелости кибербезопасности в бизнесе.
Мы понимаем, что у наших заказчиков разные потребности и задачи — соответственно, сервисы и продукты им тоже нужны разные. Экосистемный подход позволяет решить эти разнообразные задачи.
Ядром экосистемы является межсетевой экран следующего поколения (NGFW), потому что это — базовое средство защиты, обойтись без которого сейчас практически невозможно. Об этом свидетельствует состояние рынка информбезопасности.
Мы можем с уверенностью говорить о высоком качестве нашего ядра защиты.
Мы занимаемся этой разработкой уже давно, и в России заниматься этим первыми начали именно мы. Поэтому для нас развитие экосистемы было логическим продолжением создания NGFW.
Находясь в сердце инфраструктуры, он контролирует сетевые потоки и обеспечивает видимость событий в безопасности. Соответственно, в зоне его контроля находятся и расшифровка трафика, и инспекция, блокирование сетевых пакетов либо разрешение на их доступ по различным политикам.
Таким образом, много чего завязано на NGFW и многое можно отправлять во внешние системы. Так почему не отправить уже расшифрованный трафик в систему, которая занимается его обработкой? Почему бы не добавить сюда файрвол веб-приложений (WAF)? Когда ядро уже защищено, остаются веб-приложения, прикладные интерфейсы (API) и сайт. Это всё можно и нужно синхронизировать.
Отсюда вырастает потребность в централизованном управлении, что называется, «из единого окна», вслед за чем возникает необходимость собирать и читать логи всех этих устройств, для чего опять же нужна централизованная система.
Не слишком реалистично выйти на рынок и заявить о том, что с сегодняшнего дня ты начинаешь разрабатывать экосистему. Мы просто развивали наши продукты, и с течением времени под влиянием потребностей заказчиков, рынка и современных технологий эти решения эволюционировали в экосистему.
Так или иначе, все наши продукты появились на свет в результате усовершенствования методов решения задач кибербезопасности. Такова, например, история создания нашего SIEM, который вырос из решения Log Analyzer и появился потому, что возникла необходимость собирать журналы из разных источников.
Таким образом, экосистема — это эволюционный путь развития продуктов. Наши заказчики являются нашими бизнес-партнёрами ещё и в том смысле, что они помогают нам развивать средства защиты, в то время как мы помогаем им развиваться в кибербезопасности.
«Добавляя продукты в свою экосистему, мы тем самым помогаем заказчикам повысить свой уровень зрелости»
У меня родился термин «NGFW-центричная экосистема». Крупные зарубежные компании, такие как Fortinet, Check Point, Palo Alto Networks, тоже развивались в сетевой безопасности и понемногу наращивали экосистемное ядро за счёт других сегментов. Не находите ли вы, что ваш путь развития в чём-то повторяет пройденный ими?
Иван Чернов: Мне нравится термин «NGFW-центричная экосистема», хотя его и нелегко произнести. Я считаю, что сравнение с упомянутыми компаниями делает нам честь. Пять лет назад меня спрашивали, чем мы отличаемся от Traffic Inspector, сейчас меня спрашивают, чем мы похожи на Fortinet. Это — определённый показатель нашего эволюционного развития как вендора.
Компании, которые нацелены на долгосрочное партнёрство со своими заказчиками, понимают, что это — именно эволюционный процесс.
Почему нам так важны наши заказчики с точки зрения развития экосистемы? Они — наши поставщики особенностей и функций.
Поэтому я даже сказал бы, что и заказчики входят в нашу экосистему. Они предоставляют нам обратную связь, как с функционально-продуктовой точки зрения, так и с точки зрения тех событий в безопасности, которые у них происходят. Это обогащает экспертизу для других клиентов, что очень важно.
Добавляя продукты в свою экосистему, мы тем самым помогаем заказчикам повысить свой уровень зрелости. Так наша экосистема растёт вместе с ними и возникает ситуация взаимовыгодного обмена, «вин-вин».
Есть авангард заказчиков — это те компании, которые следят за трендами и используют самые передовые технологии. Есть и так называемые «догоняющие». Использовать опыт авангарда и ретранслировать его на «догоняющих», чтобы они прогрессировали быстрее, — это тоже наша ценность как экспертов.
Развивая тему того, на кого мы ориентируемся, поделюсь следующим. После событий февраля 2022 года пул наших заказчиков значительно пополнился за счёт компаний из финансового сектора. Наряду с нефтяной и энергетической отраслями на сегодняшний день этот сектор является одним из передовых в плане реальной безопасности.
Я недавно делал выборку и обнаружил, что свои самые крупные проекты компания UserGate провела для клиентов именно из этих отраслей. Также несколько проектов нам сделали государственные компании, и мы все понимаем, почему у них возник такой заказ. Между всеми этими организациями нет ничего общего, и это хорошо, иначе наше решение было бы неким нишевым продуктом для конкретной индустрии. Мы делаем фундаментальные средства защиты, которые нужны всем.
Кто является основным заказчиком и потребителем вашей экосистемы? Кто даёт вам самый активный стимул к развитию?
Иван Чернов: Развитие информационной безопасности диктуется не конкретной отраслью, а теми передовыми компаниями, которые находятся на волне ИТ-трендов. Новые инфраструктурные технологии требуют и новых подходов к защите.
Настоящими стимуляторами развития являются те заказчики, кто высокоразвит в ИТ-сфере, использует самые передовые технологии и увлечённо следит за реальной безопасностью.
Не так давно ваша компания объявила о планах выпустить UserGate SIEM. В какой стадии находится разработка этого продукта и когда он появится на рынке?
Иван Чернов: Мы планируем его выпуск в этом году. Об этом будет объявлено на нашем специальном мероприятии, онлайн-конференции с приглашением в зал избранных гостей. Сейчас мы проводим закрытые тестирования, а затем планируем объявить о готовности продукта к бета-тестам. Разумеется, эти сроки могут меняться, так как разработка — вещь непредсказуемая. Также в конце года мы планируем выпустить SIEM с минимально необходимым функциональным набором (MVP).
Я хотел бы особенно подчеркнуть то, что мы провели большое количество интервью с самыми различными потенциальными пользователями SIEM: большими и малыми организациями, компаниями с собственными и внешними SOC, а также с теми, кто сам предоставляет услуги внешнего SOC.
Таким образом мы получили вполне интересную дорожную карту развития продукта и можем с уверенностью теперь говорить о том, что закрываем минимальные требования заказчиков буквально с первой версии.
«Мы даже приняли решение о том, что все, кто купил Log Analyzer, смогут получить бесплатный апгрейд до SIEM»
Появление этого решения становится логичным шагом в развитии Log Analyzer. Планируете ли вы полную замену последнего или же они оба будут какое-то время сосуществовать на рынке?
Иван Чернов: Мы планируем оставить их оба, потому чтоне всем нужен SIEM и в то же время не всем хватает функциональности Log Analyzer. Объективно они решают всё же разные задачи, и именно из этого мы исходим. Таким образом, это — два разных продукта с разной ценой и ценностью.
В качестве яркого примера такой ситуации можно назвать FortiAnalyzer и FortiSIEM. Многим читателям сразу же станет понятно, в чём здесь разница.
У нас есть замечательная возможность бесшовного апгрейда одного решения в другое: когда вы поймёте, что вам уже нужен SIEM, вы просто покупаете ключ, вставляете его в Log Analyzer, и он превращается в SIEM.
Мы даже приняли решение о том, что все, кто купил Log Analyzer, смогут получить бесплатный апгрейд до SIEM, если будет такая потребность.
Рынок SIEM и рынок NGFW — это, пожалуй, два наиболее высококонкурентных сегмента. Высокая конкурентность существует там не за счёт множества зрелых решений, а за счёт количества компаний, которые борются за долю на них — так называемый «красный океан» (red ocean). Почему в таких условиях компания UserGate всё же приняла решение создать свой собственный SIEM, а не заключить партнёрство с коллегами по цеху, у которых, возможно, уже есть свой неплохой готовый продукт этого класса?
Иван Чернов: Первая причина заключается в том, что, как я уже отметил, наш SIEM органически вырос из решения Log Analyzer. Мы создавали продукт для решения задач наших заказчиков, и со временем стало понятно, что он обладает потенциалом SIEM. Наши миссия и ответственность подвели нас к тому, чтобы дать рынку такой продукт.
Во-вторых, решение класса SIEM не столь высокотехнологично, как NGFW, например. По большому счёту, ценность SIEM заключается в экспертизе, и это многие понимают. Партнёрство с кем-то из производителей лишает нас технологического суверенитета, о котором мы постоянно говорим.
Одно дело — позаимствовать чужой исходный код, чтобы просто продавать продукт, и совсем другое — пользоваться чужой экспертизой.
Мы транслируем свою собственную экспертизу нашего центра мониторинга и реагирования. Прямо скажу, она пока не оценена рынком по достоинству.
Именно с помощью нашей собственной экспертизы мы хотим помогать людям. Поэтому все идеи о партнёрстве с другими были отвергнуты ещё в самом начале.
В силу того что мы разрабатываем свежий продукт, мы лишены таких недостатков, как старый код (legacy). Мы сразу начали с современного стека, с современных быстрых баз. Поэтому, когда мы слышим, что «мастодонты» рынка при огромном количестве «железа» выжали 60 000 событий в секунду (EPS), а у нас на средней модели без какого-либо тюнинга — 30 000, а на «большом железе» — 90 000, мы понимаем, что это связано именно с архитектурой решений.
Таким образом мы пришли к созданию нового продукта со свежими идеями, свежими технологиями и с собственной экспертизой. Заказчики только выиграют от появления на рынке SIEM такого сильного игрока, как UserGate. Это заставит расшевелиться закостеневших «мастодонтов», которые сидят на рынке уже много лет и к которым есть очень много претензий.
Это же касается всех больших компаний, которые декларируют создание NGFW. Мы прекрасно понимаем, что это в конечном итоге приведёт к созданию здоровой конкуренции и все от этого выиграют. Новые продукты — это прекрасно.
Возникают разнонаправленные тенденции. Вендоры NGFW идут в сторону SIEM, как компания UserGate, а вендоры SIEM идут в сторону NGFW, как Positive Technologies или «Лаборатория Касперского». У кого из них в этом движении есть преимущество: у тех, кто уже создал SIEM, или у тех, кто уже имеет NGFW?
Иван Чернов: NGFW — это технически сложный продукт. SIEM таковым не является, хотя он, безусловно, тоже не из простых. По уровню технологической зрелости NGFW всегда выше SIEM — просто в силу использования более сложной технологии.
У производителя SIEM есть экспертиза, в то время как у производителя NGFW есть развитые сетевые технологии. Здесь я уже оставлю на суд читателя, что быстрее: накопить экспертизу или развить сетевые технологии.
Лично для меня ответ очевиден: хорошие развитые сетевые технологии создаются годами и десятками лет.
Мы это видим на примерах мировых лидеров. Возьмём четыре замечательные известные компании. Они десятки лет занимаются сетевыми технологиями, и там ещё есть с чем поработать. При этом решения класса SIEM от мировых лидеров отличаются друг от друга не так уж сильно. Там всё понятно по технологиям, там уже борются за экспертизу. Поэтому здорово, что все стремятся занять разные ниши: это означает укрепление рынка, его переконфигурацию, создаёт, как мы уже говорили, здоровую конкуренцию.
Рынок всех расставит по своим местам. Мы занимаемся тем, что помогаем заказчикам обеспечивать безопасность. Мы прикладываем к этому все необходимые усилия и разрабатываем те продукты, которые от нас требуются.
Материал публикуется с разрешения Antimalware, автор Илья Шабанов.
Полный текст статьи читайте на CNews