Можно ли построить ИБ только на российских разработках?
В 2022 году импортозамещение из фонового процесса перешло в ряд приоритетных задач всей ИТ-отрасли. Геополитические изменения спровоцировали рост числа и интенсивности кибератак. Эти факторы способствовали осознанию необходимости в обеспечении киберустойчивости бизнеса. Как следствие, информационная безопасность стала обретать ключевое значение и при планировании новых процессов и сервисов. Каких решений не хватает российскому рынку ИБ, можно ли сегодня обеспечить киберустойчивость предприятий на отечественных продуктах и как безопасно использовать OpenSource-компоненты?
Российские ИБ-решения не отстают от зарубежных
Традиционно в число лидеров отечественного рынка средств защиты информации входили и зарубежные производители. Многие российские разработчики равнялись на best practices иностранных коллег и совершенствовали свои решения на их основе. Предшествовавшая текущему году активность западных вендоров в отдельных областях экспертизы — как пример, в части решений на стыке сетевой инфраструктуры и обеспечения её безопасности — сдерживала инициативы российских разработчиков в этих сегментах, тем самым провоцируя технологическое отставание. При этом современные продуктовые портфели российских производителей включают практически весь необходимый набор как базовых средств защиты информации, так и средств, предназначенных для зрелых систем защиты инфраструктур. Если сравнивать продукты не по потребностям, инспирированным наборами функций зарубежных решений, а по реальной способности противостоять кибератакам, то наши решения не отстают от зарубежных.
Пространство для развития
Однако с уходом иностранных производителей все же стал актуальным вопрос разработки отдельных решений, например, отечественных межсетевых экранов класса next generation firewall (NGFW). Конечно, нельзя игнорировать того факта, что на рынке уже есть предложения, но с точки зрения уровня, заданного зарубежными производителями, еще есть что совершенствовать. В частности, из-за отсутствия производственных мощностей для создания полностью технологически независимых программно-аппаратных комплексов высокой производительности. Это связано в первую очередь с низким уровнем развития отечественной элементной базы, активизация разработок которой как научно-исследовательских, так и опытно-конструкторских, должна стать фокусом на ближайшие годы и длительный горизонт времени. В остальном у российских специалистов есть и соответствующая экспертиза, и готовые решения всех необходимых для современной системы защиты классов: NTA/NDR, EDR, SIEM, Anti-DDOS, Deception, DBF, сервисы Threat Intelligence, аналитические платформы и IRP/SOAR. Поэтому какую-то серьезную нехватку, причем скорее не нехватку, а необходимость переучивать сотрудников, стоит ожидать в отношении импортозамещения программного обеспечения иных сегментов, к примеру, офисного. С учетом перечисленного, сегодня вполне можно говорить о реалистичности построения системы ИБ полностью на российских разработках.
ИБ и Open Source. Предотвращаем риски
С уходом зарубежных вендоров и в контексте импортозамещения невозможно также игнорировать рост заинтересованности производителей в Open Source-разработках. Компоненты с открытым исходным кодом имеют преимущество перед проприетарными в связи со своей доступностью. Однако здесь есть и недостатки в виде рисков. Нет гарантий, что этой области не коснутся санкции и пользователями из нашей страны не перекроют доступ к репозиториям, кроме того, всегда есть и будет опасность наличия malware в массиве открытого кода.
Если первый риск не предотвратить, к потенциальным ограничениям можно только подготовиться в рамках предусмотренных контрмер, то во втором случае поможет аудит. Он должен начинаться еще на этапе принятия решения. Репозитории отличаются многообразием, одни менее популярны, другие — более, у всех своя репутация. При этом даже в случае выбора достаточно доверенного репозитория организовать процедуру такого аудита весьма сложно, особенно если речь идет о многокомпонентном ПО. Одна библиотека, реализующая набор конкретных функций, может содержать зависимости от тысяч иных пакетов, в каждом из которых в итоге может содержаться вредоносная закладка.
Необходимо определиться, какую из версий ПО считать «чистой», включая все зависимости — как правило, ПО с открытым исходным кодом доступно для скачивания в том числе на несколько версий «назад», включая релизы, наиболее стабильные и проверенные сообществом и «в бою». Затем при любом даже самом минимальном обновлении необходимо производить исследование изменений, сопоставляя с «эталонной» версией. Чтобы каждый раз при работе с Open Source не проводить глубокий аудит, можно зафиксировать основные функциональные ветви кода и применять только ключевые обновления безопасности. Такой подход работает в том случае, если вас не интересуют новопривносимые функции, а необходим для переиспользования только основной их набор.
Наиболее явной потребность в аудите стала в свете геополитических событий и их последствий в Глобальной сети. Многие репозитории были скомпрометированы отдельными контрибьюторами, которые не нашли ничего лучше, чем вставить в программные пакеты вывод политических лозунгов на экран. Еще один пример – стирание содержимого постоянной памяти (дискового накопителя) при запуске ПО в России или Беларуси. Рекомендовать в такой ситуации довериться программному обеспечению по старым принципам открытости Open Source-сообщества, не проводя скрупулезного аудита, нельзя.
Ответственность за безопасность Open Source
В этой связи также интересен вопрос новых принципов работы с исходным кодом Open Source-проектов и со стороны сообщества. Пользователи программного обеспечения с открытым исходным кодом зачастую являются его соавторами. В таком контексте ответственность следует делить. Если, конечно, у ПО нет «ключевого владельца», то есть автора большинства изменений. Это субъект, который контролирует политику лицензирования, создание отдельных функциональных ветвей и управляет сообществом вокруг конкретного ПО. В таком случае ответственность больше ложится на его плечи. Однако идеология Open Source в целом предполагает благосклонность участников по отношению друг к другу, поэтому все же отвечают за «издержки» все, причем работая в некоторой степени на опережение. Так, в начале года сообщество отечественных технарей создало объединенный трекер внесения злоумышленниками вредоносных изменений в открытый исходный код. Этот ресурс используется в том числе для оперативного сообщения владельцам репозиториев об активности злоумышленников, подрывающих доверие к проектам, и борьбы с ними.
Итак, сегодняшний российский рынок ИБ вполне может обеспечить бизнес всеми инструментами для поддержки киберустойчивости. Задача, которую еще предстоит решать, в том числе на государственном уровне — создание материальной базы для производства «железа». Необходимо наращивать компетенции и экспертизу, выстраивать цепочки производства и новые цепочки поставок, совершенствовать (и инициировать!) разработки, чтобы быть готовыми к тому, что политические события могут ограничить использование практически любого ресурса. По сути, стране предстоит «новая индустриализация», в том числе в отраслях электроники и информационных технологий, и критически важно всем отраслевым игрокам прийти к этому пониманию и начать сотрудничать в достижении общей цели — технологического суверенитета.
Опубликовано 21.12.2022