Возьмем, к примеру, компанию Cisco. У нас, в стратегии развития направления по ИБ (да и не только), присутствует три способа расширения нашего продуктового портфолио:
- Самостоятельная разработка (если позволяет время и нет жесткого прессинга со стороны заказчиков, которым нужно закрыть потребность «здесь и сейчас»).
- Приобретение компании, которая нам интересна и которая укладывается в нашу стратегию. В области ИБ мы за последние 18 лет приобрели более 25 компаний (из последних — Neohapsis, ThreatGRID, Sourcefire, IronPort, Cognitive Security, Virtuata, Meraki…), технологии и решения которых расширили нашу продуктовую линейку.
- Партнерство с эко-партнерами, с которыми мы создаем совместные решения (например, Cisco Cyber Threat Defense с Lancope или система генерации отчетов для решений по контентной безопасности вместе с Splunk).
Разновидностью покупки компании является приобретение технологии или права на ее использование. Но в России придумали пятый путь — взять бесплатный open source продукт и продавать его за большие деньги. Наверное, самым «тиражируемым» решением является система обнаружения атак Snort IDS, распространяемая по лицензии GNU GPLv2 и Non-Commercial Use License, что позволяет применять ее в рамках некоммерческого использования. При этом некоммерческое использование распространяется на ключевой элемент — сигнатуры, разрабатываемые командой Cisco Talos и доступные только по подписке и при условии их личного использования, т.е. нераспространения. Но… это не мешает многим отечественным компаниям использовать Snort в качестве основы для своих систем обнаружения атак, которые затем продаются за большие деньги.
В 2003-м году я написал статью «Можно ли в России создать свою систему обнаружения атак?». И хотя с момента ее публикации прошло уже 12 лет ситуация почти не поменялась. Ведь IDS — это не столько движок по обнаружению атак, сколько регулярность и оперативность обновления сигнатур атак на протяжении длительного времени. А вот писать собственные сигнатуры атак в России в состоянии 2-3 компании, не больше. У большинства просто нет центров исследования угроз, в которых в круглосуточном режиме работают высококлассные эксперты, способные проводить исследования в области ИБ, и формализовать их в виде сигнатур или иных шаблонов действий злоумышленников.
Но заработать-то, особенно на фоне импортозамещения, хочется. Вот и идут некоторые российские разработчики по пути использования уже известных open source решений, на которые «навешивается» русифицированный интерфейс и которые затем продаются под собственной торговой маркой. Сигнатуры же используются общедоступные или, в отдельных случаях, закрытые, купленные по подписке за 300 долларов в год. Никакого собственного интеллекта привнести в такие решения многие российские разработчики, увы, пока не в состоянии. А даже если и возможно некоторое допиливание open source, то вопрос с нарушением лицензии все равно остается — многое ПО распространяется с дополнительными лицензиями, которые не разрешают извлекать прибыль или получать иную выгоду из продуктов, распространяемых по этой лицензии.
Что же делать потребителю в такой ситуации? Как отделить зерна от плевел и понять, что ему не втюхивают бесплатный продукт в дорогой обертке, а предлагают реальное решение задач ИБ заказчика? Если рассматривать системы обнаружения атак или сканеры безопасности (например, на базе OpenVAS), то я бы навскидку выделил бы несколько критериев оценки (специфичных именно для решений на базе open source):
- Число собственных сигнатур/проверок по сравнению с бесплатными / купленными у кого-то.
- Кстати, если число собственных сигнатур/проверок меньше чем в Snort, Bro, Suricata или OpenVAS/Nessus, то есть ли смысл покупать недешевую систему IDS или сканер, если в бесплатной больше сигнатур/проверок?
- Оперативность выпуска сигнатур/проверок для новых атак/уязвимостей.
- Наличие своего исследовательского подразделения. Надо заметить, что тут важен не только сам факт его наличия (навесить вывеску можно на что угодно), а демонстрация его работы. Обычно он выражается в виде фидов Threat Intelligence или бюллетеней с описанием обнаруженных проблем. И тут важно оценивать также длительность работы этого подразделения. А то получится, что существует оно всего неделю и весь результат его работы — это переведенный на русский язык один единственный доклад с какого-нибудь Defcon или BlackHat.
- Гарантии устранения ошибок / уязвимостей в коде проданного решения. Сделать это в отношение open source и легко и сложно одновременно. Если это делается независимо от основной ветви развития продукта, то может сложиться ситуация, когда проданное решение уже не будет стыковаться с общепризнанным open source решением и не сможет использовать его сигнатуры или иные компоненты в случае изменения архитектуры или иных частей кода. А если разработчики проданного решения на базе open source, активно вовлечены в развитие основного кода (на базе которого они и сделали свое решение), то достаточно просмотреть форумы техподдержки, чтобы понять, насколько вовлечены отечественные разработчики в жизнь используемого ими решения.
