Импортозамещение в ИБ или очковтирательство?

Разное
После публикации в блоге презентации про домотканые средства защиты в Facebook были предсказуемые «наезды» со стороны различных представителей отечественных компаний, которые заявляли, что их незаслуженно забыли и не включили в список продуктов отечественного производства. Ожидаемо… Еще на семинаре RISC я высказал предложение, что каждый желающий может использовать эту презентацию так как считает нужным, добавляя и убавляя продукты по своему желанию. Так что любой производитель может сделать свой вариант этого списка. Я же хотел сегодня поговорить немного о другом, а точнее о том, как в России придумали собственную стратегию развития бизнеса, паразитирующую на open source.

Возьмем, к примеру, компанию Cisco. У нас, в стратегии развития направления по ИБ (да и не только), присутствует три способа расширения нашего продуктового портфолио:

  • Самостоятельная разработка (если позволяет время и нет жесткого прессинга со стороны заказчиков, которым нужно закрыть потребность «здесь и сейчас»).
  • Приобретение компании, которая нам интересна и которая укладывается в нашу стратегию. В области ИБ мы за последние 18 лет приобрели более 25 компаний (из последних — Neohapsis, ThreatGRID, Sourcefire, IronPort, Cognitive Security, Virtuata, Meraki…), технологии и решения которых расширили нашу продуктовую линейку.
  • Партнерство с эко-партнерами, с которыми мы создаем совместные решения (например, Cisco Cyber Threat Defense с Lancope или система генерации отчетов для решений по контентной безопасности вместе с Splunk).

Разновидностью покупки компании является приобретение технологии или права на ее использование. Но в России придумали пятый путь — взять бесплатный open source продукт и продавать его за большие деньги. Наверное, самым «тиражируемым» решением является система обнаружения атак Snort IDS, распространяемая по лицензии GNU GPLv2 и Non-Commercial Use License, что позволяет применять ее в рамках некоммерческого использования. При этом некоммерческое использование распространяется на ключевой элемент — сигнатуры, разрабатываемые командой Cisco Talos и доступные только по подписке и при условии их личного использования, т.е. нераспространения. Но… это не мешает многим отечественным компаниям использовать Snort в качестве основы для своих систем обнаружения атак, которые затем продаются за большие деньги.

В 2003-м году я написал статью «Можно ли в России создать свою систему обнаружения атак?». И хотя с момента ее публикации прошло уже 12 лет ситуация почти не поменялась. Ведь IDS — это не столько движок по обнаружению атак, сколько регулярность и оперативность обновления сигнатур атак на протяжении длительного времени. А вот писать собственные сигнатуры атак в России в состоянии 2-3 компании, не больше. У большинства просто нет центров исследования угроз, в которых в круглосуточном режиме работают высококлассные эксперты, способные проводить исследования в области ИБ, и формализовать их в виде сигнатур или иных шаблонов действий злоумышленников.

Но заработать-то, особенно на фоне импортозамещения, хочется. Вот и идут некоторые российские разработчики по пути использования уже известных open source решений, на которые «навешивается» русифицированный интерфейс и которые затем продаются под собственной торговой маркой. Сигнатуры же используются общедоступные или, в отдельных случаях, закрытые, купленные по подписке за 300 долларов в год. Никакого собственного интеллекта привнести в такие решения многие российские разработчики, увы, пока не в состоянии. А даже если и возможно некоторое допиливание open source, то вопрос с нарушением лицензии все равно остается — многое ПО распространяется с дополнительными лицензиями, которые не разрешают извлекать прибыль или получать иную выгоду из продуктов, распространяемых по этой лицензии.

Что же делать потребителю в такой ситуации? Как отделить зерна от плевел и понять, что ему не втюхивают бесплатный продукт в дорогой обертке, а предлагают реальное решение задач ИБ заказчика? Если рассматривать системы обнаружения атак или сканеры безопасности (например, на базе OpenVAS), то я бы навскидку выделил бы несколько критериев оценки (специфичных именно для решений на базе open source):

  • Число собственных сигнатур/проверок по сравнению с бесплатными / купленными у кого-то.
    • Кстати, если число собственных сигнатур/проверок меньше чем в Snort, Bro, Suricata или OpenVAS/Nessus, то есть ли смысл покупать недешевую систему IDS или сканер, если в бесплатной больше сигнатур/проверок?
  • Оперативность выпуска сигнатур/проверок для новых атак/уязвимостей.
  • Наличие своего исследовательского подразделения. Надо заметить, что тут важен не только сам факт его наличия (навесить вывеску можно на что угодно), а демонстрация его работы. Обычно он выражается в виде фидов Threat Intelligence или бюллетеней с описанием обнаруженных проблем. И тут важно оценивать также длительность работы этого подразделения. А то получится, что существует оно всего неделю и весь результат его работы — это переведенный на русский язык один единственный доклад с какого-нибудь Defcon или BlackHat.
  • Гарантии устранения ошибок / уязвимостей в коде проданного решения. Сделать это в отношение open source и легко и сложно одновременно. Если это делается независимо от основной ветви развития продукта, то может сложиться ситуация, когда проданное решение уже не будет стыковаться с общепризнанным open source решением и не сможет использовать его сигнатуры или иные компоненты в случае изменения архитектуры или иных частей кода. А если разработчики проданного решения на базе open source, активно вовлечены в развитие основного кода (на базе которого они и сделали свое решение), то достаточно просмотреть форумы техподдержки, чтобы понять, насколько вовлечены отечественные разработчики в жизнь используемого ими решения.
На самом деле критериев должно быть больше. Это и финансовая стабильность поставщика, и наличие сертификатов (для определенных ситуаций), и длительность существования компании на рынке, и квалификация персонала (хотя оценивать ее непросто), и т.д. Неслучайно те же Gartner, Forrester, IDC и другие аналитические компании используют целый спектр по оценке того или иного сегмента рынка средств защиты, не ограничиваясь только функциональностью того или иного продукта, но и оценивая его производителя по куче разных показателей. Я же хотел только показать всего несколько критериев, по которым можно отделить действительно серьезного игрока рынка ИБ (пусть и использующего open source в своей основе), от фирмы-однодневки, желающей по быстрому «срубить бабла» на волне импортозамещения.

ЗЫ. Оценивать SIEM на базе open source чуть сложнее, но общие рассуждения остаются неизменными. Разработчикам стоит показать, что нового они привнесли в скачанный из Интернета OpenSOC или OSSIM.
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).