12.03.2015

Импортозамещение в ИБ или очковтирательство?

После публикации в блоге презентации про домотканые средства защиты в Facebook были предсказуемые "наезды" со стороны различных представителей отечественных компаний, которые заявляли, что их незаслуженно забыли и не включили в список продуктов отечественного производства. Ожидаемо... Еще на семинаре RISC я высказал предложение, что каждый желающий может использовать эту презентацию так как считает нужным, добавляя и убавляя продукты по своему желанию. Так что любой производитель может сделать свой вариант этого списка. Я же хотел сегодня поговорить немного о другом, а точнее о том, как в России придумали собственную стратегию развития бизнеса, паразитирующую на open source.

Возьмем, к примеру, компанию Cisco. У нас, в стратегии развития направления по ИБ (да и не только), присутствует три способа расширения нашего продуктового портфолио:
  • Самостоятельная разработка (если позволяет время и нет жесткого прессинга со стороны заказчиков, которым нужно закрыть потребность "здесь и сейчас").
  • Приобретение компании, которая нам интересна и которая укладывается в нашу стратегию. В области ИБ мы за последние 18 лет приобрели более 25 компаний (из последних - Neohapsis, ThreatGRID, Sourcefire, IronPort, Cognitive Security, Virtuata, Meraki...), технологии и решения которых расширили нашу продуктовую линейку.
  • Партнерство с эко-партнерами, с которыми мы создаем совместные решения (например, Cisco Cyber Threat Defense с Lancope или система генерации отчетов для решений по контентной безопасности вместе с Splunk).


Разновидностью покупки компании является приобретение технологии или права на ее использование. Но в России придумали пятый путь - взять бесплатный open source продукт и продавать его за большие деньги. Наверное, самым "тиражируемым" решением является система обнаружения атак Snort IDS, распространяемая по лицензии GNU GPLv2 и Non-Commercial Use License, что позволяет применять ее в рамках некоммерческого использования. При этом некоммерческое использование распространяется на ключевой элемент - сигнатуры, разрабатываемые командой Cisco Talos и доступные только по подписке и при условии их личного использования, т.е. нераспространения. Но... это не мешает многим отечественным компаниям использовать Snort в качестве основы для своих систем обнаружения атак, которые затем продаются за большие деньги.

В 2003-м году я написал статью "Можно ли в России создать свою систему обнаружения атак?". И хотя с момента ее публикации прошло уже 12 лет ситуация почти не поменялась. Ведь IDS - это не столько движок по обнаружению атак, сколько регулярность и оперативность обновления сигнатур атак на протяжении длительного времени. А вот писать собственные сигнатуры атак в России в состоянии 2-3 компании, не больше. У большинства просто нет центров исследования угроз, в которых в круглосуточном режиме работают высококлассные эксперты, способные проводить исследования в области ИБ, и формализовать их в виде сигнатур или иных шаблонов действий злоумышленников.

Но заработать-то, особенно на фоне импортозамещения, хочется. Вот и идут некоторые российские разработчики по пути использования уже известных open source решений, на которые "навешивается" русифицированный интерфейс и которые затем продаются под собственной торговой маркой. Сигнатуры же используются общедоступные или, в отдельных случаях, закрытые, купленные по подписке за 300 долларов в год. Никакого собственного интеллекта привнести в такие решения многие российские разработчики, увы, пока не в состоянии. А даже если и возможно некоторое допиливание open source, то вопрос с нарушением лицензии все равно остается - многое ПО распространяется с дополнительными лицензиями, которые не разрешают извлекать прибыль или получать иную выгоду из продуктов, распространяемых по этой лицензии.

Что же делать потребителю в такой ситуации? Как отделить зерна от плевел и понять, что ему не втюхивают бесплатный продукт в дорогой обертке, а предлагают реальное решение задач ИБ заказчика? Если рассматривать системы обнаружения атак или сканеры безопасности (например, на базе OpenVAS), то я бы навскидку выделил бы несколько критериев оценки (специфичных именно для решений на базе open source):
  • Число собственных сигнатур/проверок по сравнению с бесплатными / купленными у кого-то.
    • Кстати, если число собственных сигнатур/проверок меньше чем в Snort, Bro, Suricata или OpenVAS/Nessus, то есть ли смысл покупать недешевую систему IDS или сканер, если в бесплатной больше сигнатур/проверок?
  • Оперативность выпуска сигнатур/проверок для новых атак/уязвимостей.
  • Наличие своего исследовательского подразделения. Надо заметить, что тут важен не только сам факт его наличия (навесить вывеску можно на что угодно), а демонстрация его работы. Обычно он выражается в виде фидов Threat Intelligence или бюллетеней с описанием обнаруженных проблем. И тут важно оценивать также длительность работы этого подразделения. А то получится, что существует оно всего неделю и весь результат его работы - это переведенный на русский язык один единственный доклад с какого-нибудь Defcon или BlackHat.
  • Гарантии устранения ошибок / уязвимостей в коде проданного решения. Сделать это в отношение open source и легко и сложно одновременно. Если это делается независимо от основной ветви развития продукта, то может сложиться ситуация, когда проданное решение уже не будет стыковаться с общепризнанным open source решением и не сможет использовать его сигнатуры или иные компоненты в случае изменения архитектуры или иных частей кода. А если разработчики проданного решения на базе open source, активно вовлечены в развитие основного кода (на базе которого они и сделали свое решение), то достаточно просмотреть форумы техподдержки, чтобы понять, насколько вовлечены отечественные разработчики в жизнь используемого ими решения.
На самом деле критериев должно быть больше. Это и финансовая стабильность поставщика, и наличие сертификатов (для определенных ситуаций), и длительность существования компании на рынке, и квалификация персонала (хотя оценивать ее непросто), и т.д. Неслучайно те же Gartner, Forrester, IDC и другие аналитические компании используют целый спектр по оценке того или иного сегмента рынка средств защиты, не ограничиваясь только функциональностью того или иного продукта, но и оценивая его производителя по куче разных показателей. Я же хотел только показать всего несколько критериев, по которым можно отделить действительно серьезного игрока рынка ИБ (пусть и использующего open source в своей основе), от фирмы-однодневки, желающей по быстрому "срубить бабла" на волне импортозамещения.

ЗЫ. Оценивать SIEM на базе open source чуть сложнее, но общие рассуждения остаются неизменными. Разработчикам стоит показать, что нового они привнесли в скачанный из Интернета OpenSOC или OSSIM.