Стандарты как основа выбора решений
В современной цифровой экономике информационная безопасность — это не набор отдельных инструментов, а целостная архитектура, построенная на единых принципах и стандартах. Для тех, кто проектирует и внедряет ИТ-инфраструктуры, понимание этих основ — обязательное условие объективного сравнения решений. Без общей системы координат любая оценка продуктов — будь то российский NGFW, американский VMS или европейская SIEM-система — рискует оказаться субъективной и несопоставимой.
Ключевую роль в формировании этой системы координат играют рекомендации Международного союза электросвязи (ITU-T). Например, рекомендация X.1205 дает общее определение кибербезопасности и предлагает классификацию угроз по сетевым уровням. Это напрямую влияет на работу систем управления уязвимостями (VMS), задавая им структуру для построения моделей угроз. Другой важный документ — X.805 — определяет архитектурную модель с зонами безопасности и границами доверия. Именно на этих принципах строятся политики межсетевых экранов и стратегии развертывания VMS.
Особое значение имеет серия рекомендаций X.1520–X.1539, посвященная обмену информацией об уязвимостях. X.1520 стандартизирует использование идентификаторов CVE (Common Vulnerabilities and Exposures), которые стали глобальным языком для описания известных уязвимостей. Любой современный VMS, чтобы быть эффективным, должен уметь работать с CVE-репозиториями, такими как NVD от MITRE. Поддержка этого стандарта — не опция, а необходимое условие для интеграции в единое информационное пространство безопасности.
Если ITU-T задает архитектурные рамки, то практические руководства часто исходят от Национального института стандартов и технологий США (NIST). Его рекомендация SP 800-41 по межсетевым экранам определяет базовые требования к их функциональности: фильтрация пакетов, управление правилами, ведение логов, интеграция с другими компонентами защиты. Эти требования стали отправной точкой для оценки любого NGFW — независимо от страны происхождения. Аналогично, NIST SP 800-53 предоставляет исчерпывающий набор контрольных параметров, который часто используется как эталон при валидации функциональности систем безопасности.
Стандарты ISO/IEC формируют другой важный пласт требований. ISO/IEC 27034 «Application Security» вводит концепцию Application Security Controls — конкретных мер по предотвращению уязвимостей на всех этапах разработки ПО. Это напрямую влияет на современные VMS, которые всё чаще должны интегрироваться в DevSecOps-процессы, автоматически проверяя код на соответствие этим контролям. Поддержка ISO/IEC 27034 — признак зрелости платформы и её способности работать в динамичных средах, где разработка и выпуск ПО происходят непрерывно.
Однако глобальные стандарты не отменяют региональных регуляторных требований, которые всё чаще определяют применимость решений. В Европейском Союзе вступление в силу регламентов NIS2 и Cyber Resilience Act, а также запуск единой системы сертификации EUCC, меняет правила игры. С февраля 2025 года EUCC-сертификат станет необходимым условием для использования многих ICT-продуктов на рынке ЕС. Это создаёт естественное преимущество для европейских производителей и усложняет доступ для внешних.
В России действует собственная регуляторная система, возглавляемая ФСТЭК и ФСБ. Производители, такие как Positive Technologies и «Лаборатория Касперского», уделяют первостепенное внимание соответствию национальным нормативным актам, таким как Приказ №17 ФСТЭК. Это гарантирует их решениям легитимность на внутреннем рынке и определяет их архитектуру, ориентированную на защиту от угроз, актуальных для российской реальности. Поэтому при выборе оборудования и ПО мы всегда учитываем не только технические характеристики, но и соответствие местным законодательным и регуляторным требованиям.
| Стандарт / Регулятор | Организация | Ключевые области применения | Влияние на VMS и NGFW |
| ITU-T X.1205 | Международный союз электросвязи | Общее определение кибербезопасности, классификация угроз | Формирует основу для моделей угроз в VMS, определяет уровни анализа уязвимостей |
| ITU-T X.805 | Международный союз электросвязи | Архитектура безопасности, зоны безопасности, границы доверия | Задает архитектурные принципы для VMS и проектирования политик NGFW |
| ITU-T X.1520 | Международный союз электросвязи | Стандартизация обмена информацией о уязвимостях (CVE) | Становится обязательным стандартом для интеграции VMS с внешними источниками данных |
| NIST SP 800-41 Rev. 1 | Национальный институт стандартов и технологий США | Руководство по межсетевым экранам и политикам | Определяет базовые технические и политические требования к функциональности NGFW |
| ISO/IEC 27034 | Международная организация по стандартизации | Безопасность приложений (SDLC), Application Security Controls (ASC) | Определяет лучшие практики для интеграции VMS в DevSecOps, повышает зрелость платформы |
| EUCC | Европейский Союз | Сертификация ICT-продуктов | Становится обязательным требованием для выхода на рынок ЕС с 2025 года |
| NIS2 Directive | Европейский Союз | Киберрезилиентность для критических секторов | Устанавливает повышенные требования к системам мониторинга и управления уязвимостями |
| Приказ № 17 ФСТЭК РФ | Федеральная служба по техническому и экспортному контролю России | Информационная защита в государственных информационных системах | Определяет функциональные требования к решениям ИБ, используемым в госсекторе и критической инфраструктуре |
Системы управления уязвимостями прошли долгий путь от простого инструмента для сканирования сетей до центрального элемента стратегии безопасности. Сегодня ключевой задачей стало не просто найти уязвимости, а оценить их реальный риск для бизнеса. Это смещение фокуса с количества на контекст и вероятность эксплуатации привело к появлению новой концепции — «управления экспозицией» (Exposure Management).
Лидирующие мировые производители уже переходят на этот подход. Вместо длинного списка CVE они стремятся ответить на практический вопрос: какие уязвимости на самом деле опасны для конкретной инфраструктуры? Для этого используются данные о вероятности эксплуатации (например, система EPSS), которые дополняют традиционную оценку ущерба по CVSS. Платформы начинают анализировать не изолированные компоненты, а всю ИТ-инфраструктуру в целом — от физических серверов до облачных сред и SaaS-приложений.
Глубокая интеграция с системами анализа угроз (Threat Intelligence) — ещё один важный тренд. Современные VMS активно потребляют внешние данные о текущих атаках, тактиках злоумышленников и вредоносном ПО. Например, Kaspersky предлагает структурированные фиды данных об уязвимостях, которые могут быть интегрированы в SIEM или SOAR-системы. Эти фиды содержат не просто идентификаторы CVE, а уникальные идентификаторы, объединяющие несколько уязвимостей, пути их устранения и даже хеши связанных эксплойтов.
Адаптация к облачным и гибридным средам стала обязательным требованием. Традиционные VMS, ориентированные на статичные сети, не справляются с динамичной природой облака. Поэтому решения от Palo Alto Networks, SentinelOne или Rapid7 предлагают непрерывное сканирование облачных ресурсов (виртуальных машин, контейнеров, serverless-функций) и автоматическое обнаружение новых активов. Они также включают функции CSPM (Cloud Security Posture Management) для проверки соответствия облачных конфигураций стандартам безопасности и интеграции в CI/CD-пайплайны.
На мировом рынке доминируют американские компании — IBM, Qualys, Rapid7, Tenable. Они предлагают зрелые, функционально насыщенные платформы для крупного бизнеса. Российские вендоры, такие как Positive Technologies и «Лаборатория Касперского», также развивают свои решения в этой области. Их отличительная черта — ориентация на российский рынок и угрозный ландшафт. Positive Technologies, например, позиционирует свои продукты как «мета-решения», снижающие зависимость от человеческого фактора, а «Лаборатория Касперского» подчеркивает соответствие международным стандартам безопасности.
| Характеристика | Традиционный VMS | Современный Exposure Management |
| Основная цель | Обнаружение и отчетность по CVE | Оценка и минимизация бизнес-рисков, связанных с уязвимостями |
| Методология | Перечисление уязвимостей | Анализ экспозиции в контексте всего IT-ландшафта |
| Интеграция | Часто изолированный инструмент | Глубокая интеграция с SIEM, SOAR, облачными платформами, DevSecOps |
| Оценка риска | На основе CVSS | Комбинированная оценка, учитывающая вероятность эксплуатации и бизнес-воздействие |
| Облачные среды | Ограниченная поддержка | Центральная часть функциональности, непрерывное сканирование VM, контейнеров, serverless |
| Примеры решений | Nessus, Qualys Scanner | Rapid7 Insight Platform, Tenable.io, SentinelOne Singularity™, WithSecure Elements XM |
NGFW — это не просто брандмауэр, а комплексная платформа, объединяющая IPS, антивирус, фильтрацию URL, анализ трафика на уровне приложений и многое другое. Рынок NGFW демонстрирует два основных подхода: унифицированные платформы для масштабируемого управления и решения, делающие ставку на передовые технологии, такие как ИИ и машинное обучение.
Американская компания Fortinet является ярким примером первого подхода. Её ключевое преимущество — единая операционная система FortiOS для всех устройств: от компактных моделей для удалённых офисов до мощных систем для центров обработки данных и облачных реализаций. Это обеспечивает беспрецедентное упрощение управления и снижение TCO. Fortinet также использует собственные чипы для ускорения сетевых функций, что подтверждается высокими результатами в независимых тестах.
Другой американский лидер, Palo Alto Networks, делает акцент на глубокой интеграции в экосистему Cortex, включающую XDR и облачный песочник WildFire. Их NGFW известны технологиями App-ID, User-ID и Content-ID, позволяющими анализировать трафик на глубоком уровне. Компания заявляет о самом широком покрытиии матрицы MITRE ATT&CK среди всех производителей, что свидетельствует о её способности противостоять разнообразным тактикам атак.
Китайская компания Sangfor представляет третий подход, активно используя искусственный интеллект и машинное обучение для повышения точности обнаружения угроз и снижения ложных срабатываний. Их NGFW — это интегрированный шлюз безопасности, объединяющий функции NGFW, VPN, балансировщика нагрузки и WAF. Однако за пределами Азиатско-Тихоокеанского региона их поддержка и документация могут быть менее развиты.
Реальная эффективность NGFW невозможно оценить только по маркетинговым заявлениям. Независимые тесты, такие как те, что проводятся NSS Labs, показывают серьёзные различия в реальной защите. Некоторые устройства лидирующих брендов в сценариях эвазии (обхода защиты) показывают критически низкие результаты. Кроме того, производительность многих NGFW резко падает при включении расшифровки TLS/SSL, а точность фильтрации может быть недостаточной, что приводит к большому числу ложных срабатываний.
| Критерий | Fortinet (США) | Palo Alto Networks (США) | Sangfor (Китай) |
| Ключевое преимущество | Единая OS для всех платформ, унификация управления | Глубокая интеграция в экосистему Cortex, широкое покрытие угроз | Использование AI/ML для повышения эффективности защиты |
| Функциональность | NGFW, SD-WAN, ZTNA, SWG, CASB, DLP | App-ID, User-ID, Content-ID, WildFire, Deep Learning AV | NGFW, IPS, Anti-APT, VPN, WAF, Load Balancing |
| Производительность (по независимым тестам) | FortiGate-900G: 98.21%; FortiGate-200G: 94.65% | PA-1410: 46.37%; PA-450: 96.36% | Данные в открытых источниках отсутствуют |
| Ценообразование | От 300–600 USD (SMB) до 40,000+ USD (Enterprise) | От 1,000–1,800 USD (Branch) до 200,000+ USD (PA-7500) | Данные в открытых источниках отсутствуют |
| Сильные стороны | Масштабируемость, простота управления, высокая производительность | Глубина анализа, интеграция с XDR, широкое покрытие угроз | Инновационные технологии (AI/ML), комплексное решение |
| Слабые стороны | — | Низкая эффективность против некоторых видов атак, высокая цена | Меньше развитая документация и поддержка за пределами АТР |
Российский рынок ИБ развивается по уникальному пути, где технологические решения тесно связаны с национальным регуляторным контекстом и спецификой угроз. Решения от российских производителей, таких как Positive Technologies, проектируются не просто для соответствия формальным требованиям ФСТЭК, а для эффективной защиты от атак, которые действительно происходят в российском сегменте.
Яркий пример — запуск Positive Technologies NextGen Firewall (PT NGFW) в конце 2024 года. Этот продукт был создан как прямой ответ на резкий рост кибератак на российские организации. Анализ показал, что объём атак в первой половине 2024 года сравнялся с итогами всего 2022 года. PT NGFW включает стандартный для NGFW набор функций, но его истинная сила — в том, что он настроен на выявление конкретных тактик, используемых против российских компаний: от хактивистских групп до APT-атак и использования легитимных инструментов удалённого доступа в злонамеренных целях.
Другой российский вендор, InfoWatch, хотя и специализируется на DLP-решениях, демонстрирует подходы, актуальные и для NGFW. Их Traffic Monitor построен на принципе полной автономности: все данные остаются внутри инфраструктуры клиента. Это полностью соответствует требованиям к суверенитету данных. InfoWatch использует машинное обучение для предиктивной аналитики и обнаружения аномалий в поведении пользователей, что позволяет выявлять скрытые угрозы без чётких сигнатур.
Соответствие Приказу №17 ФСТЭК — не формальность, а гарантия того, что решение будет легально использоваться в государственных и критически важных организациях. Positive Technologies, например, показало, что его средства защиты покрывают значительную часть требований этого документа. При этом российские компании уже давно работают на глобальном уровне, помогая таким гигантам, как Apple, Cisco и Microsoft, обнаруживать и устранять критические уязвимости. Это подтверждает высокий уровень их компетенций и способность решать самые сложные задачи.
| Характеристика | Российские NGFW (на примере PT NGFW) | Американские/Eвропейские NGFW |
| Основной драйвер разработки | Противодействие росту локальных кибератак (рост с 2022 г.) | Доминирование на глобальном рынке, соответствие международным стандартам |
| Учитываемые угрозы | Хактивизм, APT-атаки, использование легитимных инструментов (AnyDesk, TeamViewer) | Широкий спектр глобальных угроз, покрытие матрицы MITRE ATT&CK |
| Соответствие регуляторике | Первостепенное внимание к требованиям ФСТЭК (Приказ № 17) и ФСБ | Соответствие международным стандартам (ISO/IEC 27001) |
| Ключевые технологии | Интеграция с Threat Intelligence, основанная на анализе российских угроз | Глубокий анализ L7, AI/ML, интеграция с платформами XDR/Cortex |
| Рыночная позиция | Лидер на внутреннем рынке благодаря соответствию регуляторике и пониманию угроз | Лидеры на глобальном рынке благодаря технологическому превосходству |
Глобальный рынок ИБ — это арена, где доминируют американские компании. Они получают значительное венчурное финансирование, лидируют в рейтингах Gartner и Forrester, и их продукты устанавливают «золотой стандарт» для всей отрасли. Fortinet и Palo Alto Networks не просто продают оборудование — они создают целые экосистемы безопасности, которые охватывают все слои защиты.
Европейский рынок, напротив, страдает от фрагментации и недостатка масштабных игроков. Однако ситуация может измениться с введением единой системы сертификации EUCC. Это может стать катализатором для роста европейских производителей, дав им преимущество на внутреннем рынке и стимул для развития собственных технологий.
Азиатские компании, в частности китайская Sangfor, демонстрируют впечатляющий рост, делая ставку на инновации. Их стратегия — предложить интегрированное, технологически продвинутое и экономически выгодное решение, особенно для развивающихся рынков. Однако их глобальное присутствие пока ограничено.
Выбирая решения по информационной безопасности, мы всегда руководствуемся следующими принципами.
Во-первых, регуляторная среда — это основа. Для российских клиентов в госсекторе или на критической инфраструктуре приоритетом остаются решения, прошедшие сертификацию ФСТЭК. Они не только легальны, но и адаптированы под реальные угрозы. Для европейских клиентов всё большее значение приобретает соответствие EUCC.
Во-вторых, мы оцениваем зрелость платформы. Современный VMS должен не просто сканировать, а управлять экспозицией, понимая контекст уязвимостей. Для NGFW критически важны результаты независимых тестов на производительность и эффективность защиты, особенно в сценариях с расшифровкой трафика и против эвазии.
В-третьих, выбор всегда делается под конкретную угрозу. Нет универсального «самого лучшего» решения. Если задача — защита от целевых атак, выбираем платформу с глубокой интеграцией и широким покрытием MITRE ATT&CK. Если нужно контролировать данные внутри сети — обращаем внимание на решения с функциями UBA и DLP.
И, наконец, мы не верим на слово. Маркетинговые материалы и рейтинги — это хорошо, но решающее значение имеют фактические данные из независимых лабораторий. Только комплексный подход, сочетающий понимание регуляторики, технологической зрелости, специфики угроз и объективных тестов, позволяет предложить клиенту решение, которое будет работать на самом деле, а не только на бумаге.