Уход западных вендоров и сложная экономическая ситуация в стране изменили рынок средств информационной безопасности в России. С одной стороны, уменьшился выбор, с другой стороны, множество российских вендоров стали предлагать свои решения, которые не всегда по функциональности соответствуют зарубежным аналогам. В такой ситуации многие потребители задумываются о переходе на open source в надежде сэкономить или получить недоступный пока на рынке функционал. Но все ли так просто?
Стал ли OpenSource более популярным в РФ, стал ли он менее безопасным?
По мнению приглашенных экспертов, сам опенсорс особого витка развития не получил, он живет “своей жизнью”. Основными двигателями развития опенсорса являются enterprise компании, которые пилотируют свои решения, сообщества и энтузиасты. В этом плане мало что поменялось.
При этом в сфере именно информационной безопасности особых подвижек нет. Компании, специализирующиеся на разработке ПО, пристально обращают на него внимание именно потому, что традиционно использовали его как источник дохода, разрабатывая на его основе коммерческие продукты.
С точки зрения частоты использования изменения действительно есть, потому что в перед потребителем теперь стоит выбор: купить что-то российское проприетарное (с которым тоже далеко не всё радужно) или купить специалистов, которые сделают аналог на опенсорсе.
Однако в продакшн средах, особенно в России, опенсорс стал использоваться гораздо чаще. При этом массовый переход на опенсорс отмечается именно в сегменте малого и среднего бизнеса, поскольку для того, чтобы внедрить опенсорс решение в продакшн среде крупных организаций, необходимо преодолеть сложные бюрократические барьеры. При этом в большинстве историй “импортозамещения” оказывается, что замещающие продукты основаны именно на опенсорсе.
Насколько безопасным видится использование опенсорса?
Что касается безопасности, то уязвимости есть в любом программном обеспечении, даже в самых популярных коммерческих продуктах. История с вредоносными закладками в опенсорсном ПО была очень показательным процессом, когда некоторые активисты стали делать закладки в продуктах для того, чтобы обозначить свою позицию по некоторым вопросам, но опенсорс-сообщество быстро пресекло эту тенденцию, доказав нетерпимость к нарушению принципов свободного программного обеспечения, чем бы оно ни мотивировалось.
При этом, вспоминая скандальный уход некоторых вендоров из России (ту же истории с Сisco Meraki, например) может оказаться, что использовать опенсорс-продукты даже безопаснее, при правильном подходе к нему. В любом случае - просто необходимо учитывать риски.
Могут ли Open-source решения конкурировать в России с проприетарным ПО, особенно в аттестованных информационных системах и объектах КИИ?
Опенсорс - это не столько характеристика самого софта, сколько подход к культуре его разработки.
Open source решения часто являются альтернативой каких-то платных продуктов и иногда они даже лучше. Энтузиасты могут разрабатывать функционал, который коммерческие производители не будут внедрять еще долго, просто потому что это коммерчески невыгодно.
В России ИБ направление все же достаточно молодое, и заменить всё enterprise решениями не получится, поэтому приходится жить на opensource.
При этом необходимо понимать плюсы и минусы проприетарного ПО и опенсорса, и если готовы минусы нивелировать, а плюсы дополнительно усиливать - то вы можно выбирать выбирать любой вариант или их комбинацию с учетом требований регуляторов.
Риски и правила работы с опенсорсом надо прорабатывать в стратегической перспективе. Жить по-старому но с опенсорсом не получится: про опенсорс нельзя однозначно сказать, что это бесплатно или безопасно.
Специалисты, хорошо умеющие работать с опенсорсными решениями, обычно стоят дороже, и разработка и внедрение потребует времени. Небезопасно - потому что вредоносный код неспециалист найти не сможет. Необходимо пользоваться надежными источниками и крайне осторожно относиться к их выбору. Использовать опенсорс так же как и проприетарный софт не получится. Опенсорс требует определенной культуры обращения. Например, при добавлении опенсорса в код желательно зафиксировать версию и проанализировать код, проверить зависимости в том числе с тех библиотеках, которые используются.
В некоторых областях, например, КИИ, опенсорс не конкурент сертифицированным решениям просто по определению (по требованиям регулятора). Однако для решения отдельных прикладных задач его можно использовать, если эти задачи под требования не попадают. Отсутствие продукта для разрешительной системы регулятора обычно не является аргументом, и применение опенсорса требуется тщательно обосновывать.
В некоторых же областях, например, форензике, применение опенсорса достаточно широко распространено.
Сертифицировать опенсорсный продукт очень сложно: заявитель должен иметь лицензию на разработку средств защиты информации, он должен быть действительно разработчиком ПО, должен иметь комплект соответствующей документации, техническую поддержку, лицензирование и т.п. В конце концов, это стоит денег, которые кто-то должен заплатить.
Примеры опенсорсного ПО в различных сегментах ИБ
За небольшими исключениями вся разработка ПО сейчас ведется не российскими средствами. Продукты безопасной разработки не покрывают весь цикл от разработки до runtime-защиты.
Анализаторы кода: semgrep, sonarqube.
DAST на опенсорсе: OWASP ZAP.
Анализ зависимостей: dependency-check, dependency-track.
honeypot: T-pot
OS hardening: Inspect+ansible
Сетевое экранирование: OPN sense, PF sense
IDS: suricata, snort, ossec.
SIEM: Opensearch, Elastic, Zabbix
Мониторинг: Zabbix
FOCA - для изучения метаданных из сетевых источников
на канале Investigation & Forensic TOOLS представлена широкая подборка опенсорс инструментов для форензики
Крупные компании обычно не занимаются подбором и использованием опенсорсного ПО, а мелкие компании не имеют актуальных задач по эксплуатации и внедрению NGFW, SIEM, анализаторов исходного кода и прочих решений, предназначенных для крупных, зрелых компаний. Замен такого класса программного обеспечения практически нет. Поэтому в IT опенсорс используется гораздо шире, чем в информационной безопасности.
Где брать кадры для внедрения опенсорса?
Один из вариантов - нанимать интеграторов, имеющих соответствующие компетенции.
Альтернативный вариант - обучать самим.
Security Champions среди разработчиков, которые смогут решать задачи, для которых обычный специалист ИБ не имеет подготовки.
Поиск в профессиональных сообществах.
Практика студентов из онлайн-школ с последующим трудоустройством.
Конференции - поиск активных участников.
В целом получается, что опенсорс - не панацея, это один из возможных векторов развития, который надо выбрать осознанно и вдумчиво.