Рынок межсетевых экранов, включая криптошлюзы, NGFW/UTM в России, 2021-2034 гг.

Границы исследования, базовые определения и сокращения

Ввиду размытости границ термина «кибер-безопасность» («информационная безопасность»), то есть отсутствия общепринятого понимания перечня продуктовых и технологических направлений в него входящих, а также ориентации большинства используемых для оценки рынка методологий на оценку разовой выручки от продажи аппаратно-программных комплексов, при проведении настоящего исследования применена оригинальная методика оценки рынка, основанная на классификации продуктов кибер-безопасности по видам защищаемых сред и моделям предоставления. Модель рынка, примененная в настоящем исследовании, ориентирована на разделение выручки от регулярных платежей за сервисы и подписки, и разовой выручки от продажи оборудования и вечных лицензий на системное программное обеспечение.

В исследование вошли следующие функции сетевой и информационной безопасности:

Функции для защиты корпоративного периметра, входящие в состав общей концепции безопасности периметра Secure Access Service Edge (SASE):
межсетевые экраны (Firewall), включая расширенные функции - межсетевые экраны следующего поколения (NGFW) и унифицированное управление угрозами (UTM), среди которых:

• Инспекция и фильтрация трафика на уровне приложений (application control);

• Обнаружение и предотвращение вторжений (intrusion detection/prevention systems, IDS/IPS);

• URL фильтрация и другие функции шлюзов веб-безопасности (Security Web Gateway, SWG);

• Антиспам-фильтрация и другие функции защиты сообщений электронной почты (Security Email Gateway, SEG);

• Функции шлюзов VPN (криптошлюзов);

• Сервисы SD-WAN с интегрированными функциями сетевой безопасности;

• Функции предотвращения утечек (Data Loss Prevention, DLP) и защиты почтовых сервисов (Secure Email Gateway, SEG).

Функции защиты веб- и облачных приложений:

• Web Application Firewall (WAF);

• Anti DDoS;

• Защиту облачных приложений (cloud workload protection);

• Расширенные функции детектирования угроз и уязвимостей и реагирования на них (XDR).

• Функции центров мониторинга и реагирования на события информационной безопасности (Security Operation Center, SOC).

Согласно словарю ИТ-терминов, межсетевые экраны следующего поколения (Next-generation firewalls, NGFWs) – это межсетевые экраны (МСЭ), реализующие наряду с базовыми функциями фильтрации трафика по портам и протоколам также функции глубокого анализа и блокировки пакетов на уровне приложений, функции предотвращения вторжений (IPS), и использующие внешнюю аналитику. При этом не являются NGFW специализированные устройства предотвращения вторжений, а также устройства, в которых реализованы и функции МСЭ, и функции IPS, но не интегрированные между собой. МСЭ NGFW можно также называть полнофункциональным МСЭ.

Унифицированное управление угрозами (Unified threat management, UTM) – это конвергированная платформа, включающая пакеты приложений, оптимизированные под потребности среднего и малого бизнеса. Обычно набор функциональных возможностей UTM-устройств включает три группы: межсетевой экран, интегрированный с системой предотвращения вторжений, шлюз веб-безопасности (URL-фильтрация) и безопасность сообщений (анти-спам и антивирус для почты). Основными отличиями МСЭ класса UTM от NGFW является меньшая производительность (для аппаратных реализаций) и упрощенная система управления, но не функциональность – также как и NGFW, UTM-устройства осуществляют фильтрацию трафика на 2-7 уровнях модели OSI, то есть включая и уровень приложений.
 

Рис.1. Классификация средств сетевой и информационной безопасности в соответствии с моделью OSI

Источник: J’son & Partners Consulting

В качестве основного источника первичных данных для оценки глобального рынка средств и сервисов безопасности была использована официальная отчетность ключевых игроков – вендоров продуктов кибер-безопасности и провайдеров сервисов кибер-безопасности. 

Для получения первичных данных для оценки российского рынка были использованы опросы основных игроков: на условиях анонимности были опрошены региональные офисы глобальных провайдеров/вендоров и менеджмент российских системных интеграторов и операторов связи.

На основе собранных первичных данных были построены модели глобального и российского рынков продуктов и сервисов кибер-безопасности. Для более сложного в оценке чем сегмент on-premise средств безопасности сегмента SECaaS в качестве основных параметров этих моделей использованы: объем рынка и сегмента рынка в денежном выражении, размер клиентской базы, средний размер платежа на компанию-клиента, уровень проникновения SECaaS, рассчитываемый как доля компаний пользователей соответствующего вида SECaaS в общем количестве компаний и организаций имеющих офисы с фиксированным широкополосным подключением к Интернет, соотношение объема рынка SECaaS к общему объему рынков IaaS/PaaS и SaaS (глобального и российского), соотношение облачной и on-premise модели предоставления средств/функций кибер-безопасности. Для сегмента аппаратно-программных комплексов и программных продуктов для виртуальных инсталляций данная модель реализована в части платежей за подписки, а из общего объема сегмента выделена разовая выручка от продажи оборудования и вечных лицензий к нему.

Оценка глобального рынка средств и сервисов кибер-безопасности показывает, что исследуемый объем рынка по итогам 2021 г. составил 37 млрд долл., а в его структуре преобладают on-premise средства защиты корпоративного периметра.

Вместе с облачными сервисами защиты периметра доля средств и сервисов защиты периметра в общем объеме рынка составляет 85%, соответственно оставшиеся 15% приходятся на средства и сервисы защиты публичных облаков. Такая структура рынка по объектам защиты соответствует структуре распределения корпоративных данных между корпоративным периметром (частным облаком) и публичными облаками, и сохранится в период 2022-2025 гг.

Глобальный рынок средств и сервисов кибер-безопасности показал уверенный рост в денежном выражении с CAGR 19% в 2017-2021 годах. Ожидается, что в период 2022-2025 годов рынок будет расти несколько меньшими темпами - с CAGR 13%. 

Основные драйверы рынка средств и сервисов кибербезопасности в мире

Основными драйверами быстрого роста потребности в расширении функционала, производительности и проникновения средств обеспечения кибербезопасности, реализованных как в виде аппаратно-программных устройств, так и в виде виртуальных функций и облачных сервисов, являются:

Ежегодный рост на 25-30% в год объема обрабатываемых и хранимых на всех видах компьютерных устройств данных в сочетании с быстрым ростом разнообразия приложений порождающих, хранящих и обрабатывающих эти данные, номенклатура которых, по данным Cisco, уже на конец 2016 года превышала 200 тыс. уникальных приложений.

Интеграция технологических (OT) и бизнес-приложений (IT), и, в более широком смысле, тренд на формирование киберфизических продуктово-сервисных систем, то есть на слияние кибер- и физического мира, что радикально повышает критичность параметров доступности и целостности данных и обрабатывающих их приложений, и, одновременно, требует кардинального снижения стоимости защиты в расчете на физический объект (IoT-устройство) ввиду их массовости.

Преимущественно распределенный характер новых видов приложений (киберфизических систем): клиентская и серверная часть приложений территориально распределены и выходят за границы демилитаризованной зоны (DMZ) - так называемые веб-приложения. Серверная часть таких приложений также может быть распределенной, особенно в случае использования микросервисной архитектуры, что порождает интенсивный трафик между распределенными элементами приложений через публичные WAN, как правило, не имеющие развитых средств обеспечения сетевой и информационной безопасности; при этом темпы прироста трафика в WAN опережают темпы прироста объема хранимых и обрабатываемых данных. При этом основной моделью развертывания таких распределенных приложений становится гибридное облако, включающее как частную, так и публичную компоненты, с централизованным программным управлением. Переход бизнеса – как крупнейших корпораций, так и СМБ, на гибридную занятость, то есть сочетание работы из офиса и вне офиса, усиливает тенденцию «размывания» DMZ и увеличивает потребность в реализации концепций «нулевого доверия» и интегрированного управления настройками систем обеспечения безопасности и сетевыми настройками (SASE) во всех элементах распределенного корпоративного облака, включая пользовательские устройства вне зависимости от их местонахождения.

Рост разнообразия киберугроз и их тотальный характер, определяемый в первую очередь бурным ростом облачной модели совершения преступлений, так называемой CyberCrime as a Service, базирующейся на автоматизации кибер-атак за счет наличия на объектах нападения типового программного обеспечения (операционные системы, офисные приложения) имеющего, соответственно, типовые автоматически сканируемые уязвимости.

Хроническое недофинансирование сферы ИБ вследствие неадекватного восприятия реальности киберугроз со стороны руководителей компаний всех отраслей и размеров.

Мировые драйверы роста потребления функций кибербезопасности в облачном формате

Быстрый рост количества корпоративных пользователей облачных приложений и перенос серверной части бизнес-критичных приложений в публичные и гибридные облака – как IaaS (виртуальные машины), так и PaaS (контейнеры), то есть динамическая распределенность приложений, реализуемая с использованием публичных облаков, что требует применения аналогичных по модели предоставления средств обеспечения кибербезопасности пользователей и приложений.

Особенно заметен фактор применительно к формирующим основной объем корпоративных данных офисным приложениям (сегмент Email Security Gateways, SEG), для которых облачная модель развертывания уже стала превалирующей.

Выход пользовательских устройств за пределы защищенного корпоративного периметра вследствие имевшего место с 2020 года резкого перехода бизнеса на гибридную модель занятости как основную, и, как следствие, появление потребности в защите пользовательских устройств способами отличными от привычных – вместо аппаратно-программных комплексов защиты физически существующего корпоративного периметра к облачным сервисам защиты логического корпоративного периметра.

Бурный рост доли шифрованного трафика в WAN, что усложняет его инспектирование, в сочетании с увеличением разнообразия функций обеспечения кибербезопасности – все это требует постоянного увеличения производительности аппаратных платформ; таким образом, характеристика эластичности (возможности масштабирования производительности «по требованию») в этой ситуации позволяет облачной модели выигрывать у варианта с покупкой и on-premise установкой аппаратно-программных комплексов даже несмотря на удельно (на единицу защищаемого объема данных) более высокий TCO облачного сервиса;

Адаптивность кибератак и большое количество генерируемых различными функциями кибер-безопасности событий, и, как следствие, необходимость реализации по этим событиям глубокой аналитики реального времени и выработки адекватной реакции на атаки, что возможно только с использованием мощных платформ машинного обучения, развернутых в публичных облаках.

Низкий уровень проникновения современных средств обеспечения кибербезопасности и, как следствие, отсутствие даже базовых средств защиты в первую очередь у малых и микропредприятий, что говорит о большом потенциале роста потребления SECaaS со стороны СМБ как базовых функций обеспечения безопасности, таких как защита электронной почты, межсетевое экранирование, VPN и URL-фильтрация, так и сложных аналитических функций, таких как, например, XDR.

Появление необходимости защиты сетей операторов (WAN) по мере нарастания интенсивности и масштабов DDoS-атак и внедрения технологий виртуализации сетевых функций и централизованного программного управления с разделением контура управления и контура передачи данных. Это приводит к интенсификации сигнального трафика и реализации его по протоколу http через открытые веб-интерфейсы, подверженные всем видам атак на веб-приложения.

Анализируя глобальный рынок продуктов кибербезопасности следует отметить также, что развитие рынка средств защиты от киберугроз взаимосвязано с развитием рынка страхования киберрисков, в возможность управления которыми существенный вклад вносят именно продукты сетевой безопасности, особенно полнофункциональные. Так, глобальный рынок страхования киберрисков составил в 2020 г. 7,4 млрд. долл., а к 2025 г. достигнет 27,8 млрд. долл., динамика роста рынка в 2020-2025 гг. составит 24% CAGR. То есть к 2026 г. затраты на страхование кибер-рисков будут сопоставимы с затратами на рассматриваемые в настоящем исследовании продукты и сервисы сетевой безопасности в 2025 г.

При этом появление развитых аналитических облачных платформ SECaaS позволит страховщикам корректно осуществлять оценку рисков объектов страхования – информационных и кибер-физических систем.

Рынок межсетевых экранов и криптошлюзов. Российская специфика

Драйверы роста рынка кибербезопасности в России существенно отличаются от таковых в мире и, в частности, в Северной Америке, что сказывается как на динамике российского рынка, так и на его структуре в продуктовом и клиентском разрезах.

Основными факторами количественного роста и, что более важно, качественного развития мирового рынка выступают:

• Трансформация модели предоставления функций кибербезопасности от традиционной к облачной, что позволяет повысить их доступность для сегментов ранее эти функции не потреблявших и расширять номенклатуру функционала для существующих потребителей использующих on-premise средства безопасности, в основном за счет функций аналитики и адаптивного динамического управления кибербезопасностью;

• Выраженный рост принятия крупными компаниями-потребителями концепции гибридных облачных сред и гибридной занятости, и, как следствие, переход от защиты отдельных локальных периметров к сквозной адаптивной безопасности, базирующейся на интенсивном мониторинге, глубокой аналитике событий безопасности и автоматическом реагировании на них;

• Рост абонентской базы и проникновения продвинутых функций кибербезопасности преимущественно за счет сегмента малых и микропредприятий, то есть рост за счет сегментов, ранее практически не охваченных ввиду ограничений все еще продолжающей превалировать традиционной (on-premise) модели предоставления функций безопасности.

В России ключевым драйвером, и одновременно ограничителем, дающим основной вклад в количественную динамику рынка, выступает стремление крупных и крупнейших потребителей функций кибербезопасности к формальному соответствию требованиям регуляторов. 

Дополнительными драйверами выступают:

• рост принятия крупным бизнесом гибридной модели занятости офисного персонала;

• развитие онлайн торговли и сферы услуг, а также предоставление госуслуг в электронном виде.

Изменения на рынке ИБ в России после 2022 года

Информационная и кибербезопасность стали инвестиционным приоритетом № 1 во всем мире в 2022 году. В 2020-году расходы на ИБ глобальных корпораций выросли на 40% вследствие вынужденного перехода на гибридную инфраструктуру, поддерживающую удаленную занятость в период пандемии COVID-19. 

«Бюджеты большинства организаций … на кибербезопасность растут линейно или равномерно, а кибератаки растут экспоненциально». 

Монтгомери из CSC, U.S. Cyberspace Solarium Commission
 

Расходы крупнейших глобальных корпораций на ИТ ежегодно растут и в 2023 г. составили порядка $5 трлн долл. Расходы отечественных компаний на ИТ также уверенно растут, за период 2022–2030 гг. совокупно увеличатся до 7 трлн руб. в 2030 году.

Текущие изменения на рынке ИБ в России обусловлены следующими факторами, связанными с изменившейся мировой обстановкой и мерами, предпринимаемыми правительством (регуляторами) и бизнесом для укрепления кибербезопасности:

• В напряженной геополитической обстановке увеличилась интенсивность компьютерных атак на российские органы власти, бизнес и промышленные объекты, в том числе на объекты критической информационной инфраструктуры (КИИ), что определило необходимость внедрения дополнительных мер по обеспечению информационной безопасности сетей.

• Драйвером для российских вендоров, способствующим процессу вытеснения/замещения зарубежных продуктов отечественными решениями, может стать уход с рынка глобальных вендоров, таких как Microsoft, IBM, Cisco, Citrix, VMware, BlackBerry и других.

• Другие драйверы (см. полную версию Аналитического отчета).

Объём и прогноз рынка межсетевых экранов и криптошлюзов в период с 2021 г. по 2034 г.

По оценкам J'son & Partners Consulting, в 2021-2022 годах имела место стагнация общего потребления рассматриваемых видов средств сетевой безопасности: падение потребления межсетевых экранов нового поколения ввиду возникновения проблем не только с импортом новых устройств, но и с продлением подписок на ранее закупленные устройства было компенсировано почти двукратным ростом потребления криптошлюзов, 100% которых – это устройства российского производства. Также наблюдался рост потребления межсетевых экранов для защиты веб-приложений (WAF), весь прирост потребления которых пришелся на продукты российской разработки.

В части потребления проприетарных аппаратно-программных комплексов на фоне снижения потребления криптошлюзов будет иметь место почти двукратный восстановительный рост потребления МСЭ нового поколения, преимущественно российского производства. Причина – в реализации на единой аппаратной платформе как функций криптошлюза, так и всех расширенных функций МСЭ.

В период 2029-2034 годов, то есть с отставанием на пять лет, бурно развивающиеся в настоящее время в мире тенденции глобального рынка продуктов и сервисов кибер-безопасности в полной мере проявятся и в России.

Более подробная информация в представлена в полной версии Аналитического Отчета.