Безусловно, за облаками будущее. При должном подходе к информационной безопасности использование облачных сервисов столь же безопасно, как и собственный ЦОД. Более того, модель MSSP (подход аутсорсинга кибербезопасности, заключающийся в привлечении сервис-провайдеров), применяемая сейчас в информационной безопасности, — это прорыв и настоящая, не маркетинговая, инновация, которая в ближайшее время существенно изменит ИБ-ландшафт и в РФ.
Что такое безопасность как сервис?
На мировом рынке активно позиционируется более 40 крупных MSSP, среди которых не только бывшие поставщики коробочных решений и интеграторы. На путь MSSP встали и крупнейшие вендоры ИБ, консалтинговые компании, включая большую четверку.
Managed Security Services (MSS) — услуги по аутсорсингу информационной безопасности. Компании, предоставляющая такие услуги, называются MSS-провайдерами (MSSP), список предлагаемых ими сервисов весьма широк, и он почти не отличается от того набора продуктов ИБ, которые есть на рынке. Фактически любой продукт, включая даже антивирусную защиту для рабочих станций, можно заказать как сервис с помесячной или поквартальной оплатой и только после отчета провайдера по SLA.
Практически все вендоры, занимающиеся информационной безопасностью, имеют в своей продуктовой линейке так называемые виртуальные аплайнсы (готовые образы виртуальных машин, например, корпоративных брандмауэров или фильтрующих прокси-серверов), не уступающие аппаратным решениям по функционалу, и, в отличие от последних, они легко масштабируются в условиях облачной инфраструктуры. Такие виртуальные образы используются MSSP для предоставления сервисов своим клиентам. Однако облачный вариант зачастую соседствует с гибридным, когда все устройства и ПО физически находятся на стороне заказчика, а управление ими ведется со стороны MSSP по специальным защищенным каналам, при том все управляющие воздействия согласовываются с компанией-клиентом и записываются (логируются).
Внимание к возможностям операционных центров безопасности — Security Operations Center (SOC), с помощью которых осуществляется управление инцидентами информационной безопасности — растет в течение последних нескольких лет. Но по ряду причин полноценный SOC внутри инфраструктуры способна выстроить редкая организация.
Организация этих процессов – хороший выход в ситуации, когда важно сэкономить ресурсы и одновременно иметь возможности неограниченного масштабирования, а в условиях РФ это порой единственная возможность получить требуемый функционал.
Услуги MSSP
MSSP, предоставляющие услуги Центра информационной безопасности, способны не только осуществлять мониторинг и бороться с последствиями атак, но и решать целый ряд других задач, среди которых:
- стратегическое планирование, оценка угроз;
- обогащение правил SOC на основе внешних данных и сторонних фидов;
- хранение практически неограниченных объемов данных (логов);
- реагирование на инциденты в режиме реального времени;
- автоматизированное реагирование на инциденты;
- поддержка работы граничных систем сетевой безопасности и инфраструктуры;
- отслеживание внутренних угроз, расследование внутренних нарушений;
- тестирование на проникновение;
- и десятки других сервисов.
Необходимо отдельно отметить эффективность корпоративных расследований с привлечением команды профессионалов MSSP Softline. Используя разнообразные инструменты анализа поведения пользователей (UEBA), а также классические системы противодействия утечки информации (DLP) или системы записи действий пользователей в сети и на рабочих станциях, команда экспертов-расследователей выявляет внутренние проблемы организации и доносит их до клиента. Без глубокой аналитики и сопровождения такие системы, как DLP, UEBA, UBA, EMS (employee monitoring software), не стоят потраченных на них денег. С другой стороны, содержать команду расследователей – не по карману большинству компаний. Хорошо, что эта услуга уже доступна от Softline в режиме MSS.
Чем SOC от Softline отличается от конкурентов?
Есть несколько направлений в строительстве SOC. В первом случае провайдер берет у вендора рабочее коммерческое решение SIEM и добавляет в него процессы и политики, необходимые клиентам. Во втором случае провайдер использует open-source решения для гранулярного подхода к своим задачам, содержит команду разработчиков.
Минусы первого подхода видны невооруженным взглядом:
- баснословные платежи вендору, который предоставляет само решение SIEM;
- невозможность планирования бюджета в разрезе даже одного года, так как вендор может поднять цены, или изменится курс рубля;
- жесткая привязка к возможностям конкретного SIEM, имеющих серьезные ограничения по количеству обрабатываемых событий в единицу времени;
- для автоматизирования реагирования также требуется вендорское решение класса IRP (Incident Response Platform), которое значительно увеличивает стоимость сервиса.
К плюсам можно отнести быструю настройку сбора событий с популярных систем и присутствие сертификатов ФСТЭК у большинства вендоров SIEM.
У второго подхода плюсов гораздо больше:
- собственная разработка, гарантирующая гранулярность и внимание к специфике компании-клиента и региона;
- нет привязки к вендорам; используются самые актуальные решения на данный момент, такие как стеки apache и elastic;
- нет узкого «горлышка» на моменте сбора и анализа событий – используются легко масштабируемые Big data решения типа Hadoop;
- наличие собственных разработчиков облегчает создание собственной платформы по автоматизированному реагированию на события ИБ.
Из минусов можно отметить слабое внимание разработчиков к визуализации результатов действий SOC, но это незначительный недостаток.
Softline выбрал второй вариант и ведет работы над улучшением представления данных – визуализацией действий и событий, однако полностью функциональный SOC с командой высококлассных специалистов, с мониторингом 24/7 и предоставлением сервиса на русском и английском языках доступен уже сейчас и обслуживает наших клиентов.
Почему Softline
К работе сервисов по безопасности мы относимся крайне пристрастно, понимая всю их важность для клиентов. Softline дает все необходимые гарантии по сохранности данных, передаваемых в облака, работает с заказчиками по договору SLA и оказывает консультационные услуги по вопросам, касающимся законодательства в кибербезопасности.
MSS-модель и использование виртуальных аплайнсов решений информационной безопасности дают доступ к передовым технологиям за приемлемые деньги. Больше не надо покупать железо, достаточно добавить мощностей в виртуальном ЦОДе и развернуть виртуальное решение для обеспечения информационной безопасности — например, UTM или WAF. И не нужно нести капитальные затраты, т.к. сервисы ИБ можно оплачивать по подписке, ежемесячно, вместе с оплатой виртуального дата-центра, доступа в интернет и электричества.
И, конечно же, не стоит забывать об управлении сервисами ИБ. Каким бы технологически совершенным ни было решение, его нужно постоянно сопровождать и поддерживать. Возникает вопрос расширения штата и, соответственно, увеличения фонда оплаты труда. Содержать штат своих специалистов, работающих в режиме 24/7, — затратное мероприятие. Не стоит забывать и о желании ИБ-специалистов переходить в другие компании по мере роста их компетенций в поисках более высоких зарплат. Стоимость же сервиса по управлению ИБ сейчас постоянна и существенно ниже, чем стоимость своей команды, а четко прописанный SLA гарантирует качество оказываемых услуг.
Краткий глоссарий
SecaaS — Security as a Service — Информационная безопасность предоставляемая по модели услуги
SOC — Security Operations Center — Центр мониторинга и реагирования на инциденты ИБ
MSS — Managed Security Service — Услуги по управлению информационной безопасностью
MSSP — Managed Security Services Provider – Компания, предоставляющая MSS
