НАШИ люди, процессы и технологии на страже безопасности ВАШЕЙ компании

Безусловно, за облаками будущее. При должном подходе к информационной безопасности использование облачных сервисов столь же безопасно, как и собственный ЦОД. Более того, модель MSSP (подход аутсорсинга кибербезопасности, заключающийся в привлечении сервис-провайдеров), применяемая сейчас в информационной безопасности, – это прорыв и настоящая, не маркетинговая, инновация, которая в ближайшее время существенно изменит ИБ-ландшафт и в РФ.

Что такое безопасность как сервис?

На мировом рынке активно позиционируется более 40 крупных MSSP, среди которых не только бывшие поставщики коробочных решений и интеграторы. На путь MSSP встали и крупнейшие вендоры ИБ, консалтинговые компании, включая большую четверку.

Managed Security Services (MSS) – услуги по аутсорсингу информационной безопасности. Компании, предоставляющая такие услуги, называются MSS-провайдерами (MSSP), список предлагаемых ими сервисов весьма широк, и он почти не отличается от того набора продуктов ИБ, которые есть на рынке. Фактически любой продукт, включая даже антивирусную защиту для рабочих станций, можно заказать как сервис с помесячной или поквартальной оплатой и только после отчета провайдера по SLA.

Практически все вендоры, занимающиеся информационной безопасностью, имеют в своей продуктовой линейке так называемые виртуальные аплайнсы (готовые образы виртуальных машин, например, корпоративных брандмауэров или фильтрующих прокси-серверов), не уступающие аппаратным решениям по функционалу, и, в отличие от последних, они легко масштабируются в условиях облачной инфраструктуры. Такие виртуальные образы используются MSSP для предоставления сервисов своим клиентам. Однако облачный вариант зачастую соседствует с гибридным, когда все устройства и ПО физически находятся на стороне заказчика, а управление ими ведется со стороны MSSP по специальным защищенным каналам, при этом все управляющие воздействия согласовываются с компанией-клиентом и записываются (логируются).

Внимание к возможностям операционных центров безопасности – Security Operations Center (SOC), с помощью которых осуществляется управление инцидентами информационной безопасности, – растет в течение последних нескольких лет. Но по ряду причин полноценный SOC внутри инфраструктуры способна выстроить редкая организация. 

Организация этих процессов – хороший выход в ситуации, когда важно сэкономить ресурсы и одновременно иметь возможности неограниченного масштабирования, а в условиях РФ это порой единственная возможность получить требуемый функционал.

Услуги MSSP

MSSP, предоставляющие услуги Центра информационной безопасности, способны не только осуществлять мониторинг и бороться с последствиями атак, но и решать целый ряд других задач, среди которых:

• стратегическое планирование, оценка угроз;
• обогащение правил SOC на основе внешних данных и сторонних фидов;
• хранение практически неограниченных объемов данных (логов);
• реагирование на инциденты в режиме реального времени;
• автоматизированное реагирование на инциденты;
• поддержка работы граничных систем сетевой безопасности и инфраструктуры;
• отслеживание внутренних угроз, расследование внутренних нарушений;
• тестирование на проникновение;
• и десятки других сервисов.

Необходимо отдельно отметить эффективность корпоративных расследований с привлечением команды профессионалов MSSP Softline. Используя разнообразные инструменты анализа поведения пользователей (UEBA), а также классические системы противодействия утечки информации (DLP) или системы записи действий пользователей в сети и на рабочих станциях, команда экспертов-расследователей выявляет внутренние проблемы организации и доносит их до клиента. Без глубокой аналитики и сопровождения такие системы, как DLP, UEBA, UBA, EMS (employee monitoring software), не стоят потраченных на них денег. С другой стороны, содержать команду расследователей – не по карману большинству компаний. Хорошо, что эта услуга уже доступна от Softline в режиме MSS.

Чем SOC от Softline отличается от конкурентов?

Есть несколько направлений в строительстве SOC. В первом случае провайдер берет у вендора рабочее коммерческое решение SIEM и добавляет в него процессы и политики, необходимые клиентам. Во втором случае провайдер использует open-source решения для гранулярного подхода к своим задачам, содержит команду разработчиков.

Минусы первого подхода видны невооруженным взглядом:

• баснословные платежи вендору, который предоставляет само решение SIEM;
• невозможность планирования бюджета в разрезе даже одного года, так как вендор может поднять цены, или изменится курс рубля;
• жесткая привязка к возможностям конкретного SIEM, имеющим серьезные ограничения по количеству обрабатываемых событий в единицу времени;
• для автоматизирования реагирования также требуется вендорское решение класса IRP (Incident Response Platform), которое значительно увеличивает стоимость сервиса.

К плюсам можно отнести быструю настройку сбора событий с популярных систем и присутствие сертификатов ФСТЭК у большинства вендоров SIEM.

У второго подхода плюсов гораздо больше:

• собственная разработка, гарантирующая гранулярность и внимание к специфике компании-клиента и региона;
• нет привязки к вендорам; используются самые актуальные решения на данный момент, такие как стеки apache и elastic;
• нет узкого «горлышка» на моменте сбора и анализа событий – используются легко масштабируемые Big data решения типа Hadoop;
• наличие собственных разработчиков облегчает создание собственной платформы по автоматизированному реагированию на события ИБ.

Из минусов можно отметить слабое внимание разработчиков к визуализации результатов действий SOC, но это незначительный недостаток.

Softline выбрал второй вариант и ведет работы над улучшением представления данных – визуализацией действий и событий, однако полностью функциональный SOC с командой высококлассных специалистов, с мониторингом 24/7 и предоставлением сервиса на русском и английском языках доступен уже сейчас и обслуживает наших клиентов.

Почему Softline

К работе сервисов по безопасности мы относимся крайне пристрастно, понимая всю их важность для клиентов. Softline дает все необходимые гарантии по сохранности данных, передаваемых в облака, работает с заказчиками по договору SLA и оказывает консультационные услуги по вопросам, касающимся законодательства в кибербезопасности.

MSS-модель и использование виртуальных аплайнсов решений информационной безопасности дают доступ к передовым технологиям за приемлемые деньги. Больше не надо покупать железо, достаточно добавить мощностей в виртуальном ЦОДе и развернуть виртуальное решение для обеспечения информационной безопасности – например, UTM или WAF. И не нужно нести капитальные затраты, т.к. сервисы ИБ можно оплачивать по подписке, ежемесячно, вместе с оплатой виртуального дата-центра, доступа в Интернет и электричества.

И, конечно же, не стоит забывать об управлении сервисами ИБ. Каким бы технологически совершенным ни было решение, его нужно постоянно сопровождать и поддерживать. Возникает вопрос расширения штата и, соответственно, увеличения фонда оплаты труда. Содержать штат своих специалистов, работающих в режиме 24/7, – затратное мероприятие. Не стоит забывать и о желании ИБ-специалистов переходить в другие компании по мере роста их компетенций в поисках более высоких зарплат. Стоимость же сервиса по управлению ИБ сейчас постоянна и существенно ниже, чем стоимость своей команды, а четко прописанный SLA гарантирует качество оказываемых услуг.

Краткий глоссарий

SecaaS – Security as a Service – Информационная безопасность, предоставляемая по модели услуги.

SOC – Security Operations Center – Центр мониторинга и реагирования на инциденты ИБ.

MSS – Managed Security Service – Услуги по управлению информационной безопасностью.

MSSP – Managed Security Services Provider – Компания, предоставляющая MSS.

Автор: Виктор Гулевич Руководитель отдела MSSP, департамент информационной безопасности Softline