Управляемый сервис безопасности

По данным отраслевых исследований, большинство организаций обеспечивают ИТ-безопасность собственными силами, однако 82 % ИТ-специалистов уже сотрудничают или планируют сотрудничество с поставщиком управляемых сервисов безопасности^[2].

Бизнес обращается к поставщикам управляемых сервисов безопасности^[3] для снижения ежедневных рисков, связанных с информационной безопасностью, такими как целенаправленное вредоносное ПО, кража клиентских данных, нехватка квалифицированного персонала и ограниченность ресурсов^[4][5].

Управляемые сервисы безопасности (MSS) — это также системный подход к управлению потребностями организации в области безопасности. Такие услуги могут предоставляться как внутри самой организации, так и передаваться на аутсорсинг специализированному сервис-провайдеру, осуществляющему мониторинг и защиту сетевой и информационной инфраструктуры своих клиентов. К функциям MSS относятся круглосуточный мониторинг и управление системами обнаружения вторжений и межсетевыми экранами, контроль обновлений и установка патчей, проведение аудитов и оценок защищённости, реагирование на чрезвычайные ситуации. Существуют специализированные продукты, помогающие автоматизировать и стандартизировать эти процедуры, значительно снижая нагрузку на сетевых администраторов.

Аналитическая компания Forrester Research в 2018 году выделила 14 наиболее значимых компаний на мировом рынке MSSP, проведя оценку по 23 критериям. В число лидеров рынка вошли Accenture, IBM, Dell SecureWorks, Trustwave, AT&T, Verizon, Deloitte, Wipro и другие^[6]. В последние годы появляются новые, более мелкие поставщики, ориентирующиеся на домашние хозяйства, малый бизнес и состоятельных частных клиентов.

По данным compuBase, в мире (за исключением Азии) зарегистрировано более 35 000 MSSP-провайдеров^[7], и это число продолжает расти по мере того, как всё больше VAR становятся MSP, а последние — предлагают MSS как часть своего портфеля услуг.

Одним из ранних примеров MSSP была услуга «US West !NTERACT Internet Security». Эта услуга не требовала от клиента покупки какого-либо оборудования — всё необходимое размещалось вне территории заказчика. Компания сохраняла собственность на межсетевых экранах и управляла ими со своей точки присутствия (PoP)^[8]. Сервис был построен на оборудовании Check Point Firewall-1^[9]. После более года бета-тестирования услуга стала общедоступной к началу 1997 года^[8]. Также с самого начала предоставлялась услуга управляемого VPN со шифрованием данных^[8].

• Актив — ценный для организации ресурс, подлежащий защите.
• Инцидент — событие, которое реально или потенциально угрожает конфиденциальности, целостности или доступности актива.
• Оповещение — зафиксированная информация (факт), позволяющая связать событие с инцидентом.

Это индивидуальная помощь в оценке бизнес-рисков, выявлении ключевых бизнес-требований в области безопасности, разработке политик и процедур безопасности. Может включать комплексную экспертную оценку и проектирование архитектуры безопасности (как технологической, так и бизнес-рисков, процедур). Консалтинг также охватывает интеграцию продуктов безопасности и оказание помощи на месте после инцидентов, включая экстренное реагирование и судебную экспертизу^[1][10].

Включает установку, обновление и администрирование аппаратных и программных межсетевых экранов, VPN и/или систем обнаружения вторжений, электронной почты, а также выполнение конфигурационных изменений по запросу клиента. Администрирование включает мониторинг, поддержание правил маршрутизации и регулярное предоставление отчётов о трафике и администрировании^[1]. Управление системами обнаружения вторжений (на уровне сети или хоста) предполагает предоставление клиенту оповещений о вторжениях, поддержание актуальности защит, анализ попыток проникновения. Кроме того, предлагаются сервисы фильтрации содержимого, например, email-фильтрация и другие виды фильтрации трафика^[10].

Хотя сама по себе розничная продажа не является управляемым сервисом, она обеспечивает существенную долю прибыли для многих MSS-провайдеров. Предоставляются аппаратные и программные средства для различных задач безопасности, включая, например, архивирование клиентских данных^[10].

Включает ежедневный мониторинг и анализ важных событий системы по всей сети — несанкционированные действия, вредоносные атаки, DoS-атаки, аномалии, тренд-анализ. Это первый этап процесса реагирования на инцидент.

Включает единичные или регулярные сканирования ПО или попытки проникновения с целью поиска уязвимостей на технологическом и логическом периметре. Обычно такие тестирования не охватывают сеть в целом и не выявляют риски, связанные с инспирированными сотрудниками или социальной инженерией. К клиенту регулярно поступают отчёты^[1][10].

Анализ изменений путём мониторинга событийных журналов для выявления действий, нарушающих утверждённую политику информационной безопасности. Например, если пользователь незаконно получил права администратора, это может быть легко обнаружено с помощью мониторинга соблюдения требований^[11].

Критерии выбора поставщика MSS схожи с аутсорсингом других ИТ-функций: экономическая целесообразность по сравнению с собственными силами, концентрация на ключевых компетенциях, необходимость круглосуточной поддержки, актуализация систем. Однако в случае MSS аутсорсинг безопасности сети означает передачу критического контроля внешней компании, хотя конечная ответственность за ошибки по-прежнему лежит на заказчике. Заказчик обязан контролировать деятельность MSSP и требовать исполнения обязательств по контракту, то есть отношения не являются полностью «под ключ»^[1].

Несмотря на то, что организация отвечает за защиту собственной сети и бизнес-рисков, сотрудничество с MSSP позволяет сосредоточиться на основных процессах, не теряя при этом защищённости.

Недостаточно защищённые или неправильно сконфигурированные информационные активы могут привести к компрометации вследствие нарушения конфиденциальности, доступности или целостности. Для выполнения регуляторных и государственных требований организации всё чаще обращаются к управляемым сервисам безопасности^[12].

Модель управляемых сервисов безопасности изначально ориентирована на крупные предприятия с собственной ИТ-экспертизой, затем была адаптирована для нужд среднего и малого бизнеса, как отдельными MSSP, так и VAR-партнёрами, включающими MSS в портфель управляемых ИТ-услуг. Компании малого и среднего бизнеса всё активнее применяют MSS по ряду причин: высокая сложность и динамика угроз, а также рост регуляторных требований по обеспечению безопасности персональных и финансовых данных.

Если у крупных фирм есть выделенные ИТ-специалисты, то небольшие организации — филиалы, медицинские учреждения, адвокаты, консалтинговые и торговые компании — редко нанимают полноценного эксперта по безопасности, ограничиваясь внешними консультантами или общими ИТ-кадрами. При этом бюджеты малого бизнеса ограничены. Для решения задачи нехватки компетенций, времени и ресурса появилась отдельная категория MSSP для SMB.

Многие отрасли переходят на MSS вместо традиционных внутренних средств защиты. Тенденция передавать функции информационной безопасности MSSP набирает обороты и позволяет компаниям сконцентрироваться на главном бизнесе в стратегическом плане. Эффективное управление, экономия и возможность непрерывного мониторинга — основные факторы роста спроса на эти услуги. Участие крупных ИТ-компаний по всему миру усиливает доверие предприятий к внешней обработке бизнес-рисков^[13].

Поставщики таких сервисов чаще всего предлагают комплексную защиту на базе управляемых удалённых устройств, не требующих сложной настройки, за фиксированную месячную плату. Отчёты о безопасности направляются ежедневно, еженедельно, ежемесячно или по событиям — в зависимости от регламента^[14].

Сегодня ИТ-безопасность становится ключевым фактором защиты бизнеса из-за возрастающей сложности кибератак. Сложные вредоносные ПО и новые схемы фишинга требуют от MSSP постоянного повышения квалификации и расширения продуктового портфеля, чтобы обеспечить эффективную защиту. Помимо этого, рост уровня регуляторных требований в сфере защиты персональных данных подталкивает компании к обязательному повышению уровня информационной безопасности. К числу самых активных пользователей MSS относятся финансовый сектор, телекоммуникации, ИТ и другие. Чтобы сохранить конкурентоспособность, MSS-провайдеры оптимизируют свои решения и ищут пути снижения себестоимости за счёт отказа от лишних инструментов. Интеграция и унификация сервисов значительно повышают прозрачность и эффективность MSS. Ожидается существенный рост рынка управляемых сервисов безопасности в таких регионах, как Северная Америка, Европа, Азиатско-Тихоокеанский регион, Латинская Америка, Ближний Восток и Африка^[15].