Как выбрать провайдера MSS?

Как выбрать провайдера MSS?

Эволюция угроз неминуемо ведёт к необходимости защиты активов компании. По данным Всемирного экономического форума, кибератаки входят в ТОП-5 глобальных рисков с точки зрения вероятности их реализации, наряду с мошенничеством и кражей данных. Финансовые потери от реализации рисков информационной безопасности (ИБ) растут ежегодно, не говоря уже о репутационном ущербе. Согласно статистике компании International Data Corporation, расходы на ИБ в мире растут со скоростью, примерно равной 9-10% в год, и это неслучайно.

ЧТО ТАКОЕ MSSP?

Параллельно с усложнением угроз, средства защиты информации (СЗИ) переживают серьёзную эволюцию. Современные СЗИ содержат в себе разнообразные механизмы – от продвинутых способов анализа данных до телеметрии и искусственного интеллекта. Теперь, чтобы организовать действительно надёжную защиту, нужно иметь в своём штате высококвалифицированных специалистов, глубоко разбирающихся в типах и способах настройки СЗИ, которые отличаются большим разнообразием. Компании решают эту проблему по-разному. Крупные игроки рынка предпочитают создать свой «центр компетенций» и сознательно «играют в долгую», инвестируют в современные СЗИ и развитие сотрудников. Небольшие компании используют MSS (Managed Security Service) – услуги провайдера или аутсорсинг для решения задачи ИБ, а часть компаний только начинает задумываться над этим вопросом.

Согласно статистике, средняя заработная плата специалиста по ИБ составляет 80 000 рублей в Москве и около 50 000 рублей в других городах России. А теперь давайте представим, что таких специалистов для обслуживания средней компании (от 100 до 500 человек) нужно как минимум трое. Ландшафт угроз требует квалифицированных специалистов и наличия опыта в области ИБ, однако существует большая сложность в поиске таких кадров.

В связи с этим, последнее время различные организации чаще обращаются к услугам управляемых служб безопасности. Следует отметить, что большинство сервис-провайдеров предоставляет услуги в режиме 24x7x365 – далеко не каждая компания способна собственными силами организовать круглосуточную работу даже ИТ, не говоря уже об ИБ-специалистах.

Впервые сталкиваясь с MSSP (Managed Security Service Provider), кажется, что это современный тренд. Но история MSSP началась в далёком 1997 году, когда компания US West, Inc. вывела на рынок услугу по VPN-шифрованию, основанную на решении Check Point Firewall-1. До вывода услуги на рынок компания около года занималась её тестированием. Современные MSSP не менее тщательно подходят к выпуску своих сервисов.

ПРИВЛЕКАТЕЛЬНЫЕ ОСОБЕННОСТИ

Какие же есть особенности у MSSP, что делает использование услуг провайдеров особенно привлекательным? Почему эта модель становится всё более и более популярной?

Характерные особенности MSSP:

Высокие требования к обеспечению безопасности.

Все устройства и технологии, которые хранят и передают конфиденциальные данные компании, требуют повышенных мер обеспечения ИБ. Сегодня ведущие облачные провайдеры инвестируют в передовые инструменты и процедуры безопасности, например, двухфакторная аутентификация или даже биометрический доступ, организация пропускного режима и резервные источники питания. Эти инвестиции предназначены для защиты данных и бизнеса. Могут ли внутренние центры обработки данных иметь такой же уровень безопасности?

Проактивный подход к ИТ-задачам.

Для обслуживания, резервного копирования и мониторинга сред приложений требуются дорогостоящие ИТ-ресурсы и опыт. А если эти приложения критичны для бизнеса? С партнёром вы получаете доступ к ряду сертифицированных инженеров и архитекторов, что позволяет сосредоточиться на более важных задачах, которые непосредственно влияют на рост бизнеса и доходов компании.

Максимальное время безотказной работы.

В условиях постоянно меняющегося мира компании нуждаются в непрерывности бизнеса, потому что каждое прерывание деятельности стоит денег. Роль MSSP включает в себя выявление и предотвращение событий, влекущих простой систем заказчика.

Доступ к самым новым технологиям и оптимальный выбор продукта для сервиса.

Бизнес-модель управляемых услуг хорошо подходит, если в компании имеется ряд областей, в которых внутренние службы, а именно ИТ и ИБ-отделы, пытаются «играть в догонялки» или занимаются «перетягиваем каната». Провайдер может проконсультировать и предложить клиентам новейшие технологии, обеспечивающие бесперебойную работу и рентабельность. В некоторых случаях замена продукта, на котором оказывается услуга, может происходить совершенно бесшовно для клиента, так как всё обслуживание берёт на себя сервис-провайдер. Кроме того, компании не придётся ждать, если у неё внезапно появились новые требования. Как правило, провайдер может помочь изменить уровень предоставления услуги без каких-либо проблем.

Рентабельность инвестиций и экономия средств.

Самая большая ценность для бизнеса – это экономия затрат. При росте бизнесу не нужно думать, как масштабировать мощности или сколько и каких новых сотрудников нанять в отдел ИБ. Расширение услуг сервис-провайдера происходит для клиента легко и только тогда, когда эта необходимость назрела.

НО ЕСТЬ И РИСКИ

Но, вместе с плюсами, имеется и ряд рисков, связанных с MSSP:

Неспособность оценить свои «сильные» и «слабые» стороны в обеспечении безопасности.

Компания должна, с одной стороны, понять свои собственные возможности, чтобы обоснованно выбрать подходящего MSS-провайдера, который действительно сможет помочь устранить пробелы. С другой стороны, необходимо оценить сильные и слабые стороны MSSP, чтобы убедиться, что провайдер соответствует предъявляемым требованиям. Например, не стоит дублировать функции уже существующих ИБ-специалистов. С другой стороны, если ваш специалист, например, по WAF тратит на его настройку 50% рабочего времени, то, возможно, провайдер смог бы снять с него эту ответственность, а компания получила бы возможность решать более важные задачи ИБ.

Предполагать, что провайдер знает, как работают ваши внутренние системы, или моментально в них разберётся.

Иногда компании совершают ошибку, слишком полагаясь на MSSP. Чтобы понять внутреннюю ИТ-среду компании и то, как она работает, потребуются время и опыт. Если компания не будет управлять своими бизнес-процессами, проводить оценку рисков и периодически пересматривать проводимую работу, то есть шанс, что всё пойдёт наперекосяк.

Например, MSSP вряд ли узнаёт о планируемых изменениях, если компания сама об этом его не проинформирует. Более того, часто отсутствие доступа и информации о ключевых системах или отдельных лицах препятствует быстрому подключению MSSP и может резко снизить эффективность провайдера в целом. Именно поэтому важно наладить постоянное взаимодействие между клиентом и поставщиком услуги. Не задействовать ИТ-команду при подключении к MSSP также является ошибкой, так как области ИТ и ИБ тесно связаны. Особенно, если на команду ИТ были возложены задачи по обслуживание систем ИБ.

Не понимать, на что вы подписались.

Иногда услуги MSSP описаны таким образом, что клиент не сразу понимает, как будет фактически предоставляться услуга. Например, как будет отслеживаться использование облачных сервисов? Возможно ли подключение дополнительных опций или услуг у текущего провайдера? Если компания планирует развитие в сторону расширения договора с сервис-провайдером, ей стоит заранее узнать состав услуг MSSP и их планируемое расширение или изменение.

Не принимать во внимание ограничения по интеграции и аналитике.

Если у компании уже имеются средства общей аналитики, то стоит заранее уточнить возможности MSSP по интеграции с ними. Часто у клиента может возникнуть потребность «подружить» технологии, но на практике он может столкнуться с ограниченными возможностями интеграции. Эта же проблема может возникать при взаимодействии с экосистемой MSSP-поставщиков. Как обеспечить интеграцию двух или трёх сервис-провайдеров? Об этом стоит подумать заранее.

Кроме того, в таких сложных сервисах как SOC (Security Operations Center), при отсутствии достаточной интеграции, многие предупреждения MSSP могут не иметь контекста или значения и могут вынуждать сотрудников заказчика проводить дополнительные работы, проверяя и перепроверяя каждое полученное предупреждение о потенциальной угрозе.

Не проверять безопасность MSSP.

Не исключено, что злоумышленники могут попытаться проникнуть в MSSP-системы и сети, чтобы затем получить доступ к системам клиентов провайдера. В некоторых из подобных инцидентов атакующие использовали «слабые» места в средствах удалённого администрирования, которые MSSP используют для получения доступа к своим клиентским системам. Одним из наиболее известных примеров является китайская кампания APT10 threat group Operation Cloud Hopper, ориентированная на сотни провайдеров по всему миру.

Злоумышленники знают, что компрометация одного управляемого поставщика услуг достаточна для получения доступа ко многим клиентским сетям. Ввиду того, что MSSP могут являться «точкой входа» для злоумышленников, они должны соответствовать самым высоким стандартам безопасности.

РИСКИ УСТРАНИМЫ

Многие из перечисленных рисков можно устранить на этапе оценки провайдера, но необходимо хорошо понимать, что именно нужно проверить. Вопросы для такой проверки должны касаться инструментов и процессов, которые использует провайдер, уровня квалификации сотрудников провайдера, принятой системы повышения квалификации. Также целесообразно выяснить, как провайдер планирует снижать тот или иной риск ИБ в условиях работы вашей компании.

Опрос Forrester Research показал, что лучшие результаты взаимодействия с MSSP достигаются, когда компания имеет чёткое представление о своих собственных возможностях и предъявляет конкретные требования к поставщику услуг. При этом важно, чтобы эти требования были установлены заранее и оперативно пересматривались в зависимости от изменений, происходящих в области ИБ, а также в работе компании и провайдера услуг.