26 февраля, 2020

Типовой профиль клиента MSSP-сервисов

Сегодняшний российский рынок информационной безопасности (ИБ) активно наполняется предложениями услуг по модели «Managed Security Service Provider» (MSSP). Только за последние несколько лет в России появилось несколько крупных независимых MSS провайдеров. Практически все имеют представление, что такое MSSP, и какие варианты сервисов доступны на рынке. В данной статье предлагаем порассуждать на тему, кому наиболее необходимы эти сервисы.

Если обратиться к Gartner за определением сервиса: MSSP аутсорсит (то есть полностью берет на себя функцию) мониторинг и управление устройствами и системами обеспечения безопасности, включая межсетевые экраны, системы обнаружений вторжений, виртуальные частные сети, процессы сканирования уязвимостей, виртуальные сервисы. MSSP обеспечивает высокую доступность центра управления в режиме 24/7 и оказывает услугу силами квалифицированных специалистов, снимая с заказчика проблему поиска и развития кадров для реализации сервиса.

MSSP можно назвать логичным продолжением концепции SECaaS (Security as a Service). Если SECaaS избавляла клиента от проблемы обеспечения работы и обслуживания самой функции безопасности, но требовала анализа и мониторинга ее функционирования на стороне клиента, то MSSP, по сути, представляет собой уже полноценный сервис эксплуатации функции безопасности, в котором клиенту не нужно вообще задумываться об этом. Но трактовка этих сервисов бывает вариативной, а Gartner не дает четкого определения разницы, поэтому вопрос интерпретации терминов не является целью данной статьи. Как указано выше, цель – понять, кому могут быть полезны MSSP-сервисы.

В России одним из первых появился интерес к сервису управления межсетевыми экранами и средствами антивирусной защиты. Еще в начале 2000-х ИБ-компании начали прорабатывать и предлагать подобный сервис, например, Корпорация «ЮНИ» предлагала его на основе межсетевого экрана Check Point. Действительно, на тот момент в России был дефицит квалифицированных кадров, способных качественно настроить политики межсетевого экранирования или эксплуатировать антивирусные средства, а спрос рождает предложения. Сейчас ситуация с ИБ-специалистами изменилась в лучшую сторону, но изменился и ландшафт угроз. И эта количественно-качественная гонка только усиливается.

 

Какие сервисы MSSP представлены на рынке

Вариантов MSSP-сервисов достаточно много. Основные предложения:

  • Сервис центра мониторинга и реагирования на инциденты ИБ: Security Operations Center (SOC) – самая распространенная в России услуга MSSP. Включает управление событиями, оповещение об инцидентах, опционально, расследование и реагирование (SOAR, Security Orchestration, Automation and Response), сервис Threat Intelligence.
  • Защита от DDoS-атак: в случае DDoS-атаки на ваш веб-ресурс производится очищение трафика от нелегитимного трафика и тем самым поддержание доступности вашего ресурса реальным клиентам. Имеются разные варианты предоставления сервиса, от переключения по факту атаки и звонку провайдеру сервиса (даже если ранее вы не были в принципе подключены к нему), до вариантов переключений по подписке, вплоть до постоянной фильтрации трафика. Главное, что вы получаете в этой услуге, кроме фильтрации DDoS-атак всех уровней модели OSI, – это финансовые гарантии соблюдения SLA.
  • Сервис фильтрации трафика уровня веб-приложений: Web Application Firewall (WAF) – часто DDoS-сервис дополняется услугой фильтрации WAF, или же это может быть самостоятельная услуга. WAF-фильтрация осуществляет защиту вашего интернет-ресурса от взломов с использованием веб-уязвимостей. В действительности, WAF-решение требует высокой квалификации для корректной настройки, в данном случае вы получаете эти компетенции без необходимости поиска кадров. И иногда услуга дополнительно обогащается внешними сканированиями вашего веб-ресурса на проникновение.
  • Сервис комплексной защиты от сетевых угроз: Unified Threat Management (UTM) – как сервис или фильтрация доступа в Интернет – решение проблемы контентного сканирования внешнего трафика компании. Кроме того, решает проблемы отказоустойчивости шлюзов доступа, фильтрации трафика публичных облаков (например, Asure, Amazon) и быстрого подключения новых офисов и точек за счет оперативного нативного подключения к услуге.
  • Комплексная защита электронной почты: фильтрация почтовой переписки от вредоносного ПО, фишинга и спама. Иногда услуга дополняется функцией DLP (Data Leak Prevention).
  • Сервис шифрования каналов связи: организация виртуальной частной сети (VPN) на основе оборудования провайдера. Часто в основе сервиса лежат сертифицированные средства криптографической защиты информации (СКЗИ), что делает канал связи также сертифицированным ФСБ России.
  • Повышение осведомленности в области ИБ и антифишинг: обучение фокусных групп заказчика на примерах безопасных атакующих рассылок, в первую очередь, фишинговых, тестирование и обучение с последующим поддержанием осведомленности пользователей.
  • Услуга защиты от целенаправленных атак и неизвестных ранее угроз: сервисы Endpoint Detection and Response (EDR) и Anti Advanced Persistent Threat (Anti-APT), основанные на поведенческом анализе подозрительного ПО и своевременном реагировании на критичные инциденты. Услуга может распространятся на почтовый и интернет-трафик организации, иметь агентский вариант для критичных хостов, подключение к SOC для более качественного расследования выявляемых инцидентов.
  • Сервис контроля уязвимостей: сервис инвентаризации и управления уязвимостями, иногда конфигурационный анализ. Сервис может подключаться как самостоятельно, так и в дополнение к сервисам защиты, например, WAF.
  • Мониторинг SLA: достаточно уникальная услуга, реализующая контроль непрерывности корпоративных сервисов, управление сетью, контроль качества потребляемых услуг, снимая значительную часть нагрузки с сетевого администратора и значительно повышая уровень реакции на простои сетевой инфраструктуры.

 

Почему именно такой набор услуг?

Первый фактор – это необходимость контроля указанных векторов атак, как наиболее распространенных путей вхождения в периметр и горизонтального распространения. В частности, фишинг является бессменным лидером первого проникновения вредоносного ПО в инфраструктуру компании. Веб-уязвимости и атаки интернет-ресурсов остаются не менее часто эксплуатируемыми путями первичного заражения. А DDoS-атаки в прошедшем году вышли на новый уровень – впервые была зафиксирована терабитная DDoS-атака.

По данным Национального агентства финансовых исследований (НАФИ) потери бизнеса от кибер-инцидентов в целом по стране за 2017 год оцениваются в 115,97 млрд руб., и с каждым годом эта цифра растет. Под удар при этом, практически в равных долях, попадает как крупный, так и средний и малый бизнес. Среди лидеров по типам информационных угроз: заражение вирусами и вымогателями рабочих станций, взлом почтовых ящиков сотрудников, атака на сайт предприятия, включая взлом, вирусное заражение, DDoS-атаки.

Если обратиться к статистике угроз фишинга от компании Microsoft за последние два года, то количество атак неуклонно растет:

Рис.1 – График зафиксированных Microsoft фишинговых атак

 

Причем растет количество таргетированного сложного фишинга, в том числе Business Email Compromise атак.

По данным исследователей «Лаборатории Касперского» и Trend Micro, ежегодно наблюдается многократный количественный рост DDoS-атак, в совокупности с их качественным ростом. К тому же, прослеживается явная событийная корреляция усиления атак на определенные компании в связи с праздничными днями и каникулами, различными анонсами (когда компания как раз ожидает значительный прирост выручки, а вместо этого получает финансовые потери, это касается онлайн-магазинов, сервисов бронирования путешествий, игровых сервисов и др.).

Например, только в январе 2020 года Интерпол, киберполиция Индонезии и отдел расследований компании Group-IB в ходе совместной операции произвели расследование и задержание киберпреступной группировки, заразившей JavaScript-снифферами (веб-вариант реализации фишинга) сотни онлайн-магазинов в более чем 7 странах мира.

Вторая объективная причина – нехватка квалифицированных кадров. В частности, расследование инцидентов – это трудоемкий процесс, требующий немалой квалификации и времени. По данным исследования компании Meritalk, глобальная нехватка кадров в области ИБ составляет более 4 млн сотрудников, а в Европейском регионе, куда относится Россия (отдельно наша страна не рассматривается), – более 1 млн (27%).

В то же время, количество инцидентов неуклонно растет, что требует все большей вовлеченности в работу с событиями ИБ экспертов компании.

Третья – дороговизна On-Premises оборудования и его масштабирования, организации отказоустойчивости. Расширение офиса или подключение нового может потребовать значительных вложений в оборудование и времени на реализацию проекта. В случае с сервисом, эта процедура, практически, бесшовна и оперативна для клиента.

 

Профиль типового клиента

Порассуждаем на тему того, кому именно нужны описанные сервисы на примере типовых организаций разных плоскостей экономики.

 

Финансовые организации

Рассмотрим банк. Укрупненно в составе информационно-технических средств у финансовой организации присутствуют: АБС, ДБО-система с веб-фронтендом, набор доменных сервисов, множество АРМ операторов и сотрудников банка, географически распределенные по филиалам и точкам продаж, Swift, CRM-система, как правило, минимум два территориально распределенных ЦОД, возможно и более, СУБД и системы хранения и т.д. При этом выдвигаются критичные требования к доступности мобильного банкинга. Как правило, гетерогенная среда ИБ со сложными логами и трудным взаимодействием с ИТ. При этом, как правило, имеется немногочисленный штат сотрудников ИБ, которые, зачастую, работают даже по выходным.

Практически обязательными можно назвать сервисы:

  • Защита веб-ресурсов ДБО и АБС (если имеются): сервис WAF, защита от DDoS с резервным каналом и постоянной очисткой трафика.
  • Самостоятельная организация и эксплуатация центра мониторинга (SOC) – ресурсоемкий и трудоемкий процесс, на который у специалистов ИБ банка недостаточно времени. SOC в виде сервиса, в свою очередь, уменьшит время реакции на инцидент и поможет предотвратить успешные атаки и утечки конфиденциальной информации еще на этапе сбора информации и проникновения.
  • Вступили в силу положения банка России №683-П и №684-П с требованиями регулярных тестирований на проникновение и анализа уязвимостей для финансовых организаций – соответствующий сервис на рынке представлен.
  • Большинство атак на финансовые организации происходит через успешный фишинг – необходимо повышать уровень осведомленности пользователей на тематику ИБ, тренировать, как минимум, отделы, наделенные определенными правами на ПК и работающие с коммерческой информацией.

Страховая компания имеет схожий состав информационных систем: набор доменных сервисов, множество АРМ операторов и сотрудников, географически распределенных по филиалам и точкам продаж, территориально распределенные ЦОД, СУБД и системы хранения, call-центр, плюс информационные системы страховой деятельности. Часто присутствует тесная интеграция с сервисами аффилированного банка. Важную репутационную роль играет доступность call-центра, поэтому имеет смысл оценить целесообразность услуги мониторинга SLA. В остальном необходимости те же, что и у финансовых организаций: центр мониторинга SOC, контроль уязвимостей, обучение и тестирование пользователей и тренировки реагирования на фишинговые атаки.

 

Ритейл и интернет-сервисы

Рассмотрим сферу розничных продаж. Характерным здесь является небольшой набор внутренних обслуживающих сервисов и весьма ограниченные ИТ-бюджеты, использование нишевого ПО (кассовое ПО, базы данных, и т.д.), интеграция с платежными системами и дефицит ИБ-специалистов, возможно совмещение ИТ и ИБ-специалистов, либо наоборот, в случае разных лиц – конфликт интересов ИТ не в пользу ИБ-специалистов.

Качественно реализовать в таких условиях собственный Центр мониторинга практически невозможно. Зачастую, практически все основные задачи ИБ проще отдать MSSP, осуществляя только внутренний контроль: начиная с систем межсетевого экранирования и антивирусной защиты, фильтрации корпоративной почты, трафика Интернет и заканчивая подключением к Центру мониторинга и расследованием инцидентов ИБ.

Если говорить об интернет-сервисе (например, онлайн игра) или магазине и наличии критичного веб-ресурса, то необходимо использовать фильтрацию трафика с помощью WAF и DDoS-защиты. Ввиду сложности эксплуатации и качественной настройки этих ИБ-решений, их также целесообразнее реализовать в виде сервиса. Плюс желательно регулярно пользоваться сервисом сканирования кода и уязвимостей внутреннего самописного ПО, возможно периодическое проведение тестирований на проникновение.

Кроме этого, сервис безопасности «Мониторинг SLA» предназначен для контроля доступности порталов продаж и закупок, систем массового обслуживания клиентов.

 

Промышленность

Промышленные организации укрупненно могут быть разделены на нескольких типов:

  • нефтегазовая компания,
  • производственное и/или добывающее предприятие,
  • компания, обслуживающая критические объекты инфраструктуры,
  • ракетно-космическое или другое закрытое производство,
  • строительная компания, дорожно-транспортная и легкая промышленность.

Крупная нефтегазовая компания, как правило, является географически распределенной и имеет несколько крупных центров и множественную филиальную сеть. ИТ и ИБ-бюджеты достаточны для наличия парка средств защиты и квалифицированных ИБ-кадров. Но в таких условиях Центр мониторинга событий должен функционировать как слаженный организм, как технически, так и процедурно. Организация такого центра займет значительное время и ресурсы, на период создания его можно компенсировать услугой SOC. Кроме того, в рамках этой услуги заказчик имеет доступ к одним из лучших экспертов рынка по работе с инцидентами. Этим полезно продолжать пользоваться и после создания собственного Центра мониторинга. Это же касается и других услуг, в данном случае мотивацией служит доступность оперативного экспертного мнения, а также высокие SLA, обеспечиваемые провайдером сервиса. В частности, круглосуточная работа специалистов мониторинга первой линии поддержки, тогда как собственные ИБ-эксперты, как правило, консолидированы в Москве, Санкт-Петербурге или другом региональном центре, что диктует временные рамки доступности специалистов.

Крупное производственное или добывающее предприятие имеет схожие параметры, за исключение меньшей филиальной сети. Рекомендации по сервисам аналогичны. Также необходима организация надежных каналов связи. И, если нефтегазовые компании, как правило, арендуют эту услугу у оператора связи, так как им необходима большая зона географического покрытия, но организацию IPSec VPN производят собственными усилиями. Менее требовательное к географической широте покрытия каналов предприятие может использовать готовый IPsec VPN-сервис MSSP.

Для строительных компаний, дорожно-транспортной и легкой промышленности характерны меньшие ИБ-бюджеты и меньший штат ИБ-экспертов, при большей свободе пользовательских действий. Для повышения уровня защищенности и снижения оперативных расходов на организацию внутренней ИБ-инфраструктуры основные задачи ИБ имеет смысл отдать MSSP, осуществляя только внутренний контроль: особое внимание необходимо уделить фильтрации пользовательского интернет-трафика, UTM и защите периметра, антивирусной защите, фильтрации корпоративной почты, а также подключению к услуге Центра мониторинга и расследования инцидентов ИБ.

Критические объекты инфраструктуры и закрытое производство имеют специфические требования к безопасности, целесообразность использования коммерческих MSSP-сервисов имеет смысл рассматривать в каждой конкретной ситуации. Плюсы и минусы можно почерпнуть из предыдущих и последующих описаний настоящей статьи. Что можно порекомендовать в контексте роста интереса злоумышленников к промышленным предприятиям и АСУТП – использование для систем общего пользования сервисов MSSP SOC для раннего выявления вторжений и оперативного реагирования на атаки. Зачастую, атака начинается не в ядре АСУТП, а на пользовательском периметре предприятия.

 

Государственные компании, предприятия и учебные заведения

Для учебных заведений сервисы MSSP могут быть крайне полезны как доступ к квалифицированным экспертам и способ снижения операционных расходов, связанных с реализацией ИБ. Часто внутренняя защита выполнена силами преподавательского состава или студентов, которые имеют небольшой опыт в этих вопросах и обладают ограниченным временем. Часто используются облачные офисные решения, которые имеют интеграцию с MSSP-сервисами. Веб-ресурсы подвергаются DDoS-атакам, чему противодействуют сервисы DDoS и WAF-защиты. Характер информации, обрабатываемой в кампусных сетях, уже повысил интерес злоумышленников к ним.

Государственные порталы дополнительно имеют критичные требования к доступности. Сервис мониторинга SLA предоставляет услуги мониторинга и контроля доставки сервиса пользователям и предназначен для порталов, систем массового обслуживания клиентов и порталов государственных услуг.

 

Выводы

Готовность и интерес российского рынка к MSSP-услугам пока не сформированы, тогда как количество и качество провайдеров MSSP-сервисов значительно увеличилось за последние годы. Уравновешивание предложения и спроса послужит дополнительным драйвером для развития сервисов, так что мы призываем вас не бояться начать их активно использовать.

Смотрите также