Передай другому: какие ИБ-компетенции могут безвозвратно перейти к сервис-провайдерам
Помните времена, когда аутсорсинг (или сервисная модель) был экзотикой и в представлении многих ограничивался клининговой службой и услугами водителя? Сегодня отдать вовне части бизнес-процессов уже не так страшно, но до полного доверия со стороны руководителей компаний пока далеко.
Как обстоят дела в ИБ и какие решения скоро точно перекочуют в облака и будут отданы сервис-провайдерам? Ниже поделюсь своим видением этого процесса и расскажу, чем в недалеком будущем займутся, скорее всего,сервис-провайдеры, а чем – штатные специалисты.
Сколько раз за день вы слышите про «цифровые технологии»? А призыв: «Будь на гребне инноваций или умри»? Ясное дело: чем больше цифровых решений использует бизнес, тем больше внимания ему нужно уделять вопросам информационной безопасности. А для этого нужны квалифицированные ИБ-специалисты. Но где ж их найти? Отправить своих сотрудников на курсы? Набрать выпускников и обучить их самостоятельно?Искать уже готовых специалистов по рынку (который и так страдает от дефицита кадров), а потом перестраивать под этих «звезд» бизнес-процессы? Увы, бизнес не может тратить столько времени и денег на подготовку непрофильных кадров. Можно, конечно, все задачи замкнуть на одном штатном мега-специалисте – но долго ли он протянет? Эта боль бизнеса вам и без меня хорошо известна. Все мы слышали миллион историй про купленные СЗИ и не только, которые лежали на складе до списания, только потому что «нет рук».
Почему выбирают сервисную модель
Как показывает практика,для выбора в пользу сервисов в части ИБ у заказчика обычно две основные причины.
Первая – это часто бывает дешевле собственного проекта. Причин более низкой цены много: от банального «у сервис-провайдера лицензии дешевле за счет массовости» до «не смогли найти достаточно интеллектуальных ресурсов на рынке за приемлемый кост».
Вторая – заказчик либо сразу понимает, что у него недостаточно компетенций, либо приходит к этому после провала собственного проекта. Нехватка специалистов связана уже не сих высокой стоимостью, а с тем, что физически не удалось найти необходимого количества кадров для обеспечения приемлемого качества работ. Причем, если речь идет о каком-то масштабном проекте с крупным заказчиком, использование сервисной модели запросто может быть даже дороже, но репутация в данном случае тоже стоит немалых денег. Представьте публичный эффект от инцидента с утечкой данных банка из «топ 10» и тоже банка, но уже из третьей сотни.
Кроме того, по сервисной модели большинство проектов реализуются быстрее, чем по модели «in-house», а с неэффективным сервис-провайдером можно просто расторгнуть договор, что легче увольнения штатных сотрудников.Но, несмотря на все аргументы «за», для многих заказчиков перевод каких-то задач вовне – настоящий стресс, так как они боятся «потери управляемости». Хотя как можно потерять управляемость того, чем и до этого и так не мог управлять? К тому же я не предлагаю отдать сервис-провайдеру все и сразу, здесь и сейчас, а лишь то, с чем он справится явно эффективнее.
Тут важно понять, что именно требуется каждому конкретному заказчику, от каких опасностей его нужно защищать и насколько сложные атаки ему могут угрожать. Одним сервис-провайдер нужен для исполнения массовых задач и типовых решений (антивирус, сетевая безопасность и т.д.). Другим требуется специализированная экспертиза: защита веба, мониторинг и противодействие хакерским атакам, форензика и эксплуатация сложных экспертных СЗИ (песочницы, EDR и подобных).
На рынке уже существует сервисная модель обеспечения ИБ, и со временем облачные,SaaS решения:SIEM, DLP, VM, SAST/DAST/IAST анализаторы кода, FW/UTM/NGFW, WAFи т.д. – станут более массовыми, что будет поддержано переходом на сервисную модель традиционной ИТ-инфраструктуры.
Как будут переходить в облака
Тут возникает вопрос, что первое массово понесут в облака крупные игроки: критическую инфраструктуру или наоборот? Скорее всего, будет медленное перетекание в облака сначала чего-то некритичного, как это частично уже происходит. Например, крупные организации перенесут свои сайты, бизнес поменьше – бухгалтерию. По мере утраты страхов компании начнут «запихивать» туда и КИИ. И пусть я поддерживаю сервисный подход, но все же пока слабо верю в АСУ ТП атомной станции в облаке интегратора и сопровождаемого его же сотрудниками.
Следующее, что мы увидим в облаках массово – это корпоративные почтовики (когда компании начнут активно отказываться от собственных почтовых серверов в пользу облачной почты), а также прилагающиеся к ним песочницы, антиспамы, «бекапилки», DLP c системой UEBA.
Следом за этим произойдет массовое перетекание в облака таких вещей, как документооборот, бухгалтерия и сопутствующие «бизнес-балалайки», что, соответственно, потребует наличия и сопровождения большого количества сложных ИБ-инструментов также в облаке. Это естественный процесс эволюции, поскольку дешевле совместно оплачивать централизованную защиту, чем каждому защищать свой маленький кусок облака.
Это в свою очередь поставит новые вызовы перед разработчиками ПО и сервис-провайдерами для ИБ. Например, назрела необходимость в Next Generation VM, которые смогут интеллектуально, мягко, в режиме реального времени сканировать по-настоящему большие сети без необходимости предварительного отключения СЗИ. Next Generation VM также будут делать предварительную аналитику (с корреляционным движком а-ля SIEM и нативным Risk Management). Будут множиться облачные решения. Первые признаки этого мы уже видим и даже используем некоторые продукты: Microsoft Azure Sentinel, Cisco Umbrella, многочисленные решения по антифишингу (Security Awareness) от зарубежных и отечественных вендоров.
На долгую перспективу, вслед за сервисной моделью в части отдельных продуктов, придет аутсорсинг целых бизнес-процессов. Это похоже на то, что есть у нас в Solar JSOC с мониторингом, но еще более верхнеуровнево: мониторинг бизнес-процессов, контроль работоспособности бизнес-логики систем, оценка их рисков и эффективности.
Но давайте вернемся к ближайшему будущему. Какие сервисы (SaaS, IaaS и прочий XaaS), на мой взгляд, можно будет массово увидеть у аутсорсеров/сервис-провайдеров в скором времени:
- системы резервного копирования и восстановления (уже есть, но многие пока опасаются, да и интернет не такой быстрый, как требуется для оперативной работы);
- IRP, SOAR (по мере усложнения СЗИ и уменьшения времени реагирования на инциденты, потребуется как-то автоматизировать ИБ- и ИТ-процессы и управление этими СЗИ);
- DLP (это уже практический факт);
- SIEM (пока вендоры массово не предлагают подобные решения, хотя могли бы);
- VM (и такой как сейчас, и в варианте NG).
А также мейнстримом станут комплексные сервисы и услуги:
- стажировка, тренировка, обучение в ИБ и не только (своими силами написать актуальный курс крайне сложно, а автоматизировать весь процесс обучения и тестирования – архисложно. Поэтому выбор падет на онлайн-курсы);
- конечно, SOC – не только в формате мониторинга, но и с VM, NTA, EDR, OSINTи прочим, включая сопровождение, реагирование и расследование. Скорее всего, мы увидим SOC, специализированные под конкретных заказчиков в зависимости от сектора экономики и уровня злоумышленников, характерного для данной отрасли.
Кто за все ответит
Развитие этого процесса на сегодня сдерживает только один вопрос – как разделить ответственность? Если мы предлагаем SOC в сервисной модели и пропускаем инцидент, кто должен за это ответить? Ведь мы можем пропустить его по разным причинам: это может быть и наша ошибка, и недочет заказчика, который, например, не закрыл уязвимости или не подключил хост на мониторинг. При переходе всей ответственности за инфраструктуру в одни руки (когда все ИБ-процессы и оборудование предоставляются как сервис) разграничение ответственности происходит естественно: поломали инфраструктуру – виноват сервис-провайдер, сломали бизнес-логику – виноват бизнес.
Собственные ИБ-специалисты в компаниях, конечно, останутся. Но я считаю, что они серьезно «докрутят» свои компетенции, взобравшись на вершину пирамиды и начав выстраивать эффективные бизнес-процессы, осуществлять их мониторинг, разбираться в тонкостях KPI для качественной и количественной оценки работы сервис-провайдеров. И это перспектива ближайших пяти-десяти лет.
(1).png)