Не бойся, Касперский все берет на себя

Первым партнером Лаборатории стал сервис-провайдер Angara Professional Assistance. В рамках сотрудничества компании объявили о создании совместных сервисов для крупного и среднего бизнеса по защите от целевых атак, а также по выявлению сложных угроз и реагированию на них: ACR Services EDR и antiAPT.

С помощью новых сервисов компании могут автоматизировать процессы выявления инцидентов и реагирования на них, своевременно и корректно определять степень критичности угрозы и поднять на качественно новый уровень защиту инфраструктуры от кибератак.

ACR Services EDR и antiAPT созданы на базе платформы для защиты от целенаправленных атак Kaspersky Anti Targeted Attack (KATA), решения для обнаружения, расследования и реагирования на сложные инциденты на конечных устройствах Kaspersky Endpoint Detection and Response (KEDR) и платформы Angara Cyber Resilience Center (ACRC), предназначенной для мониторинга, расследования и аналитики киберугроз.

Услуга может трансформироваться до полноценного Security Operations Center (SOC) под управлением Центра киберустойчивости ACRC. В течение всего времени действия контракта на специальных условиях возможно подключение дополнительных MSSP-услуг: антифишинг, защита от DDoS-атак, фильтрация интернет-трафика, мониторинг SLA (соглашение об уровне оказания сервиса), защита веб-приложений и др.

«В последнее время клиенты сталкиваются с нехваткой бюджета на дорогостоящие ИБ-решения при дефиците специалистов по информационной безопасности. Мы рады представить сервисы ACR Services EDR и antiAPT, позволяющие решить эти вопросы. Благодаря подписочной модели с понятными параметрами тарификации можно легко подключиться к сервисам, гибко управлять подключёнными услугами и контролировать их, делегируя непрерывный анализ событий квалифицированным аналитикам», — отметила генеральный директор Angara Professional Assistance Оксана Васильева.

Долгая дорога к MSSP

«MSSP (Managed Security Service Providing, сервис по управлению информационной безопасностью) получает все более широкое распространение и в мире, в России, — рассказал “Стимулу” директор департамента корпоративного бизнеса “Лаборатории Касперского” Вениамин Левцов. — Очень долго каждая компания сама занималась собственной безопасностью. Во-первых, набирала в штат и перепрофилировала небольшое количество айтишников, которые в этом разбирались, то есть заботилась об их образовании. Такие айтишники стоят значительно дороже, и их существенно меньше. Во-вторых, покупала лицензии на специфические системы информационной безопасности (антивирус, файрвол, система предотвращения вторжений, система почтовой безопасности, DLP и так далее). В-третьих, сама приобретала “железо” (серверы), а сотрудники ИТ-служб (или вовлекаемые интеграторы) разворачивали, настраивали и эксплуатировали системы информационной безопасности».

Как отмечает Вениамин Левцов, при росте бизнеса руководство компаний все чаще сталкивается с новыми угрозами: «Например, после приобретения другой небольшой компании со всеми ее проблемами: “зоопарк” ИТ систем и конфигураций рабочих мест, отсутствие продуманной системы управления доступом, нелицензионные продукты. Вот так возникает необходимость для новых серьезных инвестиций, которые в начале сделки не учитывались. Или другая ситуация, когда компания выходит на новый рынок и начинает оказывать, скажем, специфические финансовые услуги удаленно. Для нее сразу возникает большое количество угроз, связанных с оказанием тех самых специфических финансовых услуг».

Важно отметить, что ландшафт угроз тоже меняется в сторону их усложнения. Растет необходимость в полноценной службе ИБ, без которой справляться с новыми вызовами все сложнее. А это опять влечет за собой инвестиции в непрофильные активы, а не в основной бизнес.

«И в такой ситуации представляется очень разумным вовлечение внешней компании, — продолжает эксперт, — которая может взять на себя решение этих проблем с помощью профессионального сервиса. Важно отметить, что все это возможно только при высочайшем уровне доверия к такой сервисной компании. ИБ-шники обычно склонностью к доверию не отличаются, в том числе поэтому потребовалось столько времени, чтобы на услуги MSSP стал появляться осязаемый спрос. Фактически опять все решила экономика вопроса: уж слишком серьезные инвестиции приходится делать в ИБ и слишком высоки риски для операционной деятельности в случае инцидентов».

Директор департамента корпоративного бизнеса “Лаборатории Касперского” Вениамин Левцов

«Лаборатория Касперского»

Кто этим занимается и что предлагают

Компания приобретает на свой баланс весь необходимый инструментарий: «железо» и лицензии на использование ПО, нанимает и обучает команду, строит центр информационной безопасности и систему реагирования на инциденты нескольких заказчиков. MSSP получает доступ к сети и рабочим станциям заказчика. После чего этот сервис-провайдер берет на себя ответственность за обеспечение ИБ заказчика.

Самая масштабная группа организаций, решивших работать по MSSP-модели, — это компании, которые раньше перепродавали продукты, затем они взяли на себя ответственность администрировать защиту конечных точек ИТ, а после этого стали еще и расследовать киберинциденты. Другая большая группа — консультанты по ИБ. Если раньше их привлекали только в случае инцидента, то теперь развиваются сервисы для обеспечения «постоянной охраны», включая проактивный поиск угроз в сети (Threat Hunting) и конечное реагирование на инциденты. И третья небольшая группа — телеком-операторы, которые предлагают все более расширенные пакеты сервисов своим клиентам. Они тоже активно идут в эту сторону.

Такой сервис-провайдер всегда работает на основании SLA. «Важно отметить, — говорит Вениамин Левцов, — что в России по нашему законодательству невозможно передать уголовную ответственность сервис-провайдеру, то есть в случае форс-мажоров будет отвечать директор по ИБ компании-нанимателя. Хочется надеяться, что эта особенность будет как-то трансформироваться в дальнейшем».

По данным многих исследований, можно обозначить три основные области ИБ, которые берет на себя MSSP:

— Network Security. В этой модели сервис-провайдеры отвечают за сетевую безопасность организации. К примеру, широко распространена услуга «управляемые файрволы», когда поставщик услуги берет на себя полностью их закупку (на свой баланс), установку, развертывание, оперативное управление, занимается разработкой и модификацией политик сетевого доступа;

— Shared SOC — разделяемые центры управления информационной безопасностью. Такой центр покрывает своими услугами несколько клиентов, которые не беспокоятся, как это работает. А мониторинг событий, их корреляцию, выпуск алертов берет на себя центр;

— Managed Incident Response. Сейчас наиболее актуальны управляемые центры расследования инцидентов. Многие начинающие компании, которые выходят на рынок ИБ, идут сразу по третьей модели, так как она более интеллектуальноемкая и требует меньших ресурсов. Большим организациям с ней сложнее справляться без сервис-провайдеров.

Как отмечают в «Лаборатории Касперского», при использовании MSSP-модели усложнение задач ИБ перестает быть проблемой заказчика, исчезают капитальные вложения («железо», лицензии на ПО и т. д.), прекращается рост штата ИБ-сотрудников. Фактически остается один менеджер по ИБ, который будет всем управлять, то есть сервисный байер, выбирающий оптимальных поставщиков отдельных сервисов и отвечающий за то, чтобы все направления были «покрыты».

Для крупных компаний сложнее всего переживать кризисные моменты, когда происходит распространение угрозы по сети. В этом случае сразу возникает необходимость в большем количестве ИБ-специалистов, и понятно, что быстро и качественно расширить штат невозможно. Зато в сервисных организациях всегда есть дополнительные ресурсы.

Очень важно также, что сфера ИБ становится все более нишевой, появляется больше специализаций. Узких экспертов мало, и разумнее использовать их в специализированных ИБ-компаниях и MSSP. Если специалиста возьмут в штат, то большую часть времени он будет бездельничать.

За рубежом сервис MSSP динамично развивается. Лучше всего — во Франции: уже пять-шесть крупных MSSP-провайдеров, они играют существенную роль и ориентированы на крупный и средний бизнес. Распространены MSSP также в Голландии, в США это уже сформировавшийся рынок.

«На западных рынках деятельность MSSP страхуется, — рассказывает Вениамин Левцов. — Даже если не выполнено SLA, или за какой-то срок не расследован инцидент, или нанесен ущерб, то все покрывает страховка профессиональной деятельности. У нас такое пока не развито, но все к этому идёт. Сервис-провайдер плюс страховка, в принципе, очень неплохая защита для бизнеса, который может сфокусироваться на основной деятельности».

В заключение стоит подчеркнуть, что компании все же сохраняют свои внутренние центры компетенции в лице директора по ИБ и нескольких экспертов. Кто-то в любом случае должен говорить с MSSP на одном языке, грамотно готовить условия для тендеров, контролировать качество и, в конце концов, нести ответственность за информационную безопасность организации.