Сервисная модель безопасности
В последнее время в России наблюдается стабильный рост сегмента управляемых сервисов (Managed Services). Преимущества такой модели привели к тому, что управляемые сервисы стали востребованы во многих сферах. Сравнительно недавно внимание на Managed Services обратили и в отрасли информационной безопасности. Стремление компаний к оптимизации расходов приводит к тому, что все больше организаций из различных отраслей активно ищут возможности передачи отдельных аспектов обеспечения ИБ на аутсорсинг. Об этом TAdviser.ru рассказал Александр Пуха, руководитель направления Security Operations Center АМТ-ГРУП.
Содержание |
Автор публикации: Александр Пуха
Стимулы перехода на аутсорсинг в ИБ
Используя управляемый сервис, компания переводит постоянные затраты в переменные. За счет использования готовой инфраструктуры внешнего провайдера сокращаются накладные расходы на обеспечение деятельности собственных подразделений (например, затраты на закупку средств защиты информации, оплата труда специалистов). Выбор аутсорсинговой модели позволяет увеличить возврат на инвестиции за счет использования более дешевых внешних ресурсов (благодаря «эффекту масштаба» обслуживающего нескольких клиентов провайдера).
Помимо оптимизации расходов, компания получает более качественный сервис за счет привлечения высококвалифицированных специалистов внешнего провайдера, обладающих обширным опытом и компетенциями. В то время как собственные трудовые ресурсы высвобождаются для выполнения более приоритетных задач. Часть рисков при этом также перераспределяется в сторону внешнего провайдера.
Безопасность как сервис
АМТ-ГРУП более 20 лет работает на рынке системной интеграции, реализуя проекты по внедрению и поддержке инфраструктурных и информационных систем, систем управления ИБ в различных отраслях. Анализ задач клиентов и текущих тенденций на ИТ-рынке стал основой для разработки ряда услуг по модели «Информационная безопасность как сервис» (Security as a Service).
Security Operation Center (SOC) компании представляет собой комплекс процессов и программно-аппаратных средств, предназначенный для централизованного сбора и анализа информации о событиях и инцидентах ИБ, поступающих из различных источников ИТ-инфраструктуры, и своевременного реагирования на них. TrafficSoft ADC: балансировщик нагрузки с высокой скоростью работы и минимальными аппаратными требованиями
На базе собственного SOC компания предоставляет клиентам различный спектр сервисов:
- эксплуатацию средств защиты информации;
- управление событиями и инцидентами ИБ;
- управление уязвимостями компонентов корпоративной информационной системы (КИС);
- защиту Web-приложений;
- защиту от атак типа «отказ в обслуживании»;
- защиту от киберугроз и атак;
- защиту бренда;
- аналитику для стратегического планирования, идентификации и оперативного реагирования на актуальные глобальные риски и угрозы безопасности.
Модель SOC
Услуга «безопасность как сервис» реализуется на базе модели: «люди – процессы – технологии». Именно с таким порядком вовлечения этих элементов и поддержкой их баланса в дальнейшем.В АМТ-ГРУП работает квалифицированный штат инженеров и аналитиков по информационной безопасности, проектных инженеров, инженеров технической поддержки с опытом реализации проектов в области ИТ и ИБ в организациях различных масштабов и отраслей. Их специализация не ограничивается исключительно сервисными услугами и включает в себя также аудит ИБ, разработку, внедрение и сопровождение систем ИБ и разнообразных технических решений ИБ. Квалификация сотрудников подтверждена сертификатами по соответствующим продуктам, а также международными вендоронезависимыми сертификациями (CISSP, CISA, CISM).
Процессы служат буфером между персоналом и технологиями. Процессы устанавливают ответственность за выполнение отдельных задач в рамках оказания сервиса и определяют детальный порядок их выполнения. Состав необходимых процессов определяется границами оказания услуги, количеством необходимых сервисов и используемыми технологиями и может включать: управление событиями и инцидентами ИБ, управление уязвимостями, эксплуатацию средств защиты информации.
Состав используемых технологий определяется перечнем необходимых сервисов и требованиями заказчика. Он может включать: систему управления событиями и инцидентами (SIEM; как правило, основополагающая система в рамках сервиса), систему аудита и анализа уязвимостей, систему анализа трафика и обнаружения сетевых аномалий, систему защиты web-приложений, систему защиты от атак типа «отказ в обслуживании» и иные системы обеспечения ИБ, включая системы, которые уже внедрены и используются клиентом.
Реализация услуги
Предоставление услуги возможно по двум моделям: реализация из «облака» АМТ-ГРУП или размещение средств защиты информации в сети клиента. Сервисы доступны в двух режимах: 9*5 (в рабочее время организации) и 24*7 (непрерывно).
Помимо экспертизы и опыта собственных сотрудников АМТ-ГРУП используются данные ряда внешних центров реагирования на компьютерные инциденты (CERT) и иных профильных и отраслевых организаций. Это позволяет повышать качество сервиса и защищенность клиентов за счет анализа и использования в работе информации об актуальных угрозах ИБ, инцидентах, произошедших в отдельных отраслях и организациях, новых способах атак и методах защиты от них.
Архитектура сервиса SOC АМТ-ГРУП
В процессе оказания услуги заказчик получает актуальные сведения о состоянии информационных систем и ИБ, выявленных рисках, событиях и инцидентах, детальные рекомендации по их обработке. Отчеты, которые отражают состояние и динамику изменения уровня ИБ, регулярно формируется для различных аудиторий работников. Так, могут формироваться стратегические отчеты для CEO и топ-менеджмента, тактические – для CISO, CIO, операционные – для администраторов ИБ и ИТ. Таким образом, специалисты заказчика получают уже готовую информацию для принятия решений.
Информация об обнаруженных событиях хранится длительное время, что дает возможность выполнять ретроспективный анализ данных. Например, если сотрудник попадает под подозрение, можно изучить его поведение за длительный период (формирование модели и выявление аномалий).
Кроме того, в состав услуги могут быть включены дополнительные инструменты с функциональными возможностями Business Intelligence (BI). Они позволяют получить дополнительные средства визуализации и аналитики, более гибкие возможности по сбору информации из различных подсистем ИБ и приложений с последующими ее анализом и предоставлением в различных срезах и степенях детализации.
Реагирование на инциденты осуществляется в различных режимах. При наступлении инцидента специалисты АМТ-ГРУП могут уведомить заказчика и предоставить соответствующие рекомендации для дальнейшего самостоятельного устранения им последствий. Либо устранение инцидента осуществляется сотрудниками АМТ-ГРУП (как дистанционно, так и с выездом на площадку клиента).
Преимущества сервисной модели
Использование модели управляемых сервисов ИБ позволяет клиентам получить готовые процессы обеспечения ИБ (фактически «под ключ»). При этом компания получит ряд существенных преимуществ относительно «классической» модели.
Например, не требуется проводить закупку технических средств, аппаратных платформ и ПО: все необходимые средства предоставляется в рамках сервисов АМТ-ГРУП; заказчик получает доступ к компетенциям и экспертизе специалистовкомпании: с ними можно проконсультироваться по любым возникающим вопросам обеспечения ИБ.
Немаловажным (а, зачастую, и первоочередным) фактором при принятии решения является стоимость услуги. Для наших клиентов мы проводили ряд расчетов, в том числе расчеты совокупной стоимости владения (TCO) для сервисной модели по сравнению с «классической». Все расчеты говорят в пользу модели управляемых сервисов.
Развитие сервисов ИБ
Заинтересованность российских компаний в использовании модели «безопасность как сервис» сейчас, несомненно, есть. Об этом свидетельствует статистика АМТ-ГРУП и возросшее число запросов на эти услуги. На рынке постепенно вырабатываются все более четкие критерии оценки качества услуг, формируется их стоимость, меры контроля, расширяется проектное портфолио поставщиков. Объемы рынка сервисов ИБ растут. Но есть и сдерживающие факторы. Основной – это доверие пользователей к поставщикам. Любой аутсорсинг вызывает опасения, а аутсорсинг безопасности – тем более.
Для повышения уровня доверия клиентов АМТ-ГРУП реализует ряд мер и шагов, включая заключение соглашений о неразглашении конфиденциальной информации (NDA, Non-disclosure agreement), детальных договоров на сервисное обслуживание (SLA), регламентирующих все аспекты оказания сервиса, включая разделение зон ответственности. Осуществляется разделение обязанностей в рамках команды, оказывающей сервис, и двойной контроль в отношении всех значимых операций. В АМТ-ГРУП построена и сертифицирована по требованиям ISO 27001:2013 (ГОСТ Р ИСО/МЭК 27001-2006) собственная системы управления ИБ в части оказания консультационных и сервисных услуг. Клиенты могут получить сведения (резюме) о проектной команде, которая будет задействована в оказании сервиса.
На текущий момент модель «безопасность как сервис» на рынке РФ – это уже действительность. Популярность управляемых сервисов будет неуклонно расти, постепенно изменится сложившаяся культура. Экономическая целесообразность будет способствовать передаче ИБ на аутсорсинг специализированным сервис-провайдерам. Компании, которые уже предоставляют такие услуги, в будущем окажутся в выигрыше. Их компетенции и опыт могут оказаться решающим фактором при выборе поставщика заказчиком.