Наука и технологии 29 Октября 2019

Не бойся, Касперский все берет на себя

Компания — национальный чемпион «Лаборатория Касперского» начинает работать в России по MSSP-модели, то есть предоставлять сервис по управлению информационной безопасностью в компаниях-клиентах
Не бойся, Касперский все берет на себя
Партнёрство «Лаборатории Касперского» и провайдера Angara Professional Assistance вылилось в запуск сервиса по защите от целевых атак, способного выявлять и реагировать на сложные угрозы — ACR Services EDR и antiAPT
anti-malware.ru

Первым партнером Лаборатории стал сервис-провайдер Angara Professional Assistance. В рамках сотрудничества компании объявили о создании совместных сервисов для крупного и среднего бизнеса по защите от целевых атак, а также по выявлению сложных угроз и реагированию на них: ACR Services EDR и antiAPT.

С помощью новых сервисов компании могут автоматизировать процессы выявления инцидентов и реагирования на них, своевременно и корректно определять степень критичности угрозы и поднять на качественно новый уровень защиту инфраструктуры от кибератак.

ACR Services EDR и antiAPT созданы на базе платформы для защиты от целенаправленных атак Kaspersky Anti Targeted Attack (KATA), решения для обнаружения, расследования и реагирования на сложные инциденты на конечных устройствах Kaspersky Endpoint Detection and Response (KEDR) и платформы Angara Cyber Resilience Center (ACRC), предназначенной для мониторинга, расследования и аналитики киберугроз.

magnifier.png С помощью нового сервиса компании могут автоматизировать процессы выявления инцидентов и реагирования на них, своевременно и корректно определять степень критичности угрозы и поднять на качественно новый уровень защиту инфраструктуры от кибератак

Услуга может трансформироваться до полноценного Security Operations Center (SOC) под управлением Центра киберустойчивости ACRC. В течение всего времени действия контракта на специальных условиях возможно подключение дополнительных MSSP-услуг: антифишинг, защита от DDoS-атак, фильтрация интернет-трафика, мониторинг SLA (соглашение об уровне оказания сервиса), защита веб-приложений и др.

«В последнее время клиенты сталкиваются с нехваткой бюджета на дорогостоящие ИБ-решения при дефиците специалистов по информационной безопасности. Мы рады представить сервисы ACR Services EDR и antiAPT, позволяющие решить эти вопросы. Благодаря подписочной модели с понятными параметрами тарификации можно легко подключиться к сервисам, гибко управлять подключёнными услугами и контролировать их, делегируя непрерывный анализ событий квалифицированным аналитикам», — отметила генеральный директор Angara Professional Assistance Оксана Васильева.

 

Долгая дорога к MSSP

«MSSP (Managed Security Service Providing, сервис по управлению информационной безопасностью) получает все более широкое распространение и в мире, в России, — рассказал “Стимулу” директор департамента корпоративного бизнеса “Лаборатории Касперского” Вениамин Левцов. — Очень долго каждая компания сама занималась собственной безопасностью. Во-первых, набирала в штат и перепрофилировала небольшое количество айтишников, которые в этом разбирались, то есть заботилась об их образовании. Такие айтишники стоят значительно дороже, и их существенно меньше. Во-вторых, покупала лицензии на специфические системы информационной безопасности (антивирус, файрвол, система предотвращения вторжений, система почтовой безопасности, DLP и так далее). В-третьих, сама приобретала “железо” (серверы), а сотрудники ИТ-служб (или вовлекаемые интеграторы) разворачивали, настраивали и эксплуатировали системы информационной безопасности».

magnifier.png «ИБ-шники обычно склонностью к доверию не отличаются, в том числе поэтому потребовалось столько времени, чтобы на услуги MSSP стал появляться осязаемый спрос. Фактически опять все решила экономика вопроса»

Как отмечает Вениамин Левцов, при росте бизнеса руководство компаний все чаще сталкивается с новыми угрозами: «Например, после приобретения другой небольшой компании со всеми ее проблемами: “зоопарк” ИТ систем и конфигураций рабочих мест, отсутствие продуманной системы управления доступом, нелицензионные продукты. Вот так возникает необходимость для новых серьезных инвестиций, которые в начале сделки не учитывались. Или другая ситуация, когда компания выходит на новый рынок и начинает оказывать, скажем, специфические финансовые услуги удаленно. Для нее сразу возникает большое количество угроз, связанных с оказанием тех самых специфических финансовых услуг».

Важно отметить, что ландшафт угроз тоже меняется в сторону их усложнения. Растет необходимость в полноценной службе ИБ, без которой справляться с новыми вызовами все сложнее. А это опять влечет за собой инвестиции в непрофильные активы, а не в основной бизнес.

«И в такой ситуации представляется очень разумным вовлечение внешней компании, — продолжает эксперт, — которая может взять на себя решение этих проблем с помощью профессионального сервиса. Важно отметить, что все это возможно только при высочайшем уровне доверия к такой сервисной компании. ИБ-шники обычно склонностью к доверию не отличаются, в том числе поэтому потребовалось столько времени, чтобы на услуги MSSP стал появляться осязаемый спрос. Фактически опять все решила экономика вопроса: уж слишком серьезные инвестиции приходится делать в ИБ и слишком высоки риски для операционной деятельности в случае инцидентов».

ЛАБ КАПР АНГАР ЛЕВЦОВ.png
Директор департамента корпоративного бизнеса “Лаборатории Касперского” Вениамин Левцов
«Лаборатория Касперского»

 

Кто этим занимается и что предлагают

Компания приобретает на свой баланс весь необходимый инструментарий: «железо» и лицензии на использование ПО, нанимает и обучает команду, строит центр информационной безопасности и систему реагирования на инциденты нескольких заказчиков. MSSP получает доступ к сети и рабочим станциям заказчика. После чего этот сервис-провайдер берет на себя ответственность за обеспечение ИБ заказчика.

Самая масштабная группа организаций, решивших работать по MSSP-модели, — это компании, которые раньше перепродавали продукты, затем они взяли на себя ответственность администрировать защиту конечных точек ИТ, а после этого стали еще и расследовать киберинциденты. Другая большая группа — консультанты по ИБ. Если раньше их привлекали только в случае инцидента, то теперь развиваются сервисы для обеспечения «постоянной охраны», включая проактивный поиск угроз в сети (Threat Hunting) и конечное реагирование на инциденты. И третья небольшая группа — телеком-операторы, которые предлагают все более расширенные пакеты сервисов своим клиентам. Они тоже активно идут в эту сторону.

magnifier.png При использовании MSSP-модели рост сложности ИБ перестает быть проблемой заказчика, исчезают капитальные вложения («железо», лицензии ПО), прекращается рост штата ИБ-сотрудников. Фактически остается один менеджер по ИБ, который будет всем управлять

Такой сервис-провайдер всегда работает на основании SLA. «Важно отметить, — говорит Вениамин Левцов, — что в России по нашему законодательству невозможно передать уголовную ответственность сервис-провайдеру, то есть в случае форс-мажоров будет отвечать директор по ИБ компании-нанимателя. Хочется надеяться, что эта особенность будет как-то трансформироваться в дальнейшем».

По данным многих исследований, можно обозначить три основные области ИБ, которые берет на себя MSSP:

— Network Security. В этой модели сервис-провайдеры отвечают за сетевую безопасность организации. К примеру, широко распространена услуга «управляемые файрволы», когда поставщик услуги берет на себя полностью их закупку (на свой баланс), установку, развертывание, оперативное управление, занимается разработкой и модификацией политик сетевого доступа;

— Shared SOC — разделяемые центры управления информационной безопасностью. Такой центр покрывает своими услугами несколько клиентов, которые не беспокоятся, как это работает. А мониторинг событий, их корреляцию, выпуск алертов берет на себя центр;

— Managed Incident Response. Сейчас наиболее актуальны управляемые центры расследования инцидентов. Многие начинающие компании, которые выходят на рынок ИБ, идут сразу по третьей модели, так как она более интеллектуальноемкая и требует меньших ресурсов. Большим организациям с ней сложнее справляться без сервис-провайдеров.

Как отмечают в «Лаборатории Касперского», при использовании MSSP-модели усложнение задач ИБ перестает быть проблемой заказчика, исчезают капитальные вложения («железо», лицензии на ПО и т. д.), прекращается рост штата ИБ-сотрудников. Фактически остается один менеджер по ИБ, который будет всем управлять, то есть сервисный байер, выбирающий оптимальных поставщиков отдельных сервисов и отвечающий за то, чтобы все направления были «покрыты».

Для крупных компаний сложнее всего переживать кризисные моменты, когда происходит распространение угрозы по сети. В этом случае сразу возникает необходимость в большем количестве ИБ-специалистов, и понятно, что быстро и качественно расширить штат невозможно. Зато в сервисных организациях всегда есть дополнительные ресурсы.

magnifier.png За рубежом сервис MSSP динамично развивается. Лучше всего — во Франции: там уже пять-шесть крупных MSSP-провайдеров, они играют существенную роль и ориентированы на крупный и средний бизнес. Распространены MSSP также в Голландии, в США это уже сформировавшийся рынок

Очень важно также, что сфера ИБ становится все более нишевой, появляется больше специализаций. Узких экспертов мало, и разумнее использовать их в специализированных ИБ-компаниях и MSSP. Если специалиста возьмут в штат, то большую часть времени он будет бездельничать.

За рубежом сервис MSSP динамично развивается. Лучше всего — во Франции: уже пять-шесть крупных MSSP-провайдеров, они играют существенную роль и ориентированы на крупный и средний бизнес. Распространены MSSP также в Голландии, в США это уже сформировавшийся рынок.

«На западных рынках деятельность MSSP страхуется, — рассказывает Вениамин Левцов. — Даже если не выполнено SLA, или за какой-то срок не расследован инцидент, или нанесен ущерб, то все покрывает страховка профессиональной деятельности. У нас такое пока не развито, но все к этому идёт. Сервис-провайдер плюс страховка, в принципе, очень неплохая защита для бизнеса, который может сфокусироваться на основной деятельности».

В заключение стоит подчеркнуть, что компании все же сохраняют свои внутренние центры компетенции в лице директора по ИБ и нескольких экспертов. Кто-то в любом случае должен говорить с MSSP на одном языке, грамотно готовить условия для тендеров, контролировать качество и, в конце концов, нести ответственность за информационную безопасность организации.

Еще по теме:
19.11.2019
Объединенный институт высоких температур РАН, РКК «Энергия», МФТИ и компания — национальный чемпион «Лазерные системы» з...
11.11.2019
Десятого ноября 1888 года родился выдающийся советский авиаконструктор Андрей Николаевич Туполев — глава советской авиац...
08.11.2019
Сегодняшний хайп по поводу всеобщей цифровизации пришел к нам с Запада. Между тем специалистам хорошо известно, что тема...
05.11.2019
Квантовый компьютер Google достиг квантового превосходства
Наверх