Безопасность на аутсорсинг: популярность MSS-услуг заметно выросла

Компании все чаще доверяют обеспечение информационной безопасности поставщикам управляемых сервисов. Модель Managed Security Services, управляемых услуг информационной безопасности по подписке, – альтернатива выстраиванию информационной безопасности своими силами и классическому аутсорсингу сервиса. Оксана Васильева, руководитель Angara Professional Assistancе, рассказала о преимуществах MSS-услуг.

Безопасность сегодня

С каждым годом количество атак и их разнообразие растет. Это приводит к росту сложности систем информационной безопасности. Базовой уровень сейчас предполагает наличие систем предотвращения проникновений. Ранее для защиты было достаточно этих систем, и фактически основной объем работ приходился на этап внедрения и настройки.  Для эксплуатации этих систем было в целом достаточно их внедрить и потом на периодической основе осуществлять обновление и актуализацию.

Но сейчас для оптимального уровня защиты необходимы системы, которые не только предотвращают, но еще и детектируют угрозы. Для их эффективной работы уже требуются специалисты с более узкими знаниями эксплуатируемых систем, которые больше времени будут тратить на настройку политик и чаще анализировать результаты их деятельности.

Экспертный уровень представлен системами, так или иначе связанными с аналитикой собираемых данных. Для аналитических систем класса EDR, IRP, TIP, SOAR фактически все начинается как раз после этапа внедрения. Системы собирают большой объем информации. Для эффективной работы требуется участие команды специалистов на постоянной основе.

 

Руководитель Angara Professional Assistancе Оксана Васильева

Руководитель Angara Professional Assistancе Оксана Васильева

 

Тенденция к увеличению

Расширение спектра аналитических систем стало одним из технологических трендов. Так, в новой версии «Кривой развития технологий» (Hype Cycle) консалтинговой компании Gartner от 2020 года на плато продуктивности уже вышли такие технологии, как сетевые песочницы (Network Sandboxing) и системы защиты конечных точек (Endpoint Protection Platforms), которые сообщество воспринимает как данность. Проверку на прочность проходят технологии класса SIEM и EDR. По мнению аналитиков, они выйдут на плато продуктивности в течение 2-5 лет, а значит, будут использоваться повсеместно.  Технологии SOAR и MDR набирают свою популярность и сейчас являются предметом широкого обсуждения в сообществе.

Таким образом, мы движемся в сторону более интеллектуальных систем, которые, как это ни парадоксально, требуют вовлечения большего числа людей.

Потребность в специалистах

На пути к развитым аналитическим системам в мире возникла потребность в профессионалах.  Так, согласно отчету (ICS)2, почти две трети организаций заявили о нехватке специалистов по кибербезопасности. Общий дефицит профессиональных кадров в мире составляет более 3 млн человек. Чуть более трети сотрудников по кибербезопасности назвали поиск квалифицированных ИБ-специалистов одной из своих главных задач.

В России рост востребованности специалистов в области информационной безопасности подтверждается данными Headhunter: если за весь 2018 год для них было создано около 17 тыс. вакансий, то в 2020 году – уже свыше 30 тыс. При этом конкурс на замещение должности невелик и составляет 1-2 человека на место, что говорит об острой нехватке кадров.

Стоит отметить, что проблема кадров проявляется не только в дефиците сотрудников, но и в их недостаточной квалификации.

Кадровый разрыв

Если к постоянному дефициту кадров можно привыкнуть, то в изменившихся в связи с COVID-19 условиях многие организации пересмотрели и переосмыслили стратегии обеспечения кибербезопасности. По данным исследования PWC, в течение этого года более половины (52 %) руководителей в России собираются повысить расходы на кибербезопасность и 42 % опрошенных – увеличить численность ИБ-специалистов. И эти планы руководители организаций намерены воплотить в жизнь, несмотря на то, что большинство из них (64 %) ожидают снижения выручки.

Конечно, можно только порадоваться, что все больше компаний обращают внимание на обеспечение информационной безопасности, но инвестирование в эту сферу усугубит ситуацию и приведет к более масштабному кадровому разрыву.

Варианты решений

На первый взгляд, есть только два очевидных варианта решения проблемы: организовать информационную безопасность своими силами либо отдать предпочтение классическим сервисным услугам технического сопровождения и аутсорсинга.  Однако есть еще и третий вариант – это управляемые услуги безопасности (Managed Security Services).

Крупный бизнес может позволить себе сделать все самостоятельно, так как у него есть возможность инвестировать в новые технологии и их внедрение, покупать специалистов на рынке вопреки растущему кадровому дефициту, а также закрывать часть потребностей, прибегая к услугам аутсорсинга.

Для среднего бизнеса, если он хочет эффективно обеспечивать защиту своих активов, MSS-услуги - это отличная альтернатива, возможность получения быстрого доступа к передовым технологиям, снятие необходимости закупки, развертывания и обслуживания программного обеспечения, а также снижение издержек на найм дополнительного персонала.

Для малого бизнеса, пожалуй, в перспективе других альтернатив нет. Использование MSS-услуг избавляет от необходимости выстраивания собственной практики кибербезопасности, за исключением некоторого минимального развертывания на месте и постоянного управления.

Тем не менее, компания любого из перечисленных сегментов может использовать сервисы MSS в большем или меньшем объеме вкупе с аутсорсингом и собственной командой и установленными системами.

Всегда есть процессы, которые точно имеет смысл отдавать сервис-провайдерам. В крупных компаниях тем самым упрощается структура управления кибербезопасностью и открываются возможности для сосредоточения на стратегических проектах.

Среднему бизнесу аутсорсинг позволяет своим ИБ-специалистам использовать свои навыки и квалификацию для улучшения уровня безопасности предприятия.

А малому - обрести душевное спокойствие, ведь без современных систем в сегодняшнем ландшафте уже тяжело и для закрытия рисков недостаточно базового набора.

Модель MSS

При знакомстве с MSSP (Managed Security Service Provider) кажется, что это современный тренд. На самом же деле, история MSSP началась в далёком 1997 году, когда на рынок вышла услуга по VPN-шифрованию.

Рынок MSS-услуг в мире развивается уже более 20 лет. Сейчас их предоставляют более 250 провайдеров, в числе которых как небольшие компании, которые используют собственные разработки, так и крупные международные игроки, такие как Microsoft, Amazon.

На данный момент на рынке представлено более 25 таких сервисов, и этот сектор продолжает активно развиваться, показывая высокие темпы роста. В отчете Global Managed Security Service Providers Market аналитики агентства Frost & Sullivan прогнозируют рост рынка до 46,4 млрд долларов США к 2025 году.

В России первые сервис-провайдеры начали появляется примерно 9 лет назад. Отечественный рынок растет не так быстро, как в мире. За это время появилось около 15 сервис-провайдеров, предоставляющих услуги по подписке. Большинство сервис-провайдеров из этого списка появились 3-4 года назад.

Такой медленный рост рынка MSS-услуг, конечно, связан с российским менталитетом, а также исключительностью информационной безопасности.

Прошедший год стал переломным. Компании за это время уже привыкли жить в гибридном формате и решили отдать часть ИБ-сервисов и функций провайдерам. Скепсис, боязнь потери контроля, сложность обоснования использования сервисов уступили необходимости обеспечить безопасность в кратчайшие сроки.

Статистика

В 2019 году Angara Professional Assistance совместно с «Лабораторией Касперского» запустила сервис по защите от целевых атак, выявлению и реагированию на сложные угрозы ACR Service EDR & antiAPT на базе продуктов KEDR и KATA, а также стека технологий разработки, который используется аналитиками Центра киберустойчивости ACRC для выявления инцидентов информационной безопасности.

Все ложноположительные срабатывания разбираются аналитиками, поэтому фактически клиенты принимают участие в расследовании и реагировании только в случае подтверждения инцидента, что высвобождает время для других задач.

Уровень безопасности инфраструктуры клиентов повышается за счет выявления узких, некорректно настроенных средств защиты информации. Рекомендации аналитиков позволяют разработать более строгие правила и политики.

В ходе наблюдений было выявлено, что за последний год в разы увеличилось количество фишинга через почту, вредоносных вложений в электронных письмах. По оценкам аналитиков, каждое 20-е вложение потенциально опасно. Фишинг на текущий момент является наиболее действенным, эксплуатируемым и трудно детектируемым вектором.

Среднее время реакции на инцидент составляло около 12 минут. При этом средства защиты, на которых построен сервис, позволяют оперативно собрать всю информацию, необходимую для расследования и принятия решения. Само расследование занимает в среднем около 47 минут.

Заключение

Для упрощенного объяснения, что такое MSS-услуги, можно провести следующую аналогию: интегратор – это водитель такси, который отвез по заданному маршруту из точки А в точку Б, а MSS – каршеринг, который позволяет быстро и комфортно решить задачу перемещения на любые заданные расстояния.

Благодаря сервисам информационной безопасности данные будут под надежной защитой. Сервис-провайдеры имеют возможность качественного предоставления услуг, которые непосредственно входят в сферу их профессиональной деятельности.

Использование MSS-услуг позволяет компаниям сконцентрироваться на более высоком уровне информационной безопасности, а не следить за каждым устройством и не заниматься самостоятельным поиском специалистов в процессе решениях задач по ее обеспечению.

У компаний есть возможность попробовать передовые технологии без огромных затрат и сложных проектов внедрения.

Ещё раз подчеркну, что системы будут только усложнятся. И если в среднем подключение MSS-сервисов, исходя из моей практики, занимает от недели до месяца и вместе с технологиями сразу появляется команда специалистов, то проект внедрения, допустим, того же IRP займет в лучшем случае 6 месяцев. Не говоря уже о процессах, которые нужно выстроить, и людях, которых нужно нанять или обучить.

Бизнес действительно переключается на новую модель потребления сервисов. Желание держать руку на пульсе побуждает к активному использованию управляемых услуг безопасности.

Автор: Оксана Васильева, руководитель Angara Professional Assistancе

Рубрики: Outsourcing, Безопасность

Ключевые слова: аутсорсинг, ИТ-аутсорсинг, информационная безопасность, Angara