Mssp что это

Должен ли MSP становиться MSSP?

Привет, Хабр! Сегодня мы хотим поделиться интересным мнением портала TAG Cyber о перспективах расширения бизнеса сервис-провайдеров (MSP) в области киберзащиты, что должно сделать их MSSP (Managed Security Service Providers). Под катом — разбор мнения экспертов из последнего квартального отчета, включая 5 основных препятствий, которые мешают MSP успешно развивать экспертизу в сфере ИБ. Если вы работаете в компании сервис-провайдере или хотели бы увидеть такие услуги в портфеле вашего MSP, приглашаем вас принять участие в опросе и обсудить вопрос трансформации MSP в MSSP в комментариях.

Бизнес полагается на сервис-провайдеров — MSP. И на сегодня это неоспоримый факт, потому что емкость рынка MSP оценивается примерно в $200 миллиардов. Большинству компаний удобнее отдать хотя бы часть ИТ на аутсорсинг. Но уж если избавляться от ИТ функций, логично отдать вместе с ними и вопросы защиты информации. Чтобы взять на себя эту задачу провайдеры безопасности (MSSP — Managed security service providers) должны располагать уже отработанными практиками и согласно контрактам (если их составляли юристы заказчика) принимать на себя ответственность за бреши в системах ИБ, если они приведут как каким-то реальным инцидентам.

Сегодня мы расскажем о том, как видят процесс появления сервисов киберзащиты эксперты портала TAG Cyber, которые каждый квартал готовят огромный 100-страничный отчет-исследование о рынке информационной безопасности. Это действительно уважаемое издание (стоит отметить хотя бы тот факт, что TAG Cyber считает Acronis “Distinguished Vendor” :), и на страницах 2021 2nd Quarter Report можно найти много интересного, включая интервью, оценки экспертов, сравнения решений в сфере ИБ, аналитику и даже некоторые технические материалы. Однако особого внимания заслуживает позиция редакторов о трансформации MSP в MSSP и практические рекомендации по ее осуществлению.

Что нужно малому бизнесу?

Несмотря на то, что MSSP — это лишь часть большого рынка MSP, его емкость уже оценивается в $30 миллиардов. С одной стороны, эксперты TAG Cyber уверены, что он мог бы быть и больше, если бы многие представители малого и среднего бизнеса попросту не отказывались от средств ИБ из-за недостатка бюджетов. Но с другой стороны, именно эта отложенная потребность создает предпосылки к внедрению сервисов безопасности провайдерами по всему миру. Ведь они могли бы принести MSP дополнительный доход, обеспечивая бизнесу ту защиту, в которой он нуждается.

Стоит отметить, что помимо ежеквартальных исследований и отчетов портал TAG Cyber также развивает программу Cyber Corps, которая помогает малому бизнесу разобраться в вопросах ИБ. Интересно, что по результатам отзывов ее участников предприниматели прекрасно знают о потребности в киберзащите, но часто не могут решить, что вообще им нужно с точки зрения ИБ. Для этого не хватает ресурсов, компетенции или просто времени.

Поэтому многие представители бизнеса склоняются к тому, чтобы отдать ИБ в целом на откуп MSSP и “жить спокойно”. И фактически здесь существует три пути развития событий — заказчик может решить, что все очень сложно и просто вытеснить проблему ИБ из своего сознания (до первого серьезного инцидента), найти своего провайдера MSSP и попросить сервис-провайдера с ним интегрироваться (что сложно и не всегда получается) или получить услуги ИБ от того же провайдера, с которым он уже работает. Поэтому для всех будет проще, если услуги киберзащиты будут предлагаться из тех же рук, что и прочие ИТ сервисы.

Трансформация из MSP в MSSP

По данным TAG Cyber подобная трансформация начала происходить и за последние годы набирает заметные обороты (конечно, первым делом на западных рынках). Изучение основных проблем, с которыми сталкивались провайдеры на этом пути, стало основой для базовых рекомендаций. Пожалуй, их действительно необходимо соблюдать, чтобы проект внедрения новых сервисов стал прибыльным делом, а не проблемной дырой в бюджете. Итак, TAG Cyber рекомендует 5 основных шагов, которые нужно совершить провайдерам до выкатки экспертизы MSSP на рынок.

1. Стратегия: Большинству сервис-провайдеров не удается добавить сразу весь спектр сервисов безопасности в свое портфолио. Причина — в нехватке средств. Ведь для того, чтобы внедрить весь спектр решений для всего жизненного цикла нужно внедрить сразу несколько решений, наработать экспертизу, организовать их продвижение — в общем потратить немало денег. Поэтому лучше всего выбрать сначала те области, в которых лежат потребности уже существующих клиентов. Для кого-то это будет защита эндпоинтов, для других — организация резервного копирования с восстановлением из облака и так далее.
2. Технологии: Если направление для развития экспертизы безопасности выбрано, нужно решить, что будет проще и выгоднее — создать самостоятельно, купить или взять в аренду (например, заключив соглашение с провайдером MSSP). Прежде чем сделать выбор, провайдерам нужно тщательно взвесить финансовый эффект от каждой из моделей в долгосрочной перспективе. Например, эксперты TAG отмечают, что партнерские соглашения легче заключить, но часто они приводят к более высокой стоимости сервисов для конечных заказчиков, а значит — к потере конкурентных преимуществ.
3. Подготовка персонала и обучение: Допустим, оптимальный способ внедрения новых решений был найден. Но перед тем, как они начнут окупаться, нужно обеспечить техническую поддержку в режиме 24x7x365 (а также желательно разработать методы реагирования на случай обнаружения инцидентов). Сможете ли провайдер нанять достаточно экспертов в области ИБ? Будут ли организованы тренинги и обучения, чтобы персонал был в курсе всех новшеств из области киберзащиты? Если для предоставления услуг было выбрано партнерское решение, сможет ли вендор своевременно провести инструктаж, сопровождать обновления и апгрейды? На все эти вопросы нужно найти ответы раньше анонса новых предложений.
4. Интеграции: Как сказал бы КО, “ИБ не может существовать отдельно от ИТ. Но если заглянуть в вопрос интеграции глубже, можно найти массу оптимизаций для упрощенного менеджмента и мониторинга просто за счет взаимодействия разных систем управления на уровне API. Однако некоторые устаревшие системы вообще ни с чем не интегрируются без доработки напильником. Да и современные продукты порой просто не очень хорошо работают с какими-то определенными другими решениями. Так что провайдерам нужно убедиться еще и в том, что новые сервисы будут работать нормально, не создавая зоопарка систем и дополнительной нагрузки на персонал.
5. Ценообразование: Если все основные вопросы решены, сервис-провайдеры могут получить хорошую прибыль от услуг в сфере безопасности просто за счет масштаба — если одни и те же решения и сотрудники, обслуживают разных клиентов. При этом эксперты TAG отмечают, что провайдеры могут выставлять достаточно высокие цены за действительно экспертную поддержку, но в сфере базовых услуг максимальный спрос следует ожидать от малого бизнеса, который просто не может позволить себе дорогие услуги, равно как и самостоятельное развитие экспертизы в сфере ИБ.

Так стоит ли ожидать, что MSP будут становиться MSSP?

На глобальном уровне добавление к модели MSP сервисов MSSP — это прекрасная возможность для бизнеса. Однако далеко не все провайдеры пока встают на этот путь, потому что для оказания услуг безопасности недостаточно просто купить какие-то новые решения или заключить соглашения с действующими MSSP. Для перехода требуется поэтапный план, продуманная стратегия и поддержка со стороны клиентов. Поэтому ожидать трансформации MSP в MSSP действительно стоит, но, вероятно, она будет происходить постепенно и завершится успехом только для тех компаний, которые будут внедрять новые сервисы постепенно и в полном соответствии с ожиданиями клиентов.

Обзор российского рынка MSSP (Managed Security Service Providers)

Managed Security Service Provider (MSSP) — это внешняя компания (провайдер), которой делегировано управление средствами защиты информации. MSSP давно востребованны за рубежом, однако на отечественном рынке такие услуги становятся популярными только сейчас. Мы рассмотрели основных игроков мирового и отечественного рынков.

1. Введение
2. Что такое MSSP и в чём его отличие от SECaaS
3. Мировой рынок MSSP
4. Российский рынок MSSP
5. Обзор отечественного рынка MSSP
   1. 5.1. Angara MSS
   2. 5.2. BI.ZONE
   3. 5.3. Cloud
   4. 5.4. «Билайн»
   5. 5.5. «Информзащита»
   6. 5.6. «Инфосистемы Джет»
   7. 5.7. «Крок»
   8. 5.8. «МегаФон»
   9. 5.9. «РТК-Солар»

   Введение

   Дефицит кадров в области информационной безопасности увеличивается с каждым годом, в то время как проблемных задач, связанных с киберзащитой, становится всё больше. Пандемия COVID-19, продолжавшаяся несколько лет, размыла привычные периметры, введя понятие «удалёнка», а геополитические события в мире привели к повышению агрессивности внешнего фона. Необходимо отметить, что кадровая проблема имеет общемировой масштаб. Так, в 2019 году, по оценке ассоциации ISC2, дефицит специалистов по информационной безопасности в мире составлял около 4,07 млн человек.

   Мы провели подробное сравнение провайдеров услуг по управлению информационной безопасностью (MSSP). Сравнение проводилось по 121 критерию, характеризующему полноту и качество предоставляемых услуг. Результаты помогут потенциальному заказчику выбрать наиболее подходящего поставщика.

   Рисунок 1. Дефицит ИБ-специалистов по регионам

   

   Дефицит кадров в области информационной безопасности вызван также динамикой роста киберпреступности. Если в 2021 г. ущерб от киберпреступлений составил 6 трлн долларов США, то к 2025 г. прогнозируется рост этого показателя более чем на 50 %, до 10,5 трлн долларов. Для сравнения, годовые объёмы рынка наркотиков и торговли людьми, краж нефти, незаконной добычи и рыболовства, незаконного оборота оружия оцениваются в 1,6–2,2 трлн долларов.

   В то же время если в 2021 г. рынок информационной безопасности оценивался в 176,5 млрд долларов, то к 2027 г. ожидается его рост до 403 млрд долларов.

   Компании по-разному подходят к решению проблемы дефицита кадров. Кто-то справляется за счёт высокого уровня доходов специалистов по информационной безопасности, кто-то «ведёт» наиболее перспективных студентов, предлагая им трудоустройство на последних курсах вуза либо сразу после выпуска, кто-то «выращивает» специалистов из ИТ.

   Решением этой проблемы и общемировой тенденцией стало развитие рынка MSSP (Managed Security Service Providers). В соответствии с определением аналитического агентства Gartner, провайдер управляемых сервисов безопасности (MSSP) обеспечивает мониторинг и администрирование средств защиты информации. При этом управляемые СЗИ могут предоставляться провайдером в виде облачного сервиса или находиться в инфраструктуре заказчика.

   Что такое MSSP и в чём его отличие от SECaaS

   Эволюция рынка услуг информационной безопасности была поступательной. На первых порах это был аутстафинг, заключавшийся в предоставлении выделенного персонала для проведения необходимых работ: внедрения приобретённых решений по безопасности в инфраструктуру клиента, их настройки и администрирования.

   Следующим шагом стало появление MSSP. В отличие от аутстафинга, здесь конкретные сотрудники не выделяются, а администрируемые решения по безопасности могут принадлежать заказчику либо быть взятыми в аренду. В классическом понимании MSSP обеспечивает мониторинг и управление для существующей инфраструктуры средств информационной безопасности заказчика. В модели MSSP провайдер удалённо контролирует и / или администрирует файрволы, системы предотвращения вторжений (IPS) и другие СЗИ, а также обеспечивает их круглосуточное ежедневное сопровождение.

   В 2017 году агентство Gartner выделило следующие области оказания услуг по модели MSSP:

   • контроль или администрирование файрволов (в т. ч. NGFW, UTM);
   • контроль или администрирование средств обнаружения и предотвращения вторжений;
   • контроль или администрирование шлюзов безопасности для почтового и веб-трафика;
   • контроль и / или администрирование средств защиты от сложных атак;
   • анализ журналов безопасности;
   • составление отчётов по контролируемым / управляемым устройствам и реагированию на инциденты;
   • контроль или администрирование агентов SIEM, сканирование активов заказчика на уязвимости, защита от DDoS-атак.

   Следующим шагом в развитии рынка аутсорсинга услуг по информационной безопасности стало появление модели MDR (Managed Detection and Response). MDR обеспечивает углублённое исследование потенциальных угроз в сети организации. В сервис MDR могут входить:

   • Endpoint Detection and Response (EDR) — обнаружение вредоносной активности на конечных точках и реагирование на неё;
   • Network Detection and Response (NDR) — поиск вредоносных элементов в сетевом трафике и реагирование на них;
   • Extended Detection and Response (XDR) — сочетание двух предыдущих пунктов;
   • Endpoint Protection Platform (EPP) — комплексные защитные решения для конечных точек;
   • Security Information and Event Management (SIEM) — решения для сбора и автоматического анализа информации о событиях по безопасности.

   В последнее время очень быстро развивается формат предоставления услуг SECaaS (Security-as-a-Service). В рамках этой модели заказчику предоставляются средства защиты информации по подписке, а дальнейшее управление СЗИ остаётся за ним самим. Заказчик может администрировать их своими силами, а может и привлечь MSS-провайдера. Таким образом, SECaaS является логическим дополнением к услугам по модели MSSP.

   В России перечень сервисов, предоставляемых в рамках MSSP, находится на стадии формирования и может отличаться по некоторым видам услуг. В рамках статьи будет произведён обзор сервисов по сетевой защите, борьбе с DDoS-атаками, управлению уязвимостями и повышению осведомлённости пользователей.

   Вопросы делегирования функций ИБ по разным моделям аутсорсинга недавно обсуждались в отдельном выпуске AM Live, общие итоги которого можно прочитать здесь.

   Мировой рынок MSSP

   Как и многие другие области информационной безопасности, рынок MSSP не остался без внимания аналитического агентства Gartner, регулярно составляющего оценочные диаграммы (квадранты) на соответствующую тему.

   Рисунок 2. Квадрант Gartner с оценкой рынка MSSP на 2018 г.

   

   Динамику развития рынка MSSP наглядно показывают рейтинги на сайте MSSPAlert.com, посвящённом этому направлению. Так, в 2017-2018 годах этот ресурс составил рейтинг 100 лучших провайдеров, в 2019-м перечень состоял уже из 200 поставщиков, а рейтинг за 2020-2021 гг. содержал информацию о 250 провайдерах. По версии MSSPAlert.com, первые 10 мест рейтинга за 2021 г. заняли следующие провайдеры: AT&T Cybersecurity (США), Orange Cyberdefense (Франция), BT Security (США), Neustar (США), Herjavec Group (Канада), Trustwave (США), Kroll (США), Accenture (США), ECS Federal (США), eSentire Inc. (Канада).

   По оценкам аналитиков, рынок MSSP за период с 2020 по 2026 гг. вырастет с 27,7 млрд долларов США до 64,73 млрд долларов, т. е. более чем вдвое. Крупнейшим рынком услуг управляемых сервисов по информационной безопасности являются США, в то время как самым быстрорастущим — Азиатско-Тихоокеанский регион (Австралия, Новая Зеландия и другие).

   Российский рынок MSSP

   Рынок MSSP в России только начинает развиваться. По итогам опроса, проведённого Anti-Malware.ru, только 24 % компаний выразили готовность передать функции по информационной безопасности на аутсорсинг и лишь 16 % считают, что оптимальная для них модель — предоставление услуг MSSP. Причины весьма стандартны: не все компании готовы отдавать управление средствами защиты информации третьим лицам, ведь неправильная конфигурация СЗИ может привести к остановке критически важных бизнес-процессов и иным негативным последствиям.

   Приостановка деятельности зарубежных вендоров СЗИ на территории Российской Федерации привела к переориентации провайдеров MSS-услуг в сторону отечественных производителей, решения которых позволяют реализовывать экосистемный подход к построению систем информационной безопасности для клиентов.

   Рисунок 3. Опрос, касающийся оптимальной модели аутсорсинга для компаний

   

   Обзор отечественного рынка MSSP

   Angara MSS

   Angara MSS, входящая в группу компаний Angara Security, работает по модели MSSP с 2016 года. В числе предоставляемых услуг — защита от спама, фишинга и целенаправленных атак, реагирование на сложные угрозы, повышение осведомлённости сотрудников, фильтрация сетевого трафика и другие. В 2019 году Angara MSS совместно с «Лабораторией Касперского» представила услугу по защите от целевых атак, построенную на базе продуктов Kaspersky Anti Targeted Attack и Kaspersky EDR.

   • использование модели «pay-as-you-grow» и возможности индивидуализации сервисов;
   • единая платформа оказания услуг;
   • возможность расширения сервисов «на ходу»;
   • более 120 поддерживаемых ИБ-продуктов;
   • высокая скорость подключения сервисов — от нескольких часов;
   • индивидуализируемая отчётность, включающая в себя данные BI-аналитики.

   Более подробную информацию можно получить на сайте компании.

   BI.ZONE

   В портфеле компании BI.ZONE есть несколько услуг по модели MSSP. Так, защита веб-приложений обеспечивается в рамках услуги BI.ZONE WAF, позволяющей в том числе анализировать приложения на уязвимости и блокировать попытки эксплуатации брешей. Настройка инструмента осуществляется специалистами провайдера индивидуально под каждое приложение. Также в перечень входят защита почтового трафика (BI.ZONE CESP), борьба с DDoS-атаками (BI.ZONE CDP) и повышение осведомлённости пользователей (BI.ZONE Security Fitness).

   • использование собственных продуктов;
   • гибкий выбор тарифов;
   • широкая продуктовая линейка;
   • личный кабинет пользователя услуги;
   • сервисы находятся в реестре отечественного ПО.

   Более подробную информацию можно получить на сайте компании.

   Cloud

   Cloud, ранее известный как SberCloud, является облачным провайдером услуг и сервисов по моделям IaaS и PaaS, а также предоставляет сервисы информационной безопасности на базе разработок отечественных вендоров (BI.ZONE, UserGate, Kaspersky, «ИнфоТеКС» и др). Виртуальный межсетевой экран, предоставляемый Cloud, помогает как обособить внутренние сегменты, так и отделить инфраструктуру заказчика от внешнего периметра. Кроме виртуального межсетевого экрана Cloud продаёт сервис защиты от DDoS-атак на базе облака Qrator. В партнёрстве с компанией BI.ZONE Cloud реализует обеспечение безопасности веб-приложений на базе решения BI.ZONE WAF. Также Cloud имеет в портфеле комплексное решение anti-DDoS + WAF.

   • использование отечественных технологий;
   • вариативность подключения услуг;
   • импортонезависимость.

   Более подробную информацию можно получить на сайте компании.

   «Билайн»

   На рынке сервисов ИБ по модели MSSP компания развивается уже порядка 10 лет, начав с решений по защите от DDoS-атак и далее расширяя портфель продуктами по защите веб-приложений (WAF) с возможностью размещения как в собственном облаке, так и в инфраструктуре заказчика. Также в списке предоставляемых услуг — решения по защите корпоративной почты от фишинга и спама (Security Email Gateway), межсетевые экраны нового поколения (NGFW), криптозащита каналов связи в соответствии с требованиями ФСТЭК и ФСБ России, SIEM-решения, услуги по пентестингу и проведению аудита ИБ.

   • мультивендорность, включая использование отечественных технологий;
   • вариативность в части архитектуры и размещения решений;
   • ориентация на разные сегменты бизнеса и их потребности.

   Более подробную информацию можно получить на сайте компании.

   «Информзащита»

   «Информзащита» оказывает комплекс услуг по аутсорсингу эксплуатации СЗИ, включая техническое сопровождение, администрирование, аренду технических средств. Компания работает по модели MSSP в следующих направлениях: защита периметра (файрвол, IDS / IPS), управление уязвимостями, безопасность веб-приложений, криптографическая защита, антивирусная защита и другие.

   • развитая линейка сервисов в части администрирования СЗИ;
   • выстроенные процессы сопровождения в соответствии с ITIL, ISO 20000, ISO 27001;
   • широкая линейка услуг;
   • наличие сервисов для защиты мобильных телефонов пользователей.

   Более подробную информацию можно получить на сайте компании.

   «Инфосистемы Джет»

   Команда Jet CSIRT компании «Инфосистемы Джет» предлагает клиентам несколько услуг по модели MSSP. Отметим Jet CSIRT Advanced — комплекс экспертных сервисов. В число самых популярных из них входит Vulnerability Management Service, который позволяет своевременно получать не только информацию об уязвимостях, но и рекомендации о том, каким образом и в какой последовательности их стоит закрывать. Jet CSIRT Support осуществляет как техническую поддержку, так и эксплуатацию средств защиты информации заказчика.

   • 20 лет опыта работы на рынке аутсорсинга ИБ;
   • широкая продуктовая линейка;
   • поддержка и эксплуатация более 100 решений по ИБ.

   Более подробную информацию можно получить на сайте компании.

   «Крок»

   «Крок» обладает широкими компетенциями в части сопровождения СЗИ, которые предоставляет теперь не только при реализации проектов в части информационной безопасности, но и как MSSP. В портфеле компании есть сервисы по защите веб-приложений (WAF, anti-DDoS) и почтового трафика, повышению осведомлённости персонала, защите периметра (NGFW).

   • оперативное подключение услуг;
   • вариативность размещения WAF;
   • круглосуточная поддержка клиентов;
   • большой опыт работы на рынке.

   Более подробную информацию можно получить на сайте компании.

   «МегаФон»

   «МегаФон» объявил о создании коммерческого центра информационной безопасности в 2022 г. При этом на рынке сервисов ИБ компания активно развивается с 2018 года, список продуктов и сервисов разнообразен и включает в себя защиту заказчика по разным направлениям и бизнес-моделям реализации. Услуги по безопасности сети и инфраструктуры включают в себя WAF, соответствующий требованиям PCI DSS, а также средство защиты от DDoS, работающее на базе продуктов «Гарда Технологии» и способное отражать атаки ёмкостью до 300 Гбит/с. Также в портфеле «МегаФона» есть MSSP-сервис «Защита корпоративной почты» и услуги по криптозащите корпоративных каналов связи.

   • использование отечественных технологий;
   • соответствие PCI DSS, требованиям ФСТЭК и ФСБ России;
   • широкая линейка продуктов;
   • наличие сервисов для защиты мобильных телефонов пользователей.

   «РТК-Солар»

   Сервисы экосистемы Solar MSS разделены на три логических уровня: уровень приложений, уровень сети и уровень инфраструктуры. Уровень защиты приложений включает в себя сервис по защите от DDoS, отфильтровывающий атаки уровня L3-L4 объёмом до 5 Тбит/с, и брандмауэр для веб-приложений (WAF). Сервис способен не только обеспечивать безопасность на уровне L7, но и маскировать конфиденциальные данные. На этом же уровне располагается контроль уязвимостей (VM), позволяющий выстроить полный жизненный цикл Vulnerability Management, от обнаружения до устранения брешей. Уровень защиты сети включает в себя межсетевое экранирование и защиту приложений, предотвращение вторжений и антивирусную проверку трафика, шифрование каналов связи (ГОСТ VPN) в соответствии с требованиями ФСБ и ФСТЭК России и защиту от отказов в обслуживании. Наконец, борьбу с угрозами на уровне инфраструктуры осуществляют песочница (Sandbox), обеспечивающая защиту корпоративной сети и сотрудников от ранее неизвестных и сложных целевых атак, и подсистема защиты электронной почты (SEG), отвечающая за очистку почтового трафика от писем со вредоносными элементами, фишингом или спамом.

   • использование отечественных технологий;
   • наличие клиентского портала и центра поддержки клиентов;
   • ориентация на бизнес-потребности заказчика.

   Более подробную информацию можно получить на сайте компании.

   Выводы

   Развитие рынка MSSP — дело времени. Вскоре доля средств защиты информации, используемых в компаниях по модели MSSP, значительно вырастет. Основная причина успеха подобной модели — кадровый голод, необходимость инвестиций в образование действующих сотрудников, потребность в поддержке ряда решений в режиме 24×7.

   При выборе MSSP необходимо учитывать технологии, на которых базируется требуемый сервис, опыт работы провайдера на рынке и портфель решений, предоставляемый поставщиком. Дополнительными аргументами в пользу последнего будут также наличие сертификата ISO 27001 и обратная связь от других клиентов.

   Определяя применимость модели MSSP к реалиям конкретной организации, необходимо учитывать также и риски для бизнес-процессов компании, которые могут пострадать при возможных инцидентах, связанных с качеством оказания услуг.

   Подписка на безопасность: что такое MSSP и почему это нужно бизнесу

   

   Чем глубже продукты и сервисы уходят в «цифру», тем сложнее защищать их от кибератак. Но инфобезопасность — это сложно и дорого. Если бюджеты или приоритеты не позволяют такие траты, бизнесу поможет MSSP-провайдер

   Безопасность как сервис

   Чем больше у компании цифровых услуг и сервисов, тем выше шанс рано или поздно столкнуться с кибератакой. Это обратная сторона цифровизации, о которой никогда нельзя забывать. И мир продолжает меняться: если раньше хорошо отлаженная система противодействия таким угрозам была строго обязательной в основном в финансовой индустрии, то теперь это базовая необходимость практически для любого бизнеса. Однако не всегда у организаций есть возможность серьезно заниматься вопросами информационной безопасности (ИБ) самостоятельно. На рынке дефицит качественных специалистов в области ИБ, оборудование требует больших инвестиций и долго окупается, а на развертывание уходят недели или даже месяцы. При этом нужно заранее продумать подходы к масштабированию, обновлению и обслуживанию техники. Легко представить, как такую задачу решает банк из первой десятки, но для производственного предприятия среднего уровня или, скажем, молодого интернет-сервиса это серьезный вызов, требующий значительных затрат времени и денег. На выручку приходит модель MSSP — Managed Security Service Provider, или, проще говоря, «безопасность как сервис». Идея в том, что компания покупает набор услуг в области ИБ исходя их своих потребностей и возможностей. Бизнес формулирует задачу, а провайдер открывает доступ к необходимым сервисам или развертывает целые решения «под ключ» и предоставляет их по модели «как сервис». Концепция не новая (еще в 1990-х годах интернет-провайдеры начали предлагать антивирусы и фаерволлы за дополнительную плату), но очень востребованная, поскольку это выгодно обеим сторонам. По данным GVR Cyber Security Market Trends & Growth Report, 2021–2028 (grandviewresearch.com), общий объем рынка MSSP в США, Канаде, Великобритании, Германии, Китае, Индии, Японии, Бразилии и Мексике оценивается в $180 млрд с потенциалом роста до $375 млрд к 2028 году. По оценке Tadivser, в 2019 году объем российского рынка ИБ составил более ₽90 млрд, а расходы государственного сектора на информационную безопасность в 2020 году достигли почти ₽75 млрд. В США и Европе модель MSSP давно перешла из области трендов в область стандартного для рынка решения. Еще в 2017 году консалтинговая компания PAC (CXP Group) в большом исследовании показала, что 66% европейских организаций так или иначе используют модель MSSP, 24% планируют начать это делать в скором времени, а 10% оставшихся всерьез изучают такую возможность. Интересно, что лишь каждый пятый заказчик выбирает «безопасность как сервис» из-за необходимости соответствия требованиям комплаенса и GDPR — так называется главный закон ЕС о защите персональных данных.

   

   В первую очередь руководители исходят из того, что MSSP повысит эффективность защиты и позволит сэкономить средства. Следующими по значимости факторами выбора стали автоматизация операций, уверенность в защите от самых современных угроз, включая наиболее продвинутые, а также доступ к экспертам и новейшим технологиям ИБ. Еще одна крайне интересная часть этого исследования — данные о том, как компании измеряют эффективность MSSP. На первом месте с заметным отрывом от остальных вариантов — сокращение расходов на безопасность. Очень похоже на то, что в 2021 году российские заказчики пришли к тому же запросу. Пандемия ускорила цифровую трансформацию, и это, в свою очередь, повысило уровень угроз для бизнеса, а дефицит специалистов по ИБ при этом никуда не пропал. Заказчики хотят снизить расходы, не теряя в качестве защиты, и получить доступ к опытным экспертам, которые помогут правильно реагировать на самые современные атаки и выстраивать надежную защиту от них.

   Выбор MSSP-партнера: важно проверить все

   1. Организация и управление безопасностью периметра
   2. Внедрение отдельных решений в области ИБ
   3. Мониторинг информационной безопасности
   4. Тестирование на проникновение и оценка уязвимостей
   5. Аудит и оценка соответствия требованиям: как внутренних, так и регуляторов

   Важно заранее убедиться в том, что вам будут оказывать действительно качественный сервис. От MSSP-провайдера зависит множество крайне важных вещей, поэтому к его выбору нужно подойти со всей ответственностью. Можно привлечь к подбору ИТ-эксперта, которому вы доверяете, но и без специальных знаний составить общее впечатление о поставщике услуг ИБ тоже можно. Вот на что нужно обязательно обратить внимание, прежде чем заключать какие-либо договоры:

   1. Комплексность покрытия потребностей. Как правило, чем больше бизнес, тем больше услуг ему нужно: от интернет-безопасности до работы с облаками, каналами и другими ИТ-сервисами. Гораздо удобнее (и часто дешевле) заказать все сразу у одного MSSP-провайдера. Ограниченный список услуг может указывать на то, что перед вами небольшой поставщик с соответствующими уровнями надежности и устойчивости.
   2. Компетентность команды. На российском рынке сейчас серьезный дефицит специалистов в области информационной безопасности. Лучшие кадры у лучших компаний и лучших MSSP-поставщиков. Обязательно нужно запрашивать документы об обучении сотрудников будущего MSSP-партнера, смотреть примеры реализованных проектов. Стоит проверить, насколько хорошо компания известна, и как часто ее специалисты выступают в качестве экспертов на профильных конференциях.
   3. Прозрачный подход к оборудованию. За любым информационным сервисом стоит программное обеспечение и много сложной техники в центрах обработки данных: серверы, хранилища, коммутаторы, маршрутизаторы, межсетевые экраны и не только. Если MSSP-провайдер не раскрывает, на основе каких решений строятся его услуги, это должно сильно насторожить. Кроме того, оборудование должно быть масштабируемым, ведь не всегда заранее получается точно спрогнозировать будущий рост потребностей. Хороший поставщик MSSP с высокой вероятностью обеспечит масштабирование в два-три раза вскоре после запроса клиента.

   Реальная экономия времени и средств

   Выбирая MSSP-провайдера, стоит подумать не только о базовых потребностях в области ИБ, но и о дополнительных возможностях, которые даст партнерство с компанией, обладающей глубокой экспертизой сразу в нескольких областях. Это может быть крупный оператор сотовой связи, эффективно совмещающий услуги MSSP с другими своими сервисами: так появляются особые опции для клиентов.

   Именно так работают сервисы кибербезопасности «МегаФона». Обращаясь к специалистам по защите данных, заказчик получает доступ к опыту и экспертизе всей группы компаний. Уникальными услугами в этом случае могут быть создание максимально устойчивого канала связи для облака или, например, особенно глубокий подход к безопасности персональных данных, гарантирующий максимальную надежность. Ведь это то, с чем оператор сотовой связи работает каждый день сам, причем в серьезных масштабах. Закономерно, что и клиенту услуги в таких областях будут оказываться качественно.

   

   Но это лишь несколько примеров. Подход к MSSP у «МегаФона» и других крупных провайдеров всегда комплексный. Сначала специалисты по ИБ внимательно изучат бизнес заказчика, проведут обследование, построят модель угроз, оценят риски. И только потом предложат подробный план действий с учетом дальнейшего роста и масштабирования. Вот несколько конкретных результатов на примерах работы MSSP «МегаФона».

   Пример 1. Компания заказала у провайдера облачную инфраструктуру в связке с фаерволлом веб-приложений (WAF) для защиты сайта. Благодаря тому, что WAF уже был развернут и настроен в облачной инфраструктуре, все удалось подключить, протестировать и перевести в «боевой» режим буквально за несколько дней. Стоимость проекта в формате MSSP-подписки — менее ₽150 тыс. в месяц. Интеграция аналогичного решения в контур заказчика обошлась бы не менее чем в ₽2 млн единоразово без учета множества дополнительных расходов: затрат на персонал, помещение и электроэнергию, а также отчислений разработчикам ПО. При этом не нужно думать об обновлении и масштабировании: всем этим тоже может заняться провайдер, когда придет время.

   Пример 2. Компания из финансового сектора заказала услугу DLP — Data Loss Prevention, предотвращение утечки персональных данных. «МегаФон» развернул ее в в гибридном формате: программное обеспечение самой DLP установили на виртуальные серверы в «МегаФон Облаке», а затем организовали защищенные каналы между облачной инфраструктурой и инфраструктурой заказчика. На инфраструктуре заказчика были установлены агенты контроля, а в сторону облачной DLP был направлен трафик, требующий анализа и контроля. Без вложений в инфраструктуру заказчику удалось повысить уровень информационной безопасности и минимизировать риски утечки важных для него данных. Здесь получился выигрыш не только в цене (₽250 тыс. в месяц по подписке против ₽3 млн единоразово только за оборудование), но и в скорости. Провайдер реализовал проект «под ключ» за три недели, а развертывание аналогичного решения в собственном контуре потребовало бы не менее трех месяцев глубокого вовлечения многих специалистов со стороны интегратора и самого заказчика.

   MSSP помогает, но не снимает ответственность

   Есть ли в модели MSSP риски? Да, и главный из них — довериться не тем людям или командам. Именно поэтому к выбору поставщика услуг ИБ нужно подходить максимально серьезно. Кроме того, важно помнить, что заключение договора не снимает с заказчика ответственность за принятые решения. MSSP-провайдер — надежный партнер, технический советник и опытный эксперт, но ни в коем случае не страховка от ущерба. Нужно уделять пристальное внимание вопросам безопасности даже после покупки подписки: формировать стратегию и корректировать ее исходя из постоянно меняющихся условий.

   И тут MSSP-провайдеры тоже всегда готовы помочь новыми решениями. Люди и компании становятся все более мобильными. Глобальная сеть полна рисков и угроз, которые делают и нас, и сервисы, которыми мы пользуемся, более уязвимыми. По данным FraudWatch, 95% нарушений кибербезопасности связаны с ошибками пользователей. Именно поэтому крайне важно, чтобы бизнес повышал уровень компетенции своих сотрудников в вопросах ИБ. Такая услуга у MSSP-поставщиков тоже есть — это security awareness, или продукты повышения осведомленности. Здесь возможны разные подходы, но самые правильные — те, которые делают акцент на комплексность и реальные симуляции. То есть, с одной стороны, обучение должно охватывать все ключевые темы: рассказывать об угрозах, методах защиты от них, конкретных действиях в момент реагирования и формировать правильные привычки. С другой стороны, важно связывать его с тем, как система ИБ устроена непосредственно в компании. Например, иногда сотрудникам намеренно высылаются вредоносные и фишинговые сообщения от самой организации, чтобы выявить наименее опытных, а затем провести персональное обучение.

   

   Помимо повышения осведомленности необходимо еще лучше защищать свои приложения и сайты. Для этого важно, чтобы компании не только внедряли решения ИБ, но и чтобы команды разработки уделяли внимание безопасности при создании кода. Для этого нужно использовать особые среды разработки и тестирования, которые обезопасят данные от хищений, программные решения для статического и динамического анализа кода, а также регулярно анализировать приложения и код силами штатных или привлеченных специалистов. Главное — не забывать про баланс между удобством разработки и мерами защиты.

   Следующий шаг в развитии сервисов ИБ — предоставление безопасного облачного сервиса для команд разработки «под ключ». Строить такие среды внутри стартапов сложно и дорого. Даже крупные компании сталкиваются с проблемами при создании защищенных, консистентных и при этом компактных сред разработки и тестирования. При этом подобный облачный сервис по подписке можно развернуть быстро, за умеренные деньги и с уже настроенным балансом комфорта для разработчиков и средствами защиты. Значимый бонус — выигрыш в надежности, целостности, доступности и производительности. Например, «МегаФон Облако» по уровню конфиденциальности уже сейчас не отличается от внутрикорпоративных решений, а по отдельным параметрам может даже превосходит их.

   MSSP-партнеры и провайдеры услуг ИБ

   Positive Technologies открывает новые форматы сотрудничества и предлагает партнерам возможность оказывать своим клиентам услуги по информационной безопасности на базе технологий и продуктов Positive Technologies. В программе MSSP доступны продукты PT Application Firewall, PT Application Inspector, PT Network Attack Discovery, MaxPatrol SIEM, PT ISIM, PT Sandbox, PT XDR и MaxPatrol VM.

   

   Россия: Чебоксары

   • MaxPatrol SIEM

   ООО «КСБ-СОФТ» — системный интегратор в сфере информационной безопасности и импортозамещения информационных технологий. Осуществляет свою деятельность с 2014 года на основании лицензий ФСТЭК России и ФСБ России. Специалисты, работающие по направлениям кибербезопасности компании, имеют аккредитацию по международным сертификациям OSCP, CISM, CGEIT и CISA. Среди клиентов государственные и коммерческие организации в 80 регионах России.

   Центр мониторинга и реагирования на инциденты SOCRAT является корпоративным центром ГосСОПКА и предлагает полный комплекс услуг для непрерывной защиты организаций от угроз безопасности. SOCRAT обеспечивает мониторинг событий и инцидентов информационной безопасности компаний в режиме 24/7.

   

   Россия: Москва

   • MaxPatrol VM

   Angara Security — системный интегратор и провайдер более 50 услуг в сфере информационной безопасности для финансового сектора, телекома, транспорта, промышленности, ритейла и госсектора.

   Ключевые сервисы и услуги: системная интеграция и поставки ПО, консалтинг, аудит и анализ защищенности ИБ-инфраструктуры, услуги коммерческого SOC, расследования киберинцидентов, безопасная разработка (DevSecOps), MSS-сервисы.

   Компания обеспечивает защиту цифровых активов, внедряет ПАК на базе российского ПО, сопровождает проекты на всех этапах — от проектирования до технической поддержки 24/7.

   

   Россия: Москва

   • MaxPatrol SIEM

   Rubytech — один из крупнейших в России ИТ- и ИБ-интеграторов. Компания реализует комплексные проекты по импортозамещению, обеспечению информационной безопасности, проектированию и внедрению центров обработки данных, созданию корпоративных хранилищ, внедрению сетевой инфраструктуры, внедрению мультимедиа.

   Компания успешно создает и развивает собственные ИТ-продукты для цифровизации бизнеса. В частности, платформу автоматизации контакт-центров, а также комплексные решения в сфере информационной безопасности.

   Также у компании есть собственный сервисный центр, тестовая лаборатория и команда экспертов, оказывающих услуги по техническому сопровождению информационных систем и ИТ-инфраструктуры в ситуации ухода производителей с российского рынка.

   Rubytech обладает всеми лицензиями, которые необходимы для успешной реализации проектов, в том числе на объектах критической информационной инфраструктуры: лицензии ФСБ, ФСТЭК и допуски СРО.

   

   Россия: Москва

   • MaxPatrol SIEM
   • PT Application Firewall

   ПАО «МегаФон» — российский провайдер цифровых возможностей, предоставляющий надежные решения для обеспечения кибербезопасности. Компания более 20 лет развивает свою экспертизу, и накопленный за эти годы опыт позволяет создавать востребованные ИБ-решения как для конечных пользователей, так и для критических инфраструктур стратегических предприятий. Активный портфель компании представлен самыми разными продуктами, сервисами и услугами — от сканера уязвимостей и защиты от DDoS-атак до мониторинга и реагирования на инциденты ИБ. Уровень зрелости решений и эффективное долгосрочное партнерство уже оценили тысячи компаний, находящихся под киберзащитой МегаФона.

   Россия: Санкт-Петербург

   • MaxPatrol SIEM

   Selectel — ведущий провайдер IT-инфраструктуры в России. Компания предоставляет собственную облачную платформу, аттестованную инфраструктуру и сервисы информационной безопасности. Продукты Selectel позволяют бизнесу отказаться от капитальных затрат на IT, обеспечить безопасность и соответствие требованиям ФСТЭК, высокую производительность и надежную работу 24/7.

   Компания существует с 2008 года и владеет шестью современными дата-центрами в Москве, Санкт-Петербурге и Ленинградской области. На сегодняшний день у Selectel более 24 000 клиентов — от индивидуальных предпринимателей до крупных корпораций.

   Россия: Москва

   • MaxPatrol SIEM
   • MaxPatrol VM

   Компания «Инфосистемы Джет» — один из крупнейших российских системных интеграторов — образована в 1991 году. Основные направления деятельности: бизнес-решения и программные разработки, IT- и телекоммуникационная инфраструктура, информационная безопасность, IT-аутсорсинг и техническая поддержка, управление комплексными проектами. Компания располагает 14 региональными офисами в России и СНГ, ведет ряд проектов в других странах.

   Россия: Москва

   • MaxPatrol SIEM
   • PT Application Firewall
   • PT Network Attack Discovery
   • MaxPatrol VM

   Компания OXYGEN — провайдер полного спектра ИТ услуг: от создания дата-центров и инженерных систем до разработки облачных платформ и инфраструктуры, а также сервисов информационной безопасности.
   С 2010 года компания владеет современным дата-центром уровня надежности Tier III в Москве. В 2020–2021 гг. OXYGEN запустила собственные облачны платформы в Москве, Европе, Западной Сибири, Сингапуре.
   С 2020 года компания OXYGEN входит в топ-рейтинг ведущих поставщиков услуг ЦОД в России.

   Россия: Хабаровск

   • MaxPatrol SIEM

   ООО «МАСКОМ-Техлайн» (входит в Холдинг МАСКОМ Восток) — центр компетенций в области защиты информации, системной интеграции, создания защищенных информационно-телекоммуникационных систем. На базе компании действует Центр мониторинга и управления информационной безопасностью MSOC — первый и единственный SOC, обладающий правом исполнять функции центра ГосСОПКА, вся технологическая база которого развернута в Хабаровске.

   

   Россия: Казань

   • MaxPatrol SIEM
   • MaxPatrol VM

   Центр противодействия киберугрозам Innostage CyberART осуществляет мониторинг и быстрое реагирование на компьютерные атаки, проводит анализ защищенности и тестирование компаний на устойчивость к кибератакам, оказывает консалтинговые услуги по строительству SOC для заказчиков. Также возможно обслуживание систем, которые уже развёрнуты у клиентов.

   Помимо классического сервиса по мониторингу событий информационной безопасности, CyberART обладает уникальной компетенцией по веб-аналитике и сетевой аналитике. Эксперты компании занимаются организацией киберучений и киберполигонов. CyberART является соорганизатором и стратегическим партнером крупнейших в мире киберучений Standoff и осуществляет подготовку специалистов по противодействию кибератакам.

   Похожие публикации:

   1. Mingw что это
   2. Как изменить размер чекбокса css
   3. Как транспонировать матрицу в с
   4. Что выполняет команда jar cfv tictactoer jar