Преимущества модели MSSP

Информационная безопасность имеет массу специализаций и направлений деятельности. ИБшник в компании – это «терапевт», а отдельными направлениями занимаются специалисты, например, по сетевой безопасности. У интеграторов такие специалисты как правило на голову сильнее. Держать такие компетенции в штате нецелесообразно, либо дорого, либо они могут понадобиться внезапно. Можно взять себе за дорого специалиста, который будет простаивать. Он решит несколько задач из множества, а потом будет не задействован. Когда таких специалистов берут по сервисной модели, они не простаивают, а используются только тогда, когда это необходимо. В этом и заключаются особенности сервисной модели: дирижирование внутренним контекстом и сдельная оплата (или почасовая).

Всякое решение имеет положительные и отрицательные стороны, нужно брать положительное от всех моделей и получать какое-то гибридное. В такой модели должен быть какой-то «дирижер» (CISO, директор по ИБ, руководитель ИБ в компании), который будет управляет внутренним контекстом происходящего в IT и небольшом штате ИБ компании, и в том числе аутсорсерами, выполняющими какие-то узкие задачи, под которые они «заточены» и которые хорошо понимают, но им очень тяжело получить внутренний контекст того, что происходит в компании.

Другая модель оплаты дисциплинирует менеджеров, т. к. задачу надо не просто поставить, а объяснить (или аутсорсеры объяснят, как она правильно решается), и кроме того, за ее решение надо будет заплатить.

Яркий пример – внешний пентест, который по стандартам должна делать внешняя команда, т. е. не та команда, которая настраивала исследуемые системы. Если в крупной компании 2–3 пентестера, которые выполняют одни и те же задачи, то они могут потерять объективность подхода. Если компания небольшая, имеющая одного специалиста, то он не может быть профессионалом во всем сразу; когда заключается договор с сервисной организацией, мы получаем команду пентестеров с узкой специализацией – web, wifi, социальная инженерия. За те же деньги компания получает штат людей, которые заняты только тогда, когда необходимо.

К минусам сервисной модели можно отнести попытки навязать сервисную модель вместе с конкретным ПО. Крупные компании пытаются перейти на продажу именно программного обеспечения, а не услуг, и сервис обычно поставляется в «довесок».

Какие услуги попадают в сервисную модель?

В первую очередь защита от DDOS, WAF, Threat Intelligence – то, что касается именно защиты извне. С внутренними процессами, особенно бизнес-процессами – всегда сложнее всего. Это требует достаточно серьезного вовлечения специалиста, который понимает специфику конкретного бизнеса. Такая схема может быть рабочей, если сервисная модель непрерывная, т. е. это внешний подрядчик, но он привлекается на длительное время и неоднократно. С «бумажной» безопасностью еще сложнее, есть разовые проекты консалтинга, когда специалисты привлекаются, пишут документацию, но это не совсем сервисная модель.

Тема повышения осведомленности также является классической. Обычно это связано с пентестами: повышение осведомленности, проверка знаний, пентест, и затем сначала –это уже сервис, который может предоставляться на долговременной основе.

Некоторые компании заключают договоры на поддержку сетевой инфраструктуры: коммутаторы, маршрутизаторы, «слаботочка» – т. е. относительно простых областей. То, что посложнее – VLAN, NAC и проч. – не всегда укладывается в аутсорс.

Часто отдается также криптография – потому что она требует лицензирования и проще отдать задачу на аутсорс, чем получать самим лицензию.

Парольная защита, настройка домена с точки зрения безопасности – здесь проще проводить какие-то аудиты и давать рекомендации, чем брать на себя обязанности по сопровождению. После выдачи рекомендаций обычно начинается достаточно длительный процесс по их реализации, и если отдавать эту функцию полноценно, то все равно будет переработка или простой специалиста, т. к. исполнение рекомендаций не всегда возможно в кратчайшие сроки и потребует интенсивной коммуникации множества подразделений с внешним подрядчиков. В итоге это может получиться и дороже, и дольше, чем делать все своими руками.

Внешний аудит – помогает получить свежий взгляд, и выполнить требования регуляторов.

SOC – одна из самых сложных областей. Часто внешний SOC не знает внутренний контекст компании, вследствие чего возможно неоптимальное или ошибочное взаимодействие. Хорошо подключить SOC – это дорого и сложно. Просто отправлять логи – это только начало. Для выявления широкомасштабных атак SOC должен собирать данные из нескольких компаний, оперируя не только внутренним, но и внешним контекстом.

Можно ли отдать всю безопасность на аутсорс, оставив у себя только одного специалиста, который будет все координировать?

Обычно вопрос стоит по-другому – набирать своих или привлекать внешних? Кого назначить ответственным за ИБ?

Хозяйствующий ИБшник должен знать и понимать, что у него происходит. Поэтому перед тем, как принимать решение о каком-то аутсорсе, необходимо провести аудит, и не просто пентест, в ИТ и ИБ для того, чтобы оценить текущее состояние и принять решение о приоритетах дальнейшей деятельности.

Риски и ограничения модели MSSP

Популярная модель – «отодвигание» сетевого периметра компании, когда организуется защищенный канал к поставщику услуг (например, облачный провайдер или ЦОД), у которого стоят современные совершенные системы защиты (NGFW, WAF, anti-DDoS), «чистящие» трафик и обслуживаемые специалистами провайдера, имеющими высокую квалификацию.

С одной стороны, для клиента это лучше в плане безопасности, но может вызывать определенные неудобства: для разворачивания и включения чего-либо специфичного. Все такие провайдеры работают не индивидуально, а используют решения, направленные на массового заказчика. Если появляется что-то специфичное, то такой вопрос не всегда можно решить быстро и вообще не всегда можно решить.

Вопрос кастомизации неоднозначен: при внедрении любого продукта или решения происходит конфликт привычек и установившихся в компании процессов с тем, как эти функции реализованы в продукте, и кастомизация под устоявшуюся модель не всегда рациональна: в компаниях, где автоматизируемые процесс незрелые, привносимая продуктом схема работы дисциплинирует и помогает упорядочить имеющиеся процессы, например, избавиться от теневого IT, который без согласования как минимум с провайдером работать попросту не будет. Любая кастомизация проще просчитывается с точки зрения стоимости, и проще принимать решения о ее рациональности или безопасности. Таким образом, базовая модель, предлагаемая провайдером услуг, может быть даже плюсом.

Следует также учесть вопрос ответственности.

При привлечении компанией аутсорсеров на какие-либо задачи ответственность за конечный результат несет все равно она сама. Возложенную законом (и подзаконными актами) ответственность снять с себя не получится, вне зависимости от того, что будет написано в договоре. Подрядчик будет нести ответственность перед компанией – но не перед законом.

Многие компании, оценив требования регулятора, предпочитают принять риск и заплатить штраф, либо страховать свою ответственность.

При этом следует иметь в виду, что максимальная сумма страхового возмещения выплачивается часть при выполнении целого ряда условий, которые в совокупности делают подобную страховку бессмысленной. Страховое вознаграждение можно уменьшить, предварительно выполнив ряд условий, например, проведя сторонний аудит безопасности. По результатам может оказаться, что страховать имеет смысл определенные риски, например, связанные с ответственностью третьих сторон, а не все киберриски в целом.

Кому подходит MSSP, а кому – нет

Что делать если аутсорсинг невозможен, например, по 239 приказу ФСТЭК?

Указ Президента от 1 мая №250 устанавливает ответственность руководителя по вопросам ИБ. Необходимо создать структурное подразделение, которое будет выполнять эти функции.

Компания может привлекать организации, обладающие лицензией, к определенным мероприятиям (обнаружение инцидентов и ликвидация последствий).

Если подрядчик, обладающий лицензией, не предлагает необходимого функционала (либо он слишком дорог), то организация может привлечь специалиста по ГПХ. Он считается сотрудником компании, и дополнительных лицензий не требуется. Это позволяет сэкономить деньги и закрыть необходимый функционал.

Так каким же компаниям подходит сервисная модель, а каким – нет? Если компания является субъектом КИИ – то есть ограничения, в остальных случаях применение модели MSSP возможно.

Как выбрать провайдера услуг?

Первый, формальный критерий – наличие необходимых лицензий, если вид деятельности требует этого. Услуги по ИБ практически все являются лицензируемыми.

Второй, и основной критерий – отзывы и рекомендации. Начинать можно с функции повышения осведомленности. Следует различать плюсы и минусы аутсорсинга определенной функции, плюсы и минусы отдельных его видов, а также плюсы и минусы конкретных провайдеров. Одна компания может быть хороша в выполнении определенной функции, но не очень – в другой. Все эти тонкости лучше (и достовернее) всего можно выяснить в общении с коллегами. ИБ – это вопрос в первую очередь доверия. Следует также помнить, что полностью проблем при взаимоотношении с провайдером избежать не удастся. При смене модели работы часть проблем уйдет, но появятся другие.

(Пообщаться с коллегами и специалистами в области ИБ можно на КОД ИБ ПРОФИ в Красной Поляне этой осенью 😉)

Важный вопрос – то же будет делать работу в конечном счете? Компании часто нанимают подрядчиков, те по цепочке – других и т. д., попутно снижая качество услуг и сильно завышая стоимость. Имеет смысл обратиться именно к конечным исполнителям.

Стоит также поговорить со специалистами конечного исполнителя, чтобы более точно сформулировать задачу, либо понять, что она не стоит в принципе. Например, при заказе пентеста компания может понять, что пентест ей и не нужен по ряд причин, и необходимо сначала навести порядок в своей инфраструктуре. Настроенные на долгосрочные серьезные отношения провайдеры не будут навязывать ненужную заказчику услугу, а предложат рациональное решение, например проведение периодических аудитов инфраструктуры с устранением несоответствий между ними.

Сохранять ли компетенции в компании?

Компетенции, хотя бы на минимальном уровне, сохранять следует, т. к. без компетентного специалиста в компании эффективного взаимодействия с подрядчиком добиться вряд ли получится. Работу аутсорсера надо поддерживать, обеспечивая ему необходимый контекст, ставя задачи, налаживая коммуникации с подразделениями.

Подводя итог, следует отметить, что начать аутсорс функций ИБ следует с осознания, какую цель компания преследует. Это не «спасательный круг», а трансформация модели работы, новые возможности и новые задачи.