Эльман Бейбутов, руководитель направления JSOC, компания Solar Security
Представьте на минуту: вы ‒ директор быстрорастущего и заслуживающего все большее доверие банка департамента ИБ, приходите в понедельник утром на работу, открываете почту и, попивая любимый кофе, изучаете сводку случившихся за выходные инцидентов. Их немного (всего три), и они явно были несложными, так как вас не беспокоили ни в субботу, ни в воскресенье. Однако один из них привлек ваше внимание, потому что отмечен как высококритичный. Что это?
В теме письма указано: «внешнее подключение к защищенному сегменту сети». В отчете приведены внутренний IP-адрес, доменное имя хоста, username залогинившегося пользователя, время подключения и продолжительность сеанса, внешний IP-адрес и еще пара других параметров. Далее, описание инцидента: «несанкционированное подключение из подсети провайдера домашнего интернета к АРМ администратора процессингового центра, запрещенное политикой безопасности и требованиями стандартов ИБ». Ниже в письме следуют результаты проведенного расследования: «выявлено, что ИТ-администратор подключил свой рабочий компьютер одним сетевым интерфейсом в чистый Интернет, а второй сетевой интерфейс по-прежнему остался в защищенном сегменте. Сделал он это исключительно для того, чтобы из дома в выходные обновить внутренний веб-сервер процессинга. Реагирование на инцидент выполнено в течение 12 мин, продолжительность разбора инцидента – 23 мин. Участники разбора инцидента: начальник отдела сопровождения и поддержки процессинга, team leader группы администрирования, ИТ-администратор, выполнявший запланированные работы. Итог работы службы ИБ: нарушитель выявлен, инцидент не привел к компрометации критичных данных, нелегитимный сетевой интерфейс отключен».
И тут вы подумали: «В очередной раз отлично сработала служба мониторинга ИБ, ловят по 15–20 нарушений в неделю, при этом никогда не беспокоят по пустякам и ложным инцидентам. Вот что значит отлаженные процедуры и квалифицированная команда безопасников. И этот отчет на встрече с вице-президентом в среду хорошо дополнит аргументацию в пользу выделения средств на систему записи действий администраторов. И до ИТ-директора нужно дойти – пусть наведет порядок среди своих подчиненных. Кстати, выписать бы парням из мониторинга квартальный бонус…».
Стоп, какой квартальный бонус? В договоре на аутсорсинг мониторинга ИБ нет никаких бонусов. Наоборот, там сплошные штрафы: за несоблюдение SLA, за недоступность сервис-менеджера, за технические сбои сервера сбора событий, за компрометацию архива инцидентов и т. п. Банк ежемесячно переводит одну и ту же сумму на счет MSSP-провайдера, как если бы выплачивал, скажем, зарплату сотрудникам, а аутсорсер, в свою очередь, занимается техническими, организационными и кадровыми вопросами. Получается, что служба мониторинга просто делает свою работу, а единственный способ поощрения для аутсорсера ‒ пролонгация соглашений и масштабирование услуг в банке.
Описанная выше ситуация из жизни директора департамента ИБ не выдуманная: в России уже есть успешные подключения к коммерческому Security Operations Center от MSSP-провайдера Solar Security, и переданные на аутсорсинг процессы мониторинга инцидентов ИБ работают по схеме аналогичной примеру. Конечно, полного аутсорсинга ИБ не бывает. Вопросы стратегического уровня, например определение целей защиты и принятие корпоративной политики ИБ, а также анализ и управление рисками ИБ, должны оставаться в зоне ответственности клиента. Их решение могут подсказать, в частности, консалтинговая компания или аналитики ИБ-интегратора. Но само обеспечение защиты, к примеру выбор и внедрение систем ИБ, их эксплуатация и администрирование, мониторинг событий и реагирование на инциденты, можно и нужно передавать на аутсорсинг.
Рассмотрим несколько типовых сценариев, когда компании всерьез начинают думать об аутсорсинге ИБ. Первый вариант: в компании есть начальник отдела ИБ и в его подчинении находится всего пара человек или, того хуже, нет больше никого. В таком случае создание внутренних процессов обеспечения ИБ потребует набора сотрудников, времени на их адаптацию и повышение квалификации в конкретных областях, а также времени на выбор средств защиты, проектирование и внедрение систем ИБ. Причем время от набора сотрудников до получения первого эффекта от внедренной системы ИБ – это уже трата бюджета организации без видимого результата, что порой непросто объяснить и обосновать перед руководством.
Второй пример: уже есть небольшая эффективная команда ИБ, бизнес осознает ее необходимость, получает выгоду от ИБ и регулярно выделяет средства на запуск новых проектов. В таких условиях каждый новый проект дается команде все труднее и труднее, поскольку уже запущенные в эксплуатацию средства защиты требуют администрирования и эксплуатации, а бизнес все так же ждет повышения выгоды системы ИБ в целом и отдачи от выделенных инвестиций.
Третий сценарий касается обслуживания сложных систем, требующих высокой квалификации и опыта в конкретной предметной области. Например, компания внедрила знаменитую SIEM-систему, выделила на ее обслуживание половину времени одного из своих ИБ-администраторов. Однако за пару лет ожидаемый эффект в обнаружении инцидентов так и не был достигнут: о значимых для бизнеса инцидентах отдел ИБ узнает от соседних подразделений или непосредственно от топ-менеджмента.
В каждом из сценариев можно предположить дальнейшее линейное увеличение штата специалистов ИБ и выделение большего времени на обучение и наращивание опыта работы со сложными системами. Но этот путь обладает понятными ограничениями: рынок незанятых высококвалифицированных кадров в сфере ИБ существенно лимитирован, обучение и удержание сотрудника в компании ведут к временным простоям, проработке схемы мотивации, определению вариантов карьерного роста и в конечном счете к увеличению фонда зарплаты.
Как вы считаете, кто лучше справится с обеспечением ИБ: два-три специалиста в штате компании или команда из 20–30 квалифицированных человек, заточенных на решение конкретных задач? Вопрос, разумеется, не требует ответа. Но здесь возникает проблема: если сложно обосновать незначительное расширение штата, то как обосновать необходимость увеличения ИБ-команды? А что если вариант с 20 обученными специалистами и готовыми к использованию техническими средствами окажется более жизнеспособным, чем создание собственной команды, планомерно закупающей и внедряющей подсистемы ИБ? Именно для ответов на эти вопросы стоит обратить внимание на концепцию Security as a Service.
Аутсорсинг позволяет сконцентрировать компетенцию, базу знаний, лидирующие технологии, процессы и опыт обеспечения ИБ и предоставить их в виде подписки на услуги для своих клиентов. Практика западных MSSP-провайдеров давно закрепила набор таких услуг. Более того, в отчетах Gartner тема MSSP определена как зрелая, в которой уже не осталось места игрокам уровня Visionaries. Интересен факт, что зарубежные провайдеры в портфель своих сервисов включают прежде всего обычный мониторинг и хранение логов периметровых средств защиты и предоставление облачных услуг (таких как анти-DDoS, сканирование уязвимостей, веб-фильтрация и т. п.). О сценариях корреляции событий решениями класса SIEM, защите от таргетированных атак и даже об эксплуатации клиентских систем ИБ упоминается редко.
Российская специфика такова, что упомянутые базовые сервисы ИБ не вызывают должного интереса ни среди клиентов, ни среди сервисных компаний и ИБ-лабораторий. Их воспринимают скорее как дополнение к более серьезной аналитической деятельности: противодействию киберпреступности, выявлению бизнес-инцидентов через мониторинг логов или как способы оперативного реагирования на угрозы. Например, JSOC компании Solar Security первой своей услугой обозначил «Мониторинг инцидентов», т. е. возможность выявления инцидентов уровня инфраструктуры и бизнес-процессов через сбор логов и обработку их корреляционными правилами. А российские ИБ-лаборатории акцентировали внимание клиентов на выявлении zero-day-троянов и на трендах хакерских активностей.
Команда JSOC, предоставляя сервисы одновременно нескольким компаниям, добивается проактивности в защите активов от схожих угроз, реализованных в других подключенных компаниях. Достигается это путем предупреждения клиентов о выявленных угрозах и выдачи рекомендаций по настройке сигнатур и политик имеющихся средств защиты. В полном объеме преимущества аутсорсинга можно оценить, если передать на эксплуатацию и администрирование непосредственно системы ИБ. Тогда мероприятия по тюнингу правил команда аутсорсера может проводить бесшовно на основе зарегистрированных инцидентов в SOC. Дополнительной выгодой JSOC является возможность получения и использования в сервисах агрегированных информационных потоков о хакерских атаках от лабораторий и российских CERT. А за счет ценовой модели Pay-as-you-Grow легко решаются вопросы масштабирования услуг под текущие потребности бизнеса, причем как в большую, так и в меньшую сторону.
Потенциал рынка ИБ-аутсорсинга в России очень высок, все большее число компаний понимают дороговизну и сложность развития и технического оснащения внутренней команды ИБ для противостояния современным угрозам. Возможность концентрации человеческих и технических ресурсов в профильной для бизнеса деятельности – вот ключевая стратегия развития как для компаний-клиентов, так и для MSSP-провайдеров. Ведь каждый должен заниматься тем, в чем чувствует себя наиболее подкованным.