Аутсорсинг кибербезопасности

Аутсорсинг кибербезопасности

Автор: admin
Категория: Без рубрики
Опубликовано
Комментариев:0

Можно ли доверять кибербезопасность своей компании сторонним исполнителям? Многие годы считалось, что нет. Но ситуация меняется. В этом посте не будем говорить про «за и против аутсорсинга», а сделаем обзор, на что может рассчитывать заказчик, если у него уже появилась потребность как-то решать проблему утечек информации.

Сразу оговоримся, мы собирали информацию о тех услугах, которые:

А) подрядчики сами называют аутсорсингом;
Б) аутсорсингом не называются, но по факту решают какой-то вопрос, который мог бы решить специалист в штате (при его наличии).

Поехали.

В каком-то идеальном мире задачи ИБ, и в частности защиты от инсайдерских рисков, решаются внутри компании силами штатных специалистов. Они сами раскладывают бизнес-процессы, прописывают политики безопасности, вводят режим коммерческой тайны, ведут разъяснения и обучающие курсы для сотрудников, выявляют и расследуют инциденты.

В реальной жизни есть причины, по которым компаниям приходится преодолеть презрение сопротивление и поднять вопрос о том, чтобы отдать часть задач по внутренней безопасности аутсорсеру.

Вот основные

  1. Нет специалиста в штате или он есть, но перегружен, не специализируется на защите от инсайдерских рисков.
  2. Дефицит кадров – компания не может найти ИБ-специалиста нужной квалификации.
  3. Нет специализированного ПО для мониторинга в автоматическом режиме.
  4. В целом непонятно, сколько стоит информационная безопасность, оправданы ли расходы на организацию всей этой работы.

Если обращаться к зарубежной практике, от которой мы, как принято считать, отстаем лет на 5-10, в защите от инсайдерских рисков на аутсорсе нет ничего необычного. По последним данным Deloitte, 14% аутсорсинговых бюджетов компании в 2019 году потратили на защиту от внутренних рисков. Еще 15% – на обучение персонала кибербезопасности.

Из чего выбирать

Если рассматривать услуги, объединенные термином «аутсорсинг внутренней информационной безопасности», в России сейчас представлены такие:

  1. Аудит и анализ состояния ИТ-инфраструктуры.
  2. Разработка нормативных документов.
  3. Форензика (расследование инцидентов).
  4. SOC (организация и обслуживание мониторингового центра).
  5. Обучение/тренировка персонала.
  6. Сопровождение информационных систем (систем аутентификации и авторизации, DLP, SIEM, IDS/IPS).

Если как-то систематизировать, видим, что есть предложение на то, чтобы закрыть какую-то разовую потребность (посоветоваться или решить точечную задачу) и на заместить функции ИБ-специалиста в долгую.

image

Временная помощь

Так как мы имеем в виду заказчика, перед которым только встал вопрос защиты от утечек данных, запрос к внешнему эксперту тут как правило такой: посмотреть настройки сетевого оборудования, оценить входящий/исходящий трафик, оценить количество внешних подключений к серверам; выстроить систему доступов; решить, какое ПО поставить на тест, а на какое не тратить время, оценить результаты тестов.

Т.е. по большому счету – «только спросить».

Предложения на рынке такого консалтинга разнообразное. На «посоветоваться» всегда можно найти и фрилансера. Но костяк рынка – это учебные центры и компании, специализирующиеся на ИБ ЦИБИТ, «Академия ИБ», АКРИБИЯ, УЦСБ, AZONE IT и другие. (Вынесем за скобки «больших советчиков» с «четверкой» аудиторов во главе – они делят львиную долю мирового оборота от ИБ-консалтинга, но их услуги доступны только крупным заказчикам).

Перечисленные игроки могут закрыть и разовые задачи, когда нужно провести какую-то работу, для которой пока нецелесообразно нанимать человека в штат: обучить персонал, адаптировать политики безопасности, привести в порядок документы на соответствие требованиям регуляторов. И конечно, расследовать нарушение или корпоративное преступление, если вдруг в компании случилось ЧП.

При этом для расследования инцидентов информационной безопасности используют не только кибер-методы (здесь самый известный игрок – Group IB). Могут добавляться и «аналоговые» инструменты: анализ документов, опросы сотрудников и т.д. Поэтому, строго говоря, детективы, полиграфологи, профайлеры – это в своих узких задачах тоже участники ИБ-аутсорсинга.

Есть на рынке предложение по тонкой настройке политик безопасности в DLP-системе. По мере внедрения у пользователя могут возникнуть попутные вопросы: как быть с «железом», как настроить допуски, какие документы подписать с сотрудниками. Независимые компании оказывают такие услуги, но по сути – это работа хороших отделов внедрения, инженеров и техподдержки самого вендора.

Рынок пока разношерстный просто в силу своего молодого возраста. Но на нем уже сформировалось изобильное предложение под большинство запросов заказчика в разовой помощи ИБ-специалиста.

Регулярный мониторинг

Если компании нужно решать не разовые задачи, а защищать информацию в постоянном режиме, потребуется DLP-система. Иначе предотвращать, выявлять и разбирать инциденты внутренней безопасности сложно. Без человека, который будет анализировать информацию из нее, софт мало эффективен. Но большинство компаний с коллективами от 100 человек часто просто не могут ответить на вопрос «оно нам надо?»

Поэтому возникает следующий уровень аутсорсинга – отдать за штат управление системой и аналитику инцидентов из DLP. Пока на этом рынке работают единицы (собственно, «СёрчИнформ», Softline, «Инфосистемы Джет»). Услуга реализуется в нескольких форматах в зависимости от уровня доступа, который заказчик готов дать аутсорсеру, то есть от доверия к нему.

Что может делать аутсорсер?

  1. Мониторить события и передавать отчеты об инцидентах без какой-то их дополнительной проработки.
  2. Делать первичный разбор инцидента, анализировать контекст; экстренно реагировать на критичные нарушения.
  3. Делать полноценные расследования инцидента, давать рекомендации по профилактике рецидивов.

В процессе работы отношения могут эволюционировать. Условно, сначала заказчик был готов передать аутсорсеру только настройку DLP и выгрузку из нее отчетов всей «простыней». Увидев эффект и пользу, может прийти к тому, чтобы отдать и разбор содержимого инцидентов.

Из-за того, что рынок еще развивается, заказчику не всегда легко сформулировать запрос, выбрать формат работы с аутсорсером, расставить приоритеты контроля. Соответственно и подписание SLA со старта не всегда возможно.

Тем не менее эффективный формат взаимодействия уже получает очертания. Вот подход, в рамках которого работают зарубежные аутсорсеры (MSSP, Managed Security Services Provider):

  1. Персональный ИБ-аналитик настраивает систему в соответствии с задачами, поставленными заказчиком.
  2. Заказчику предоставляются максимальные полномочия в системе. Заказчик обговаривает «красные линии» и пожелания (говорит, кого выводит из-под мониторинга, уточняет наиболее актуальные задачи и т.д.)
  3. Обнаружив инцидент, ИБ-аналитик связывается с заказчиком по оговоренному каналу связи (задача – донести информацию максимально быстро).
  4. Предоставляет отчеты по графику и за выбранный период (раз в день/неделю/месяц).
  5. Заказчик может работать в системе вместе с ИБ-аналитиком или самостоятельно.

Скорее всего примерно в таких рамках ИБ-аутсорсинг будет развиваться и дальше, потому что этот формат способствует созданию доверительных отношений между участниками процесса. Но полноценно рынок сформируется еще нескоро, когда-то на нем появится и страхование рисков, которое сильно продвинет отношения клиент/аутсорсер вперед. Но процесс все равно уже идет – мы это видим по реакции заказчиков. Поэтому в пути до «без этого жить нельзя» мы где-то в точке «в этом что-то есть».