Кибербезопасность, 08 окт 2021, 11:30

Подписка на безопасность: что такое MSSP и почему это нужно бизнесу

Читать в полной версии
Фото: Pexels
Чем глубже продукты и сервисы уходят в «цифру», тем сложнее защищать их от кибератак. Но инфобезопасность — это сложно и дорого. Если бюджеты или приоритеты не позволяют такие траты, бизнесу поможет MSSP-провайдер

Безопасность как сервис

Чем больше у компании цифровых услуг и сервисов, тем выше шанс рано или поздно столкнуться с кибератакой. Это обратная сторона цифровизации, о которой никогда нельзя забывать. И мир продолжает меняться: если раньше хорошо отлаженная система противодействия таким угрозам была строго обязательной в основном в финансовой индустрии, то теперь это базовая необходимость практически для любого бизнеса.

Однако не всегда у организаций есть возможность серьезно заниматься вопросами информационной безопасности (ИБ) самостоятельно. На рынке дефицит качественных специалистов в области ИБ, оборудование требует больших инвестиций и долго окупается, а на развертывание уходят недели или даже месяцы. При этом нужно заранее продумать подходы к масштабированию, обновлению и обслуживанию техники. Легко представить, как такую задачу решает банк из первой десятки, но для производственного предприятия среднего уровня или, скажем, молодого интернет-сервиса это серьезный вызов, требующий значительных затрат времени и денег.

На выручку приходит модель MSSP — Managed Security Service Provider, или, проще говоря, «безопасность как сервис». Идея в том, что компания покупает набор услуг в области ИБ исходя их своих потребностей и возможностей. Бизнес формулирует задачу, а провайдер открывает доступ к необходимым сервисам или развертывает целые решения «под ключ» и предоставляет их по модели «как сервис». Концепция не новая (еще в 1990-х годах интернет-провайдеры начали предлагать антивирусы и фаерволлы за дополнительную плату), но очень востребованная, поскольку это выгодно обеим сторонам. По данным GVR Cyber Security Market Trends & Growth Report, 2021–2028 (grandviewresearch.com), общий объем рынка MSSP в США, Канаде, Великобритании, Германии, Китае, Индии, Японии, Бразилии и Мексике оценивается в $180 млрд с потенциалом роста до $375 млрд к 2028 году. По оценке Tadivser, в 2019 году объем российского рынка ИБ составил более ₽90 млрд, а расходы государственного сектора на информационную безопасность в 2020 году достигли почти ₽75 млрд.

В США и Европе модель MSSP давно перешла из области трендов в область стандартного для рынка решения. Еще в 2017 году консалтинговая компания PAC (CXP Group) в большом исследовании показала, что 66% европейских организаций так или иначе используют модель MSSP, 24% планируют начать это делать в скором времени, а 10% оставшихся всерьез изучают такую возможность. Интересно, что лишь каждый пятый заказчик выбирает «безопасность как сервис» из-за необходимости соответствия требованиям комплаенса и GDPR — так называется главный закон ЕС о защите персональных данных.

Право на забвение: что дают пользователям GDPR и его российский аналог
Индустрия 4.0 

В первую очередь руководители исходят из того, что MSSP повысит эффективность защиты и позволит сэкономить средства. Следующими по значимости факторами выбора стали автоматизация операций, уверенность в защите от самых современных угроз, включая наиболее продвинутые, а также доступ к экспертам и новейшим технологиям ИБ. Еще одна крайне интересная часть этого исследования — данные о том, как компании измеряют эффективность MSSP. На первом месте с заметным отрывом от остальных вариантов — сокращение расходов на безопасность.

Очень похоже на то, что в 2021 году российские заказчики пришли к тому же запросу. Пандемия ускорила цифровую трансформацию, и это, в свою очередь, повысило уровень угроз для бизнеса, а дефицит специалистов по ИБ при этом никуда не пропал. Заказчики хотят снизить расходы, не теряя в качестве защиты, и получить доступ к опытным экспертам, которые помогут правильно реагировать на самые современные атаки и выстраивать надежную защиту от них.

Выбор MSSP-партнера: важно проверить все

Клиентом MSSP-провайдеров может стать абсолютно любой бизнес, руководство которого осознает, что с информационной безопасностью нужно серьезно работать, но собственных ресурсов для этого не хватает. Либо они есть, но выгоднее использовать их для развития, а решение вопросов ИБ делегировать опытным специалистам.

Главное преимущество модели MSSP — быстрый доступ к передовым технологиям и квалифицированным экспертам за приемлемые деньги. У разных провайдеров набор услуг может отличаться, но в целом все сводится к пяти направлениям:

  1. Организация и управление безопасностью периметра
  2. Внедрение отдельных решений в области ИБ
  3. Мониторинг информационной безопасности
  4. Тестирование на проникновение и оценка уязвимостей
  5. Аудит и оценка соответствия требованиям: как внутренних, так и регуляторов

Важно заранее убедиться в том, что вам будут оказывать действительно качественный сервис. От MSSP-провайдера зависит множество крайне важных вещей, поэтому к его выбору нужно подойти со всей ответственностью. Можно привлечь к подбору ИТ-эксперта, которому вы доверяете, но и без специальных знаний составить общее впечатление о поставщике услуг ИБ тоже можно. Вот на что нужно обязательно обратить внимание, прежде чем заключать какие-либо договоры:

  1. Комплексность покрытия потребностей. Как правило, чем больше бизнес, тем больше услуг ему нужно: от интернет-безопасности до работы с облаками, каналами и другими ИТ-сервисами. Гораздо удобнее (и часто дешевле) заказать все сразу у одного MSSP-провайдера. Ограниченный список услуг может указывать на то, что перед вами небольшой поставщик с соответствующими уровнями надежности и устойчивости.
  2. Компетентность команды. На российском рынке сейчас серьезный дефицит специалистов в области информационной безопасности. Лучшие кадры у лучших компаний и лучших MSSP-поставщиков. Обязательно нужно запрашивать документы об обучении сотрудников будущего MSSP-партнера, смотреть примеры реализованных проектов. Стоит проверить, насколько хорошо компания известна, и как часто ее специалисты выступают в качестве экспертов на профильных конференциях.
  3. Прозрачный подход к оборудованию. За любым информационным сервисом стоит программное обеспечение и много сложной техники в центрах обработки данных: серверы, хранилища, коммутаторы, маршрутизаторы, межсетевые экраны и не только. Если MSSP-провайдер не раскрывает, на основе каких решений строятся его услуги, это должно сильно насторожить. Кроме того, оборудование должно быть масштабируемым, ведь не всегда заранее получается точно спрогнозировать будущий рост потребностей. Хороший поставщик MSSP с высокой вероятностью обеспечит масштабирование в два-три раза вскоре после запроса клиента.

Реальная экономия времени и средств

Выбирая MSSP-провайдера, стоит подумать не только о базовых потребностях в области ИБ, но и о дополнительных возможностях, которые даст партнерство с компанией, обладающей глубокой экспертизой сразу в нескольких областях. Это может быть крупный оператор сотовой связи, эффективно совмещающий услуги MSSP с другими своими сервисами: так появляются особые опции для клиентов.

Именно так работают сервисы кибербезопасности «МегаФона». Обращаясь к специалистам по защите данных, заказчик получает доступ к опыту и экспертизе всей группы компаний. Уникальными услугами в этом случае могут быть создание максимально устойчивого канала связи для облака или, например, особенно глубокий подход к безопасности персональных данных, гарантирующий максимальную надежность. Ведь это то, с чем оператор сотовой связи работает каждый день сам, причем в серьезных масштабах. Закономерно, что и клиенту услуги в таких областях будут оказываться качественно.

Как облачные провайдеры защищают данные: подкаст «Что изменилось? Бизнес»
Экономика инноваций 

Но это лишь несколько примеров. Подход к MSSP у «МегаФона» и других крупных провайдеров всегда комплексный. Сначала специалисты по ИБ внимательно изучат бизнес заказчика, проведут обследование, построят модель угроз, оценят риски. И только потом предложат подробный план действий с учетом дальнейшего роста и масштабирования. Вот несколько конкретных результатов на примерах работы MSSP «МегаФона».

Пример 1. Компания заказала у провайдера облачную инфраструктуру в связке с фаерволлом веб-приложений (WAF) для защиты сайта. Благодаря тому, что WAF уже был развернут и настроен в облачной инфраструктуре, все удалось подключить, протестировать и перевести в «боевой» режим буквально за несколько дней. Стоимость проекта в формате MSSP-подписки — менее ₽150 тыс. в месяц. Интеграция аналогичного решения в контур заказчика обошлась бы не менее чем в ₽2 млн единоразово без учета множества дополнительных расходов: затрат на персонал, помещение и электроэнергию, а также отчислений разработчикам ПО. При этом не нужно думать об обновлении и масштабировании: всем этим тоже может заняться провайдер, когда придет время.

Пример 2. Компания из финансового сектора заказала услугу DLP — Data Loss Prevention, предотвращение утечки персональных данных. «МегаФон» развернул ее в в гибридном формате: программное обеспечение самой DLP установили на виртуальные серверы в «МегаФон Облаке», а затем организовали защищенные каналы между облачной инфраструктурой и инфраструктурой заказчика. На инфраструктуре заказчика были установлены агенты контроля, а в сторону облачной DLP был направлен трафик, требующий анализа и контроля. Без вложений в инфраструктуру заказчику удалось повысить уровень информационной безопасности и минимизировать риски утечки важных для него данных. Здесь получился выигрыш не только в цене (₽250 тыс. в месяц по подписке против ₽3 млн единоразово только за оборудование), но и в скорости. Провайдер реализовал проект «под ключ» за три недели, а развертывание аналогичного решения в собственном контуре потребовало бы не менее трех месяцев глубокого вовлечения многих специалистов со стороны интегратора и самого заказчика.

MSSP помогает, но не снимает ответственность

Есть ли в модели MSSP риски? Да, и главный из них — довериться не тем людям или командам. Именно поэтому к выбору поставщика услуг ИБ нужно подходить максимально серьезно. Кроме того, важно помнить, что заключение договора не снимает с заказчика ответственность за принятые решения. MSSP-провайдер — надежный партнер, технический советник и опытный эксперт, но ни в коем случае не страховка от ущерба. Нужно уделять пристальное внимание вопросам безопасности даже после покупки подписки: формировать стратегию и корректировать ее исходя из постоянно меняющихся условий.

И тут MSSP-провайдеры тоже всегда готовы помочь новыми решениями. Люди и компании становятся все более мобильными. Глобальная сеть полна рисков и угроз, которые делают и нас, и сервисы, которыми мы пользуемся, более уязвимыми. По данным FraudWatch, 95% нарушений кибербезопасности связаны с ошибками пользователей. Именно поэтому крайне важно, чтобы бизнес повышал уровень компетенции своих сотрудников в вопросах ИБ. Такая услуга у MSSP-поставщиков тоже есть — это security awareness, или продукты повышения осведомленности. Здесь возможны разные подходы, но самые правильные — те, которые делают акцент на комплексность и реальные симуляции. То есть, с одной стороны, обучение должно охватывать все ключевые темы: рассказывать об угрозах, методах защиты от них, конкретных действиях в момент реагирования и формировать правильные привычки. С другой стороны, важно связывать его с тем, как система ИБ устроена непосредственно в компании. Например, иногда сотрудникам намеренно высылаются вредоносные и фишинговые сообщения от самой организации, чтобы выявить наименее опытных, а затем провести персональное обучение.

Что такое фишинг: как не стать жертвой хакеров
Индустрия 4.0 

Помимо повышения осведомленности необходимо еще лучше защищать свои приложения и сайты. Для этого важно, чтобы компании не только внедряли решения ИБ, но и чтобы команды разработки уделяли внимание безопасности при создании кода. Для этого нужно использовать особые среды разработки и тестирования, которые обезопасят данные от хищений, программные решения для статического и динамического анализа кода, а также регулярно анализировать приложения и код силами штатных или привлеченных специалистов. Главное — не забывать про баланс между удобством разработки и мерами защиты.

Следующий шаг в развитии сервисов ИБ — предоставление безопасного облачного сервиса для команд разработки «под ключ». Строить такие среды внутри стартапов сложно и дорого. Даже крупные компании сталкиваются с проблемами при создании защищенных, консистентных и при этом компактных сред разработки и тестирования. При этом подобный облачный сервис по подписке можно развернуть быстро, за умеренные деньги и с уже настроенным балансом комфорта для разработчиков и средствами защиты. Значимый бонус — выигрыш в надежности, целостности, доступности и производительности. Например, «МегаФон Облако» по уровню конфиденциальности уже сейчас не отличается от внутрикорпоративных решений, а по отдельным параметрам может даже превосходит их.

Кибербезопасность IT Уберизация Облачные технологии
Главное