Расширенный

Расширенный поиск

Автор

Статьи

Аутсорсинг информационной безопасности

06.02.2020
В статье рассматриваются особенности, преимущества и ограничения аутсорсинга информационной безопасности, приводятся типы услуг, отдаваемых на аутсорсинг.

Содержание:

Основные драйверы роста рынка аутсорсинга информационной безопасности

Сегодня очень многие компании используют услуги аутсорсинга информационной безопасности (ИБ). Направление экспертных ИБ-сервисов оценивается аналитиками как самое быстрорастущее. Например, по прогнозам международной исследовательской компании IDC, ожидается, что темпы роста экспертных услуг в области ИБ будут сохраняться на уровне 14,2% в год вплоть до 2022 года. Широкое распространение аутсорсинга — это следствие зрелости рынка и возросшего доверия к поставщикам услуг в условиях постоянной нехватки специалистов.

Рассмотрим детальнее.

Глобальная нехватка кадров и компетенций

В мире наблюдается серьезный дефицит ИТ- и ИБ-специалистов. Согласно прогнозу исследовательской компании Cybersecurity Ventures, в 2021 году глобальная нехватка кадров в сфере ИБ возрастет до 3,5 миллионов вакансий. В России ситуация аналогична: по данным сервисов по поиску работы, количество вакансий специалистов в области ИБ в два раза превосходит количество резюме.

Ситуация усугубляется тем, что часто ИБ-руководителям сложно обосновать расширение штата и повышение квалификации сотрудников, так как это означает дополнительные затраты для компании.

В результате многие организации работают в условиях, когда ИБ-подразделение не укомплектовано необходимым количеством сотрудников и, как правило, не хватает важных экспертных навыков, особенно в узких специализациях: аналитике, форензике, киберкриминалистике. Все это негативно влияет на общий уровень защищенности компании. По сути, критичные данные и бизнес-процессы остаются уязвимыми, так как в случае атаки специалисты не смогут оказать должное противодействие злоумышленникам. Аутсорсинг в таких случаях помогает решить кадровую проблему и повысить уровень зрелости ИБ.

Повышение роли ИБ и, как следствие, объема задач

Масштабные кибератаки последних лет наглядно показывают риски и заставляют компании задуматься об улучшении мер защиты. Яркий тому пример — атака шифровальщика на норвежского производителя алюминия Norsk Hydro в 2019 году, в результате которой пострадало большинство ИТ-систем предприятия, часть рабочих процессов пришлось перевести в ручной режим и приостановить работу цехов. Когда останавливаются основные бизнес-процессы, организации начинают пересматривать свой подход к ИБ: оптимизируют процессы, разрабатывают новые процедуры и регламенты, внедряют необходимые средства защиты. И здесь снова возникает кадровая проблема, ведь под все эти задачи нужны квалифицированные специалисты.

Новые требования регуляторов

Дополнительный объем задач диктуют новые требования регуляторов. Самыми масштабными за последнее время стали требования Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Согласно закону, все ключевые предприятия страны, являясь субъектами КИИ, должны выполнить ряд требований: провести категорирование, обеспечить безопасность объектов КИИ и осуществлять взаимодействие с ГосСОПКА (Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак). Большая часть требований направлена на выстраивание и обеспечение долгосрочных процессов ИБ. Речь идет о процессах мониторинга и выявления инцидентов ИБ, процессах реагирования и противодействия, сканирования на уязвимости, эксплуатации средств защиты и т. д. При этом необходимо обеспечить жесткие метрики SLA (Service Level Agreement), например, об инцидентах на значимых объектах КИИ необходимо уведомить ГосСОПКА в течение трех часов с момента выявления. Многим организациям придется выстраивать всё с нуля. Из-за отсутствия опыта и нехватки людей не все смогут закрыть полный перечень требований собственными силами.

Что важно, регуляторы это понимают и поддерживают возможность привлечения аутсорсинговых компаний. Начинают появляться соответствующие регулирующие документы.

Например, в прошлом году был введен Стандарт Банка России СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление рисками нарушения информационной безопасности при аутсорсинге», который устанавливает требования для финансовых организаций к управлению и контролю рисками ИБ при аутсорсинге. В документе определены риски, установлены требования к их контролю и оценке. Кроме этого, определяется зона ответственности руководства финансовых организаций при аутсорсинге и требования к содержанию контрактных соглашений.

Субъектам КИИ также разрешается привлекать аутсорсинговые компании — Корпоративные центры ГосСОПКА для передачи им части задач по мониторингу и реагированию на инциденты ИБ. К ним предъявляются серьезные требования, которые прописаны в методических рекомендациях по созданию Центров ГосСОПКА и регулируются ФСБ России. Если компания хочет стать Корпоративным центром и оказывать услуги, она должна подтвердить наличие разрешительных лицензий ФСТЭК России и ФСБ России, выполнить требования по кадровому и процессному обеспечению, а также внедрить необходимые технические средства.

Появление таких регулирующих документов — важный шаг, необходимость которого назрела давно, поскольку, несмотря на все явные преимущества аутсорсинга, отсутствие четкой позиции регуляторов в этой области вызывало много вопросов.

Что можно отдать на аутсорсинг и какие типы услуг существуют

Аутсорсинг ИБ представлен на рынке в очень широком ассортименте. Каждая компания, независимо от специфики и запроса, сможет найти релевантное предложение: от решения атомарных задач до комплексного закрытия целых процессов «под ключ».

Рассмотрим наиболее популярные типы услуг.

Аутстаффинг

Если требуется временно закрыть конкретную роль, например, на период реализации проекта или поиска специалиста в штат, стоит рассмотреть вариант аутстаффинга. В этом случае предоставляется специалист с определенными в требованиях навыками, опытом и квалификацией. В договоре могут быть прописаны только общие должностные обязанности, а конкретные задачи будут ставиться в процессе реализации проекта. Обычно такие услуги предоставляют кадровые агентства.

Облачные сервисы

Если компания хочет снизить капитальные затраты и не приобретать средства защиты, имеет смысл рассмотреть облачные сервисы. В этом случае сервис-провайдеры предоставляют ИБ-инструменты по MSSP-схеме из облака и, как правило, свои экспертные услуги.

Наиболее распространенные — сервисы на базе решений Anti-DDoS (защита от DDoS-атак), WAF (защита веб), MDM (контроль и защита мобильных устройств), Sandbox (выявление сложных целевых атак), Vulnerability Scanner (внешнее сканирование на уязвимости). И, конечно, последние годы высоким спросом пользуются услуги облачных SOC, их мы рассмотрим отдельно.

Основные плюсы облачных сервисов — быстрый старт, гибкая масштабируемость и удобный механизм оплаты по модели «pay as you grow», когда оплачивается только фактически потребляемый объем услуг.

Для компаний, которые не готовы передавать данные в облако, есть альтернативный вариант –сервисы с локальной установкой средств защиты по подписке. В этом случае ИБ-инструмент также предоставляется с ежемесячной или ежеквартальной оплатой вместе с услугами удаленного управления и эксплуатации.

Локальные и облачные сервисы могут эффективно дополнять друг друга. Например, для защиты от DDoS-атак рекомендуется использовать и локальную, и облачную фильтрацию, так как локально сложно обеспечить полноценную защиту трафика от атак, направленных на переполнение канала. А для повышения эффективности настроек ИБ-систем и процессов реагирования рекомендуется использовать внешние сервисы информирования об угрозах (Threat Intelligence).

Аутсорсинг эксплуатации средств защиты

Эксплуатация системы ИБ — рутинный и трудоемкий процесс. Необходимо постоянно анализировать и повышать эффективность работы средств защиты: адаптировать политики под новые угрозы ИБ, при изменении защищаемых ресурсов и бизнес-процессов, минимизировать ложные срабатывания, добавлять исключения и т. д. Чем сложнее логика работы системы, тем сложнее процесс отладки, и тем выше должна быть квалификация привлеченных специалистов. Поэтому в первую очередь на аутсорсинг передают системы, которым нужна сложная аналитика и непрерывный тюнинг, например, IPS/IDS, Anti-DDoS, WAF, SIEM, Anti-APT, EDR и прочие.

Но и простые в эксплуатации решения тоже могут генерировать огромный объем работ. Например, межсетевые экраны, особенно в крупных распределенных организациях, могут требовать десятки изменений в неделю, поэтому и их администрирование также целесообразно отдать на аутсорсинг.

Передача средств защиты под управление внешней команде позволит существенно разгрузить собственные ресурсы и высвободить время для решения более глобальных и стратегических вопросов безопасности.

Аутсорсинг управления уязвимостями

Еще одна рутинная эксплуатационная задача, которую можно отдать на аутсорсинг, — это управление уязвимостями. Она очень важна, но в силу нехватки ресурсов ей часто занимаются по остаточному принципу.

Сложность заключается в том, что процесс сканирования тесно связан с установкой патчей и обновлений (Patch Management), ведь мало выявить уязвимость, основная цель — оперативно ее устранить. И здесь, как правило, возникает конфликт между ИБ- и ИТ-блоками. ИТ-служба часто выступает против установки патчей и обновлений, так как необходимо согласовывать технологические окна и есть риск нестабильной работы систем после обновлений.

Поэтому, прежде чем формировать конечные рекомендации для ИТ-службы, необходимо детально проанализировать результаты сканирования и выделить только те уязвимости, которые требуют устранения.

Для этого нужно изучить особенности инфраструктуры, критичность каждого узла и существующие меры защиты. Эти факторы влияют на достижимость уязвимости по сети и возможность ее эксплуатации.

После установки патчей необходимо провести повторное сканирование с целью проверки закрытия уязвимостей. А для хостов, где обновление невозможно, нужно совместно с ИТ-службой разработать компенсирующие меры.

Пласт работ огромный, особенно в крупных организациях, где необходимо сканировать тысячи узлов и вносить сотни исправлений на регулярной основе.

Многие интеграторы готовы взять на себя все эти задачи и предлагают соответствующие услуги по управлению уязвимостями.

Аутсорсинг SOC

Аутсорсинг услуг мониторинга и реагирования на инциденты ИБ, наверное, самая обсуждаемая тема последних лет. Реальность такова, что сегодня всем нужен SOC, это продиктовано и требованиями регуляторов, и реальной необходимостью повышать защищенность компаний, своевременного выявлять атаки и инциденты. Построить SOC — сложно, дорого и долго. Помимо затрат на внедрение технических средств необходимы серьезные инвестиции в персонал и процессы. Без релевантного опыта и методических наработок на это могут уйти годы. Для эффективного функционирования в штате SOC должны быть как минимум операторы мониторинга, аналитики инцидентов, аналитики Threat Hunting, аналитики Forensic, администраторы SIEM и IRP, инженеры реагирования, специализирующиеся на различных средствах защиты, элементах ИТ-инфраструктуры (AD, ОС, СУБД и пр.), бизнес-системах и не только. Собрать такую команду в предсказуемые сроки сложно. Поэтому некоторые компании рассматривают вариант аутсорсинга в качестве возможности для быстрого старта.

По прогнозам международной исследовательской компании IDC, к концу 2019 года глобальные расходы на услуги аутсорсинга SOC должны составить 21 млрд долларов или пятую часть всех ИБ-затрат.

Технологически услуги SOC могут предоставляться на базе технических средств заказчика (SIEM, IRP, сканер уязвимостей и пр.). Такой вариант обычно называют гибридным. А могут предоставляться на базе технических средств провайдера услуг, в этом случае все события передаются и обрабатываются в облаке исполнителя.

Состав функций, который передается аутсорсеру, тоже может быть разным: от замещения отдельных линий, например, услуги первой линии мониторинга, до полного цикла всех процессов SOC, включая техническое реагирование с глубоким погружением в инфраструктуру заказчика. Также это могут быть и отдельные экспертные услуги по разбору единичных инцидентов, аналитике и форензике.

Работая по целому ряду инфраструктур нескольких заказчиков, провайдерам SOC удается накопить серьезный опыт. Специалисты получают глобальное видение, позволяющее существенно обогащать аналитику и применять лучшие наработки от детектирования инцидентов ИБ до реагирования на них. Все это способствует обеспечению процессов ИБ на высоком уровне.

Подключение к ГосСОПКА и взаимодействие с НКЦКИ

Сейчас многие компании в стремлении выполнить требования Федерального закона № 187-ФЗ озадачены вопросом подключения к ГосСОПКА. Для этого нужно реализовать все функции SOC по мониторингу, реагированию, анализу защищенности ресурсов и другие, а также обеспечить информационное взаимодействие по выявленным инцидентам с НКЦКИ (Национальный координационный центр по компьютерным инцидентам).

В рамках взаимодействия с НКЦКИ необходимо в утвержденные сроки сообщать о выявленных компьютерных атаках и инцидентах, предоставлять информацию о защищенности ресурсов и реагировать на информационные сообщения от НКЦКИ, например, об актуальных для компании угрозах, предпринимая необходимые предупредительные меры.

Сейчас практически все основные провайдеры SOC становятся Корпоративными центрами ГосСОПКА и в дополнение к основным услугам предлагают услуги по взаимодействию с НКЦКИ. При этом они гарантируют выполнение всех требований регулятора по защите каналов связи, срокам и формату уведомлений, составу реализованных сценариев выявления инцидентов и т. д. При подключении к ГосСОПКА посредством Корпоративных центров возможен как гибридный, так и полностью облачный вариант оказания услуг.

Узконаправленные экспертные сервисы

К таким сервисам можно отнести любые специализированные услуги, которые нужны, как правило, несколько раз в год, например, тестирование на проникновение или киберкриминалистика для сбора доказательной базы. Держать под такие задачи штатных специалистов нецелесообразно, но в случае необходимости можно привлечь профильную компанию.

Сейчас набирают обороты услуги киберучений и обучения персонала. Это эффективные профилактические меры, позволяющие избежать многих инцидентов.

Киберучения позволяют отработать действия ИБ-штата в случае атаки, понять проблемные места и заранее их устранить.

Обучение персонала (многочисленные сервисы Security Awareness) проводится с целью повышения осведомленности работников в области ИБ и снижения риска социальной инженерии — одной из самых опасных угроз на сегодняшний день. Сотрудников обучают распознавать фишинговые письма и сайты, выбирать надежные пароли.

Экспертными сервисами пользуются даже компании с полноценной ИБ-командой.

Плюсы и минусы аутсорсинга

Рассмотрим основные критерии, по которым обычно сравнивают аутсорсинг и собственный штат, когда принимают решение, привлекать внешнюю компанию или нет. В основном об аутсорсинге задумываются, когда требуется запуск сложных сервисов с нуля, например, процессов SOC, и нет собственной ИБ-команды или возможности обеспечить полную занятость узких экспертов. В таких случаях наиболее ярко прослеживаются плюсы аутсорсинга. Сведем преимущества и ограничения аутсорсинга в таблицу:

Критерии сравнения
Аутсорсинг
Собственные ресурсы
Стоимость Дешевле за счет оптимального распределения ресурсов между несколькими заказчиками и без капитальных затрат. Дороже аутсорсинга в среднем на 20-30%, требуются серьезные инвестиции на старте.
Время запуска услуг Четкие регламентированные сроки: от нескольких дней до 1-2 месяцев после подписания договора (в зависимости от выбранного сервиса). Непредсказуемые сроки: долгий и трудоемкий этап поиска людей и выстраивания процессов.
Кадры Решение кадровой проблемы за счет взаимозаменяемости и многочисленности специалистов компании-аутсорсера, возможность привлекать специалистов разной специализации. Проблема поиска кадров из-за дефицита специалистов на рынке, высокая нагрузка на HR (мотивация, удержание работников, поиск и обучение новых). В случае увольнения ключевых работников есть высокий риск потерять часть уникальных компетенций и накопленных знаний.
Экспертиза
  • Глобальное видение потенциальных проблем и широта опыта;
  • Хорошая глубина экспертизы специалистов из-за возможности концентрации на узких задачах;
  • Непрерывное обучение кадров и повышение квалификации.
  • Узкое понимание проблематики из-за работы только с одной инфраструктурой;
  • Сложность в наработке экспертизы из-за размытия зон ответственности и перманентной нехватки ресурсов;
  • Недостаток нового опыта и знаний для развития процессов ИБ.
Проактивность Перекрестное информирование клиентов о релевантных для их инфраструктуры атаках.

Партнерство с ведущими зарубежными и российскими аналитическими центрами в области информирования о хакерских группировках, бот-сетях, недоверенных IP-адресах и пр.
Сложность в своевременном получении и качественной обработке информации о новых трендах и угрозах информационной безопасности.
SLA Гарантированное качество услуг в рамках согласованного SLA, предусмотрены штрафные санкции в случае нарушения параметров. Необходимо разрабатывать адаптивную систему KPI, четкие регламенты и процесс контроля качества выполнения работ.
Кастомизация Как правило, типовые услуги, которые адаптируются под специфику и задачи заказчика. Полностью индивидуальная настройка с нуля.
Контроль процессов Верхнеуровневый, в рамках SLA. Полный контроль и полное управление всеми процессами.
Зависимость от поставщика услуг Полная зависимость от аутсорсера, особенно в контрактах с предоставлением технических средств из облака или по подписке.

В случае прекращения договорных обязательств заказчик остается без технических средств, сценариев и процессов.

Необходимо заранее проработать процесс смены поставщика услуг.
Высокая зависимость от ключевых сотрудников.

Все технические средства и процессы в любом случае остаются у заказчика.
Риски безопасности Аутсорсер имеет доступ к security-логам и конфиденциальной информации компании.

Должны быть подписаны NDA, SLA. Необходимо использовать дополнительные средства защиты: решения по контролю действий привилегированных пользователей и др.
Security-логи хранятся локально на площадке заказчика, третьи лица не имеют к ним доступ.

Всегда есть риск нарушения политики ИБ собственными недобросовестными работниками.
Служебные расследования Только совместно с работниками заказчика.

Полностью передавать на аутсорсинг нельзя, так как есть риск возникновения инцидента по вине специалиста аутсорсера.
Полное понимание бизнес-процессов и штатной оргструктуры.

Остановимся подробнее на экономических преимуществах.

Если корректно учитывать все затраты на формирование и содержание собственного штата (ФОТ, налоги, социальный пакет, обучение, организацию рабочего места, премии, оплату переработок, затраты на бэк-офис и т. д.), стоимость услуг аутсорсинга при прочих равных будет на 20-30% ниже. А в случае формирования круглосуточного сервиса выгода может достигать 50%, так как аутсорсер будет выделять ресурсы уже имеющейся круглосуточной службы, в то время как компании с учетом нормы рабочего времени по Трудовому кодексу Российской Федерации придется набирать расширенный штат, который, скорее всего, будет избыточным.

Еще один плюс аутсорсинга – удобное масштабирование. Потребность в незначительном увеличении услуг может вылиться в существенные затраты на покупку дополнительных технических средств, их проектирование и внедрение. Аутсорсинг позволяет наращивать сервисы гибко с оплатой только за потребляемый объем услуг.

Специалисты аутсорсера оказывают услуги десяткам компаний и, погружаясь в специфику различных ИБ-инфраструктур, за короткое время получают очень широкую экспертизу. Поэтому часто специалисты аутсорсера значительно быстрее решают сложные нестандартные задачи. К тому же, фиксируя новые атаки на системы какого-либо заказчика, они анализируют вероятность угрозы и риски для остальных клиентов и предпринимают комплекс превентивных мер.

Но не стоит забывать и про минусы аутсорсинга. Наиболее существенные – это высокая зависимость от поставщика услуг и вероятность поверхностного типизированного подхода (непонимание контекста организации). Поэтому важно при выборе провайдера проверить наличие отраслевого опыта. При оказании услуг должны учитываться и специфика бизнеса, и требования регуляторов каждой отрасли, и особенности защищаемых активов. В банках необходим акцент на защиту финансовых систем и операций, в производственном сегменте — на защиту технологических платформ АСУ ТП и т. д. Также необходимо заранее проработать порядок действий в случае вынужденной смены поставщика услуг.

В любом случае бояться аутсорсинга не стоит, нужно просто заранее проработать способы минимизации рисков. Последствия, связанные с отсутствием в компании процессов или компетенции в области ИБ, могут быть намного страшнее.

Трансформация ИБ-аутсорсинга

В последние два-три года подход к ИБ-аутсорсингу сильно меняется. Компании при покупке услуг больше не готовы погружаться на уровень технических инструментов, отдельных настроек и контролировать микро SLA, произошло смещение в сторону получения функционального результата.

Если раньше мы говорили о сопровождении отдельных решений, то теперь речь идет о комплексных задачах, которые могут требовать целого набора технических средств и мер. Например, защита веб-приложений не рассматривается только в разрезе поддержки WAF, обсуждается комплекс мер, включающий защиту от DDoS-атак, защиту от атак на прикладном уровне, услуги по анализу веб-кода на наличие уязвимостей, непрерывный мониторинг инцидентов ИБ с одновременным контролем загрузки и работы всех сервисов приложения.

Уровень погружения сервис-провайдера в процессы и бизнес клиента становится глубже.

Есть компании, где абсолютно все процессы ИБ отданы на аутсорсинг и ИБ-штат представлен только одним человеком — руководителем службы ИБ. И если раньше такой подход практиковали в основном иностранные представительства, то сейчас и российский рынок созрел до этого.

Приведем еще более яркий пример, когда и роль самого руководителя передается вовне. Отдельные небольшие компании готовы привлекать внешнего консультанта на роль офицера ИБ на время поиска работника в штат, либо, когда в найме работника на долгосрочную перспективу нет смысла, например, при слиянии или ликвидации компаний. В нашей практике таким приглашенным офицерам ИБ готовы доверить очень широкие полномочия — вплоть до управления бюджетом компании на ИБ. И хотя пока это, скорее, исключение из правил, такие примеры очень наглядно показывают дальнейший вектор развития услуг аутсорсинга. Кроме того, развивается страхование ИБ-рисков, что в скором времени позволит выйти на новый уровень доверия и гарантий.

Автор:
Екатерина Сюртукова, руководитель направления сервиса и аутсорсинга ИБ Центра информационной безопасности компании «Инфосистемы Джет».