28.03.202428.03.2024 Юлия МальцеваЮлия Мальцева 0 Comment

В новых экономических реалиях, когда иностранные производители средств информационной защиты покинули отечественных клиентов, неожиданно встал вопрос о защите российских корпоративных сетей от агрессивных атак извне. Оказалось, что многие компании не готовы самостоятельно отражать сложные атаки, и приходится прибегать к услугам сторонних экспертов.

Аутсорсинг информационной безопасности – это услуга, которую предоставляют специализированные компании с целью обеспечения безопасности информационных систем и данных у заказчиков. Можно выделить три типа аутсорсинговых услуг.

  • MSSP (Managed Security Service Provider). Провайдер сервисов управления ИБ. В этой модели компания нанимает провайдера (стороннюю организацию) для управления и обеспечения безопасности ее информационных систем. При этом средства защиты устанавливаются внутри корпоративной инфраструктуры заказчика, а провайдер дистанционно ей управляет. По этой модели работают такие сервисы, как управление уязвимостями, услуги по мониторингу, обнаружению и реагированию на угрозы безопасности, а также по обработке инцидентов. Часто эти услуги предоставляются на базе операционного центра провайдера (SOC), который и собирает всю телеметрию от клиентов, обрабатывает ее и принимает решения по реагированию.
  • SECaaS (Security-as-a-Service). В этом случае услуги предоставляются на собственной инфраструктуре оператора, в которой установлены сервисы защиты. По этой модели могут предоставляться такие сервисы, как защита от DDoS-атак, киберразведка, защищенная почта, хранение данных в облаке по требованиям закона №152-ФЗ «О безопасности персональных данных» и аналогичные.
  • Консалтинговые услуги. Это могут быть как одноразовые сервисы по удовлетворению требований законодательства, построению моделей угроз или подготовке нормативных документов, так и непрерывно действующие сервисы (например, Bug Bounty) регулярной оценки защищенности (пентестинг), страхования киберрисков и другие.

Наиболее популярными сервисами аутсорсинга ИБ среди российских компаний являются мониторинг и реагирование, аудит и консалтинг, а также компьютерная криминалистика. Эти услуги позволяют компаниям не только предотвращать инциденты безопасности, но и быстро реагировать на них, а также анализировать и расследовать атаки. Причем требования по реагированию на инциденты появились в нормативных актах, поэтому компании вынуждены соблюдать их, для чего и приходится обращаться к профессионалам. В свете постоянно меняющегося ландшафта угроз, российские компании также проявляют интерес к тренингам для персонала, чтобы повысить осведомленность сотрудников о вопросах информационной безопасности и укрепить группу защиты информации внутри компании.

Таким образом, некоторые задачи ИБ, которые чаще всего передаются на аутсорсинг, включают нижеследующее.

  • Управление уязвимостями – аутсорсинг задач по поиску, анализу и устранению уязвимостей в информационных системах. Для этого используются как единичные пентесты, так и программы выкупа уязвимостей (Bug Bounty).
  • Мониторинг безопасности – аутсорсинг мониторинга сети, обнаружения и реагирования на инциденты безопасности.
  • Управление угрозами – аутсорсинг задач по анализу и мониторингу угроз информационной безопасности, а также разработке и реализации планов минимизации рисков.
  • Управление идентификацией и доступом – аутсорсинг задач по аутентификации пользователей, управлению привилегиями и контролю доступа к информационным ресурсам.
  • Аудит безопасности – аутсорсинг задач по оценке, анализу и аудиту системы безопасности для проверки соответствия требованиям и стандартам.
  • Обучение и осведомленность: аутсорсинг задач по обучению сотрудников организации в области ИБ и повышению их осведомленности об угрозах и методах защиты.
  • Управление резервными копиями и восстановлением – аутсорсинг задач по созданию и хранению резервных копий данных, значимых для бизнеса, а также планированию и восстановлению системы после инцидентов.
  • Разработка и реализация политик безопасности: аутсорсинг задач по разработке, обновлению и внедрению политик, стандартов и процедур ИБ.

Одной из новых услуг, которая может появиться в ближайшее время, является выявление недостоверной информации и фейков. Это важно в контексте растущего числа сетевых манипуляций и распространения дезинформации. Технологии машинного обучения могут быть использованы для создания моделей, которые смогут отличать правдивую информацию от ложной, даже если она сгенерирована нейросетью. Такие автоматизированные сервисы могут помочь профильным экспертам в работе и обеспечить более надежную защиту от манипуляций и фейков.

Кроме того, с повышением уровня угроз и сложности кибератак, можно ожидать развития специализированных сервисов по обнаружению результатов работы искусственного интеллекта. Эти сервисы будут способствовать более точному анализу и пониманию действий и выводов, сделанных автоматическими системами, что позволит предотвращать возможные ошибки и улучшать безопасность в целом.

Эффективность.

Оценка эффективности аутсорсинговых услуг в области информационной безопасности может проводиться как с помощью внутренних контрольных механизмов, так и с привлечением внешних аудиторов или консультантов и осуществляться по следующим критериям.

  • Качество предоставляемых услуг: оценка качества аутсорсинговых услуг в области ИБ включает в себя такие аспекты, как компетентность и опытность специалистов, предоставление своевременных и эффективных решений проблем, соответствие стандартам и требованиям ИБ.
  • Сокращение затрат: оценка затрат на аутсорсинг ИБ должна учитывать сравнение стоимости аутсорсинга ИБ с затратами на содержание собственной ИБ-команды. Оценка должна учитывать также потенциальные снижения рисков и возможную экономию (например, для обновления инфраструктуры и оборудования).
  • Уровень безопасности: оценка аутсорсера должна включать анализ его защитных механизмов, политики и методов безопасности. Аутсорсер должен соответствовать требованиям отраслевых стандартов и регулирования в области ИБ.
  • Уровень реагирования на инциденты: оценка эффективности аутсорсера также включает в себя его способность своевременного обнаружения и реагирования на события информационной безопасности (предотвращать атаки).
  • Уровень доверия и коммуникации: эффективность аутсорсинга ИБ также может быть оценена на основе уровня коммуникации между заказчиком и аутсорсером. Коммуникация должна быть открытой, доверительной, прозрачной и эффективной для обеспечения своевременного обмена информацией о событиях безопасности и принятия необходимых решений.

Заключение.

Внешний поставщик услуг управления ИБ необходим коммерческим организациям малого и среднего бизнеса, чтобы компетентно решать задачи по информационной безопасности, оптимизировать затраты на ФОТ ИБ-специалистов компании в средне и долгосрочной перспективе, усилия на их подбор, а также управление и контроль за ними, обеспечив при этом высокое качество работ по ИБ в данной организации.

Стандартно, заказчик предоставляет исполнителю перечень сервисов, которые передаются на аутсорсинг, и по каждому из них определяется свой SLA. В состав ИБ-сервисов обычно входят системы проактивной поддержки и средства реагирования на инциденты ИБ. Если в отношении IT-инцидентов их частота более-менее прогнозируема (ограниченное количество источников инцидентов, его причин и способов парирования), то с ИБ-инцидентами всё гораздо сложнее. Помимо обычных отказов систем защиты, в число инцидентов попадают также случайные либо целенаправленные атаки на инфраструктуру, прикладные системы, внешние и внутренние сервисы, которые использует организация. Поэтому SLA в отношении ИБ-сервисов прописать на порядок сложнее.

Сегодня каждый клиент может найти сервис по карману. Самый частый сервис в области информационной безопасности – защита от DDoS-атак, далее по популярности идут услуги по защите электронной почты (антифишинг, антиспам) и WAF. Во всех случаях подрядчику отдаётся определённый тип трафика на фильтрацию. Также растёт спрос на аутсорсинг мониторинга событий в инфраструктуре, иногда называемый «внешним SOC». Если говорить об экспертных сервисах, самый востребованный сервис – тестирование на проникновение, каждая компания нуждается в таком сервисе 1-2 раза в год. Иногда тестирование на проникновение проходит одновременно с пилотом на SOC, чтобы оценить одновременно квалификацию нападающих и защитников.