Managed Security Service Provider — будущее, настоящее или ненужное ответвление безопасности?

Павел Пармон

сотрудник аналитического отдела Falcongaze

Каждый день мир подкидывает новые проблемы в области информационной безопасности. Выявляются новые баги, появляются новые вредоносы, и вон инсайдер опять слил конфиденциальную информацию, что привело к закрытию компании.
Но как поступить, если нет возможности создавать отдел безопасности внутри организации? Стоит ли отдавать такой важный аспект жизни компании на аутсорс? Аналитический отдел Falcongaze разобрался в этом вопросе.

Речь пойдёт о Managed Security Service Provider. Далее мы будем называть этот феномен MSSP, потому что так проще.

Как они появились и чем занимаются?

MSSP — это компания, которая представляет услуги сетевой безопасности другим компаниям. Если говорить более простым языком, то это безопасники на аутсорсе. Вы платите деньги и говорите «хочу чтобы безопасно». А аутсорс-компания делает всё возможное, чтобы это «безопасно» было.

Зарождением MSSP можно назвать середину-конец 90-х, когда интернет-провайдеры продавали некоторое защитное ПО (например, файрволы). А за отдельную плату могли даже сами настроить и обслуживать приобретённый вами файрвол.

Занимаются такие компании много чем, что относится к сфере безопасности, например:

• Консалтинг. Помогут определить риски, решить, какие продукты безопасности вам необходимо и даже ввести их в работу.
• Обслуживание периметра сети клиента. Предполагает довольно широкий спектр услуг: и файрвол с VPN поставят, настроят и будут регулярно обновлять, помогут с почтой. И даже могут установить оборудование и ПО для обнаружения несанкционированных проникновений внутрь периметра.
• Мониторинг безопасности. Ежедневный мониторинг систем клиента на предмет всего: от простых аномалий до случаев отказа в обслуживании и неавторизованного проникновения в систему.
• Пентестинг и оценка уязвимостей. Вы платите компании за то, что она вас взламывает или сканирует системы на предмет уязвимостей. После такого взлома или обнаружения уязвимостей вы не теряете деньги и данные. А получаете отчёт о том, почему и как так произошло и что можно сделать, чтобы эти дыры в безопасности закрыть.
• Мониторинг соответствия политикам безопасности. Позволяет увидеть, если кто-то нарушает внутренние политики безопасности. Например, если какой-то сотрудник или злоумышленник, этого сотрудника имитирующий, решит взять себе слишком широкий спектр прав доступа, то это будет заметно.

И всё-таки, зачем и нужно ли вообще отдавать безопасность на аутсорс?

На этот вопрос нет чёткого ответа. У передачи вопросов безопасности Managed Security Service Provider есть ряд плюсов:

• Компании не нужно нанимать своих безопасников. Это избавляет от кучи собеседований с кандидатами и необходимости оценивать их навыки. Достаточно выбрать провайдера безопасности, который работает с компаниями из той же сферы и имеет хорошую репутацию.
• Более того, если безопасник решит уволиться, серьёзно заболеет или с ним ещё что-то приключится, то решать проблему придётся не вам, что также сэкономит ресурсы.
• Компания сразу получает полный комплекс услуг. Вы сможете заказать, например, пентест или оценку безопасности систем. А после попросить провайдера залатать найденные уязвимости.
• Это может оказаться дешевле, чем найм специалистов в штат и самостоятельное обеспечение безопасности. Ведь задача стоит не просто в закупке продуктов, которые сделают информационную среду компании безопаснее. Их нужно правильно настроить, а ещё убедиться, что всё соответствует местному законодательству в области информационной безопасности. А у MSSP как раз есть штат специалистов в разных областях безопасности, которые уже знают, что и как надо делать.
• Вы сможете сфокусироваться на своей деятельности. IT-мир движется и меняется очень быстро, и необходимо отслеживать изменения: новые уязвимости, обновления ПО, нормативные документы. И снова мы возвращаемся к тому, что есть компания, которая имеет штат специалистов в разных областях безопасности, чья работа заключается в отслеживании этих изменений и адаптации к ним.
• Ну и приятный бонус: обслуживание систем компании MSSP могут проводить 24/7, а штатным специалистам нужен отдых.

По факту MSSP представляют тех же специалистов, которые занимаются безопасностью информационной среды организации, но работают в другой компании. Разве что ответственность за инциденты несёт компания-заказчик. Как следствие, работу MSSP тоже нужно контролировать. Но ведь и штатных безопасников без контроля не оставить.

Переводить ли безопасность компании в аутсорс? Решать вам. С одной стороны, это неплохой вариант по соотношению цена-эффективность, удобству и простоте использования, а с другой, собственная служба безопасности — более традиционный и проверенный вариант.