Андрей Дугин, RED Security: Сервисная модель далеко не всегда работает по системе «заплатил и забыл»

Андрей Дугин, руководитель центра сервисов кибербезопасности RED Security и автор блога «Кибербез Андрея Дугина», рассказал порталу Cyber Media о мифах вокруг MSSP-провайдеров в ИБ, преимуществах и недостатках облачных решений, а также поделился «вредными советами», как подключить сервисы кибербезопасности и получить нулевой результат.

Cyber Media: Почему у компаний-заказчиков есть какое-то недоверие к MSSP? С чем это связано?

Андрей Дугин: Так сложилось исторически, что российские компании не особо доверяют тем, кому они вынуждены отдавать информацию, хотя с ними и заключены договорные отношения. Компанию беспокоит, насколько хорошо защищена информация, как она будет использоваться, кому она будет доступна. Вдруг ее смогут похитить злоумышленники или кто-то на стороне контрагента захочет использовать в своих целях.

Cyber Media: На ваш взгляд, с чем связана склонность российского бизнеса к on-premise-решениям, вплоть до физической установки ЦОДов на своей территории?

Андрей Дугин: Естественно, имея такое недоверие к облачным сервисам, крупные заказчики, которые могут себе это позволить, пытаются по максимуму локализовать решения у себя. Но эта картина последнее время меняется. На это влияют два фактора: стоимость и сроки.

Во-первых, облака дают возможность быстро развернуть решение, здесь и сейчас, в то время как железо нужно закупать - а сейчас закупить железо стало немного сложнее, чем раньше. И это тоже фактор перехода в облака.

Во-вторых — стоимость. Чем меньше инфраструктура заказчика, тем выгоднее ему идти в облака, потому что строить ЦОД ради двух-трех серверов избыточно. Вместо этого он может арендовать у облачного провайдера инфру, на ней разворачиваться и не заморачиваться на тему железа, электропитания, кондиционирования и тому подобного.

Построение чего-то своего требует гораздо больше денег и времени. Хотя если заказчик крупный и ресурсы позволяют, то, действительно, может оказаться выгоднее поставить все on-premise, чем в течение того же периода времени только арендовать облака.

Cyber Media: Какие мифы в контексте MSSP продуктов есть у заказчиков или заблуждения о том, как это будет работать в реальной жизни?

Андрей Дугин: Мифы по поводу продуктов связаны с тем, что заказчики не всегда понимают, что именно этот продукт дает, и не используют его функциональность полностью. С другой стороны, это соседствует с понятным желанием выжать из этого продукта или сервиса максимум. Есть заблуждение, что если за какой-то сервис заплачены деньги, то он должен делать вообще все. Но нужно четко понимать, что каждый сервис умеет делать строго определенные вещи и только за них отвечает. Если заказчику требуется дополнительный функционал, то нужно брать дополнительный сервис, в котором он заложен.

Есть еще один миф: заказчик платит деньги, а дальше поставщики услуги должны все делать сами. Так работает далеко не везде и далеко не всегда. Например, в некоторых случаях есть возможность один раз настроить защиту от DDoS и дальше к этому вопросу не возвращаться. Но опять же, для этого защищаемый ресурс должен обладать определенной статичностью: чтобы не было огромного роста трафика, миграции, расширения и тому подобного. Если же инфраструктура будет расти, то обязательно нужно эту информацию доводить до MSS-провайдера. И это касается не только защиты от DDoS, а вообще любого сервиса кибербезопасности.

Если для использования сервиса нужно построить VPN-канал, это, очевидно, невозможно сделать только со стороны сервиса, он строится с двух сторон. Нужно, чтобы на стороне заказчика было и железо, и сотрудники.

Если планируется подключение, например, SOC, ему нужно предоставить вычислительные мощности для расположения серверов сбора логов в инфраструктуре. В подключении к SOC также участвуют специалисты заказчика, и без их привлечения проект просто не запустится.

Cyber Media: Какие подготовительные меры необходимо предпринять перед подключением сервисов вид безопасности со стороны заказчика?

Андрей Дугин: Главное — инфраструктура должна быть инвентаризирована. Это нужно, чтобы SOC понимал, что вообще нужно защищать и какой сегмент или сервис какую функцию выполняет. Это будет полезно и самому заказчику.

Также необходимо наладить взаимодействие служб IT и ИБ. Хотя в проекте по подключению сервисов SOC обычно участвуют оба отдела, но, если процессы коммуникаций и совместной работы в реальности не выстроены, в каких-то ситуациях это может дать негативный эффект. Например, SOC выявил инцидент, сообщает о нем заказчику, а чтобы принять меры реагирования, нужно подключить службу ИТ. Тут может выясниться, что ИТ на запросы реагирует неохотно, или у заказчика внутри не организовано круглосуточное реагирование на инциденты, нет дежурного.

То есть подготовительные меры – это выделение ресурсов и создание процессов для того, чтобы обработать данные, которые предоставит MSSP-провайдер. И если их нет, рано или поздно это аукнется.

Cyber Media: Какие «вредные советы» вы могли бы дать заказчикам с точки зрения того, как неправильно пользоваться услугами MSSP-провайдеров?

Андрей Дугин: Вот вам вредный совет: игнорируйте все, что я сказал выше. Не проводите инвентаризацию. Зачем вам это надо? Пусть провайдер сам думает, что ему защищать.

Не выстраивайте отношения и процессы взаимодействия с ИТ. Это долго и сложно. Пусть они будут сами по себе со своими информационными системами.

Если компания последует этим вредным советам, она просто спустит деньги на ветер.

Cyber Media: Какие советы вы могли бы дать малым и средним компаниям, которые хотят начать использовать MSSP-сервисы, но боятся высоких затрат?

Андрей Дугин: Конечно, если речь об очень маленькой компании, у которой де-факто практически нет цифровых объектов защиты, ей проще принять киберриски. Но в отношении прочих можно сказать так: если они боятся затрат на MSSP, то пусть сравнят их с затратами на внедрение тех же технологий on-premise. Разница будет колоссальной. И если сравнить это с затратами на восстановление бизнеса в случае инцидента, например, с шифровальщиком, становится понятно, что использование MSSP – это самый комфортный вариант с точки зрения финансов.

Бывает и так: заказчик перезаложил бюджет, и в результате закупленные мощности де-факто не используются. Чтобы такого не произошло с сервисами, заказчик должен определить для себя прогнозируемый объем потребления и при необходимости провести пилот перед заключением контракта.

Cyber Media: Как вы видите развитие MSSP-сервисов в России в ближайшие несколько лет?

Андрей Дугин: С ростом цифровизации и перехода в облака у бизнеса будет расти потребность в сервисах MSSP. Чем больше данных и процессов завязано на нормальном функционировании ИТ, тем больше у бизнеса понимания, что риски ИБ представляют серьезную угрозу, и с ними надо работать. И самый быстрый и доступный метод митигации этих рисков – это MSSP.

Периодически возникает обсуждение того, что будет, если западные вендоры и MSSP-провайдеры начнут возвращаться в Россию. Я считаю, это может нанести отечественным игрокам определенный ущерб, но в целом изменившаяся конъюнктура рынка и существующая регуляторика не позволят западным ИБ-компаниям полностью вернуть утраченные позиции.

Cyber Media: Когда компании стоит выбирать внешнего провайдера MSSP, а когда выгоднее развивать внутреннюю команду кибербезопасности?

Андрей Дугин: Если компания крупная, технологическая обвязка и процессы ИТ и ИБ уже выстроены очень качественно, нет проблем нанять персонал, то на долгосрочном периоде (в среднем от пяти лет) ей может быть выгоднее растить функцию внутри. Хотя важно понимать, что даже при очень высоком уровне зрелости компании эта задача все равно будет для нее очень сложной и трудоемкой. То есть, даже если в компании есть все необходимые CЗИ, безопасная архитектура сети, права доступа и прочее выстроено и настроено идеально, выбор и закупку SIEM провели за месяц, и все нужные люди уже есть в штате, все равно проект от той точки до точки, где SOC работает в полную силу, пройдет год – и это при самом удачном раскладе. А в среднем крупные компании внедряют SIEM-систему два года и дольше. И все это время они не защищены в той мере, в которой им хотелось бы. Поэтому некоторые компании, которые строят внутренние центры мониторинга, на время проекта подключают внешние сервисы SOC и привлекают их не только к задачам по защите от киберугроз, но и к выстраиванию процессов, обучению внутренней команды, созданию правил корреляции и так далее. Это оптимальный подход, который и дает защиту «в моменте», и сокращает сроки внутреннего проекта по созданию центра мониторинга. Но есть и сервисы, которые просто невозможно выстроить самостоятельно – в частности, защита от DDoS-атак. Ее необходимо приобретать у интернет-провайдера либо специализированного MSSP, обладающего необходимой пропускной способностью сети и соответствующими технологическими решениями.