Управляемые сервисы безопасности. Что такое MSSP

Российские компании тратят миллиарды рублей на средства защиты от кибератак, ИБ-процессы и зарплаты безопасников. При этом расходы ежегодно растут. На ситуацию влияют внешнеполитические события и нехватка специалистов, которая усилилась на фоне импортозамещения западных ИБ-продуктов. Рынку нужны профессионалы с компетенциями по новым решениям. Но их мало, поэтому бизнесу приходится хорошо доплачивать редким специалистам либо переучивать имеющихся за свой счет. И то, и другое — большие затраты.

Чтобы сократить растущие издержки, компании все чаще используют MSSP. Что это такое и когда выгодно, разбираемся далее.

Что представляет собой MSSP

Еще в 90-е интернет-провайдеры предлагали клиентам файрволы и антивирусы по подписке. Сегодня услугами в формате «безопасность как сервис» пользуются миллионы компаний по всему миру. И это логично: чем больше в организации цифровых продуктов, тем выше вероятность атак и других киберугроз. Растущую инфраструктуру нужно защищать.

Сегодня можно не приобретать ИБ-решения в собственность и не нанимать сотрудников для их обслуживания. Зачастую решения и компетенции выгоднее получить по модели MSS — Managed Security Service, управляемых сервисов безопасности.

Смысл в том, что компания приобретает ИБ-услуги у стороннего провайдера. Например, он может предложить:

1. Консалтинг и помощь квалифицированных кадров. Специалисты со стороны могут помочь с множеством задач: от определения рисков компании до подготовки списка решений, которыми можно защитить инфраструктуру.
2. Защиту сети. По подписке можно использовать решения для межсетевого экранирования, antiDDoS-защиту на сетевом уровне, VPN и другие средства защиты.
3. Мониторинг ИБ на аутсорсе — систематический анализ работы клиентских систем на предмет аномалий, отказа, проникновения в систему злоумышленников и т.п.
4. Защиту веб-приложений, в том числе сервисы защиты от DDoS-атак уровня L7, Web Application Firewall (WAF), многофакторной аутентификации (MFA) и др.
5. Pentesting — проверку уязвимостей инфраструктуры на «ударостойкость». Санкционированный взлом и сканирование инфраструктуры на предмет уязвимостей, после которого составляется отчет со списком всех обнаруженных проблем и вариантов их решения.
6. Аудит ИБ — от сложных исследований на соответствие требованиям регуляторов до быстрых проверок ситуации с безопасностью.

Когда лучше отдать ИБ на аутсорс?

Ответ зависит от ситуации и условий, в которых работает бизнес: от финансовых возможностей до вероятности попасть под удар злоумышленников.

Тем не менее, многие компании уже готовы решать свои задачи с помощью MSSP. Согласно опросу Anti-Malware, 34% хотят таким образом закрыть кадровые вопросы, 30% — повысить уровень защищенности бизнеса, а 15% — снизить затраты на ИБ.

В целом большинство аргументов в пользу MSSP звучат так:

• Не нужно искать ИБ-специалистов. Количество таких вакансий за 2023 год увеличилось почти на 30%, пишет ComNews. MSSP избавляет компанию от поиска дорогостоящих кадров. Они уже есть у сервис-провайдера. От профессионализма команды зависит его репутация, поэтому часто здесь работают специалисты с самыми высокими компетенциями. Они могут и умеют работать со всем ландшафтом угроз и любыми средствами защиты.

  Кроме того, благодаря MSSP решается проблема с уходом штатного ИБ-специалиста на больничный или его увольнением. Когда вы используете модель «безопасность как сервис», нет рисков из разряда bus factor (в таких случаях из-за потери одного человека останавливаются ключевые бизнес-процессы).

  Также модель MSS идеально подходит для разовых проектов, когда собирать собственную ИБ-команду неоправданно дорого и долго.

• Можно сосредоточиться на приоритетных задачах. Когда вопросами ИБ занимается другая компания, вы можете сфокусироваться на том, что намного важнее. Например, на изменениях рынка, тенденциях, совершенствовании бизнес-процессов, обновлении программного обеспечения и т.д.
• Легче соответствовать новым требованиям. Это касается как законодательства в части ИБ, так и новых угроз для бизнеса. Провайдеры стремятся держать руку на пульсе, поэтому могут своевременно совершенствовать систему безопасности.
• Комплексный подход — это удобно. Как правило, сервис-провайдер предоставляет сразу несколько услуг. Так, например, он может не только выявить проблемы с ИБ, но и сразу предложить готовые решения. При этом провайдер уже будет максимально погружен в технические и другие нюансы заказчика, а значит, внедрение средств защиты пройдет намного быстрее и эффективнее.
• Можно экономить. Понятные и прозрачные тарифы вместо длительных согласований каждой статьи ИБ-бюджета. Провайдеры обычно берут оплату ежемесячно и по факту оказания услуг. Контролировать расходы и оперативно корректировать их намного проще, чем при капитальном планировании затрат.
• Проще масштабироваться. Аутсорсинг позволяет оперативно реагировать на меняющиеся условия. Например, если резко вырастет трафик на сайте, то MSSP-провайдер может сразу же подключить более производительную версию средства защиты от DDoS-атак. Сделать то же самое собственными силами намного сложнее.
• Безопасность будет под контролем всегда. Провайдер работает 24/7, чего не скажешь о штатных ИБ-специалистах. Чаще всего они трудятся только днем с понедельника по пятницу.
• Провайдер дает гарантии. Доступность услуг прописывается в соглашениях SLA и часто превышает 99%.

В любом случае, безопасность по подписке — удобный вариант для тех, кому нужен максимум защиты и без внушительных затрат. И хотя ответственность за инциденты несет клиент, сервис-провайдер всегда заинтересован в их отсутствии. Каждая ошибка негативно влияет на репутацию и может спровоцировать снижение спроса на его услуги.

Как выбрать провайдера

Есть ли риски в модели MSS? Да, и самый серьезный — доверить информационную безопасность компании недобросовестному провайдеру. Поэтому к выбору поставщика таких услуг нужно подходить максимально ответственно и серьезно.

Чтобы определиться с сервис-провайдером, рекомендуем обратить внимание на минимум шесть факторов:

1. Есть ли у провайдера документы, разрешающие оказание услуг. Зачастую важным является наличие лицензий ФСТЭК на разработку и производство средств защиты, на техническую защиту конфиденциальной информации и другие документы.
2. Соответствует ли деятельность и инфраструктура провайдера необходимым требованиям законодательства, ФСБ, ФСТЭК и других регуляторов. Так, например, многие облачные ИБ-сервисы должны размещаться в облаке, аттестованном по 152-ФЗ (Закону о персональных данных), а если вы работаете с данными платежных карт — PCI DSS 4.0.
3. Насколько широкий спектр экспертизы и услуг вам предлагают. А точнее — можно ли закрыть максимум ИБ-задач, причем без привлечения других сервис-провайдеров и специалистов.
4. Что провайдер пишет о гарантиях в типовом договоре. Стоит внимательнее ознакомиться с разделом об ответственности сторон. Кто-то берет обязательств больше, кто-то — меньше.
5. Что дополнительно делает провайдер для усиления своей безопасности и защиты клиентов. Например, проходит ли проверку Pre-IR, которая подтверждает готовность к реагированию на инциденты.
6. Скорость реакции на запросы. Если вы оставили заявку на демодоступ к услуге и получили ответ только через месяц, то это не очень хороший знак. Наверняка у этого провайдера слишком высокая нагрузка или плохо выстроены внутренние процессы.

И наконец, всегда есть смысл изучить компетенции сотрудников провайдера. Хотя в любом случае с аутсорсингом многие компании получают профит. Все-таки пара ИБ-специалистов в штате, даже самых квалифицированных, не может заменить огромную команду провайдера и их опыт.