Посты о SOC, TI и IR

Выбор MSSP: как принять объективное решение

В настоящее время многие организации привлекают сторонних специалистов для обеспечения безопасности, и популярность провайдеров сервисов информационной безопасности (MSSP) растет. Между тем, с увеличением числа игроков на рынке, организациям бывает сложно определиться с выбором. В этой статье я хочу поделиться рекомендациями по выбору MSSP и помочь в определении преимуществ и недостатков сотрудничества с ними.

Для того чтобы сделать осознанный выбор, попробуем ответить на следующие вопросы:

  • Какие конкретно сервисы нам нужны?
  • Почему нашей организации необходим MSSP?
  • Когда и как долго нашей организации потребуется MSSP?
  • Кто станет провайдером сервисов безопасности?

Сервисы MSSP

Во-первых, поговорим о том, какие сервисы информационной безопасности предоставляют MSSP. Вот некоторые из наиболее распространенных:

  • Мониторинг безопасности

    Круглосуточный мониторинг сети, систем и приложений организации для выявления потенциальных угроз безопасности и аномалий. Эта услуга может предоставляться как on-premise решение (если данные не должны покидать инфраструктуру клиента) или как облачный сервис, когда данные передаются в инфраструктуру провайдера.

  • Реагирование на инциденты (IR)

    Реагирование на инциденты, расследование и локализация инцидентов. Сервис может предоставляться в различных формах — от выдачи рекомендаций для команды реагирования клиента и до выполнения активных, заранее согласованных, действий по реагированию в среде клиента без его подтверждения.

  • Управляемое обнаружение и реагирование (MDR)

    Сочетание двух предыдущих сервисов. Благодаря использованию комплексного подхода в части методов обнаружения угроз, MDR обычно считается усовершенствованной версией классических сервисов SOC. Кроме того, MDR обеспечивает поддержку встроенных в платформу возможностей реагирования, которые предоставляются провайдером и полностью им управляются.

  • Аналитика угроз (TI)

    Предоставление информации о текущих и возникающих угрозах безопасности организации. Наиболее известная и простейшая форма TI — это индикаторы компрометации (IoC), которые указывают на наличие в среде клиента известных признаков атак. Но есть и другие варианты оказания этой услуги, ориентированные на разные уровни зрелости потребителей TI в организации (например аналитика по новым техникам атак, уязвимостям, инструментам атакующих).

    Следует помнить, что для использования TI требуется собственная служба безопасности, полностью передать эту задачу на аутсорсинг невозможно. Без активного применения данных TI в инфраструктуре (детектирование, предотвращение и т.д.), такие данные очевидно будут бесполезны.

  • Решения по управлению средствами защиты

    Различные сервисы, ориентированные на управление решениями по безопасности, развернутыми в среде клиента. Они обычно входят в «комплект» сервиса, если клиент хочет развернуть технологии MSSP on-premise.

Существует расширенный набор сервисов, не используемых напрямую в повседневных операциях, но все же имеющих ценность при проведении на разовой или регулярной основах.

  • Цифровая криминалистика и реагирование на инциденты (DFIR)

    Полномасштабный сервис по реагированию на отдельный инцидент с детальным погружением и анализом артефактов и установлением причин инцидента в среде клиента.

  • Анализ вредоносных программ

    Узкоспециализированный сервис по предоставлению расширенных отчетов и анализу поведения предоставленных вредоносных программ. Для эффективной работы сервиса необходима собственная команда, которая будет надлежащим образом использовать результаты анализа.

  • Анализ защищенности

    Группа сервисов по выявлению уязвимостей, слабых мест и потенциальных векторов атак целевой инфраструктуры или приложений. Среди наиболее известных услуг — тестирование на проникновение, оценка безопасности приложений, комплексная имитация атак (red teaming) и оценка уязвимостей

  • Контроль поверхности атаки (ASM)

    Сервис, ориентированный на сбор информации о внешних активах организации и анализ возможных векторов на них.

  • Мониторинг цифрового отпечатка организации (DFI)

    Сервис, ориентированный на поиск, сбор и анализ угроз для организации во внешних источниках. Обычно в рамках сервиса предоставляется информация о компрометации учетных записей, о следах организации в журналах событий безопасности, о сообщениях и объявлениях о продаже доступа к инфраструктуре, а также составляется список субъектов, которые могут атаковать организацию. Очевидно, что сервис DFI часто заменяет TI в том, что связано с обработкой информации из внешних источников.

Как мы видим, некоторые сервисы могут выполнять основные функции безопасности (мониторинг, MDR, оценка), а другие можно рассматривать в качестве дополнительной поддержки для ИБ специалистов (TI, анализ вредоносных программ, DFIR). По сути, услуги MSSP необходимы, когда требуемую функцию нельзя (или нецелесообразно) обеспечивать силами организации. Таким образом, ключевой задачей для организации является определение своих потребностей, приоритетов и доступных ресурсов.

Сценарии привлечения MSSP

Перейдем к сценариям привлечения MSSP, которые могут принести пользу.

Сценарий 1

Типичный сценарий: вам срочно нужно реализовать определенную функцию или сервис. В этом случае MSSP сэкономит вам время и деньги, а также принесет быстрые результаты. Этот сценарий подходит, если вы хотите внедрить или протестировать дополнительные сервисы в SOC.

Сценарий 2

Необходимо создать функцию ИБ с нуля. Даже если в итоге все сервисы безопасности создаются внутри организации, привлечение MSSP будет правильным решением, поскольку, как и в сценарии 1, он поможет быстро запустить определенный сервис. Позже, вы можете передать этот сервис внутренней команде с учетом всех аспектов оказания сервиса и опыта, полученного от MSSP. В то же время такой подход поможет внедрять функции безопасности шаг за шагом и заменять сервисы MSSP один за другим, выполняя по одной задаче за раз и избегая снижения защищенности из-за отсутствия необходимых сервисов.

Сценарий 3

Вам необходим экстенсивный рост. По мере роста бизнеса обеспечение ИБ не всегда может соответствовать успевать за растущими требованиями. Это особенно заметно в случаях слияния и поглощения компаний — ИТ-ландшафт переходит на новый уровень, который штатная команда не в состоянии оперативно обслуживать. В зависимости от характера роста предприятия, этот сценарий может трансформироваться в сценарий 1 или 2. Если рост объема защищаемой инфраструктуры вызвало разовое событие, возможно позже вы захотите передать необходимые функции от MSSP внутренней команде ИБ, когда она будет готова справиться с новым объемом работы.

Другие причины для привлечения MSSP

Помимо упомянутых сценариев, есть и общие причины для привлечения MSSP вместо решения задач собственными силами. Вот некоторые из них:

  • Отсутствие внутренней экспертизы

    У многих организаций нет необходимого опыта для эффективного управления угрозами безопасности и реагирования на них. Некоторые роли и функции требуют глубоких знаний и постоянного повышения квалификации, чего не всегда возможно достичь внутри организации. В то же время MSSP могут работать одновременно с несколькими клиентами, поэтому интенсивность инцидентов и проводимых расследований намного выше, что дает больше опыта специалистам MSSP.

  • Ограничения в ресурсах

    У небольших организаций может не хватать ресурсов на создание комплексной программы безопасности и ее поддержания. MSSP может предоставить необходимые сервисы безопасности и помочь снизить риски безопасности без необходимости создавать собственную команду ИБ и, в более сложных случаях, поддерживать ее в долгосрочной перспективе.

  • Сокращение затрат

    Создание и поддержка внутренних сервисов безопасности может требовать немалых вложений. Аутсорсинг с привлечением MSSP может стать более рентабельным решением, особенно для небольших организаций. Кроме того, привлечение MSSP позволяет распределять бюджет по времени, поскольку создание сервиса собственными силами требует значительных инвестиций с первого дня.

  • Масштабируемость

    Быстро растущим организациям может быть сложно масштабировать свои сервисы безопасности в необходимом темпе. MSSP могут предоставлять масштабируемые сервисы, способные расти вместе с организацией.

  • Гибкость

    Аутсорсинг упрощает контроль уровня оказания сервиса — от выбора опций в соглашении об уровне сервиса (SLA) для конкретного MSSP до смены поставщика услуг при изменении целей и задач или появлении более выгодного предложения на рынке.

В целом MSSP может помочь организации повысить уровень безопасности, обеспечить управление рисками при сокращении затрат и соблюдении ресурсных ограничений. Говоря о привлечении MSSP, для полноты картины необходимо отметить не только плюсы, но и минусы. Возможные факторы, при которых стоит дважды подумать, прежде чем обращаться к провайдеру:

  • Увеличение риска

    Каждый новый партнер увеличивает потенциальную поверхность атаки для вашей организации. В течение срока действия контракта следует учитывать риски компрометации MSSP и «атак на цепочку поставок» сервиса, особенно если у провайдера высокий уровень привилегий (что обычно требуется по контракту для комплексного реагирования на инциденты или сопровождения систем безопасности). Провайдер может снизить этот риск, продемонстрировав комплексную программу обеспечения кибербезопасности, которая применяется в его инфраструктуре, а также независимые оценки своей работы.

    Кроме того, важно правильно «отключить» MSSP в случае расторжения контракта. В этом случае необходимо тщательно выполнить отзыв доступов и откат всех изменений, внесенных в сети, конфигурации и т. д.

  • Недопонимание

    Знаете ли вы, из чего состоит ваша инфраструктура и как бизнес-процессы связаны с IT-средой? Что для вашей сети нормальное состояние? У вас есть база данных активов? А как насчет реестра учетных записей и полного списка регулярно пересматриваемых привилегий? Думаю, не на все вопросы вы ответили утвердительно. К сожалению, у MSSP будет еще менее четкое представление о том, что находится в защищаемой среде, поскольку его единственный надежный источник информации — это вы.

  • Необходимость контролировать MSSP

    Крайне важно провести тщательный анализ и оценку каждого контракта на предоставление сервиса, особенно когда речь идет о выборе MSSP. Для этого организации понадобиться эксперт для ведения контракта и тщательного изучения всех деталей, условий и ограничений. Кроме того, следует внимательно наблюдать за предоставлением сервиса и оценивать его на протяжении всего срока оказания услуги. Как правило, это означает, что невозможно полностью передать функцию безопасности на аутсорсинг без создания хотя бы небольшой группы специалистов по безопасности внутри организации. Более того, выходные данные сервиса должны обрабатываться внутренней командой ИБ, особенно в случаях обнаружения инцидентов, аномалий или некорректных конфигураций.

Cвой SOC или MSSP для малого и среднего бизнеса

Выбор между привлечением MSSP и созданием собственного SOC для малого и среднего бизнеса будет зависеть от различных факторов, в том числе от бюджета организации, ресурсов и целей. Среди преимуществ MSSP для малого и среднего бизнеса можно выделить следующие:

  • Экспертиза

    Уровень знаний MSSP в области безопасности может быть гораздо выше, чем у внутренней команды, особенно для небольших организаций с ограниченными ресурсами на найм. Часто у предприятий малого и среднего бизнеса вообще нет команды ИБ.

  • Затраты

    Создание собственного SOC обходится весьма дорого и эти затраты сильно сжаты по времени. Сюда входят затраты на найм опытных специалистов, инвестиции в инструменты и технологии безопасности и создание инфраструктуры безопасности.

  • Масштабируемость

    По мере роста предприятий малого и среднего бизнеса будут расти и их потребности в обеспечении безопасности. MSSP могут предоставлять масштабируемые сервисы, которые могут расширяться по мере роста организации.

В целом для многих малых и средних предприятий, аутсорсинг услуг с привлечением MSSP будет более целесообразным решением, чем создание собственного SOC.

Для крупных предприятий, как и в других сложных случаях, однозначного ответа не будет. Здесь количество обстоятельств и входных параметров для принятия решения будет больше.

Поиск баланса

Учитывая плюсы и минусы аутсорсинга сервисов безопасности, необходимо найти правильный баланс. Одним из решений может быть гибридный подход, при котором одни сервисы организация создает собственными силами, а другие отдает на аутсорсинг.

Первый вариант гибридного подхода заключается в самостоятельном обеспечении основных функций (например, мониторинга безопасности, реагирования на инциденты и т. д.) и передаче на аутсорсинг продвинутых сервисов, которые тяжелее создать собственными силами. Такой подход позволяет обеспечить надежные основные функции, не тратя время и ресурсы на функции, требующие специализированных навыков, знаний и инструментов. Любые сервисы MSSP, которые были упомянуты в начале статье в «расширенном» наборе, хорошо подойдут для такого решения.

Другой вариант гибридного подхода заключается в создании компетенции  по реагированию на инциденты из внутренних экспертов, знающих окружение и способных реагировать на продвинутые атаки. В этом случае обнаружение инцидентов и первоначальный анализ можно передать на аутсорсинг, что упростит масштабируемость сервиса и даст возможность внутренней команде сосредоточиться на более сложных задачах.

Еще один подход — «Переходный» вариант, подходит для cлучаев, когда определенная функция безопасности нужна вам здесь и сейчас, но при этом общая стратегия  сфокусирована на развитии собственного SOC. Таким образом, вы можете начать с аутсорсинга сервисов безопасности и постепенно заменять их собственными функциями по мере готовности внутренних специалистов, технологий и ресурсов. Также, этот подход позволит более точно сравнить затраты на отдельные сервисы для самостоятельной реализации и аутсорс моделей, и принять взвешенное решение и необходимости замены сервисов внешнего провайдера.

Правильный выбор

Алгоритм довольно простой — для начала нам необходимо определить наши потребности, необходимые услуги, а также общую стратегию, которой мы будем следовать при принятии решения об аутсорсинге сервисов безопасности, учитывая все вышесказанное.

Следующим шагом является выбор подходящего провайдера. Я бы выделил следующие критерии, которые следует учитывать во время поиска:

  • Знания и опыт

    Выбирайте MSSP с необходимым опытом. Обратите внимание на опыт работы с клиентами в вашем регионе и отрасли, а также с известными мировыми компаниями. Важно, сколько лет провайдер существует на рынке — обычно проще найти проверенного партнера, чем рисковать, выбирая нового игрока на рынке с революционным подходом к решению задач.

    Процесс обнаружения и реагирования на киберугрозы тесно связан с проведением исследований в области безопасности. Узнайте, есть ли у MSSP соответствующие возможности для таких исследований. Их можно оценить по количеству и глубине публикаций на тему анализа методов атак, аналитики по APT-группировкам, по используемым инструментам, а также по методам обнаружения и расследования инцидентов.

    Еще один важный момент — это команда. Все сервисы предоставляются людьми, поэтому необходимо удостовериться, что сотрудники MSSP — квалифицированные специалисты с необходимым уровнем знаний и навыков. Признаками будут —    уровень образования, наличие признанных в экспертном сообществе сертификаций, выступление на конференциях по профильным темам и практическим кейсам.

  • Технологии MSSP

    Убедитесь, что MSSP использует подходящие инструменты и технологии для предоставления эффективных решений безопасности. Простой пример: если MSSP и весь его стек технологий ориентирован на защиту Windows, его не стоит привлекать для защиты среды, построенной на Unix. Есть и другие нюансы, касающиеся технологических платформ MSSP, к которым мы вернемся позже.

  • Соответствие требованиям

    Убедитесь, что MSSP соответствует отраслевым нормам и стандартам, если таковые применимы к вашему бизнесу.

  • Клиентский опыт и поддержка

    Найдите отзывы и истории успеха, соберите обратную связь от других компаний, работавших с этим провайдером. Важно узнать в том числе о «клиентском» опыте от сервиса, о скорости реагирования на обращения, доступности сервиса и отзывах по взаимодействию с командой.

  • Соглашение об уровне сервиса (SLA)

    Узнайте, какие используются показатели уровня обслуживания, как эти показатели отслеживаются и рассчитываются, и, конечно же, определите целевые подходящие для вашей компании значения SLA.

  • Стоимость

    Сравните стоимость услуг различных MSSP и выберите того поставщика, который при прочих равных условиях наиболее выгоден для вашего бизнеса.

  • Безопасность

    Узнайте, уделяет ли провайдер должное внимание собственной безопасности: соблюдает ли кибергигиену, проводит ли регулярные оценки защищенности своей инфраструктуры с привлечением внешних экспертов. Это лишь малая часть того, что необходимо проверить, чтобы обеспечить необходимый уровень защиты.

  • Тестирование сервиса (PoC)

    Опытные игроки на рынке предоставляют пробный период, чтобы вы могли на практике оценить большинство аспектов сервиса и результатов услуг.

Вопрос технологий может быть неоднозначным. В большинстве случаев мы можем разделить MSSP на две большие группы: первые используют корпоративные решения, вторые — инструменты собственной разработки или доработанные решения с открытым исходным кодом.

Первые должны делить свой доход с поставщиком технологии, но если позже вы решите создать внутренний SOC, переход будет проще, если вы выберете платформу того же поставщика, которую использует ваш провайдер. Кроме того, вам не нужно будет вносить слишком много изменений в свою инфраструктуру. Если организация хочет принять «переходный» подход и создать собственный SOC на основе определенной технологии, привлечение MSSP с соответствующим техническим решением может послужить чем-то вроде расширенного тест-драйва выбранной платформы.

Вторая группа MSSP обычно фокусируется на комбинации разных решений, в т.ч. opensource и собственных разработках, которые позволяют создать узкоспециализированную технологическую платформу для достижения лучших результатов. Во многих случаях, для достижения цели, несколько инструментов и платформ интегрируются вместе, получая решение для предоставления более продвинутых методов обнаружения и анализа угроз. Обычно клиент не может перенять такую платформу для самостоятельного использования.

Еще один вопрос, который необходимо упомянуть: стоит ли привлекать нескольких провайдеров и распределять задачи между ними?

С одной стороны, такое разнообразие может помочь выбрать лучшего поставщика конкретных услуг, с другой стороны, комплексные услуги от одного и того же поставщика могут оказаться более эффективными. Например, если один провайдер обеспечивает мониторинг, то сервис DFIR, предоставляемый той же компанией, покажет большую эффективность работы благодаря возможности обмениваться исторической информацией об инцидентах и постоянно отслеживать индикаторы компрометации DFIR.

Приобретая сервисы безопасности, следует помнить также об оценке защищенности собственной инфраструктуры, и проверять условия контракта в отношении проведения тестирования на проникновение, red team или проведения киберучений. Любой тип такой оценки будет полезен для проверки оказания сервисов MSSP и обучения ваших специалистов.

Заключение

При выборе MSSP организациям важно помнить о своих целях в вопросе обеспечения информационной безопасности и согласовывать их с критериями оценки провайдеров. При большом количестве игроков на рынке всегда есть возможность выбрать того, кто будет максимально соответствовать конкретным требованиям и стратегии организации. Тщательная оценка таких факторов, как предлагаемые сервисы, команда, репутация, технологии и стоимость, поможет организациям найти подходящего MSSP для удовлетворения своих потребностей.

Выбор MSSP: как принять объективное решение

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике