2020/07/28 11:16:55

Кибербезопасность как сервис – теперь не только для крупного бизнеса

Сервисный подход – ключевой тренд цифровизации предприятий. Все чаще компании предпочитают отдавать вопросы комплексного обеспечения информационной безопасности на аутсорсинг. Услуги коммерческих центров мониторинга и реагирования на кибератаки (Security Operations Center, SOC/SIEM) с каждым годом становятся популярнее у крупного бизнеса. Но небольшим компаниям и организациям подобный сервис был недоступен из-за высокой цены, хотя они в последнее время регулярно попадают под удары массовых атак. Отвечая на запросы этого сегмента рынка, ИБ-провайдеры стараются переформатировать свои услуги в более экономичный формат.

Содержание

«Кибербезопасность как сервис» отражает текущие изменения в модели потребления: люди больше не хотят получать в собственность сложные и дорогие инструменты, вместо этого им нужна конкретная функция, платить за которую можно по модели pay-as-you-grow. В обычной жизни это называется «sharing economy», а в ИТ – «platform economy» (то есть различные платформенные решения, предоставляющие те или иные сервисы).

Постоянный рост количества кибератак, появление новых инструментов киберпеступников и растущие требования к обеспечению информационной безопасности со стороны регуляторов заставляют компании все больше заботиться об укреплении своего ИТ-периметра. На этом фоне возможность сэкономить (как деньги, так и кадровый ресурс), обратившись к услугам сервис-провайдера, привлекает многих потенциальных заказчиков.

Данные центра мониторинга и реагирования на киберугрозы Solar JSOС компании «Ростелеком-Cолар» за 2019 год

Компания «Ростелеком-Солар», которая еще в 2012 году открыла первый коммерческий SOC, ежегодно фиксирует кратный рост числа организаций, которые потребляют подобные услуги. На текущий момент нет сегментов бизнеса, где возможности сервисной модели SOC оказались бы неприменимыми.

А в конце 2018 года «Ростелеком-Солар» представила экосистему управляемых сервисов кибербезопасности Solar MSS (Managed Security Services), которые реализуют комплексную защиту среднего и малого бизнеса, а также небольших госорганизаций от базовых угроз ИБ. Это новый для рынка формат предоставления услуг класса «кибербезопасность как сервис», ориентированный на более массовый корпоративный сегмент. На данный момент наибольший интерес к сервисам MSS проявляют госорганизации (особенно региональные), небольшие банки и ритейлеры. Помимо конкретного набора сервисов заказчиков привлекает скорость и простота их развертывания, а также относительно невысокая цена.

Технологии Solar MSS

Технологии Solar MSS позволяют предоставлять услуги по кибербезопасности «из облака», обеспечивая надежность и защищенность каналов связи, а также централизованно управлять всеми сервисами. Все площадки заказчика обмениваются данными с ЦОД провайдера, где эти данные обрабатываются и фильтруются в соответствии с выбранным сервисом.

За счет единой технологической базы все сервисы обмениваются оперативной информацией по угрозам и атакам, обогащая «знания» друг друга и совершенствуя таким образом собственные политики безопасности. За их эксплуатацию отвечает команда профессиональных аналитиков «Ростелеком-Солар», работающая в режиме 24×7. Причем часть премиум-тарифов предполагает закрепление за заказчиком персонального сервис-менеджера, который в любой момент готов ответь на вопросы клиента. Куратор предоставляется и в базовых тарифах, правда, там он уже не так глубоко вовлечен в историю заказчика.

Состав услуг Solar MSS

Один из базовых элементов сервисной экосистемы Solar MSS – UTM (Unified Threat Management. Он обеспечивает комплексную защиту сетевого периметра при помощи взаимосвязанных средств защиты (межсетевого экрана, IPS, антивирусного ПО, а также спам- и веб-фильтров). UTM использует единую защищенную точку выхода в Интернет. Это позволяет, в частности, применять единые политики ИБ для территориально-распределенных компаний с множеством филиалов. Для подключения сервиса на площадке заказчика необходимо установить специальный маршрутизатор – Customer Premises Equipmen (CPE), который является шлюзом для доступа в Интернет.

Также CPE позволяет подключить два других базовых сервисов MSS: по защите электронной почты (Secure Email Gateway,SEG) и веб-приложений (Web Application Firewall, WAF). Первый из них проверяет входящую электронную почту на наличие вредоносных файлов и фишинга до того, как она достигнет почтовых серверов организации и будет доставлена сотрудникам. Второй – обнаруживает и блокирует атаки на веб-приложения, включая атаки из списка OWASP Тор 10, DDoS-атаки уровня приложений и атаки нулевого дня.

Помимо UTM, SEG и WAF в состав Solar MMS входят еще шесть сервисов:

Сервис шифрования каналов связи (ГОСТ VPN): гарантирует конфиденциальность и целостность информации, передаваемой организацией через общедоступные каналы связи. В основе сервиса лежат средства криптографической защиты информации, сертифицированные ФСБ России.

Сервис контроля уязвимостей (Vulnerability Management, VM): позволяет находить и устранять уязвимости ИТ-инфраструктуры и веб-ресурсов внутри организации, в ее сетевом периметре или в облачной среде.

Сервис защиты от DDoS-атак (Anti-DDoS): предоставляет эшелонированную защиту от DDoS-атак на каналы, сетевую инфраструктуру и веб-ресурсы для обеспечения непрерывности бизнеса.

Сервис управления навыками ИБ (Security Awareness, SA): помогает тестировать и обучать сотрудников практической кибербезопасности, в том числе с помощью имитации фишинговых атак.

Сервис регистрации и анализа событий ИБ (Event registration and analysis, MSS ERA): регистрирует и анализирует события ИБ для защиты от массовых кибератак и обеспечения соответствия требованиям ФЗ-187 «О безопасности критической информационной инфраструктуры».

Сервис для защищенной удаленной работы: комплексное решение по организации безопасного удаленного доступа на базе сервиса UTM с использованием отечественных (ГОСТ) или зарубежных средств шифрования. Организация удаленного доступа возможна с помощью VDI-брокера, VDI-фермы или терминального сервера.

Состав сервисов Solar MMS


Защита от сетевых угроз (UTM)
Защита электронной почты (SEG)
Защита веб-приложений (WAF)
Шифрование каналов связи (ГОСТ VPN)
Контроль уязвимостей (VM)
Защита от DDoS-атак (Anti-DDoS)
Управление навыками ИБ (SA)
Регистрация и анализ событий ИБ (MSS ERA)
Защищенное решение для удаленной работы

По количеству технологий киберзащиты экосистема Solar MSS на сегодня является лидером рынка. Предлагаемые решения помогают противостоять основным видам атак, фокусируясь на типичных для данной отрасли и организации угрозах. По словам директора департамента развития продуктов и сервисов MSS компании «Ростелеком-Солар» Сергея Дмитриева, онлайн-бизнесу точно нужен сервис защиты веб-приложений WAF, а для защиты офисных рабочих мест – спам-фильтр. Если же критически важно защитить от утечек ценные данные, хранящиеся в корпоративной информационной системе, нужно использовать сервис защиты почты (SEG).

«
Для любого бизнеса также важна защита инфраструктуры с помощью межсетевого экрана (UTM), не лишней будет и защита магистральной сети с помощью сервиса Anti-DDoS. А для территориально-распределенной инфраструктуры стоит применять шифрование каналов связи в рамках услуги ГОСТ VPN. Также хорошо уже на начальном этапе провести аудит инфраструктуры с помощью сервиса VM (контроля уязвимостей), чтобы сразу определить «слабые места» корпоративной системы, – советует Сергей Дмитриев, директор департамента развития продуктов и сервисов MSS компании «Ростелеком-Солар».
»

Помимо непосредственной защиты информации, Solar MSS помогает заказчику обеспечить соответствие требованиям законодательства. Например, №152-ФЗ «О персональных данных», который касается практически всех. В данном случае будут как нельзя кстати сервисы ГОСТ VPN и UTM, которые защищают внутреннюю инфраструктуру и хранящиеся в ней данные от злоумышленников, закрывая при этом задачи Complience. А решение MSS ERA ориентировано на выполнение требований закона «О безопасности КИИ» региональными компании госсектора, а также организациями из сфер здравоохранения и науки.

Есть и отраслевое регулирование, напоминает Дмитриев: «Например, для банковской сферы действует международный стандарт PCI DSS, в котором прописаны требования к сервисам, управляющим платежными картами. В этом случае нужна защита веб-приложений (WAF), а также сервис контроля уязвимостей VM».

Оптимальная цена пакетов услуг Solar MSS

Оптимальная цена услуг Solar MSS достигается за счет того, что сервис можно оперативно масштабировать в зависимости от текущих задач и платить только за потребляемый объем услуг. Таким образом заказчик может управлять затратами на ИБ, избегая значительных и излишних издержек.

«
Покупка сервиса обходится на 40-60% дешевле, чем реализация интеграционного проекта обеспечения тех же самых услуг, так как заказчику не нужно тратиться на создание собственной ИБ-инфраструктуры и ее обслуживание, – поясняет Сергей Дмитриев.
»

При этом качество предоставляемых сервисов описывается конкретными четко измеряемыми параметрами уровня услуг (SLA): предельное время от момента сбоя до момента восстановления работоспособности инфраструктуры и время доступности сервиса в течение квартала.

Простота установки и использования пакетов услуг Solar MSS

«
Для клиентов MSS краеугольным камнем является быстрота доставки и простота «вхождения» в технологию, – говорит Сергей Дмитриев. – Услуга должна быстро и просто масштабироваться (как вверх – при расширении потребностей, так и вниз – при их снижении) и не требовать от персонала заказчика сложной экспертизы в настройке и разборе результатов работы сервиса. А скорость ее подключения должна измеряться днями.
»

По оценке Дмитриева, процесс подключения сервиса для небольшой организации с типовой инфраструктурой занимает всего 3-4 дня и включает несколько несложных этапов:

  • доставить на площадку заказчика CPE (Customer Premises Equipment);
  • проработать схему внедрения CPE в инфраструктуру;
  • подключить CPE к сервису Solar MSS.

Также просто происходит наращивание объема услуг. Так, чтобы подключить новую площадку, нужно физически доставить туда CPE и подключить оборудование к сети. На это обычно достаточно пары дней.

Комплекс услуг Solar MSS для госорганизаций

Небольшие госструктуры сегодня тоже находятся в фокусе внимания киберпреступников. Это влечет за собой высокие репутационные риски, однако ресурсы собственных ИБ-служб в таких организациях крайне ограничены. Также многие госструктуры имеют разветвленную сеть филиалов, в каждом из которых местные специалисты решают вопросы ИБ, как могут, то есть в рамках скромных бюджетов и дефицита кадров. Остается добавить, что госорганы обычно работают по четкому графику (пять дней в неделю с 9.00 до 18.00), в то время как хакеры – круглосуточно. На необходимую защиту от текущих кибератак накладывается еще и обязанность по соблюдению требований федерального закона «О безопасности критической информационной инфраструктуры», что в условиях ограниченных ресурсов практически невозможно.

Очевидно, что быстро и эффективно разрешить весь этот клубок проблем можно единственным способом – делегировать ответственность по задачам ИБ. «Для госорганов такой партнер, как «Ростелеком-Солар», выгоден тем, что услуги оказываются из облака, которое расположено в Национальной облачной платформе: она имеет все необходимые сертификаты соответствия и удовлетворяет основным требованиям для размещения государственных информационных систем федеральных и региональных органов исполнительной власти», – подчеркивает Сергей Дмитриев.

Госструктурам рекомендуется следующий набор сервисов:

ГОСТ VPN. Сервис обеспечивает конфиденциальность и целостность информации, передаваемой через общедоступные каналы связи, так как госорганизации имеют разветвленную филиальную сеть и обмениваются чувствительной информацией. UTM. Защищает встроенную в глобальную сеть инфраструктуру организации.

Anti-DDoS. Защищает органы власти в первую очередь от репутационных рисков. Например, если злоумышленники пытаются обрушить сайт, когда на его платформе реализуются важные государственные инициативы.

WAF. Необходим, так как госструктры развивают собственные веб-приложения для коммуникации с гражданами и юрлицами. Эти ресурсы хранят большое количество чувствительных персональных данных, которые интересны злоумышленникам.

MSS ERA. Ориентирован на выполнение требований №187-ФЗ в части ГосСОПКА и противодействие массовым атакам. Сервис рассчитан на организации численностью до 400 пользователей, имеющие не более 500 серверов и рабочих станций в ИТ-инфраструктуре.

Комплекс услуг Solar MSS для финсектора

У небольших банков и финорганизаций свои слабые места в части информационной безопасности. Во-первых, это выгодные мишени для кражи денежных средств. Во-вторых, они хранят большие объемы персональных данных пользователей. В-третьих, для банков важна бесперебойность работы, так как любой отказ в обслуживании неминуемо ведет к оттоку клиентов. Но при этом над финорганизациями довлеет груз ответственности по соблюдению целого списка нормативных требований: о КИИ, о персданных, требования банковских стандартов PCI DSS и СТО БР и т.д.

«
К тому же банки обычно имеют подразделения в разных регионах, которые управляются централизованно. Это вызывает специфические сложности. Например, если появляется новый вид атаки, то необходимо оперативно «раскатать» определенную технологию на все подразделения разом. Сервис в этом случае позволяет радикально экономить кадровые затраты и время, – добавляет Сергей Дмитриев. – Современный банк – это образец корпоративного потребителя, которого интересует максимальный набор сервисов для обеспечения комплексной защиты от любого вида угроз.
»

Для небольших банков наиболее актуальные угрозы информационной безопасности – это фишинг, письма с вредоносными вложениями, а также атаки на интернет-банкинг и сайт в целом. Поэтому такой организации рекомендуются следующие услуги:

Сервисы защиты фронт-офиса, поскольку главная задача банков – работа с клиентами: WAF, UTM, Anti-DDoS. Они обеспечат как защиту внутренней инфраструктуры, так и целостность данных и надежность инструментов, которые с этими данными работают.

Защита почты (SEG).

Услуги по повышению уровня киберграмотности сотрудников (SA).

Комплекс услуг Solar MSS для ритейла

У ритейла нет жестких законодательных требований в плане ИБ, но зато есть жесткие требования к капитальным затратам и ограниченные бюджеты на непрофильную деятельность. Если это молодой растущий бизнес, то он точно не может позволить себе вложиться в дорогие решения для защиты ИТ-инфраструктуры. При этом у него есть и деньги, и персональные данные – все, что привлекает злоумышленников.

Ритейл – высококонкурентная среда, поэтому репутационные риски могут оказаться критичными для бизнеса. Известный факт – некоторые компании «заказывают» DDoS-атаки на сайты конкурентов, чтобы переманить клиентов.

Яркая особенность этого бизнеса – сезонность атак. Пики активности хакеров чаще всего приходятся на периоды распродаж и праздников. Поэтому для этих компаний критически важна возможность оперативно отключать и подключать сервисы ИБ по мере необходимости.

Еще один значимый аспект деятельности предприятий торговли – логистика и управление поставками в розничных сетях. ИТ-системы таких компаний должны обеспечивать целостность корпоративных данных, бесперебойность работы и защиту каналов связи между филиалами, работоспособность логистики и централизованного бэк-офиса, сохранность персональных данных клиентов.

Исходя из этого, компаниям торговли рекомендуются следующие сервисы:

UTM – как базовый сервис для компании, которая концентрирует свой бизнес в онлайне.

Anti-DDoS – для противодействия проискам конкурентов.

WAF. Веб-приложения онлайн-магазинов хранят персональные данные покупателей, включая данные банковских карт – это лакомый кусок для злоумышленников.

VM. Сервис контроля уязвимостей VM остро необходим именно в ритейле, потому что при создании инфраструктуры онлайн-коммерции владелец бизнеса делает много ошибок в части ИБ просто потому, что у него недостаточно компетенций в этой сфере.

«
Постепенно бизнес расширяется, появляются новые сервисы и цифровые активы, а с ними – новые риски. При этом изначально выстроенная инфраструктура не совершенствуется, и необходимо выявлять «слабые места», чтобы вовремя их закрывать, – подчеркивает Сергей Дмитриев.
»