Как развивается рынок сервисных услуг в сфере кибербезопасности (Managed Security Service Providers, MSSP)? По каким критериям заказчики выбирать сервисы безопасности из облака по модели SaaS? Что лучше — универсальный провайдер, предлагающий информационную безопасность как сопутствующую услугу в дополнение к каналу связи, или специализированный, экспертный сервис-партнёр?
- Введение
- Состояние рынка аутсорсинга в России
- Как выбрать поставщика услуг по ИБ
- Прогнозы экспертов
- Итоги эфира
- Выводы
Введение
В сегменте сервисов по информационной безопасности с прошлого года произошло множество изменений. Игрокам рынка и клиентам пришлось столкнуться с затруднениями в поставках аппаратного обеспечения, недостатком квалифицированных кадров, необходимостью замещать компетенции и другими проблемными задачами. Возможно, поэтому сервисы в ИБ сегодня растут гораздо быстрее, чем рынок в среднем. Однако насколько перспективен подход к информационной безопасности через аутсорсинг в условиях временами жёстких требований к компаниям со стороны регуляторов? Кто является основным клиентом сервис-провайдеров и как выбрать правильного поставщика таких услуг? На эти и другие вопросы попытались найти ответы ведущие эксперты рынка в рамках прямого эфира проекта AM Live.
Рисунок 1. Гости прямого эфира в студии Anti-Malware.ru
Спикеры онлайн-конференции:
- Андрей Дугин, руководитель центра сервисов кибербезопасности «МТС RED»;
- Алексей Мальнев, руководитель направления развития сервисов безопасности, «Лаборатория Касперского»;
- Алексей Павлов, директор по развитию бизнеса SOC компании «РТК-Солар»;
- Виктор Вячеславов, руководитель центра компетенций решений по кибербезопасности, УЦСБ;
- Олег Карих, заместитель руководителя технической дирекции Jet CSIRT компании «Инфосистемы Джет»;
- Иван Гузев, руководитель направления облачной безопасности компании «МегаФон»;
- Константин Анохин, директор по развитию продуктов / коммерческий директор NGENIX.
Ведущий и модератор прямого эфира — Рустэм Хайретдинов, заместитель генерального директора «Гарда Технологий».
Состояние рынка аутсорсинга в России
Что произошло на рынке за последний год
Для начала Рустэм Хайретдинов предложил гостям студии «выровнять платформу беседы» и кратко рассказать, что произошло на рынке за прошедший год. Случился ли бум продаж сервисов или же, наоборот, всплеск интереса закончился, поскольку поставки аппаратных платформ восстановлены?
Андрей Дугин:
— В прошлом году все компании ощутили себя в режиме постоянного пентеста, за счёт чего появился спрос на дополнительные экспертные сервисы. Изначально это был спрос на защиту атак из интернета, сервисы противодействия DDoS и брандмауэры веб-приложений (WAF). Позже, когда компании отбились, пошёл спрос на сервисы расследования, мониторинга (SOC) и тому подобное.
Андрей Дугин, руководитель центра сервисов кибербезопасности «МТС RED»
Виктор Вячеславов:
— Есть две тенденции, которые мы видим. В прошлом году был запрос на экспертные сервисы, в том числе расследования и помощи в борьбе с инцидентами. Далее вырос спрос на услуги мониторинга и реагирования — то, что предоставляет наш SOC, причём тенденция сохранилась и в этом году.
Алексей Павлов:
— Сначала все пытались защитить периметр. Потом люди поняли, что периметр динамически меняется, поэтому необходимо смотреть, а что там, собственно, происходит. Следующий тренд — это утечки и всё, что их касается, а также спрос на киберразведку, причём не только для банков и розницы (ретейла), но и в промышленности, энергетике, исполнительной власти.
Алексей Павлов, директор по развитию бизнеса SOC компании «РТК-Солар»
Иван Гузев:
— Тенденции, которые обозначили коллеги, совпадают с нашей действительностью. За последний год стало в разы больше обращений клиентов, их потребности меняются. Идёт упор на сетевую безопасность, востребованность экспертизы и консалтинговых услуг в целом, мониторинг и реагирование, в том числе и превентивное.
Алексей Мальнев:
— В прошлом году кардинально поменялся ландшафт атак и уровень их координации. В реализацию атак были вовлечены сотни тысяч и даже миллионы волонтёров, они стали географически специализированными, а их интенсивность возросла. В нашем случае в России был кратный рост спроса на услуги управляемой безопасности (MDR), реагирования на инциденты, расследования (форензики), оценки защищённости (Security Assessment).
Алексей Мальнев, руководитель направления развития сервисов безопасности, «Лаборатория Касперского»
Олег Карих:
— Заказчики стали более смело подходить к выбору аутсорсинговых услуг, стали лучше понимать, что такое сервис, насколько им могут помочь внешние интеграторы. Заказчики стали координировать совместную работу, более комплексно подходить к аутсорсинговым услугам и брать их «пакетами».
Константин Анохин:
— Во-первых, компании стали по-новому смотреть на веб-ресурсы. Для них основной задачей была производительность, доступность, доставка, и вдруг оказалось, что они тоже уязвимы и их надо защищать. Второй тренд — это импортозамещение. Компаниям пришлось оперативно искать аналоги западных платформ, а нам — дорабатывать свой продукт.
Константин Анохин, директор по развитию продуктов / коммерческий директор NGENIX
Роль государства в сфере аутсорсинга кибербезопасности
Помогают или мешают государственные регуляторы развитию рынка ИБ-аутсорсинга в России? Эксперты в студии не пришли к единому мнению. Кто-то однозначно положительно оценивает усилия государства, говоря о том, что оно не только напрямую предписывает компаниям улучшать защищённость информационных систем, но и косвенно повышает интерес организаций к сфере ИБ. Другие спикеры резонно отмечали, что из-за регулирования вопросов безопасности на объектах критической инфраструктуры там, например, невозможно оказывать услуги коммерческого SOC. Такие объекты должны быть изолированы, к ним невозможно получить доступ извне.
Гости студии также отметили, что, не имея возможности отдать на аутсорсинг информационную безопасность внутреннего контура КИИ, компании легче делают это для контура внешнего. По словам экспертов, на глобальном рынке в странах с высоким уровнем ИБ-зрелости компаний государство больше регулирует процесс, а в регионах с низким — стимулирует. Как бы то ни было, в России государство является источником импульса для продвижения информационной безопасности в целом. Регуляторы действительно прислушиваются ко мнению отрасли и прилагают усилия, чтобы заменить «бумажную» безопасность на реальную.
Только 8 % компаний готовы отдать на аутсорсинг всю свою информационную безопасность, кроме управления. Об этом свидетельствуют результаты проведённого нами опроса зрителей AM Live. Ещё 4 % респондентов готовы передать под крыло сервис-провайдеров только базовые средства защиты, а 29 % — те функции, где нет собственной экспертизы. Совсем неготовы отдавать ИБ внешнему подрядчику 20 % участников опроса. Затруднились ответить 39 % наших зрителей.
Рисунок 2. Насколько вы готовы к аутсорсингу ИБ по модели MSSP или SecaaS?
Глубина проникновения ИБ-сервисов
Насколько востребованны сейчас внешние сервисы кибербезопасности и насколько провайдеры ИБ-услуг готовы удовлетворить спрос со стороны клиентов? Что можно отдать на аутсорсинг и можно ли полностью доверить информационную безопасность внешнему сервису? Эксперты AM Live отметили, что передача информационной безопасности на аутсорсинг нередко вскрывает проблемы в ИТ-инфраструктуре, которые тоже зачастую удобнее закрыть услугами внешних подрядчиков, поскольку квалифицированных кадров на рынке недостаточно. Поэтому уровень проникновения аутсорсинга зависит во многом от того, как в компании выстроены ИТ-процессы.
В целом востребованность услуг по модели «безопасность как сервис» зависит в первую очередь от размеров компании. Крупные холдинги могут построить свой SOC, который будет обслуживать всю распределённую структуру, состоящую из десятков организаций. Малый и средний бизнес таких средств не имеет, ему выгоднее получить информационную безопасность «под ключ» от специализированного провайдера.
Второй фактор, который необходимо учитывать, — это отраслевая принадлежность. Промышленные и добывающие компании чаще всего опираются на собственную службу ИБ, а вот ретейл и банки готовы глубже интегрировать в свою структуру сервисы кибербеза. При этом компании требуют от провайдеров прозрачности и доказательств того, что те в состоянии обеспечить защиту передаваемых им данных. В ряде случаев в договорах прописывается право заказчика провести аудит подрядчика.
Как показал проведённый нами опрос, для большинства зрителей прямого эфира (34 %) наиболее предпочтительной является модель MSSP. Предпочитают аренду облачного кибербеза по подписке 9 %, а 8 % достаточно привлечения внешнего персонала (аутстафинга). Ещё 6 % участников опроса устраивает обслуживание их СЗИ силами партнёра. Считают аутсорсинг ИБ злом 17 % респондентов. Затруднились дать ответ 26 % опрошенных.
Рисунок 3. Какая модель аутсорсинга вам больше подходит?
Как выбрать поставщика услуг по ИБ
Почему заказчики идут в аутсорсинг кибербезопасности
Вторая часть дискуссии была посвящена практическим вопросам выбора провайдера. Отвечая на вопрос Рустэма Хайретдинова, почему заказчики выбирают именно их компанию, спикеры AM Live рассказали, что во взаимоотношениях клиента и провайдера очень важно доверие. Чтобы его укрепить, компании наших экспертов зачастую оказывают клиенту больше услуг, чем от них ожидают, и никогда не отказывают организациям находящимся под атакой, даже если те ещё не заплатили им деньги. Кроме этого, важное значение, по мнению экспертов, имеют такие факторы, как скорость реакции провайдера, гарантированный уровень качества услуг, чувство защищённости в формате 24×7, а также профессионализм сервис-менеджера, отвечающего за коммуникации с заказчиком.
Рустэм Хайретдинов, заместитель генерального директора «Гарда Технологий»
Если потенциальный заказчик ещё не пользовался услугами ИБ-провайдеров, то имеет смысл начать знакомство с отдельных, атомарных сервисов — например, связанных с обнаружением угроз или тестированием на проникновение. Они сразу дадут видимый результат, в то время как эффект от внешнего SOC может быть заметен только через несколько месяцев после начала эксплуатации. Эксперты также посоветовали «начинающим» заказчикам проанализировать, какие услуги в сфере ИБ они уже используют. Чаще всего выяснится, что на канале провайдера уже работают защита от DDoS, обновление антивируса и другие услуги. Такой анализ поможет преодолеть первоначальную настороженность.
Универсальные и специализированные провайдеры
В студии Anti-Malware.ru в этот раз собрались представители как универсальных провайдеров, предоставляющих широкий спектр услуг, так и эксперты из тех компаний, которые специализируются предметно на сервисах кибербеза. Какие преимущества получает клиент при работе с одними и другими?
Как пояснили наши эксперты, на стороне универсальных провайдеров — следующие плюсы:
- Услуги по безопасности, привязанные к каналу передачи данных.
- Комплексный подход — все услуги «в одном флаконе».
- Практически неограниченные возможности масштабирования.
- Собственные ЦОДы и специалисты во всех регионах присутствия.
- Более удобное подключение некоторых сервисов по ИБ как дополнительной услуги к каналу.
Специализированные провайдеры могут зачислить себе в достоинства:
- Сфокусированность на информационной безопасности.
- Собственные уникальные технологии защиты.
- Гибкие возможности индивидуализации под запросы клиента.
- Более высокий уровень экспертности за счёт специализации.
SLA и ответственность провайдера
Важная тема, которую затронули участники дискуссии, — это степень ответственности провайдера в случае пропуска инцидента, а также важность соблюдения указанных в договоре показателей по качеству (Service Level Agreement, SLA). Гости студии отметили, что стопроцентного охвата в сфере информационной безопасности не может обеспечить ни один даже самый крупный провайдер, не говоря уже о собственной ИБ-службе компании. Даже при уровне 99,999 % всегда остаются какие-то доли процента, которыми могут воспользоваться злоумышленники.
Сервис-провайдеры чаще всего несут ответственность за соблюдение SLA и недопущение инцидентов на уровне стоимости контракта. Как пояснили спикеры AM Live, ни один поставщик услуг не пойдёт на ответственность в размере реальных убытков или оборотного штрафа. Для хеджирования таких рисков клиенту необходимо привлекать страховую компанию. Эксперты также отметили, что никакой провайдер не будет гарантировать отсутствия какой-то атаки. Он должен гарантировать как раз тот самый SLA по реагированию, а также допустимый уровень ложных срабатываний. Основную ценность услуг сервис-провайдера клиенты видят не в стопроцентной защите, а в уверенности, что им помогут.
Важно, что контракты с ИБ-провайдерами предполагают какую-то ответственность и соблюдение SLA, в то время как ответственность внутреннего SOC или службы ИБ обычно никак не определена. Максимальная компенсация за ущерб — скорее символическая: увольнение провинившегося сотрудника. При этом лишь единицы внутренних SOC могут обеспечить такую же скорость реагирования, как внешние.
Как выяснилось, ровно четверти потенциальных клиентов не нравится уровень ответственности поставщиков ИБ-услуг. Такие результаты принёс проведённый нами опрос зрителей прямого эфира AM Live. Ещё 14 % отпугивает высокая стоимость, а 11 % респондентов просто не доверяют аутсорсингу. Не могут использовать аутсорсинг ИБ из-за требований регуляторов 4 % опрошенных, а отметили все вышеперечисленные причины 18 %. Тем не менее 28 % зрителей онлайн-конференции не видят препятствий для использования услуг внешнего подрядчика в ИБ, ничто не останавливает их от применения аутсорсинговой модели.
Рисунок 4. Что останавливает вас от использования аутсорсинга ИБ?
Как организовано взаимодействие команд провайдера и заказчика
В завершение второго блока дискуссии ведущий попросил экспертов пояснить, как строится совместная работа команд заказчика и провайдера. Кто является руководителем и принимает решения, какие есть особенности коммуникаций между специалистами? Спикеры рассказали, что наилучшего эффекта можно достичь, когда услуга представляет ценность и важна как для заказчика, так и для подрядчика.
Ведущей стороной проекта определённо должен быть провайдер. Именно его менеджер организовывает взаимодействие со спонсорами, ответственными лицами, функциональными командами. Сами функциональные команды могут иметь матричную структуру и состоять из представителей как заказчика, так и исполнителя. Желательно как можно чаще проводить собрания, чтобы обсуждать ход работ и фиксировать этапы проекта.
По мнению гостей студии, на уровень коммуникации с заказчиком влияют два основных фактора. Первое — это наличие коммуникабельного, проактивного менеджера у сервис-провайдера. Второе — наличие внешней угрозы, потому что каким бы коммуникабельным ни был представитель исполнителя, в отсутствие реальных потребностей сервис не будет вызывать интереса у заказчика.
Прогнозы экспертов
В конце дискуссии ведущий предложил спикерам AM Live поделиться своим видением будущего для рынка сервисов кибербезопасности в России.
Константин Анохин:
— В сегменте информационной безопасности, связанном с веб-ресурсами, может произойти распределение функции ИБ-экспертизы внутри команды инженеров и системных администраторов. Заказчик будет меняться, обретать больше экспертизы и выбирать аутсорсинг с позиции «я в этом всё понимаю, но не хочу этим заниматься».
Олег Карих:
— Со временем станет устоявшимся правилом передавать те или иные функции на аутсорсинг, так же как ранее все использовали локальную защиту от DDoS, а сейчас все предпочитают пользоваться услугой, поскольку так проще и дешевле. Рынок будет зреть, расти, и к аутсорсингу придут по многим функциям, которые сейчас считаются только внутренними (in-house).
Олег Карих, заместитель руководителя технической дирекции Jet CSIRT компании «Инфосистемы Джет»
Алексей Мальнев:
— В краткосрочном периоде влияние технологии, как правило, преувеличивают, а в долгосрочном — недооценивают. Есть исследования, которые говорят о том, что постепенно мы придём на 90 % к аутсорсингу. Но это будут гибридные схемы, которые уже сейчас стимулируют, чтобы сервис-провайдеры становились вендорами, а вендоры — сервис-провайдерами.
Иван Гузев:
— У меня довольно стабильный прогноз на будущее: атаки будут продолжаться, стоимость — уменьшаться, а облачные сервисы — активно развиваться. Мы видим, что некоторые отраслевые регуляторы начали обращать внимание на аутсорсинг и возможность его использования в подконтрольных организациях; думаю, это тоже будет некоторым стимулом.
Иван Гузев, руководитель направления облачной безопасности компании «МегаФон»
Алексей Павлов:
— Компании будут больше вкладывать в капитальные расходы (CapEx), поскольку сервис хорош, когда у тебя прогнозируемое будущее и ты сможешь каждый год находить деньги на него. Будут развиваться гибридные сервисы, когда софт и «железо» принадлежат компании, а команда — наёмная, со стороны сервис-провайдера. Полный аутсорсинг с «железом» и софтом — скорее нет.
Виктор Вячеславов:
— Будет рост аутсорсинга в среднем сегменте: компании, которые, с одной стороны, понимают, что являются потенциальной мишенью атаки, а с другой стороны, имеют недостаток денег и пытаются сэкономить. Второй тренд — это импортозамещение. У нас будет всё больше российских продуктов, в том числе и по аутсорсингу.
Виктор Вячеславов, руководитель центра компетенций решений по кибербезопасности, УЦСБ
Андрей Дугин:
— Я вижу вариант движения высококвалифицированного персонала в сторону сервис-провайдера. Даже если какой-то клиент имеет возможность создать свою службу ИБ, нанять фокусных специалистов и нормально им платить, их ещё нужно занять интересной работой. У заказчика нет задач, которые позволят специалисту реализовать свой потенциал.
Итоги эфира
Финальный опрос зрителей AM Live на тему «Каково ваше мнение относительно аутсорсинга ИБ после эфира?» принёс следующие результаты. Почти треть респондентов (32 %) считают тему интересной, но пока не готовы к практическому её применению. Заинтересовались и готовы тестировать работу с сервис-провайдерами 27 % опрошенных, а 23 % будут активнее использовать аутсорсинг ИБ. По мнению 14 % участников опроса, гости студии не смогли показать актуальность темы. Вообще не поняли, о чём шла речь, 4 % зрителей.
Рисунок 5. Каково ваше мнение относительно аутсорсинга ИБ после эфира?
Выводы
Недостаток квалифицированных специалистов является одним из ключевых факторов развития рынка аутсорсинга ИБ. Далеко не все клиенты имеют возможность привлечь необходимую экспертизу — зачастую гораздо удобнее и дешевле отдать часть кибербезопасности компании сервисному провайдеру, тем более что такие услуги, как защита от DDoS и антивирус, уже давно можно легко получить вместе с каналом передачи данных. Сдерживающим фактором для рынка может стать активность регуляторов, которые в ряде случаев запрещают «открывать» внутренний контур безопасности, что делает невозможным использование облачных услуг.
В России сформировался вполне развитой рынок услуг ИБ по сервисной модели. Заказчики могут выбирать между универсальными, многопрофильными провайдерами и специализирующимися исключительно на кибербезопасности, относительно небольшими сервис-партнёрами. И те и другие имеют свои преимущества; клиент может сформировать предпочтения исходя из своих масштабов, отраслевой специфики и собственных целей в сфере информационной безопасности.
Проект AM Live продолжает свою работу. Впереди нас ждут ещё множество дискуссий с ведущими экспертами рынка на самые злободневные для российской кибербезопасности темы. Чтобы не пропускать свежие эпизоды онлайн-конференции, обязательно подпишитесь на YouTube-канал проекта. До встречи в эфире!
