Перейти к содержанию

Recommended Posts

Сергей404

На западных форумах по безопасности все чаще пишут про MSSP (managed security service provider). В России об этом не говорят. Да и в западном сегменте интенета крайне мало информации, например статья на вики http://en.wikipedia.org/wiki/Managed_Secur...ervice_Provider не раскрывает идею. Хотелось бы разобтаться что это такое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Хотелось бы разобтаться что это такое?
Six Categories of Managed Security Services

On-site consulting

Remote perimeter management

Product resale

Clearly not a managed service by itself, product resale is a major revenue generator for many MSS providers. This category provides value-added hardware and software for a variety of security-related tasks.

Managed security monitoring

Penetration and vulnerability testing

Compliance monitoring

Насколько понимаю, у нас это назвается "системный интегратор", который занимается решениями в области информационной безопасности, ну, в несколько расширенном варианте :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей404, все довольно просто, попробую объяснить покороче.

Managed Security Service Provider - это компании которые продают безопасность как сервис. Как это на практике работает? Очень просто. Покажу на примере антивирусов.

В классической модели вам нужно купить софт "в коробке", поставить на свой компьютер или в своей сети, настроить администрирование и отчетность. Далее вам нужно будет постоянно заботиться о корректной работе антивирусной защите, т.е. будет некоторая стоимость владения.

В случае MSSP все иначе. "В облако" выносится консоль управления антивирусной защитой, появляется возможность удаленного мониторинга состоянии защиты, получения отчетности и т.п. Таким образом, администратор компании-аутсорсера может удаленность руководить антивирусной защитой многих многих клиентов. Они все будут подключены к его консоли и будут управляться удаленно.

Примеры:

Trend Micro Managed Service Provider Solutions - целая комплексная платформа

Trend Micro Email Security Platform for Service Provider

Trend Micro Worry-Free Business Security Service (для малого бизнеса)

Symantec Managed Endpoint Protection

MSSP также актуальна для провайдеров (ISP), а также других xSP. Они точно по той же схеме могут поставить у себя консоль и сервер администрирования и рулить защитой персональных комьютеров клентов в своей сети.

Например, по этой модели работает:

DrWeb AV-Desk

Trend Micro Endpoint Security Solutions offer Service Provider

Ну и наиболее привычная и популярная составляющая MSSP - это аутсорс фильтрации трафика (антивирус, антиспам, веб-фильтрация). Здесь достаточно много сервисов. Суть проста - вы перенаправляете свой трафик на сервера провайдера, а получаете обратно чистый. Наиболее известный здесь сервис - Symantec Cloud (за основу был взят бывший MessageLabs). Также есть Kaspersky Hosted Security, Postini http://www.google.com/postini/ и т.д. Здесь выбор довольно большой.

С другими услугами по безопасности принцип такой же. Даже уже поговаривают все активнее о DLP как сервисе.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот

Сергей.

Из Вашего примера выходит так, что все что предполагается как сервис в MSSP это фильтрация трафика и антивирусная защита, но безопасность на серьёзном уровне не ограничивается этими двумя, весьма простыми вещами.

Все же MSSP комплексом услуг который обеспечивает и высокую степень безопасности и низкую стоимость владения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Например, по этой модели работает:

DrWeb AV-Desk

Trend Micro Endpoint Security Solutions offer Service Provider

Да, и уязвимость ПРИВАТНОСТИ конечного пользователя этой модели очень высока. Например, посмотрев логи на сервере AV Desk/TM EPS offer SP, его админ может не копаться в серверных логах, чтобы слить инфу налево. Вообще, это противоречит ФЗ-152, т.к. по сути начинает представлять spyware-сервис администраторам сети. Хотя я бы уточнил, к

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
petr

Полагаю, надо уточнить один момент в комментарии Виталия.

При использовании подобных сервисов на базе ISP среди частных клиентов и не только. Такая услуга должна идти по отдельному соглашению, в котором клиент доверяет подобное вмешательство на своих ПК. А сейчас получается так - клиент покупает как бы антивирус, и не догадывается, что его антивирус подконтролен извне. Вот здесь и есть проблема.

То есть в случае просто предоставления антивируса в аренду - текущая практика годится, а когда антивирус на ПК управляется без ведома и разрешения пользователя - тут возможна проблема легальности таких действий. О чем мне кажется, не подозревают ни ISP, ни их пользователи.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей.

Из Вашего примера выходит так, что все что предполагается как сервис в MSSP это фильтрация трафика и антивирусная защита, но безопасность на серьёзном уровне не ограничивается этими двумя, весьма простыми вещами.

Все же MSSP комплексом услуг который обеспечивает и высокую степень безопасности и низкую стоимость владения.

По сути дела да, так оно и есть. Все остальное пока - это попытки применять модель на другие сегменты рынка, массовыми их никак не назовешь.

Считаете иначе - приведите примеры, будет интересно обсудить.

При использовании подобных сервисов на базе ISP среди частных клиентов и не только. Такая услуга должна идти по отдельному соглашению, в котором клиент доверяет подобное вмешательство на своих ПК. А сейчас получается так - клиент покупает как бы антивирус, и не догадывается, что его антивирус подконтролен извне. Вот здесь и есть проблема.

Согласен, об этом никто толком не говорит, а клиенты сервисов могут и не догадываться об этом.

Тут стоит отметить, что приватной - это всегда была обратная сторона MSSP. Отдавая информацию кому-то "в облако" вы всегда рискуете. Этот факт многих тормозит сейчас и сдерживает рост рынка. Риски нужно осознавать и они должны регламентироваться SLA по крайней мере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

во всяком случае, для сервис провайдеров платежных систем существует сертификация. 4 уровня и достаточно сложный аудит для первых 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Отдавая информацию кому-то "в облако" вы всегда рискуете.

Ну, это не есть "облако". Не нужно подменять понятия, а то вся аренда софта как подвид его удобного лицензирования без передачи на баланс неожиданно окажется "облачной" или SaaS :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей404
Цитата(БелыйКот @ 09.04.2012, 10:15) *

Сергей.

Из Вашего примера выходит так, что все что предполагается как сервис в MSSP это фильтрация трафика и антивирусная защита, но безопасность на серьёзном уровне не ограничивается этими двумя, весьма простыми вещами.

Все же MSSP комплексом услуг который обеспечивает и высокую степень безопасности и низкую стоимость владения.

По сути дела да, так оно и есть. Все остальное пока - это попытки применять модель на другие сегменты рынка, массовыми их никак не назовешь.

Гугл выдает единственный проработанный материал по MSSP про VPN http://www.slideshare.net/LetaIT/mssp-vpn . Очевидно ISP здесь должен быть какой-нибудь Ростелеком, МТС и т.п.

Кто-нибудь в курсе, есть ли провайдеры, предоставляющие услуги безопасности в части VPN, или это пока только идея?

Отредактировал Сергей404

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Гугл выдает единственный проработанный материал по MSSP про VPN http://www.slideshare.net/LetaIT/mssp-vpn . Очевидно ISP здесь должен быть какой-нибудь Ростелеком, МТС и т.п.

В этой презентации Михаил Романов из StoneSoft все очень правильно рассказал по MSSP. Буквально третий слайд дает картину что есть на этом рынке. Услуги предоставления VPN или других услуг так или иначе связанных с шифрованием упираются в регуляторов, сертификацию, а значит алгоритм шифрования ГОСТ. А теперь вопрос, у кого это есть? :) Как следует из презентации у StoneGate сертифицирован и его SSL VPN умеет работать с отечественными криптопровайдерами, а значит его как раз можно рассматривать как вариант для развертывания услуг на стороне ISP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Услуги предоставления VPN или других услуг так или иначе связанных с шифрованием упираются в регуляторов, сертификацию, а значит алгоритм шифрования ГОСТ.

А если в Dr.Web AV-Desk щифрование трафика между сервером и клиентами идёт по ГОСТ, то это не то же самое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот

Тут вообще вопрос готовности клиента доверять провайдеру будь то предоставляющего сервисы ISP или реализовавшему в полной мере концепцию MSSP.

На практике то получается что вопрос передачи прав как то умалчивается. Тут нужен четкий критерий передачи вместе с правами управления и передача ответственности на нарушение безопасности и последствий по инцидентам.

Ну, это не есть "облако". Не нужно подменять понятия, а то вся аренда софта как подвид его удобного лицензирования без передачи на баланс неожиданно окажется "облачной" или SaaS :)

А в чем подмена?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Тут вообще вопрос готовности клиента доверять провайдеру будь то предоставляющего сервисы ISP или реализовавшему в полной мере концепцию MSSP.

На практике то получается что вопрос передачи прав как то умалчивается. Тут нужен четкий критерий передачи вместе с правами управления и передача ответственности на нарушение безопасности и последствий по инцидентам.

Поэтому в этом случае необходим аудит безопасности таких провайдеров. Например, репозитории данных Qualys регулярно подвергаются таким аудитам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот
Поэтому в этом случае необходим аудит безопасности таких провайдеров. Например, репозитории данных Qualys регулярно подвергаются таким аудитам

Тут больше вопрос не в регулярности и в прохождении аудита, а в ответственности которую на себя возьмет оператор.

На сколько я понимаю Qualys предоставляет saas решение по безопасности, а это все же совсем с другой стороны от концепции MSSP стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Remote perimeter management

Это как раз одно из основных направлений MSSP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А в чем подмена?

Реальный SaaS (а не продажа подписки на коробочный софт через веб-примочку с сервера провайдера) - это исключительно веб-приложения (браузерные или со своими клиентами - не суть). SaaS не обязан вообще иметь клиентский агент для устройств - весь сервис работает "в облаке" (в частном или публичном, не суть важно).

Скажем так: если отрезать серверную часть Dr. Web AV Desk/Outpost AV Service от клиентского агента, то предоставление подписки через него можно рассматривать как SaaS (модное словечко), чем пользуются маркетологи. Но где антивирусы, а где "облака", их обслуживающие - дистанция огромная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот
Remote perimeter management

Это как раз одно из основных направлений MSSP

alexgr Вы правы. Если рассматривать комплексную реализацию MSSP, согласно тому что предлагает Stonesoft, то некая часть действительно реализуется как SaaS.

Однако, хочется заметить что ограничится только этим не удастся и на сторону клиента все одно нужно идти и использовать не только облачную технологию, но и организацию средств безопасности на месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот

Судя по всему сейчас на рынке у нас нет провайдеров, которые реализовали концепцию MSSP в полном, или частичном виде.

Или может кто знает таких?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Судя по всему сейчас на рынке у нас нет провайдеров, которые реализовали концепцию MSSP в полном, или частичном виде.

Или может кто знает таких?

Да какой там. У нас IPS даже защиту от DDoS не могут клиентам предоставить ... вот конкретный пример у нас вчера был буквально. Зенон просто развел руками, решайте мол сами как-то эту проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот
Да какой там. У нас IPS даже защиту от DDoS не могут клиентам предоставить ... вот конкретный пример у нас вчера был буквально. Зенон просто развел руками, решайте мол сами как-то эту проблему.

Это как то плохо. Спрос то со стороны рынка есть и решения достойные есть. Тот же Stonesoft озвученный раннее, имеет достаточно много проработанных решений + подтверждение сертификации этого оборудования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

В чистом виде как за рубежом у нас MSSP нет, но спрос рождает предложение. Большинство MSSP зарубежом выросли из антивирусных вендоров (Symantec), исследовательских компаний занимающихся ИБ (SecureWorks) или ИТ интеграторов (CSC). Главное, как я понимаю, что MSSP не будет нести никакой прямой отвественности в случае компрометации данных, т.е. все проблемы будут на стороне заказчика. Хотя тот же Symantec обещают возврат денег что в случае компрометации системы в результате вредоносного заражения на которой стоял SEP. Надо понимать что MSSP не смогут предпринимать активных действий, например: блокировать трафик, убивать процесс, т.к. в виду патологического непонимания внутренних процессов заказчика смогут только эффективно проинформировать. Как правило, MSSP оправдывают себя в качестве комплаенс и требований мониторинга ИБ в режиме 24Х7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сервисная модель - это аутсорсинг тех или иных функций, в данном случае это аутсорсинг функция информационной безопасности. Для клиента всегда выгоднее в финансовом плане отдать непрофильные затраты на сторону. Так лучше контроль за качеством услуг (можно менять провайдера, устраивать тендер, прогибать по цене и перечню услуг), всегда есть с кого спросить. Проще по финансам (не нужно ставить на баланс ПО, сервера, нанимать сотрудников, платить им за больничные, отпуска и т.п.), ничего не идет в CAPEX.

Но есть еще я прямая финансовая выгода в расчете на год-два. Например, Если вы покупаете лицензию на софт и железо, то затраты в впервые пару лет будут заметно выше, чем в случае сервиса. А вот дальше, как правильно свое будет дешевле. Поэтому в краткосрочной перспективе всегда выгоднее отдать на аутсорс. Безопасность тут не исключение. Но, так как у нас все так быстро меняется в ИТ, то вовсе не факт, что через 2 года вы не понесете на помойку свое ПО и железо. А провайдер услуг сам все обновляет, рассчитывает, это его риски.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

Согласен с Сергеем, что если для компании ИБ непрофильный актив, а для большинства компаний это именно так и обстоит, стоит об этом подумать.

Вот насчет прогибать MSSP дело не благодарное и малоперспективное, т.к. контракт обычно заключается сначала на 1 год (в течение года только "вылизывается" SLA), а затем заказчик уже "попал" -- он вложил время и ресурсы в налаживание взаимодействия, выстроил первичные процессы, строит новые системы с прицелом на MSSP ... Это навсегда: своих специалистов уже нет, а новых никто не даст набрать.

Придя к аутсорсеру всегда стоит поинтересоваться какой порядок прекращения договора. Самое интересное наступает здесь: журналы событий систем информационной безопасности не получить назад, как правило вообще, т.к. они хранятся в проприетарных системах аутсорсера и не предоставляются заказчику. Это как с мед страховкой: если у вас закончился полис, то выписку из медицинской карты не получить.

Стоит учитывать что в России специалистов (экспертов) по ИБ по тем же DLP, SIEM, а уж тем более по глубокому анализу тех или иных событий ИБ трудно найти в достаточном количестве в стенах наших интеграторов.

Получается что в пересчете на 10 заказчиков у них будет при хорошем раскладе 1 эксперт FTE и как он такой сможет адекватно управиться с трудными случаями (инцидентами).

Более честную позицию занимают зарубежные MSSP. Нашим пока интеграторам денегmub получить, а как это работает уже дело заказчика.

Попробовать всегда можно :), но с оглядкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×