Перейти к содержанию

Recommended Posts

Сергей404

На западных форумах по безопасности все чаще пишут про MSSP (managed security service provider). В России об этом не говорят. Да и в западном сегменте интенета крайне мало информации, например статья на вики http://en.wikipedia.org/wiki/Managed_Secur...ervice_Provider не раскрывает идею. Хотелось бы разобтаться что это такое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Хотелось бы разобтаться что это такое?
Six Categories of Managed Security Services

On-site consulting

Remote perimeter management

Product resale

Clearly not a managed service by itself, product resale is a major revenue generator for many MSS providers. This category provides value-added hardware and software for a variety of security-related tasks.

Managed security monitoring

Penetration and vulnerability testing

Compliance monitoring

Насколько понимаю, у нас это назвается "системный интегратор", который занимается решениями в области информационной безопасности, ну, в несколько расширенном варианте :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сергей404, все довольно просто, попробую объяснить покороче.

Managed Security Service Provider - это компании которые продают безопасность как сервис. Как это на практике работает? Очень просто. Покажу на примере антивирусов.

В классической модели вам нужно купить софт "в коробке", поставить на свой компьютер или в своей сети, настроить администрирование и отчетность. Далее вам нужно будет постоянно заботиться о корректной работе антивирусной защите, т.е. будет некоторая стоимость владения.

В случае MSSP все иначе. "В облако" выносится консоль управления антивирусной защитой, появляется возможность удаленного мониторинга состоянии защиты, получения отчетности и т.п. Таким образом, администратор компании-аутсорсера может удаленность руководить антивирусной защитой многих многих клиентов. Они все будут подключены к его консоли и будут управляться удаленно.

Примеры:

Trend Micro Managed Service Provider Solutions - целая комплексная платформа

Trend Micro Email Security Platform for Service Provider

Trend Micro Worry-Free Business Security Service (для малого бизнеса)

Symantec Managed Endpoint Protection

MSSP также актуальна для провайдеров (ISP), а также других xSP. Они точно по той же схеме могут поставить у себя консоль и сервер администрирования и рулить защитой персональных комьютеров клентов в своей сети.

Например, по этой модели работает:

DrWeb AV-Desk

Trend Micro Endpoint Security Solutions offer Service Provider

Ну и наиболее привычная и популярная составляющая MSSP - это аутсорс фильтрации трафика (антивирус, антиспам, веб-фильтрация). Здесь достаточно много сервисов. Суть проста - вы перенаправляете свой трафик на сервера провайдера, а получаете обратно чистый. Наиболее известный здесь сервис - Symantec Cloud (за основу был взят бывший MessageLabs). Также есть Kaspersky Hosted Security, Postini http://www.google.com/postini/ и т.д. Здесь выбор довольно большой.

С другими услугами по безопасности принцип такой же. Даже уже поговаривают все активнее о DLP как сервисе.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот

Сергей.

Из Вашего примера выходит так, что все что предполагается как сервис в MSSP это фильтрация трафика и антивирусная защита, но безопасность на серьёзном уровне не ограничивается этими двумя, весьма простыми вещами.

Все же MSSP комплексом услуг который обеспечивает и высокую степень безопасности и низкую стоимость владения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Например, по этой модели работает:

DrWeb AV-Desk

Trend Micro Endpoint Security Solutions offer Service Provider

Да, и уязвимость ПРИВАТНОСТИ конечного пользователя этой модели очень высока. Например, посмотрев логи на сервере AV Desk/TM EPS offer SP, его админ может не копаться в серверных логах, чтобы слить инфу налево. Вообще, это противоречит ФЗ-152, т.к. по сути начинает представлять spyware-сервис администраторам сети. Хотя я бы уточнил, к

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
petr

Полагаю, надо уточнить один момент в комментарии Виталия.

При использовании подобных сервисов на базе ISP среди частных клиентов и не только. Такая услуга должна идти по отдельному соглашению, в котором клиент доверяет подобное вмешательство на своих ПК. А сейчас получается так - клиент покупает как бы антивирус, и не догадывается, что его антивирус подконтролен извне. Вот здесь и есть проблема.

То есть в случае просто предоставления антивируса в аренду - текущая практика годится, а когда антивирус на ПК управляется без ведома и разрешения пользователя - тут возможна проблема легальности таких действий. О чем мне кажется, не подозревают ни ISP, ни их пользователи.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Сергей.

Из Вашего примера выходит так, что все что предполагается как сервис в MSSP это фильтрация трафика и антивирусная защита, но безопасность на серьёзном уровне не ограничивается этими двумя, весьма простыми вещами.

Все же MSSP комплексом услуг который обеспечивает и высокую степень безопасности и низкую стоимость владения.

По сути дела да, так оно и есть. Все остальное пока - это попытки применять модель на другие сегменты рынка, массовыми их никак не назовешь.

Считаете иначе - приведите примеры, будет интересно обсудить.

При использовании подобных сервисов на базе ISP среди частных клиентов и не только. Такая услуга должна идти по отдельному соглашению, в котором клиент доверяет подобное вмешательство на своих ПК. А сейчас получается так - клиент покупает как бы антивирус, и не догадывается, что его антивирус подконтролен извне. Вот здесь и есть проблема.

Согласен, об этом никто толком не говорит, а клиенты сервисов могут и не догадываться об этом.

Тут стоит отметить, что приватной - это всегда была обратная сторона MSSP. Отдавая информацию кому-то "в облако" вы всегда рискуете. Этот факт многих тормозит сейчас и сдерживает рост рынка. Риски нужно осознавать и они должны регламентироваться SLA по крайней мере.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

во всяком случае, для сервис провайдеров платежных систем существует сертификация. 4 уровня и достаточно сложный аудит для первых 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
Отдавая информацию кому-то "в облако" вы всегда рискуете.

Ну, это не есть "облако". Не нужно подменять понятия, а то вся аренда софта как подвид его удобного лицензирования без передачи на баланс неожиданно окажется "облачной" или SaaS :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей404
Цитата(БелыйКот @ 09.04.2012, 10:15) *

Сергей.

Из Вашего примера выходит так, что все что предполагается как сервис в MSSP это фильтрация трафика и антивирусная защита, но безопасность на серьёзном уровне не ограничивается этими двумя, весьма простыми вещами.

Все же MSSP комплексом услуг который обеспечивает и высокую степень безопасности и низкую стоимость владения.

По сути дела да, так оно и есть. Все остальное пока - это попытки применять модель на другие сегменты рынка, массовыми их никак не назовешь.

Гугл выдает единственный проработанный материал по MSSP про VPN http://www.slideshare.net/LetaIT/mssp-vpn . Очевидно ISP здесь должен быть какой-нибудь Ростелеком, МТС и т.п.

Кто-нибудь в курсе, есть ли провайдеры, предоставляющие услуги безопасности в части VPN, или это пока только идея?

Отредактировал Сергей404

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Гугл выдает единственный проработанный материал по MSSP про VPN http://www.slideshare.net/LetaIT/mssp-vpn . Очевидно ISP здесь должен быть какой-нибудь Ростелеком, МТС и т.п.

В этой презентации Михаил Романов из StoneSoft все очень правильно рассказал по MSSP. Буквально третий слайд дает картину что есть на этом рынке. Услуги предоставления VPN или других услуг так или иначе связанных с шифрованием упираются в регуляторов, сертификацию, а значит алгоритм шифрования ГОСТ. А теперь вопрос, у кого это есть? :) Как следует из презентации у StoneGate сертифицирован и его SSL VPN умеет работать с отечественными криптопровайдерами, а значит его как раз можно рассматривать как вариант для развертывания услуг на стороне ISP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Услуги предоставления VPN или других услуг так или иначе связанных с шифрованием упираются в регуляторов, сертификацию, а значит алгоритм шифрования ГОСТ.

А если в Dr.Web AV-Desk щифрование трафика между сервером и клиентами идёт по ГОСТ, то это не то же самое?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот

Тут вообще вопрос готовности клиента доверять провайдеру будь то предоставляющего сервисы ISP или реализовавшему в полной мере концепцию MSSP.

На практике то получается что вопрос передачи прав как то умалчивается. Тут нужен четкий критерий передачи вместе с правами управления и передача ответственности на нарушение безопасности и последствий по инцидентам.

Ну, это не есть "облако". Не нужно подменять понятия, а то вся аренда софта как подвид его удобного лицензирования без передачи на баланс неожиданно окажется "облачной" или SaaS :)

А в чем подмена?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Тут вообще вопрос готовности клиента доверять провайдеру будь то предоставляющего сервисы ISP или реализовавшему в полной мере концепцию MSSP.

На практике то получается что вопрос передачи прав как то умалчивается. Тут нужен четкий критерий передачи вместе с правами управления и передача ответственности на нарушение безопасности и последствий по инцидентам.

Поэтому в этом случае необходим аудит безопасности таких провайдеров. Например, репозитории данных Qualys регулярно подвергаются таким аудитам

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот
Поэтому в этом случае необходим аудит безопасности таких провайдеров. Например, репозитории данных Qualys регулярно подвергаются таким аудитам

Тут больше вопрос не в регулярности и в прохождении аудита, а в ответственности которую на себя возьмет оператор.

На сколько я понимаю Qualys предоставляет saas решение по безопасности, а это все же совсем с другой стороны от концепции MSSP стоит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

Remote perimeter management

Это как раз одно из основных направлений MSSP

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
А в чем подмена?

Реальный SaaS (а не продажа подписки на коробочный софт через веб-примочку с сервера провайдера) - это исключительно веб-приложения (браузерные или со своими клиентами - не суть). SaaS не обязан вообще иметь клиентский агент для устройств - весь сервис работает "в облаке" (в частном или публичном, не суть важно).

Скажем так: если отрезать серверную часть Dr. Web AV Desk/Outpost AV Service от клиентского агента, то предоставление подписки через него можно рассматривать как SaaS (модное словечко), чем пользуются маркетологи. Но где антивирусы, а где "облака", их обслуживающие - дистанция огромная.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот
Remote perimeter management

Это как раз одно из основных направлений MSSP

alexgr Вы правы. Если рассматривать комплексную реализацию MSSP, согласно тому что предлагает Stonesoft, то некая часть действительно реализуется как SaaS.

Однако, хочется заметить что ограничится только этим не удастся и на сторону клиента все одно нужно идти и использовать не только облачную технологию, но и организацию средств безопасности на месте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот

Судя по всему сейчас на рынке у нас нет провайдеров, которые реализовали концепцию MSSP в полном, или частичном виде.

Или может кто знает таких?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Судя по всему сейчас на рынке у нас нет провайдеров, которые реализовали концепцию MSSP в полном, или частичном виде.

Или может кто знает таких?

Да какой там. У нас IPS даже защиту от DDoS не могут клиентам предоставить ... вот конкретный пример у нас вчера был буквально. Зенон просто развел руками, решайте мол сами как-то эту проблему.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
БелыйКот
Да какой там. У нас IPS даже защиту от DDoS не могут клиентам предоставить ... вот конкретный пример у нас вчера был буквально. Зенон просто развел руками, решайте мол сами как-то эту проблему.

Это как то плохо. Спрос то со стороны рынка есть и решения достойные есть. Тот же Stonesoft озвученный раннее, имеет достаточно много проработанных решений + подтверждение сертификации этого оборудования.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

В чистом виде как за рубежом у нас MSSP нет, но спрос рождает предложение. Большинство MSSP зарубежом выросли из антивирусных вендоров (Symantec), исследовательских компаний занимающихся ИБ (SecureWorks) или ИТ интеграторов (CSC). Главное, как я понимаю, что MSSP не будет нести никакой прямой отвественности в случае компрометации данных, т.е. все проблемы будут на стороне заказчика. Хотя тот же Symantec обещают возврат денег что в случае компрометации системы в результате вредоносного заражения на которой стоял SEP. Надо понимать что MSSP не смогут предпринимать активных действий, например: блокировать трафик, убивать процесс, т.к. в виду патологического непонимания внутренних процессов заказчика смогут только эффективно проинформировать. Как правило, MSSP оправдывают себя в качестве комплаенс и требований мониторинга ИБ в режиме 24Х7.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сервисная модель - это аутсорсинг тех или иных функций, в данном случае это аутсорсинг функция информационной безопасности. Для клиента всегда выгоднее в финансовом плане отдать непрофильные затраты на сторону. Так лучше контроль за качеством услуг (можно менять провайдера, устраивать тендер, прогибать по цене и перечню услуг), всегда есть с кого спросить. Проще по финансам (не нужно ставить на баланс ПО, сервера, нанимать сотрудников, платить им за больничные, отпуска и т.п.), ничего не идет в CAPEX.

Но есть еще я прямая финансовая выгода в расчете на год-два. Например, Если вы покупаете лицензию на софт и железо, то затраты в впервые пару лет будут заметно выше, чем в случае сервиса. А вот дальше, как правильно свое будет дешевле. Поэтому в краткосрочной перспективе всегда выгоднее отдать на аутсорс. Безопасность тут не исключение. Но, так как у нас все так быстро меняется в ИТ, то вовсе не факт, что через 2 года вы не понесете на помойку свое ПО и железо. А провайдер услуг сам все обновляет, рассчитывает, это его риски.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dav

Согласен с Сергеем, что если для компании ИБ непрофильный актив, а для большинства компаний это именно так и обстоит, стоит об этом подумать.

Вот насчет прогибать MSSP дело не благодарное и малоперспективное, т.к. контракт обычно заключается сначала на 1 год (в течение года только "вылизывается" SLA), а затем заказчик уже "попал" -- он вложил время и ресурсы в налаживание взаимодействия, выстроил первичные процессы, строит новые системы с прицелом на MSSP ... Это навсегда: своих специалистов уже нет, а новых никто не даст набрать.

Придя к аутсорсеру всегда стоит поинтересоваться какой порядок прекращения договора. Самое интересное наступает здесь: журналы событий систем информационной безопасности не получить назад, как правило вообще, т.к. они хранятся в проприетарных системах аутсорсера и не предоставляются заказчику. Это как с мед страховкой: если у вас закончился полис, то выписку из медицинской карты не получить.

Стоит учитывать что в России специалистов (экспертов) по ИБ по тем же DLP, SIEM, а уж тем более по глубокому анализу тех или иных событий ИБ трудно найти в достаточном количестве в стенах наших интеграторов.

Получается что в пересчете на 10 заказчиков у них будет при хорошем раскладе 1 эксперт FTE и как он такой сможет адекватно управиться с трудными случаями (инцидентами).

Более честную позицию занимают зарубежные MSSP. Нашим пока интеграторам денегmub получить, а как это работает уже дело заказчика.

Попробовать всегда можно :), но с оглядкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • santy
      wscript.exe, csript.exe, mshta.exe, так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют. --------------------------------- вот еще картинка, как могут быть применены системные файлы в деструктивных действиях. wmic, bitsadmin: Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер
    • santy
      RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.
    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
    • demkd
    • PR55.RP55
      "времени на раскачку нет"  https://forum.kasperskyclub.ru/index.php?s=35fdc94435f2493d0ac8d0282ba035f4&showtopic=64721 HKLM\...\Run: [1corona.exe] => C:\Windows\System32\1corona.exe [94720 2020-02-14] () [File not signed]
      C:\Windows\System32\1corona.exe
      Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-16] () [File not signed]
      C:\Users\Dmitriy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      Startup: C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe [2020-02-14] () [File not signed]
      C:\Users\dostyp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1corona.exe
      2020-02-16 17:22 - 2020-02-16 17:22 - 000094720 _____ C:\Users\Dmitriy\AppData\Roaming\1corona.exe
      C:\Users\Dmitriy\AppData\Roaming\1corona.exe ------------------ А в uVS это была бы одна команда....  " Удалить файл и все родственные файлы" 
×