Кибер-ЧОП спешит на помощь

Почему аутсорсинг информационной безопасности становится трендом

Количество атак на отечественные ИТ-системы растет, компаниям приходится постоянно отбиваться от DDoS, мониторить новые угрозы, проводить тестирования на проникновение. Все это эффективнее решается передачей «на сторону» по сервисной модели. Почему аутсорсинг задач информационной безопасности (ИБ) в России в 2023 году станет одним из самых горячих и динамичных направлений, читателям RSpectr рассказывает руководитель направления ИБ компании Axenix (экс-Accenture) Андрей Рамазанов.

ВОПРОС ГЛОБАЛЬНЫЙ

Мировые расходы на управляемые услуги в области информационной безопасности (ИБ) вырастут к 2026 году до 43,7 млрд долларов по сравнению с 22,8 млрд в 2021 году, прогнозируют аналитики агентства MarketsandMarkets. Эта динамика связана с рядом факторов:

• резким ростом киберактивности;
• постоянным усложнением схем и ростом эффективности инструментов для их осуществления;
• увеличением числа удаленных рабочих мест в компаниях;
• ужесточением государственного регулирования в сфере ИБ;
• ростом количества ИТ-систем и объема данных, в целом увеличением количества целей для потенциальных атак.

Соответствовать темпам изменения ИБ-угроз сложно и дорого, поэтому для подавляющего большинства задач в области киберзащиты оптимальным становится вариант аутсорсинга

Спектр передаваемых вовне задач требует всестороннего изучения профиля риска компании, критичности бизнес-процессов, а также оценки текущего уровня зрелости процессов ИБ и планов развития.

По итогам анализа каждая отдельная организация формирует перечень того, что следует передать на аутсорсинг, а что оставить в ведении собственных специалистов. Главным критерием здесь становится недостаток ресурсов и узкоспециализированных компетенций.

Второй фильтр сортировки – нежелание специалистов по безопасности выполнять определенные низкоприоритетные задачи в ущерб более сложным и высокоприоритетным.

Третий критерий – политики компании, которые диктуют, что в отношении определенных задач и процессов (например, оценки внутренних угроз) следует привлекать внешних исполнителей.

По понятным причинам, даже в условиях роста популярности аутсорсинговых сценариев в кибербезопасности доминирует гибридный подход, ведь определенный круг ИБ-задач все равно остается внутренней практикой компании.

По данным Deloitte, 99% организаций передали на аутсорсинг хотя бы один элемент ИБ-ландшафта: чаще всего вовне выводятся функции управления уязвимостями, мониторинг, обучение и аудит кибербезопасности.

НАШИ ТРЕНДЫ

В России ИБ-компетенции в корпоративном секторе просели в сфере расследования инцидентов и выработки рекомендаций для дальнейшей работы по выявленным уязвимостям и угрозам. Обращения по установлению причин киберинцидентов существенно участились. Например, произошел сбой в работе приложения компании, но по какой причине это случилось, ее сотрудники установить не могут.

Между тем причины могут быть любыми – от инфраструктурных до качества защиты среды разработки кода приложения (обновления, запуск новых функций и прочего).

Услуги по реагированию и расследованию инцидентов ИБ становятся все более востребованными в связи с ростом числа кибератак

Это могут быть компьютерные группы реагирования на чрезвычайные ситуации (Computer Emergency Response Team, CERT). Они помогают организациям собирать доказательную базу и митигировать выявленные риски.

Эффективен мониторинг в формате Security Operation Center (SOC). Это своего рода «центр управления» ИБ-составляющей работы компании. В него могут входить специалисты разных профилей, по разным технологиям и задачам, которые образуют хаб необходимого уровня компетенций для решения инцидентов.

Как правило, это коллектив из более чем двух десятков человек: набрать его в штат малых и средних компаний с нуля и загрузить работой настолько, чтобы это было экономически выгодно, – задача сегодня практически нереализуемая. Проще и выгоднее покупать SOC по модели as-a-service с согласованными уровнями обслуживания (SLA).

Еще один тренд последнего времени – администрирование средств защиты. Если раньше «залезать» в эту деликатную с точки зрения инфобеза область компании третьей стороне обычно не позволяли, то сегодня, с ростом числа кибератак, все изменилось.

Можно говорить, что нехватка экспертизы в силу кадрового голода, а также из-за вызовов текущего момента (отток отечественных специалистов, дефицит ИБ-инструментов из-за ухода глобальных вендоров) приводит к ситуации, когда нужные ИБ-навыки концентрируются в определенных точках на карте рынка. Только так получается обеспечить их доступность для максимального числа компаний.

МОЖЕТ, МЫ САМИ?

Конечно, ИБ-компетенции можно взращивать внутри компании. Но такой подход под силу только очень крупным организациям, ведь сформированный центр компетенций возьмет на себя функции провайдера MSS, будет выполнять роль SOC, управлять средствами защиты, расследовать инциденты, мониторить ИБ-ландшафт на предмет новых угроз, а также заниматься обучением сотрудников.

ИБ в современных условиях – крайне дорогое направление, и развитие собственных компетенций здесь экономически выгодно только при условии полной загрузки задачами

По сути, это тоже аутсорсинг ИБ, только для себя, по модели «одна точка входа ИБ-задач для всех единиц холдинга».

Иногда такой центр собственных компетенций начинает продавать услуги и на внешнем рынке, и тогда внутрикорпоративная безопасность превращается во внешнего провайдера ИБ-сервисов.

Говоря о новых перспективных форматах ИБ-аутсорсинга, можно отметить непрерывное тестирование на проникновение в формате услуги. После каждого сканирования происходит верификация на уязвимости, формируется отчет и отправляется специалистам внутри компании.

Растет запрос на полную передачу ИТ-инфраструктуры по направлению информационной безопасности на аутсорсинг

Это связано с локализацией зарубежных компаний в РФ в рамках различных carve-out-программ.

В ситуации выбора – набрать штат местных администраторов для обслуживания систем в соответствии с требованиями местного законодательства или купить готовое сопровождение инфраструктуры у провайдера – решение в пользу второй опции принимается в 99,9% случаев.

Развивается формат «директор по ИБ как услуга». Он предполагает оплату услуг удаленного или приходящего по мере необходимости руководителя кибербезопасности, который выполняет определенный объем задач, связанных с работой штатных специалистов.

Например, компания имеет в России только производственные мощности. Вся ИТ-инфраструктура, процессы, политики, бизнес-приложения для учета находятся за рубежом. При этом предприятие генерирует некий объем данных, которые нужно собирать, хранить и передавать по определенным правилам, а также обеспечивать их надежную защиту.

Такие сценарии требуют привлечения ИБ-руководителя в условном режиме «три раза в неделю по полдня», что позволяет закрывать все требования к предприятию в части соответствия работы с данными законодательству, базовым сценариям управления потоками данных, а также их киберзащиту.

Пока далеко не весь бизнес готов к адаптации уже наработанных, а также новых форматов аутсорсинга безопасности

Однако динамика здесь положительная – при столкновении с серьезными ИБ-инцидентами сознание меняется.

Подобные инциденты неизбежно возникают по мере совершенствования стратегий хакеров и усложнения ИТ-систем компаний. Обращение к провайдерам безопасности превращается в неизбежность.

Крупные компании сегодня стандартно привлекают к расследованию инцидентов внешних игроков. Они работают как «ИБ-охрана», когда в пределах 30 минут после зарегистрированного инцидента к заказчику выдвигается группа экспертов провайдера для сбора фактов, улик и начала расследования.

В нынешних условиях, когда атакуют со всех сторон, регуляторные требования становятся все жестче, а компетентных людей на рынке нет, ИБ как услуга представляется оптимальным выбором для большинства компаний.