15 июня 2017 г.
Компания «ICL Системные технологии» открыла Центр мониторинга и реагирования на компьютерные инциденты (SOC), который оказывает комплексные услуги по защите информации по модели «Информационная безопасность как сервис» (Security as a Service).
Основная задача Центра — предоставление комплексного сервиса по обнаружению и предотвращению компьютерных атак и расследованию компьютерных инцидентов для широкого круга предприятий и организаций из различных отраслей экономики.
Основными услугами нового SOC будут мониторинг безопасности (круглосуточный удаленный мониторинг событий безопасности, выявление потенциальных кибератак, информирование об актуальных угрозах, помощь в проведении расследований), анализ защищенности (анализ фактической защищенности, контроль соответствия требований, рекомендации по устранению уязвимостей и повышению уровня защищенности), управление СЗИ (эффективное управление средствами защиты информации, безопасная настройка и оптимизация, консультирование и предоставление рабочих решений). Кроме того, он будет обеспечивать защиту от массовых компьютерных инцидентов, таких как нашумевший вирус-шифровальщик WannaCry, а также предлагать дополнительные услуги по мониторингу и контролю за состоянием критически важных ИТ-компонент, непрерывности технологических процессов, сбору информации для диагностики сбоев, своевременное уведомление в случае возможных сбоев работы системы.
Партнерами «ICL Системные технологии» в данном проекте выступили Hewlett Packard Enterprise, «Лаборатория Касперского», Positive Technologies, FireEye, Check Point.
Владимир Дмитриев, руководитель проекта по созданию центра, так объясняет идею его создания: «Не секрет, что в современном мире вопрос информационной безопасности — один из самых острых. Кибератаки, заражение вирусом и т.д. могут произойти в любое время, с любым клиентом. Ущерб, который нанес пользователям последний вирус-шифровальщик, уже составил около 1 млрд. долл.».
По данным, приведенным на пресс-конференции, 90% компаний в мире уже столкнулись со значительными инцидентами информационной безопасности. При этом 48% нарушения безопасности привели к утере бизнес-критичных данных. Прямые расходы крупной компании на восстановление после нарушения безопасности составляют 551 тыс. долл.
В то же время, по данным Владимира Дмитриева, 62% кибератак являются целенаправленными. И у компаний уходит в среднем около трех лет на обнаружение в их инфраструктуре неконтролируемого присутствия атакующих. А основными источниками угроз в настоящий момент являются: вирусы и вредоносное ПО, хакер-группы и энтузиасты, недобросовестная конкуренция, иностранные спецслужбы, внутренние злоумышленники (инсайдеры).
И в подобных условиях, по его словам, большинство заказчиков защищаются по старинке: «Клиент покупает средства защиты, устанавливает. Но, к сожалению, как показывает практика, этих мер уже недостаточно. Просто потому что кроме технологий над информационной безопасностью должны работать люди. Никакое средство защиты не даст эффекта, если не реагировать на те угрозы, о которых оно предупреждает, и не предотвращать их последствия. Информационная безопасность — это большой объем рутинной работы. В этих вопросах нельзя победить один раз и навсегда. Этими вопросами надо заниматься постоянно. Мы, как ИТ-компания, внедряли самые разные системы информационной безопасности, и, увы, не все они смогли принести результаты, которые ожидали клиенты. Просто потому, что у заказчиков не хватает ресурсов, чтобы в полной мере воспользоваться внедренными продуктами и правильно их эксплуатировать. Почему же пострадавших от вируса-шифровальщика было так много, при том, что он достаточно долго жил внутри систем заказчиков? Ведь даже в спящем режиме, вирус так или иначе проявляет себя. И его можно было выявить благодаря установленным у них системам безопасности и предотвратить последствия заражения. Но у большинства заказчиков не хватает времени, средств и людей, чтобы организовать круглосуточный мониторинг системы. Специалист по информационной безопасности — это товар штучный, его надо долго учить, воспитывать. Кроме того, это хорошо оплачиваемые специалисты. А для того, чтобы организовать только мониторинг безопасности по схеме 24 на 7, компания должна принять к себе в штат не менее четырех таких сотрудников. Но для наших клиентов эксплуатация средств защиты не является профильным направлением деятельности, они не могут себе позволить набирать штат высококлассных специалистов, которые и будут решать эти проблемы. Поэтому мы и решили предложить рынку услуги, которые дополнят квалификацию сотрудников заказчиков имеющимися у нас компетенциями».
Центр располагается в Иннополисе, в настоящий момент в службе, которая занимается удаленным мониторингом систем заказчика в режиме 24 на 7 и оперативным реагированием на инциденты, работает 10 человек. При возникновении сложных инцидентов, у центра есть возможность привлекать аналитиков, экспертов, инженеров по определенным средствам защиты из штата компании «ICL Системные технологии» (около 200 человек).
«Массовые атаки на крупные региональные компании (например, на такие как клиент нашего центра „АкБарс банк“) происходят постоянно, — говорит Владимир Дмитриев. — Наши наблюдатели разбирают по несколько инцидентов в день. А вот решение о том, что делать с той или иной проблемой, которую мы обнаружили, принимает уже администратор безопасности со стороны заказчика. Мы не заменяем службу безопасности клиента, а просто предлагаем забрать у перегруженных задачами и обязанностями сотрудников этой службы рутинные операции, чтобы они могли заниматься более важными задачами с точки зрения бизнеса компании».
Артем Медведев, руководитель направления HPE Security Russia, соглашается с коллегой в том, что информационную безопасность нельзя обеспечить лишь установкой какого-то продукта: «Каждый из нас выполняет свою функцию: вендоры предоставляют технологии, которые позволяют отследить любое событие, а наш партнер — экспертизу и высококвалифицированных людей. И, конечно же, процессы реагирования на ситуацию. Без этого ни один ПП не будет эффективным. Сотрудник должен знать, что если он увидел какое-то событие, он должен на него отреагировать, кроме того, он должен четко представлять, как ему реагировать на тот или иной инцидент: нажать на кнопку, позвонить ответственному специалисту со стороны заказчика, все заблокировать... Поэтому во многих случаях клиентам действительно проще и выгоднее пригласить для выполнения подобных операций игроков рынка, у которых эти процессы уже выстроены, чем пытаться прописать все эти технологии у себя».
По его словам, вендор договорился с «ICL Системные технологии» о запуске сервисной модели — MSSP (Managed Security Service Provider): «В чем прелесть работы по этой схеме? Наша модель называется PPU — pay per use. Партнеру не приходится инвестировать сразу большие средства в покупку софта, и только потом пытаться получить эти деньги с заказчика. Сколько партнер платит нам зависит от объема, потребляемого его клиентом. Сначала заказчик обращается к партнеру, получает некую услугу. А мы раз в квартал проводим аудит использования услуг, и уже на основании его результатов выставляем счет партнеру. Таким образом, это может стоить и 50 тыс. руб., и несколько миллионов рублей. У нас под подобными услугами работают сейчас такие компании, как национальная система платежных карт, „Почта банк“ и т.д. эти компании вкладывают достаточно большие средства в сервис, но для них это все равно выгоднее, чем разворачивать подобную службу у себя. Есть у нас и такие компании, которые тратят на данный сервис меньше 100 тыс. руб. в месяц. Обычно мы с нашими MSSP-партнерами выстраиваем модель таким образом, чтобы общие затраты компаний на данные услуги (в периоде
Подобная модель, по словам представителя вендора, позволяет заказчикам быстро (в течение двух-трех недель) и с минимальными инвестициями выстроить у себя эффективную систему защиты.
Сергей Новиков, заместитель руководителя глобального центра исследований и анализа угроз «Лаборатории Касперского», отмечает, что «ICL Системные технологии» не первая компания, предоставляющая подобные услуги, но это первый региональный игрок, который решил развивать данное направление: «Все остальные провайдеры — московские. Но и этих компаний в России все еще очень мало. Их должно быть больше. И то, что данный игрок обратил внимание на это направление бизнеса — замечательно».
Артем Медведев согласен с коллегой: «К сожалению, в России спрос на „безопасность, как сервис“ гораздо больше, чем то, что могут предложить существующие сервис провайдеры. Отечественный рынок сервиса по информационной безопасности находится в зачаточном состоянии, его практически нет. И конкуренции на этом рынке тоже пока нет».
По его оценке, в настоящий момент около 30 заказчиков работают с компанией HPE по аналогичной модели: «Но сервис-провайдеры не стоят на месте. Это компании, которые постоянно развиваются. Так, еще три года назад у нас не было партнеров, которые оказывали бы данные услуги. Сейчас их в России уже около 10. И каждый квартал вендор получает платежи от сервис-провайдеров, которые заинтересованы в постоянном увеличении объема используемых продуктов. И пусть сейчас эти деньги не такие большие, в сравнении с продажами продуктов. Но мы понимаем, что они стабильные, гарантированные (сервис-провайдеры платят всегда и не нарушают своих обязательств), и они растут. Примерно через два года ежеквартально мы будем получать от сервис-провайдеров уже гораздо более существенную сумму: около 1 млн. долл. В том, что этот рынок будет расти, нет никаких сомнений. В
Сергей Новиков дополняет коллегу: «Необходимо понимать, что модели угроз постоянно меняются. И то, что лет 10 назад было превосходным средством защиты, сейчас уже не работает: нельзя просто поставить антивирус и считать, что вам ничего не угрожает. Секрет безопасности компании — это люди, которые как раз и являются главной ценностью подобных SOC».
Вендоры утверждают, что они заинтересованы в увеличении числа новых и в развитии уже существующих центров мониторинга безопасности. Таким образом, в нашей стране будут формироваться сильные центры экспертизы по безопасности, так как подобная схема работы подразумевает наличие у партнера соответствующей квалификации. «И если ко мне обратится заказчик с проблемой, то я всегда знаю, кого из партнеров ему порекомендовать, — объясняет Артем Медведев. — Я не могу отправить заказчика к просто „какому-то“ региональному партнеру, ведь инженеры, которые прошли сертификацию, могли просто перейти в другую компанию. А вот про подобный центр я точно знаю, что в его штате есть необходимые специалисты. Я всегда могу сказать заказчику, что к нашим сервис провайдерам можно обращаться, так как они гарантированно помогут разобраться с проблемой».
По словам Владимира Дмитриева, клиентами нового центра станут компании с достаточно серьезной инфраструктурой (несколько сотен узлов), например, банки, которые не могут позволить себе единомоментно купить решение по безопасности: «А так как мы уже давно выступаем как игрок федерального уровня, мы готовы оказывать услуги по организации защиты не только в Татарстане и в Поволжье. В структуре нашего бизнеса заметную долю занимают московские заказчики, с которыми мы на протяжении многих лет поддерживаем хорошие отношения. И мы видим хорошие перспективы в развитии аутсорсинга и в этом регионе тоже».
А вот что считает о перспективах развития подобных центров в других регионах Артем Медведев: «Каждый регион имеет свои особенности. Почему многие вендоры не открывают представительств в регионах, а интеграторы не работают с регионами? Причина в том, что в нашей стране очень многие процессы централизованы. И 90% крупных заказчиков в регионах все равно подчиняются централизованной структуре. Если же говорить про предоставление „безопасности-как-сервис“ заказчикам из сегмента СМБ, то тут основная проблема в низком уровне общей автоматизации. Так как в регионах денег мало, то все контракты на местах оказываются низкомаржинальными: чтобы заработать столько, сколько может принести один контракт в Москве, в регионах надо выполнить около 30 проектов для локальных СМБ-клиентов. А значит, предоставлять эти услуги будут те наши партнеры, которые смогут сделать эти услуги масштабируемыми. Аутсорсинг безопасности станет востребованным среди некрупных региональных заказчиков тогда, когда сервис провайдеры будут работать, как электронный магазин, когда клиент сможет зайти на сайт и в корзину к себе набрать необходимые ему опции, оплатить их с карточки и на этом вовлечение партнера в процесс закончится. Но пока настройка сервисов требует привлечения большого количества ресурсов партнера (специалистов и продуктов), независимо от размера заказчика (20 человек в его штате работает или 20 тысяч), а сопровождение и мониторинг всего, что происходит с заказчиком выполняется силами партнера, пока весь этот процесс не автоматизирован, я считаю, что в регионах подобный сервис не будет сильно развит».
При этом, по мнению представителя вендора, партнерам, которые хотят быть успешными в данном направлении бизнеса, необходимо двигаться в сторону создания максимально полного портфеля предложений: «Согласитесь, что схема, когда заказчик сам покупает восемь продуктов, а у аутсорсера берет еще два, не совсем правильная. Многие клиенты хотят просто не иметь головной боли с информационной безопасностью. Они хотят, чтобы у них был один директор по информационной безопасности, ответственный за уровень безопасности. А все остальные функции возложить на привлеченную компанию, у которой есть антивирусы, чистый трафик и т.д. и которая будет заниматься всей каждодневной рутиной. А раз в неделю директор по информбезопасности был бы у руководителя компании с отчетом о том, что произошло и что удалось предотвратить. Поэтому в ближайшем будущем рынок сервисных провайдеров по безопасности будет развиваться в сторону увеличения объема предлагаемых услуг, расширения списка этих услуг и замещения людей из штата заказчиков специалистами, работающими на аутсорсинге».
Источник: Светлана Белова, CRN/RE