Какая форма сотрудничества в рамках аутсорсинга сервисов по обнаружению угроз информационной безопасности, реагированию на них и расследованию инцидентов (MDR) наиболее востребованна в среде клиентов, доверяют ли заказчики MDR-провайдерам и как должна распределяться ответственность в случае возникновения проблем? Мы провели опрос зрителей конференции AM Live, чтобы лучше понять состояние и перспективы рынка Managed Detection and Response в России.
- Какую форму ИБ-аутсорсинга предпочитают заказчики
- Можно ли доверять MDR-провайдеру
- Кто несёт ответственность за инцидент
Аутсорсинг услуг по обеспечению информационной безопасности — перспективный и развивающийся рынок. Сервисы по обнаружению ИБ-инцидентов и реагированию на них занимают там свою нишу наряду с внешними SOC и услугами MSSP. Как правило, MDR-провайдеры нацелены на сегмент средних и крупных предприятий, часто речь идёт о государственных компаниях и бюджетных учреждениях. Насколько готовы такие заказчики предоставлять сторонним специалистам доступ к своей инфраструктуре, какую именно форму сотрудничества в сфере обеспечения информационной безопасности предпочитают клиенты, кто должен нести ответственность за пропущенные инциденты — эти вопросы нередко являются предметом дискуссии среди заинтересованных сторон.
16 декабря мы провели онлайн-конференцию AM Live, посвящённую выбору сервисов обнаружения инцидентов в сфере ИБ и реагирования на них (MDR), и не упустили шанса задать аудитории прямого эфира несколько актуальных вопросов. Результаты нашего небольшого исследования позволяют понять точку зрения потенциальных и действующих клиентов MDR-сервисов и могут быть полезны как провайдерам таких услуг, так и тем, кто находится на этапе выбора модели обеспечения информационной безопасности.
Какую форму ИБ-аутсорсинга предпочитают заказчики
В первую очередь мы решили выяснить, какие именно формы аутсорсинга ИБ выбирают собравшиеся. Что пользуется наибольшим спросом на отечественном рынке — MDR, MSS или SOC как сервис? Как показали результаты опроса, те, кто работает со сторонними сервисами обеспечения информационной безопасности, чаще всего отдают предпочтение внешнему центру реагирования и мониторинга. За вариант SOC-as-a-Service проголосовали 14 % респондентов. Чуть меньше — 10,5 % — выбрали MDR. Услугами MSSP пользуются 6,5 % зрителей онлайн-конференции.
Однако подавляющее большинство участников опроса вообще не отдаёт вопросы информационной безопасности на аутсорсинг. Более двух третей (69 %) опрошенных ответили, что не используют ни один из названных выше сервисов. Такой результат говорит о пока ещё низком уровне проникновения ИБ-сервисов на отечественный рынок и свидетельствует о высоком потенциале последнего.
Рисунок 1. Используете ли вы одну из следующих форм аутсорсинга ИБ?
Можно ли доверять MDR-провайдеру
Один из важнейших вопросов, возникающих при выборе формы сотрудничества с ИБ-сервисами, — можно ли допускать стороннюю компанию к своей внутренней инфраструктуре и, зачастую, конфиденциальным данным. Как показали ответы нашей аудитории, только 39 % клиентов готовы предоставить MDR-провайдеру такую возможность. Более 60 % респондентов отрицательно относятся к этой идее. Очевидно, что компаниям, предоставляющим услуги MDR, необходимо учитывать настороженность потенциальных клиентов и прилагать дополнительные усилия для формирования имиджа надёжного и заслуживающего доверия партнёра.
Рисунок 2. Готовы ли вы дать MDR-провайдеру доступ к своей внутренней инфраструктуре?
Кто несёт ответственность за инцидент
Насколько велика должна быть степень ответственности MDR-провайдера в случае пропуска его системой инцидента в сфере информационной безопасности? По этому вопросу зрители нашей онлайн-конференции не пришли к единому мнению. Почти треть опрошенных — 31 % — считает, что сервисная организация должна возместить заказчику ущерб, причинённый ИБ-происшествием. Столько же участников опроса, напротив, не ждут от MDR-провайдера никакой ответственности. Ещё 27 % собравшихся отметили, что достойной компенсацией за пропущенную атаку станет расширение контрактных обязательств — предоставление дополнительных услуг в рамках сервиса. Продлить срок контракта предпочли бы 11 % зрителей AM Live.
Рисунок 3. Если MDR пропустит инцидент, то какую ответственность должен нести провайдер?
Ведущие специалисты российского рынка информационной безопасности регулярно собираются в студии Anti-Malware.ru, чтобы обсудить наиболее актуальные на сегодняшний день проблемы отрасли. Мы приглашаем вас присоединиться к аудитории онлайн-конференций AM Live и высказывать своё мнение, участвуя в опросах или оставляя комментарии. Для этого подпишитесь на наш YouTube-канал и не забудьте включить уведомления о новых материалах.
