Managed Security Service Provider (MSSP) — это внешняя компания (провайдер), которой делегировано управление средствами защиты информации. MSSP давно востребованны за рубежом, однако на отечественном рынке такие услуги становятся популярными только сейчас. Мы рассмотрели основных игроков мирового и отечественного рынков.
- Введение
- Что такое MSSP и в чём его отличие от SECaaS
- Мировой рынок MSSP
- Российский рынок MSSP
- Обзор отечественного рынка MSSP
- 5.1. Angara MSS
- 5.2. BI.ZONE
- 5.3. Cloud
- 5.4. «Билайн»
- 5.5. «Информзащита»
- 5.6. «Инфосистемы Джет»
- 5.7. «Крок»
- 5.8. «МегаФон»
- 5.9. «РТК-Солар»
- Выводы
Введение
Дефицит кадров в области информационной безопасности увеличивается с каждым годом, в то время как проблемных задач, связанных с киберзащитой, становится всё больше. Пандемия COVID-19, продолжавшаяся несколько лет, размыла привычные периметры, введя понятие «удалёнка», а геополитические события в мире привели к повышению агрессивности внешнего фона. Необходимо отметить, что кадровая проблема имеет общемировой масштаб. Так, в 2019 году, по оценке ассоциации ISC2, дефицит специалистов по информационной безопасности в мире составлял около 4,07 млн человек.
Мы провели подробное сравнение провайдеров услуг по управлению информационной безопасностью (MSSP). Сравнение проводилось по 121 критерию, характеризующему полноту и качество предоставляемых услуг. Результаты помогут потенциальному заказчику выбрать наиболее подходящего поставщика.
Рисунок 1. Дефицит ИБ-специалистов по регионам
Дефицит кадров в области информационной безопасности вызван также динамикой роста киберпреступности. Если в 2021 г. ущерб от киберпреступлений составил 6 трлн долларов США, то к 2025 г. прогнозируется рост этого показателя более чем на 50 %, до 10,5 трлн долларов. Для сравнения, годовые объёмы рынка наркотиков и торговли людьми, краж нефти, незаконной добычи и рыболовства, незаконного оборота оружия оцениваются в 1,6–2,2 трлн долларов.
В то же время если в 2021 г. рынок информационной безопасности оценивался в 176,5 млрд долларов, то к 2027 г. ожидается его рост до 403 млрд долларов.
Компании по-разному подходят к решению проблемы дефицита кадров. Кто-то справляется за счёт высокого уровня доходов специалистов по информационной безопасности, кто-то «ведёт» наиболее перспективных студентов, предлагая им трудоустройство на последних курсах вуза либо сразу после выпуска, кто-то «выращивает» специалистов из ИТ.
Решением этой проблемы и общемировой тенденцией стало развитие рынка MSSP (Managed Security Service Providers). В соответствии с определением аналитического агентства Gartner, провайдер управляемых сервисов безопасности (MSSP) обеспечивает мониторинг и администрирование средств защиты информации. При этом управляемые СЗИ могут предоставляться провайдером в виде облачного сервиса или находиться в инфраструктуре заказчика.
Что такое MSSP и в чём его отличие от SECaaS
Эволюция рынка услуг информационной безопасности была поступательной. На первых порах это был аутстафинг, заключавшийся в предоставлении выделенного персонала для проведения необходимых работ: внедрения приобретённых решений по безопасности в инфраструктуру клиента, их настройки и администрирования.
Следующим шагом стало появление MSSP. В отличие от аутстафинга, здесь конкретные сотрудники не выделяются, а администрируемые решения по безопасности могут принадлежать заказчику либо быть взятыми в аренду. В классическом понимании MSSP обеспечивает мониторинг и управление для существующей инфраструктуры средств информационной безопасности заказчика. В модели MSSP провайдер удалённо контролирует и / или администрирует файрволы, системы предотвращения вторжений (IPS) и другие СЗИ, а также обеспечивает их круглосуточное ежедневное сопровождение.
В 2017 году агентство Gartner выделило следующие области оказания услуг по модели MSSP:
- контроль или администрирование файрволов (в т. ч. NGFW, UTM);
- контроль или администрирование средств обнаружения и предотвращения вторжений;
- контроль или администрирование шлюзов безопасности для почтового и веб-трафика;
- контроль и / или администрирование средств защиты от сложных атак;
- анализ журналов безопасности;
- составление отчётов по контролируемым / управляемым устройствам и реагированию на инциденты;
- контроль или администрирование агентов SIEM, сканирование активов заказчика на уязвимости, защита от DDoS-атак.
Следующим шагом в развитии рынка аутсорсинга услуг по информационной безопасности стало появление модели MDR (Managed Detection and Response). MDR обеспечивает углублённое исследование потенциальных угроз в сети организации. В сервис MDR могут входить:
- Endpoint Detection and Response (EDR) — обнаружение вредоносной активности на конечных точках и реагирование на неё;
- Network Detection and Response (NDR) — поиск вредоносных элементов в сетевом трафике и реагирование на них;
- Extended Detection and Response (XDR) — сочетание двух предыдущих пунктов;
- Endpoint Protection Platform (EPP) — комплексные защитные решения для конечных точек;
- Security Information and Event Management (SIEM) — решения для сбора и автоматического анализа информации о событиях по безопасности.
В последнее время очень быстро развивается формат предоставления услуг SECaaS (Security-as-a-Service). В рамках этой модели заказчику предоставляются средства защиты информации по подписке, а дальнейшее управление СЗИ остаётся за ним самим. Заказчик может администрировать их своими силами, а может и привлечь MSS-провайдера. Таким образом, SECaaS является логическим дополнением к услугам по модели MSSP.
В России перечень сервисов, предоставляемых в рамках MSSP, находится на стадии формирования и может отличаться по некоторым видам услуг. В рамках статьи будет произведён обзор сервисов по сетевой защите, борьбе с DDoS-атаками, управлению уязвимостями и повышению осведомлённости пользователей.
Вопросы делегирования функций ИБ по разным моделям аутсорсинга недавно обсуждались в отдельном выпуске AM Live, общие итоги которого можно прочитать здесь.
Мировой рынок MSSP
Как и многие другие области информационной безопасности, рынок MSSP не остался без внимания аналитического агентства Gartner, регулярно составляющего оценочные диаграммы (квадранты) на соответствующую тему.
Рисунок 2. Квадрант Gartner с оценкой рынка MSSP на 2018 г.
Динамику развития рынка MSSP наглядно показывают рейтинги на сайте MSSPAlert.com, посвящённом этому направлению. Так, в 2017-2018 годах этот ресурс составил рейтинг 100 лучших провайдеров, в 2019-м перечень состоял уже из 200 поставщиков, а рейтинг за 2020-2021 гг. содержал информацию о 250 провайдерах. По версии MSSPAlert.com, первые 10 мест рейтинга за 2021 г. заняли следующие провайдеры: AT&T Cybersecurity (США), Orange Cyberdefense (Франция), BT Security (США), Neustar (США), Herjavec Group (Канада), Trustwave (США), Kroll (США), Accenture (США), ECS Federal (США), eSentire Inc. (Канада).
По оценкам аналитиков, рынок MSSP за период с 2020 по 2026 гг. вырастет с 27,7 млрд долларов США до 64,73 млрд долларов, т. е. более чем вдвое. Крупнейшим рынком услуг управляемых сервисов по информационной безопасности являются США, в то время как самым быстрорастущим — Азиатско-Тихоокеанский регион (Австралия, Новая Зеландия и другие).
Российский рынок MSSP
Рынок MSSP в России только начинает развиваться. По итогам опроса, проведённого Anti-Malware.ru, только 24 % компаний выразили готовность передать функции по информационной безопасности на аутсорсинг и лишь 16 % считают, что оптимальная для них модель — предоставление услуг MSSP. Причины весьма стандартны: не все компании готовы отдавать управление средствами защиты информации третьим лицам, ведь неправильная конфигурация СЗИ может привести к остановке критически важных бизнес-процессов и иным негативным последствиям.
Приостановка деятельности зарубежных вендоров СЗИ на территории Российской Федерации привела к переориентации провайдеров MSS-услуг в сторону отечественных производителей, решения которых позволяют реализовывать экосистемный подход к построению систем информационной безопасности для клиентов.
Рисунок 3. Опрос, касающийся оптимальной модели аутсорсинга для компаний
Обзор отечественного рынка MSSP
Angara MSS
Angara MSS, входящая в группу компаний Angara Security, работает по модели MSSP с 2016 года. В числе предоставляемых услуг — защита от спама, фишинга и целенаправленных атак, реагирование на сложные угрозы, повышение осведомлённости сотрудников, фильтрация сетевого трафика и другие. В 2019 году Angara MSS совместно с «Лабораторией Касперского» представила услугу по защите от целевых атак, построенную на базе продуктов Kaspersky Anti Targeted Attack и Kaspersky EDR.
Достоинства:
- использование модели «pay-as-you-grow» и возможности индивидуализации сервисов;
- единая платформа оказания услуг;
- возможность расширения сервисов «на ходу»;
- более 120 поддерживаемых ИБ-продуктов;
- высокая скорость подключения сервисов — от нескольких часов;
- индивидуализируемая отчётность, включающая в себя данные BI-аналитики.
Более подробную информацию можно получить на сайте компании.
BI.ZONE
В портфеле компании BI.ZONE есть несколько услуг по модели MSSP. Так, защита веб-приложений обеспечивается в рамках услуги BI.ZONE WAF, позволяющей в том числе анализировать приложения на уязвимости и блокировать попытки эксплуатации брешей. Настройка инструмента осуществляется специалистами провайдера индивидуально под каждое приложение. Также в перечень входят защита почтового трафика (BI.ZONE CESP), борьба с DDoS-атаками (BI.ZONE CDP) и повышение осведомлённости пользователей (BI.ZONE Security Fitness).
Достоинства:
- использование собственных продуктов;
- гибкий выбор тарифов;
- широкая продуктовая линейка;
- личный кабинет пользователя услуги;
- сервисы находятся в реестре отечественного ПО.
Более подробную информацию можно получить на сайте компании.
Cloud
Cloud, ранее известный как SberCloud, является облачным провайдером услуг и сервисов по моделям IaaS и PaaS, а также предоставляет сервисы информационной безопасности на базе разработок отечественных вендоров (BI.ZONE, UserGate, Kaspersky, «ИнфоТеКС» и др). Виртуальный межсетевой экран, предоставляемый Cloud, помогает как обособить внутренние сегменты, так и отделить инфраструктуру заказчика от внешнего периметра. Кроме виртуального межсетевого экрана Cloud продаёт сервис защиты от DDoS-атак на базе облака Qrator. В партнёрстве с компанией BI.ZONE Cloud реализует обеспечение безопасности веб-приложений на базе решения BI.ZONE WAF. Также Cloud имеет в портфеле комплексное решение anti-DDoS + WAF.
Достоинства:
- использование отечественных технологий;
- вариативность подключения услуг;
- импортонезависимость.
Более подробную информацию можно получить на сайте компании.
«Билайн»
На рынке сервисов ИБ по модели MSSP компания развивается уже порядка 10 лет, начав с решений по защите от DDoS-атак и далее расширяя портфель продуктами по защите веб-приложений (WAF) с возможностью размещения как в собственном облаке, так и в инфраструктуре заказчика. Также в списке предоставляемых услуг — решения по защите корпоративной почты от фишинга и спама (Security Email Gateway), межсетевые экраны нового поколения (NGFW), криптозащита каналов связи в соответствии с требованиями ФСТЭК и ФСБ России, SIEM-решения, услуги по пентестингу и проведению аудита ИБ.
Достоинства:
- мультивендорность, включая использование отечественных технологий;
- вариативность в части архитектуры и размещения решений;
- ориентация на разные сегменты бизнеса и их потребности.
Более подробную информацию можно получить на сайте компании.
«Информзащита»
«Информзащита» оказывает комплекс услуг по аутсорсингу эксплуатации СЗИ, включая техническое сопровождение, администрирование, аренду технических средств. Компания работает по модели MSSP в следующих направлениях: защита периметра (файрвол, IDS / IPS), управление уязвимостями, безопасность веб-приложений, криптографическая защита, антивирусная защита и другие.
Достоинства:
- развитая линейка сервисов в части администрирования СЗИ;
- выстроенные процессы сопровождения в соответствии с ITIL, ISO 20000, ISO 27001;
- широкая линейка услуг;
- наличие сервисов для защиты мобильных телефонов пользователей.
Более подробную информацию можно получить на сайте компании.
«Инфосистемы Джет»
Команда Jet CSIRT компании «Инфосистемы Джет» предлагает клиентам несколько услуг по модели MSSP. Отметим Jet CSIRT Advanced — комплекс экспертных сервисов. В число самых популярных из них входит Vulnerability Management Service, который позволяет своевременно получать не только информацию об уязвимостях, но и рекомендации о том, каким образом и в какой последовательности их стоит закрывать. Jet CSIRT Support осуществляет как техническую поддержку, так и эксплуатацию средств защиты информации заказчика.
Достоинства:
- 20 лет опыта работы на рынке аутсорсинга ИБ;
- широкая продуктовая линейка;
- поддержка и эксплуатация более 100 решений по ИБ.
Более подробную информацию можно получить на сайте компании.
«Крок»
«Крок» обладает широкими компетенциями в части сопровождения СЗИ, которые предоставляет теперь не только при реализации проектов в части информационной безопасности, но и как MSSP. В портфеле компании есть сервисы по защите веб-приложений (WAF, anti-DDoS) и почтового трафика, повышению осведомлённости персонала, защите периметра (NGFW).
Достоинства:
- оперативное подключение услуг;
- вариативность размещения WAF;
- круглосуточная поддержка клиентов;
- большой опыт работы на рынке.
Более подробную информацию можно получить на сайте компании.
«МегаФон»
«МегаФон» объявил о создании коммерческого центра информационной безопасности в 2022 г. При этом на рынке сервисов ИБ компания активно развивается с 2018 года, список продуктов и сервисов разнообразен и включает в себя защиту заказчика по разным направлениям и бизнес-моделям реализации. Услуги по безопасности сети и инфраструктуры включают в себя WAF, соответствующий требованиям PCI DSS, а также средство защиты от DDoS, работающее на базе продуктов «Гарда Технологии» и способное отражать атаки ёмкостью до 300 Гбит/с. Также в портфеле «МегаФона» есть MSSP-сервис «Защита корпоративной почты» и услуги по криптозащите корпоративных каналов связи.
Достоинства:
- использование отечественных технологий;
- соответствие PCI DSS, требованиям ФСТЭК и ФСБ России;
- широкая линейка продуктов;
- наличие сервисов для защиты мобильных телефонов пользователей.
«РТК-Солар»
Сервисы экосистемы Solar MSS разделены на три логических уровня: уровень приложений, уровень сети и уровень инфраструктуры. Уровень защиты приложений включает в себя сервис по защите от DDoS, отфильтровывающий атаки уровня L3-L4 объёмом до 5 Тбит/с, и брандмауэр для веб-приложений (WAF). Сервис способен не только обеспечивать безопасность на уровне L7, но и маскировать конфиденциальные данные. На этом же уровне располагается контроль уязвимостей (VM), позволяющий выстроить полный жизненный цикл Vulnerability Management, от обнаружения до устранения брешей. Уровень защиты сети включает в себя межсетевое экранирование и защиту приложений, предотвращение вторжений и антивирусную проверку трафика, шифрование каналов связи (ГОСТ VPN) в соответствии с требованиями ФСБ и ФСТЭК России и защиту от отказов в обслуживании. Наконец, борьбу с угрозами на уровне инфраструктуры осуществляют песочница (Sandbox), обеспечивающая защиту корпоративной сети и сотрудников от ранее неизвестных и сложных целевых атак, и подсистема защиты электронной почты (SEG), отвечающая за очистку почтового трафика от писем со вредоносными элементами, фишингом или спамом.
Достоинства:
- использование отечественных технологий;
- наличие клиентского портала и центра поддержки клиентов;
- ориентация на бизнес-потребности заказчика.
Более подробную информацию можно получить на сайте компании.
Выводы
Развитие рынка MSSP — дело времени. Вскоре доля средств защиты информации, используемых в компаниях по модели MSSP, значительно вырастет. Основная причина успеха подобной модели — кадровый голод, необходимость инвестиций в образование действующих сотрудников, потребность в поддержке ряда решений в режиме 24×7.
При выборе MSSP необходимо учитывать технологии, на которых базируется требуемый сервис, опыт работы провайдера на рынке и портфель решений, предоставляемый поставщиком. Дополнительными аргументами в пользу последнего будут также наличие сертификата ISO 27001 и обратная связь от других клиентов.
Определяя применимость модели MSSP к реалиям конкретной организации, необходимо учитывать также и риски для бизнес-процессов компании, которые могут пострадать при возможных инцидентах, связанных с качеством оказания услуг.