Кибербезопасность как сервис – теперь не только для крупного бизнеса

«Кибербезопасность как сервис» отражает текущие изменения в модели потребления: люди больше не хотят получать в собственность сложные и дорогие инструменты, вместо этого им нужна конкретная функция, платить за которую можно по модели pay-as-you-grow. В обычной жизни это называется «sharing economy», а в ИТ – «platform economy» (то есть различные платформенные решения, предоставляющие те или иные сервисы).

Постоянный рост количества кибератак, появление новых инструментов киберпеступников и растущие требования к обеспечению информационной безопасности со стороны регуляторов заставляют компании все больше заботиться об укреплении своего ИТ-периметра. На этом фоне возможность сэкономить (как деньги, так и кадровый ресурс), обратившись к услугам сервис-провайдера, привлекает многих потенциальных заказчиков.

Данные центра мониторинга и реагирования на киберугрозы Solar JSOС компании «Ростелеком-Cолар» за 2019 год

Компания «Ростелеком-Солар», которая еще в 2012 году открыла первый коммерческий SOC, ежегодно фиксирует кратный рост числа организаций, которые потребляют подобные услуги. На текущий момент нет сегментов бизнеса, где возможности сервисной модели SOC оказались бы неприменимыми.

А в конце 2018 года «Ростелеком-Солар» представила экосистему управляемых сервисов кибербезопасности Solar MSS (Managed Security Services), которые реализуют комплексную защиту среднего и малого бизнеса, а также небольших госорганизаций от базовых угроз ИБ. Это новый для рынка формат предоставления услуг класса «кибербезопасность как сервис», ориентированный на более массовый корпоративный сегмент. На данный момент наибольший интерес к сервисам MSS проявляют госорганизации (особенно региональные), небольшие банки и ритейлеры. Помимо конкретного набора сервисов заказчиков привлекает скорость и простота их развертывания, а также относительно невысокая цена.

Технологии Solar MSS

Технологии Solar MSS позволяют предоставлять услуги по кибербезопасности «из облака», обеспечивая надежность и защищенность каналов связи, а также централизованно управлять всеми сервисами. Все площадки заказчика обмениваются данными с ЦОД провайдера, где эти данные обрабатываются и фильтруются в соответствии с выбранным сервисом.

За счет единой технологической базы все сервисы обмениваются оперативной информацией по угрозам и атакам, обогащая «знания» друг друга и совершенствуя таким образом собственные политики безопасности. За их эксплуатацию отвечает команда профессиональных аналитиков «Ростелеком-Солар», работающая в режиме 24×7. Причем часть премиум-тарифов предполагает закрепление за заказчиком персонального сервис-менеджера, который в любой момент готов ответь на вопросы клиента. Куратор предоставляется и в базовых тарифах, правда, там он уже не так глубоко вовлечен в историю заказчика.

Состав услуг Solar MSS

Один из базовых элементов сервисной экосистемы Solar MSS – UTM (Unified Threat Management. Он обеспечивает комплексную защиту сетевого периметра при помощи взаимосвязанных средств защиты (межсетевого экрана, IPS, антивирусного ПО, а также спам- и веб-фильтров). UTM использует единую защищенную точку выхода в Интернет. Это позволяет, в частности, применять единые политики ИБ для территориально-распределенных компаний с множеством филиалов. Для подключения сервиса на площадке заказчика необходимо установить специальный маршрутизатор – Customer Premises Equipmen (CPE), который является шлюзом для доступа в Интернет.

Также CPE позволяет подключить два других базовых сервисов MSS: по защите электронной почты (Secure Email Gateway,SEG) и веб-приложений (Web Application Firewall, WAF). Первый из них проверяет входящую электронную почту на наличие вредоносных файлов и фишинга до того, как она достигнет почтовых серверов организации и будет доставлена сотрудникам. Второй – обнаруживает и блокирует атаки на веб-приложения, включая атаки из списка OWASP Тор 10, DDoS-атаки уровня приложений и атаки нулевого дня.

Помимо UTM, SEG и WAF в состав Solar MMS входят еще шесть сервисов:

Сервис шифрования каналов связи (ГОСТ VPN): гарантирует конфиденциальность и целостность информации, передаваемой организацией через общедоступные каналы связи. В основе сервиса лежат средства криптографической защиты информации, сертифицированные ФСБ России.

Сервис контроля уязвимостей (Vulnerability Management, VM): позволяет находить и устранять уязвимости ИТ-инфраструктуры и веб-ресурсов внутри организации, в ее сетевом периметре или в облачной среде.

Сервис защиты от DDoS-атак (Anti-DDoS): предоставляет эшелонированную защиту от DDoS-атак на каналы, сетевую инфраструктуру и веб-ресурсы для обеспечения непрерывности бизнеса.

Сервис управления навыками ИБ (Security Awareness, SA): помогает тестировать и обучать сотрудников практической кибербезопасности, в том числе с помощью имитации фишинговых атак.

Сервис регистрации и анализа событий ИБ (Event registration and analysis, MSS ERA): регистрирует и анализирует события ИБ для защиты от массовых кибератак и обеспечения соответствия требованиям ФЗ-187 «О безопасности критической информационной инфраструктуры».

Сервис для защищенной удаленной работы: комплексное решение по организации безопасного удаленного доступа на базе сервиса UTM с использованием отечественных (ГОСТ) или зарубежных средств шифрования. Организация удаленного доступа возможна с помощью VDI-брокера, VDI-фермы или терминального сервера.

По количеству технологий киберзащиты экосистема Solar MSS на сегодня является лидером рынка. Предлагаемые решения помогают противостоять основным видам атак, фокусируясь на типичных для данной отрасли и организации угрозах. По словам директора департамента развития продуктов и сервисов MSS компании «Ростелеком-Солар» Сергея Дмитриева, онлайн-бизнесу точно нужен сервис защиты веб-приложений WAF, а для защиты офисных рабочих мест – спам-фильтр. Если же критически важно защитить от утечек ценные данные, хранящиеся в корпоративной информационной системе, нужно использовать сервис защиты почты (SEG).

Для любого бизнеса также важна защита инфраструктуры с помощью межсетевого экрана (UTM), не лишней будет и защита магистральной сети с помощью сервиса Anti-DDoS. А для территориально-распределенной инфраструктуры стоит применять шифрование каналов связи в рамках услуги ГОСТ VPN. Также хорошо уже на начальном этапе провести аудит инфраструктуры с помощью сервиса VM (контроля уязвимостей), чтобы сразу определить «слабые места» корпоративной системы, – советует Сергей Дмитриев, директор департамента развития продуктов и сервисов MSS компании «Ростелеком-Солар».

Помимо непосредственной защиты информации, Solar MSS помогает заказчику обеспечить соответствие требованиям законодательства. Например, №152-ФЗ «О персональных данных», который касается практически всех. В данном случае будут как нельзя кстати сервисы ГОСТ VPN и UTM, которые защищают внутреннюю инфраструктуру и хранящиеся в ней данные от злоумышленников, закрывая при этом задачи Complience. А решение MSS ERA ориентировано на выполнение требований закона «О безопасности КИИ» региональными компании госсектора, а также организациями из сфер здравоохранения и науки.

Есть и отраслевое регулирование, напоминает Дмитриев: «Например, для банковской сферы действует международный стандарт PCI DSS, в котором прописаны требования к сервисам, управляющим платежными картами. В этом случае нужна защита веб-приложений (WAF), а также сервис контроля уязвимостей VM».

Оптимальная цена пакетов услуг Solar MSS

Оптимальная цена услуг Solar MSS достигается за счет того, что сервис можно оперативно масштабировать в зависимости от текущих задач и платить только за потребляемый объем услуг. Таким образом заказчик может управлять затратами на ИБ, избегая значительных и излишних издержек.

Покупка сервиса обходится на 40-60% дешевле, чем реализация интеграционного проекта обеспечения тех же самых услуг, так как заказчику не нужно тратиться на создание собственной ИБ-инфраструктуры и ее обслуживание, – поясняет Сергей Дмитриев.

При этом качество предоставляемых сервисов описывается конкретными четко измеряемыми параметрами уровня услуг (SLA): предельное время от момента сбоя до момента восстановления работоспособности инфраструктуры и время доступности сервиса в течение квартала.

Простота установки и использования пакетов услуг Solar MSS

Для клиентов MSS краеугольным камнем является быстрота доставки и простота «вхождения» в технологию, – говорит Сергей Дмитриев. – Услуга должна быстро и просто масштабироваться (как вверх – при расширении потребностей, так и вниз – при их снижении) и не требовать от персонала заказчика сложной экспертизы в настройке и разборе результатов работы сервиса. А скорость ее подключения должна измеряться днями.

По оценке Дмитриева, процесс подключения сервиса для небольшой организации с типовой инфраструктурой занимает всего 3-4 дня и включает несколько несложных этапов:

• доставить на площадку заказчика CPE (Customer Premises Equipment);
• проработать схему внедрения CPE в инфраструктуру;
• подключить CPE к сервису Solar MSS.

Также просто происходит наращивание объема услуг. Так, чтобы подключить новую площадку, нужно физически доставить туда CPE и подключить оборудование к сети. На это обычно достаточно пары дней.

Комплекс услуг Solar MSS для госорганизаций

Небольшие госструктуры сегодня тоже находятся в фокусе внимания киберпреступников. Это влечет за собой высокие репутационные риски, однако ресурсы собственных ИБ-служб в таких организациях крайне ограничены. Также многие госструктуры имеют разветвленную сеть филиалов, в каждом из которых местные специалисты решают вопросы ИБ, как могут, то есть в рамках скромных бюджетов и дефицита кадров. Остается добавить, что госорганы обычно работают по четкому графику (пять дней в неделю с 9.00 до 18.00), в то время как хакеры – круглосуточно. На необходимую защиту от текущих кибератак накладывается еще и обязанность по соблюдению требований федерального закона «О безопасности критической информационной инфраструктуры», что в условиях ограниченных ресурсов практически невозможно.

Очевидно, что быстро и эффективно разрешить весь этот клубок проблем можно единственным способом – делегировать ответственность по задачам ИБ. «Для госорганов такой партнер, как «Ростелеком-Солар», выгоден тем, что услуги оказываются из облака, которое расположено в Национальной облачной платформе: она имеет все необходимые сертификаты соответствия и удовлетворяет основным требованиям для размещения государственных информационных систем федеральных и региональных органов исполнительной власти», – подчеркивает Сергей Дмитриев.

Госструктурам рекомендуется следующий набор сервисов:

ГОСТ VPN. Сервис обеспечивает конфиденциальность и целостность информации, передаваемой через общедоступные каналы связи, так как госорганизации имеют разветвленную филиальную сеть и обмениваются чувствительной информацией. UTM. Защищает встроенную в глобальную сеть инфраструктуру организации.

Anti-DDoS. Защищает органы власти в первую очередь от репутационных рисков. Например, если злоумышленники пытаются обрушить сайт, когда на его платформе реализуются важные государственные инициативы.

WAF. Необходим, так как госструктры развивают собственные веб-приложения для коммуникации с гражданами и юрлицами. Эти ресурсы хранят большое количество чувствительных персональных данных, которые интересны злоумышленникам.

MSS ERA. Ориентирован на выполнение требований №187-ФЗ в части ГосСОПКА и противодействие массовым атакам. Сервис рассчитан на организации численностью до 400 пользователей, имеющие не более 500 серверов и рабочих станций в ИТ-инфраструктуре.

Комплекс услуг Solar MSS для финсектора

У небольших банков и финорганизаций свои слабые места в части информационной безопасности. Во-первых, это выгодные мишени для кражи денежных средств. Во-вторых, они хранят большие объемы персональных данных пользователей. В-третьих, для банков важна бесперебойность работы, так как любой отказ в обслуживании неминуемо ведет к оттоку клиентов. Но при этом над финорганизациями довлеет груз ответственности по соблюдению целого списка нормативных требований: о КИИ, о персданных, требования банковских стандартов PCI DSS и СТО БР и т.д.

К тому же банки обычно имеют подразделения в разных регионах, которые управляются централизованно. Это вызывает специфические сложности. Например, если появляется новый вид атаки, то необходимо оперативно «раскатать» определенную технологию на все подразделения разом. Сервис в этом случае позволяет радикально экономить кадровые затраты и время, – добавляет Сергей Дмитриев. – Современный банк – это образец корпоративного потребителя, которого интересует максимальный набор сервисов для обеспечения комплексной защиты от любого вида угроз.

Для небольших банков наиболее актуальные угрозы информационной безопасности – это фишинг, письма с вредоносными вложениями, а также атаки на интернет-банкинг и сайт в целом. Поэтому такой организации рекомендуются следующие услуги:

Сервисы защиты фронт-офиса, поскольку главная задача банков – работа с клиентами: WAF, UTM, Anti-DDoS. Они обеспечат как защиту внутренней инфраструктуры, так и целостность данных и надежность инструментов, которые с этими данными работают.

Защита почты (SEG).

Услуги по повышению уровня киберграмотности сотрудников (SA).

Комплекс услуг Solar MSS для ритейла

У ритейла нет жестких законодательных требований в плане ИБ, но зато есть жесткие требования к капитальным затратам и ограниченные бюджеты на непрофильную деятельность. Если это молодой растущий бизнес, то он точно не может позволить себе вложиться в дорогие решения для защиты ИТ-инфраструктуры. При этом у него есть и деньги, и персональные данные – все, что привлекает злоумышленников.

Ритейл – высококонкурентная среда, поэтому репутационные риски могут оказаться критичными для бизнеса. Известный факт – некоторые компании «заказывают» DDoS-атаки на сайты конкурентов, чтобы переманить клиентов.

Яркая особенность этого бизнеса – сезонность атак. Пики активности хакеров чаще всего приходятся на периоды распродаж и праздников. Поэтому для этих компаний критически важна возможность оперативно отключать и подключать сервисы ИБ по мере необходимости.

Еще один значимый аспект деятельности предприятий торговли – логистика и управление поставками в розничных сетях. ИТ-системы таких компаний должны обеспечивать целостность корпоративных данных, бесперебойность работы и защиту каналов связи между филиалами, работоспособность логистики и централизованного бэк-офиса, сохранность персональных данных клиентов.

Исходя из этого, компаниям торговли рекомендуются следующие сервисы:

UTM – как базовый сервис для компании, которая концентрирует свой бизнес в онлайне.

Anti-DDoS – для противодействия проискам конкурентов.

WAF. Веб-приложения онлайн-магазинов хранят персональные данные покупателей, включая данные банковских карт – это лакомый кусок для злоумышленников.

VM. Сервис контроля уязвимостей VM остро необходим именно в ритейле, потому что при создании инфраструктуры онлайн-коммерции владелец бизнеса делает много ошибок в части ИБ просто потому, что у него недостаточно компетенций в этой сфере.

Постепенно бизнес расширяется, появляются новые сервисы и цифровые активы, а с ними – новые риски. При этом изначально выстроенная инфраструктура не совершенствуется, и необходимо выявлять «слабые места», чтобы вовремя их закрывать, – подчеркивает Сергей Дмитриев.