Что ИБ понесет на аутсорсинг?
14 мая провели ИБ-утряшку «Новая реальность ИБ». Михаилу Сусорову низкий поклон за участие! Правда, «Новая реальность … » больше подходит для вывода на рынок синтетического наркотика, но мы выходим с завидной регулярностью по четвергам в 10.30 утра и, возможно, это нас хоть как-то оправдывает :-) . Не знаю, как долго мы сможем выдерживать этот марафон, но к этому эфиру мы готовились с особой тщательностью. Тему заявили «Обновленный аутсорсинг ИБ» и чтобы ей соответствовать не только составом приглашённых спикеров, мы подготовили интерактивное голосование. Один из вопросов звучал так: «Какие средства и технологии защиты информации вам хотелось бы использовать в виде сервиса (SecaS)?» SecaS это Security as a Service.
И тут разгорелась нешуточная дискуссия. Краткий список для голосования состоял из 19 пунктов и выглядел примерно так:
1. Системы предотвращения утечек информации (DLP)
2. Межсетевые экраны, унифицированные шлюзы безопасности (NGFW, UTM)
3. Системы предотвращения вторжений (IPS)
4. Песочницы (Sandbox)
5. Шлюзы веб-безопасности (SWG)
6. Шлюзы защиты электронной почты (SEG, Anti-SPAM)
7. Криптографические шлюзы (ГОСТ VPN)
8. Анализаторы безопасности приложений (SAST, DAST, IAST)
9. Системы управления правами доступа (IDM, IGA, PKI, MFA, SSO)
10.Межсетевые экраны уровня веб-приложений (WAF)
11.Средства защиты от DDoS-атак (Anti-DDoS)
12.Системы анализа ИБ-событий (SIEM)
13.Сканеры уязвимостей ИТ-инфраструктуры (VM)
14.Системы управления ИБ-инцидентами (IRP, SOAR)
15.Контроль доступа к инфраструктуре (NAC)
16.Потоковые антивирусы (AV)
17.Системы анализа трафика (NTA)
18.Брокеры доступа к облачным приложениям (CASB)
19.Системы управления корпоративными устройствами (EMM)
Простой ответ «в облаках у аутсорсера будет – ВСЁ и ВСЕ». И это правильный ответ, и вопрос лишь во времени. Но, как показывает практика аутсорсинг применяют, в основном, в двух случаях:
1. Аутсорсинг сильно дешевле
2. Не смогли или сразу понимают, что сами сделать это достаточно качественно не смогут.
По первому пункту, причин этому может быть много, от банального «у аутсорсера лицензии дешевле за счет массовости», до «не смогли найти достаточно интеллектуальных ресурсов на рынке по приемлемой цене».
Вторая причина перекликается с перовой, но она, обычно, стреляет на технически сложных проектах, когда заказчик просто физический не смог найти интеллектуальные ресурсы для обеспечения нормального качества, за любые деньги, тут уже работает постулат что Ценность дороже Цены и аутсорсинг запросто может быть дороже. И я думаю, что так оно и будет, наши внуки уже не смогут представить, что такое «собственный» сисадмин или «собственный» офицер ИБ.
Поэтому, то что есть на рынке уже сейчас, вскоре станет массовым и нормальным внешним сервисом: SIEM, DLP, VM, SAST/DAST/IAST анализаторы кода, FW/UTM/NGFW, WAF и т.д. это будет поддержано переходом в облака обычной ИТ-инфраструктуры. Тут можно только спорить, что первое понесут в облака массово крупные игроки: критическую инфраструктуру или наоборот? Думаю, что если государство не «поможет», то будет медленное перетекание сначала чего-то некритичного. Сайты в облаках уже никто не боится размещать, малый бизнес с облачной бухгалтерией тоже никого не удивляет, а по мере утраты страхов начнется передача чего ни попадя, в том числе и КИИ. Надеюсь мы все же не доживем до АСУ ТП атомной станции в облаке интегратора и сопровождаемого его же сотрудниками :-)
Следующее, что мы увидим в облаках массово - это почтовики (их там уже много) и соответственно песочницы, антиспамы, бекапилки, ну и DLP c UEBA. Куда же без них? Следом за этим мы увидим массовое перетекание в облака документооборота, бухгалтерии, и сопутствующих бизнес-балалаек (инструментов), что соответственно потребует сопровождения большого количества сложных инструментов-ИБ. Думаю, совсем скоро мы увидим Next Generation VM которые смогут интеллектуально в real time сканировать большие сети и делать предварительную аналитику (с корреляционным движком a-la-SIEM и нативным RM), что в свою очередь вызовет необходимость поиска сотрудников с соответствующими знаниями, которые будут только у аутсорсеров. Но самое главное нужные процессы будут только у аутсорсеров, а времени на выстраивание своего у заказчиков не останется совсем.
Следующее что мы увидим – это, не отдельные продукты, аутсорсинг целых бизнес-процессов с мониторингом и реагированием на чисто ИТ-шные инциденты с поддержанием их работоспособности. В этом процессе, на сегодня, нас держит только один вопрос – как разделить ответственность? Если мы предлагаем SOC в аутсорсинг и пропускаем инцидент – какова доля нашей ответственности? Ведь мы можем пропустить его по 100500 причин: заказчик не закрыл уязвимости, не подключил хост на мониторинг, не имеет нужных СЗИ или имеет но не умеет настраивать и т.д. и т.п.. При переходе всей ответственности за инфраструктуру в одни руки – все вопросы снимаются, разграничение ответственности происходит естественно – поломали инфраструктуру – виноват аутсорсер, сломали бизнес-логику – виноват бизнес.
Но пока это скорее фантастка. Поэтому на ближайшую перспективу спор пойдет между:
- Системы резервного копирования и восстановления (уже есть, но пока страшно и интернет не такой быстрый)
- IRP, SOAR (по мере усложнения решений и уменьшения времени на реагирование потребуется это как-то автоматизировать)
- DLP (ну это уже практический факт)
- SIEM (не понимаю почему вендоры сами этого еще не предлагают массово)
- VM (и такой как сейчас и в варианте NG)
Плюс сервисы в виде стажировки, тренировки, обучение, сопровождение и реагирование.
В итоге 36% зрителей проголосовала за SIEM, 27% за средства защиты от DDoS атак и на третьем месте DLP (18%). Мы можем долго спорить, готовясь к эфиру, выдвигая самые неожиданные гипотезы, но на мнение рынка и нашей аудитории это не влияет. Как выглядит правда рынка покажет время! Или на это повлияет ваш выбор :-) А к стати, каков ваш выбор?
Опубликовано 18.05.2020