Мы уже давно привыкли к программам, доступным по модели Software as a Service (SaaS), а теперь все чаще работаем с аналогичными схемами предоставления целой инфраструктуры (IaaS) и платформ (PaaS). И это правильно — чтобы сконцентрироваться на бизнес-задачах, клиенту удобнее использовать готовое решение «под ключ». Как в эту парадигму вписывается информационная безопасность? Возможна ли в принципе модель предоставления интегрированной защиты «под ключ» — Security as a Service?
Наше понимание защиты «под ключ»
Чтобы ответить на этот вопрос, для начала определим, что мы сами понимаем под «защитой под ключ». Мы считаем, что это предложение, в рамках которого клиенты получают защиту своей инфраструктуры на всех стадиях реагирования на угрозы:
- на этапе предупреждения инцидента (Prevention) с помощью решений для защиты рабочих станций;
- на этапе детектирования угроз (Detection) путем мониторинга и анализа информации, стекающейся из клиентских защитных решений в центр обеспечения безопасности (Security Operations Center, SOC);
- на этапе проактивного поиска угроз (Threat Hunting), предполагающего проверку гипотез о новых угрозах, а также ретроспективные сканы в накопленных исторических данных клиента по новым индикаторам компрометации и индикаторам атаки (Indicators of Compromise / Indicators of Attack);
- на этапе оценки и подтверждения угроз (Validation), в ходе которого команда SOC определяет, является ли конкретное подозрительное событие реальной угрозой или легальным действием (ложной тревогой);
- на этапе помощи в реагировании на угрозы (Incident Response), в ходе которой мы восстанавливаем цепочку и масштаб атаки, а также даем рекомендации клиентам по тому, как привести защищаемые системы в «здоровое» состояние.
На первом этапе справляются решения классов Endpoint Protection Platform или Endpoint Detection and Response в автоматическом режиме. На всех последующих этапах критически важно участие специалистов центра обеспечения безопасности (SOC) . Однако не каждый бизнес может позволить себе собственный SOC.
Как быть компаниям без собственного SOC?
Собственный SOC — вовсе не обязательное условие для обеспечения полноценной защиты. Долю компаний с SOC можно прикинуть при помощи платформы Gartner Peer Insights: достаточно сравнить общее количество отзывов на платформы типа Endpoint Protection с количеством рецензий на решения класса Endpoint Detection and Response (которые предполагают наличие SOC). В среднем получается около 20%.
Что делать остальным 80% компаний? Разумный выход для большинства из них — делегирование части функций. Экспертные работы по оценке и подтверждению угроз, их проактивный поиск и реагирование на инциденты могут взять на себя провайдеры услуг безопасности (Managed Security Service Provider, MSSP) или вендор решений безопасности, который, по сути, берет на себя часть функций MSSP (наш случай).
При таком подходе клиенты получают набор решений, функциональность которых значительно шире, чем Endpoint Detection and Response. Это и обнаружение угроз путем анализа аномалий сетевого трафика (Network Detection and Response), и возможность интерпретации информации об инцидентах силами высококвалифицированных специалистов (Managed Detection and Response, MDR).
Уникальность нашего SOC заключается в том, что у экспертов есть оперативный доступ к информации об инцидентах и новых угрозах по всему миру — на основании этой информации они могут предпринимать шаги в интересах клиентов. И хотя степень автоматизации процессов обнаружения и реагирования на угрозы (EDR + NDR = XDR) у нас уже достаточно высока, мы постоянно совершенствуем и впредь будем развивать это направление.
Эффективность нашего подхода уже прошла проверку в ходе оценки по методологии ATT&CK Evaluation. Правда, следует учитывать, что в силу особенностей подхода MITRE ATT&CK Evaluation Round 2 фокусировалась исключительно на возможностях решений по обнаружению угроз. Так что реагирование, предупреждение и проактивный поиск — то, в чем в должной мере проявляются уникальные компетенции наших экспертов SOC — намеренно не рассматривали.
Наши EDR-решения таже показали себя надежными и подходящими как для внутреннего SOC, так и для стороннего. Недавно наше решение Kaspersky Anti Targeted Attack вошло в тройку лидеров и получило признание Customer’s Choice в категории Endpoint Detection and Response. Огромное спасибо нашим клиентам, которые нашли время и оставили отзывы.
Я полагаю, что будущее информационной безопасности, безусловно, за моделью Security as a Service — но с возможностью выбора клиентом степени автоматизации инструментов, которые он предпочел, и возможностью «апгрейда» своего «решения под ключ» дополнительными опциями.