Rambler's Top100
Статьи ИКС № 04 2012
Эльман БЕЙБУТОВ  10 апреля 2012

Мониторинг безопасности из облака

Собственный Центр оперативного мониторинга и управления инцидентами информационной безопасности (Security Operations Center, SOC) может себе позволить далеко не каждая компания. А если сервисы SOC вынести в облако? По мнению Эльмана БЕЙБУТОВА, руководителя направления безопасности БД и SOC компании «Инфосистемы Джет», новая модель предоставления услуг будет востребована не только SMB, но и крупным бизнесом.

– Что представляет собой «классический» SOC, и какие его компоненты можно вынести в облако?

– SOC – это система сбора, корреляции и хранения событий информационной безопасности, позволяющая оперативно выявлять инциденты ИБ и реагировать на них. Для получения полноценной картины инцидентов обычно к SOC подключают имеющиеся системы информационной безопасности, сканеры уязвимостей, средства защиты СУБД, серверы приложений и веб-серверы, рабочие станции привилегированных пользователей и сетевое оборудование. В облако можно перенести основные сервисы SOC: мониторинг событий и уязвимостей ИТ-активов, мониторинг конфигураций ИТ-активов и внешнее тестирование защищенности ИТ-систем, мониторинг обращений к СУБД и защиту веб-сервисов. Вне облака, пожалуй, имеет смысл оставить лишь реагирование на инциденты.

– Как возникла идея облачных сервисов SOC?

– Многие крупные заказчики пошли по пути создания SOC на собственной площадке. Но за последние год-полтора подобные системы стали пользоваться спросом и среди небольших банков, страховых компаний, ритейловых организаций и промышленных предприятий. В их числе компании, активно использующие веб-приложения для бизнеса, которым необходим обмен данными через Интернет, компании сектора SMB, уже имеющие опыт работы с провайдерами ИТ-сервисов. Это также быстрорастущие компании, в которых развитие бизнеса опережает развитие систем безопасности, средние и малые компании, не имеющие возможности приобрести ИБ-продукты корпоративного уровня. Альтернативой для них становится получение по подписке сервиса того же уровня, что и у владельцев собственных SOC.

Но следует отметить, что и enterprise-заказчики, желающие вынести ряд функций информационной безопасности во внешнюю организацию, заинтересовались облачными сервисами SOC. Они получают возможность контроля инцидентов безопасности и управления эффективностью работы службы ИБ.

– SOC из облака – чья это «тема»? Вендоров, интеграторов или телекомов?

– Сегодня крупные телекоммуникационные компании активно предоставляют различные сервисы безопасности своим абонентам. Уже сейчас телекомы осваивают этот рынок, предлагая облачные услуги антивируса, «чистого Интернета» и межсетевого экранирования. Я думаю, что это направление в телекоммуникационном бизнесе будет развиваться и далее. Что касается вендоров, то при всем их желании ресурсов для оказания подобных услуг у них недостаточно. Если говорить об интеграторах, то сейчас лишь несколько ведущих компаний на российском рынке строят SOC для крупных заказчиков. Но в качестве облака сервисы SOC предлагает пока только одна компания: на нашем рынке это ноу-хау принадлежит «Инфосистемам Джет». Возможно, через некоторое время количество такого рода предложений увеличится.

– Подписываясь на облачные сервисы SOC, что получают компании кроме собственно сервисов?

 – Вообще говоря, интегратор «с консалтинговой начинкой» предоставляет не просто сервис, а сервис, настроенный под клиента: со своим SLA, с набором правил и политик ИБ в привязке к ИТ-инфраструктуре заказчика, с регламентами разрешения инцидентов внутри организации. Что касается стратегических выгод, то для клиентов это в первую очередь возможность сконцентрироваться на основном бизнесе и сократить капитальные вложения в создание собственных систем безопасности. Не менее значимо в данном случае и снижение затрат на поддержку систем безопасности при незапланированных изменениях в ИТ-инфраструктуре. Заказчик оплачивает только объем сервисов, необходимый для текущей ИТ-инфраструктуры.

Кроме того, компания получает ряд технологических преимуществ: это более современные технические и технологические решения в области ИБ и услуги более высокого качества, чем реализованные собственными силами. Заказчик может также пользоваться услугами квалифицированных специалистов провайдера, обеспечивающих обслуживание и поддержку систем абонента, а при необходимости предлагающих их оперативную модернизацию. Наконец, неоспоримым преимуществом является доступность услуг и удобство сервисов: управление качеством и набором услуг, быстрота и легкость подключения и регулирования параметров услуг, их оплаты, просмотра отчетов и пр.

– Как происходит подключение к облаку? Требуется ли устанавливать системы на стороне клиента?

– В «классическом» облаке клиент просто заходит через свой веб-браузер на портал – и в этом портале работает. При реализации SOC в облаке есть отступление от «классики»: в ряде случаев мы ставим оборудование на стороне заказчика для того, чтобы иметь возможность обрабатывать там большие потоки данных, например при мониторинге всех обращений к СУБД. Обычно к базам данных идет большой трафик от серверов приложений, и для сбора «сырых» данных на стороне клиента ставится специальный компонент системы безопасности, который перенаправляет эти данные на центральную консоль в облако. Они фильтруются по правилам и политикам безопасности, и заказчику поступает уже сводка событий и инцидентов, требующих реагирования. Защита веб-сервисов выделяется в отдельный блок услуг. По аналогии с сервисом мониторинга обращений к СУБД мы смотрим, какой трафик идет от рабочих станций клиента к серверам приложений. Эта дополнительная информация позволяет понять, какого вида атаки на них были предприняты, определить уровень защищенности веб-серверов и более тонко настроить правила корреляции.

В то же время, например, услуга по сканированию уязвимостей предоставляется без отступлений от классического варианта – мы просто запрашиваем доступ к внешним IP-адресам и через защищенный интернет-канал сначала проводим сканирование собственно компонентов ИТ-инфраструктуры, а затем сканируем их на наличие уязвимостей, неправильной конфигурации. В результате заказчик получает отчет о найденных уязвимостях и рекомендации по их устранению.

Подключение клиентов к облаку осуществляется стандартно, после подписания SLA, в котором фиксируются договоренности, границы предоставления услуг и перечень объектов мониторинга с помощью облака. Цена подписки на каждую услугу по соответствующей модели расчета формируется на срок, предварительно оговариваемый с клиентом.

– Какие существуют модели расчета стоимости услуг?

– Модели различаются по основным параметрам в зависимости от типа услуги. Для защиты баз данных важно знать средний объем трафика, идущего от серверов приложений к СУБД, поскольку этот показатель влияет на затраты поставщика услуг по хранению данных. Для сканирования уязвимостей расчет строится исходя из числа сканируемых узлов, по которым мы должны будем собирать сводки и анализировать конфигурации. После определения базовой стоимости сервиса модель расчетов индивидуализируется в соответствии с запросами каждого клиента.

Могу сказать, что весомую долю стоимости могут составлять услуги консалтинга: проработка критичности угроз, правил корреляции, составление регламентов инцидент-менеджмента на стороне заказчика и реагирования на тот или иной инцидент, вплоть до распределения ролей внутри организации.

– Какова ваша оценка перспектив развития облачных сервисов ИБ в России?

– На мой взгляд, в ближайшие два-три года в России облачные услуги безопасности будут так же востребованы, как сейчас в странах Европы и США. В России о подобных сервисах впервые заговорили в 2008 г., и первая реакция на них была очень настороженной. Более того, эти услуги воспринимались скорее «в штыки». Но не прошло и двух лет, как ситуация изменилась на прямо противоположную: клиенты посмотрели вокруг и увидели, что весь мир «меняет парадигму», это коснулось даже крупных корпораций (например, автоконцернов). По уровню безопасности – равно как и с точки зрения выгоды – облачные услуги не уступают системам, построенным на собственных площадках, поэтому, скорее всего, востребованность подобных сервисов и в нашей стране будет увеличиваться, а в секторе SMB всплеска их популярности можно ожидать уже в ближайшие полгода-год. Потому мы и считаем свой выход на рынок облачных сервисов ИБ своевременным и многообещающим.

– Объем всего российского рынка информационной безопасности (услуги и ПО) оценивается примерно в $700 млн. Как вы считаете, велик ли будет вклад SOC-Cloud в общую копилку?

– К объему рынка ИБ этот сегмент в ближайшие год-два, вероятно, много не прибавит, но значительно увеличит качество предоставления услуг клиентам, которые хотят при небольших инвестициях получать надежный сервис.

Беседовала Лилия ПАВЛОВА

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!