В 2018 году наша компания вывела на рынок новый сервис аутсорсинга информационной безопасности – центр реагирования на инциденты ИБ Jet CSIRT. Сегодня мы приоткроем завесу тайны и поделимся подробностями нашей внутренней кухни. В этой статье я расскажу, какие факторы нас подтолкнули к созданию продукта, почему мы решили двигаться именно в направлении экспертных сервисов, как сформировали структуру услуги, которая оптимально решает задачи заказчиков, и каким образом воплотили идею в реальность.
ЗАЧЕМ ЕЩЕ ОДИН ЭКСПЕРТНЫЙ СЕРВИС?
Сегодня на рынке представлено довольно много сервисов информационной безопасности, почему мы решили создать еще один? Первой причиной стало понимание назревшей проблемы: большинство сервисных продуктов покрывает потребности клиентов лишь частично. Так, при выводе новых услуг аутсорсинга ИБ на рынок сервис-провайдеры чаще всего руководствовались двумя принципами: «есть угроза – создадим услугу» и «есть продукт – создадим облачный сервис». При этом они, как правило, не проводили тщательный анализ рынка и запросов типового заказчика, а иногда и вовсе действовали по наитию. В результате многие сервисы не пользовались высоким спросом, были убыточными, вызывали нарекания клиентов и т.д. Косвенно этот факт доказывает очень малое число компаний, действительно сделавших хороший устойчивый бизнес в данном сегменте. В России их можно перечесть по пальцам одной руки, и это при высоких темпах роста рынка! Наша задача заключалась не в создании очередного сервиса «в тренде», а в применении новых подходов, основанных на анализе рынка и клиентов, и создании либо корректировке услуг уже на базе этого фундаментального знания.
Другая причина, которая побудила нас к формированию новой услуги, – высокий потенциал рынка аутсорсинга ИБ. Сегодня мы наблюдаем пять мощных благоприятных факторов для развития экспертных сервисов. Это глобальное развитие аутсорсинга во всех сферах мировой экономики, глобальное повышение значимости информации и ее безопасности, рост количества угроз, развитие нормативно-правовой базы в области защиты информации, а также глобальная проблема дефицита высококвалифицированных кадров.
СЕРВИС ЗА ТРИ ШАГА
Имея за плечами многолетний опыт аутсорсинга ИБ и сервисного бизнеса в целом, взаимодействуя с десятками действующих и потенциальных клиентов, мы определили для себя три шага, которые должны были помочь нам найти оптимальную концепцию сервиса аутсорсинга Incident Response.
Шаг 1. Изучить уровень зрелости ИБ реальных клиентов и определить их слабые и сильные стороны.
Таблица 1
Для расчета уровня зрелости мы использовали собственную методику, базирующуюся на методиках Института программной инженерии Карнеги-Меллона и Университета Родса. Если обобщить, то оцениваемые уровни зрелости по разным аспектам, таким как команда, технологии, бизнес и процессы, в итоге суммируются по баллам от 0 до 5. При этом 0 означает полное отсутствие возможностей, 5 говорит о присутствии абсолютно всех возможностей по всем аспектам. В реальном мире оптимальный уровень зрелости большинства организаций составляет около 3. Значения от 4 до 5 могут подразумевать избыточный перекос в сторону ИБ от бизнеса и меньшую гибкость.
Статистика по показателям зрелости у нас вышла следующая (Рис. 1):
Рис. 1
Итоговая картина продемонстрировала в среднем довольно низкий уровень зрелости процессов, но чуть больший уровень технологий. Мы пришли к выводу, что экспертная помощь клиентам в среднем нужна больше, нежели инструменты аутсорсинга. Хотя и с инструментами у многих проблемы, учитывая их сложность и стоимость.
Шаг 2. Найти диспропорцию в процессах ИБ клиентов для правильной фокусировки услуги.
Изучив аналогичную выборку клиентов, мы определили, что в подавляющем числе случаев заказчику необходима помощь не только в детектировании атак, но и в реагировании на инциденты.
Дело в том, что процесс Incident Response часто упрощают, в действительности он включает примерно 20 подпроцессов в рамках 4 больших этапов. Детектирование – важный элемент, но без равномерной развитости процессов общая эффективность будет приближаться к самому слабому звену. Оказалось, что 21 из 30 клиентов эту проблему полностью осознают. Практика показала, что подключение зрелого коммерческого SOC вызывает откровенную диспропорцию в процессах Incident Response: достигается приемлемый уровень зрелости процессов детектирования (2-3) при зачаточном уровне развития реагирования на стороне заказчика (0-1).
Стало очевидно, что примерно 70-80% клиентов необходима поддержка в области всех процессов Incident Response. Если отталкиваться от NIST 800-61r2, то она нужна и на следующих этапах:
подготовка, планирование, выстраивание процессов центров мониторинга ИБ, настройка инструментов;
детектирование, расследование и анализ инцидентов;
реагирование в части локализации, нейтрализации и восстановления;
постинцидентная активность.
То есть большинство однозначно нуждается в комплексной помощи, а не узких сервисах по аналитике. Другими словами, клиентам требуется помощь и по технике, но в первую очередь по процессам и людям. Исключение составляют единицы (<<10%) крупнейших компаний России с развитыми SOC.
Шаг 3. Определить ценности клиента
Как я говорил выше, если сервис-провайдер изначально не понимает ценности клиента, он не может предложить оптимальную услугу по соотношению цена/качество/функции для организации комфортного и эффективного сотрудничества.
Иногда незначительные дополнительные опции могут оказаться крайне важными и полезными, и не нужно выставлять за них счет. Нередко это напрямую влияет на основные потребности клиента, не требует больших затрат и становится важным условием повышения его лояльности. Эффект аналогичен бесплатному Wi-Fi в ресторане.
Для получения фундаментальной картины и понимания мы искали модель, которая подсказала бы нам:
как определить главные ценности клиента;
как определить процессы, которые заказчик хотел бы реализовать самостоятельно (In-house);
как определить процессы, которые он может легко отдать на аутсорсинг.
Ряд интересных идей и выводов нам помогла сделать методика Wardley Value Chain Mapping. В оригинале она решает задачу выявления ключевых потребностей клиента сервиса и методов их достижения (в любой отрасли).
На первом этапе построения сервиса мы должны определить потребности, причем важно сосредоточиться именно на главной потребности клиента. Если выстраивать услугу вокруг вторичных потребностей или тем более вокруг компонент, возрастает риск упустить что-то важное.
Проводя изучения в области Incident Response, мы получили следующую картину (Рис. 2):
Рис. 2
Нетрудно заметить, насколько сложная взаимосвязь между потребностями, обеспечивающими их сервисами и компонентами разных уровней, настолько те либо иные компоненты отличаются по природе, уровню интеграции в готовые продукты, необходимости кастомизации под инфраструктуру клиентов, возможности их масштабирования в сервисной модели.
Методика также показала, что обеспечение основных потребностей клиента в области Incident Response возможно только через комплексный подход, когда мы берем на поддержку большую или значительную часть процессов. Именно в этом ошибка многих сервисов мониторинга и реагирования на инциденты ИБ – они фокусируются на слишком узкой области, оказывая сервисы уровня компонент.
НОВЫЙ СЕРВИС: ЧТО В РЕЗУЛЬТАТЕ?
Проведя всесторонний анализ рынка под тремя разными углами и отталкиваясь от карты Уордли, мы пришли к выводу, что нам нужно реализовать комплексную услугу по предотвращению, обнаружению и реагированию на угрозы, полностью покрывающую ключевые потребности заказчиков. При этом у нас было четкое понимание, что на уровне компонент мы должны быть готовы к решению задач по обеспечению соответствия требованиям регуляторов и к предоставлению ряда других дополнительных функций.
Такой подход априори требовал значительных ресурсов, разной специализации и высокой квалификации. Здесь нам способствовало наличие в компании большой и сильной команды экспертов по информационной безопасности, включающей около 200 специалистов различных профилей.
Мы выбрали концепцию центра мониторинга и реагирования на инциденты (CSIRT – Computer Incident Response Team), предполагающую максимально глубокое погружение в инфраструктуру клиента и широкий охват по ИБ-сервисам.
Наш текущий список сервисов Jet CSIRT выглядит следующим образом:
мониторинг событий ИБ;
подключение источников событий;
расследование инцидентов ИБ;
кибераналитика по внешним угрозам;
управление уязвимостями;
разработка уникальных сценариев выявления инцидентов;
техническое реагирование, сдерживание и нейтрализация угроз;
проактивный поиск и обнаружение угроз;
эксплуатация СЗИ;
предоставление СЗИ по подписке;
управление жизненным циклом инцидента;
изучение вредоносного кода;
аналитика по открытым данным (OSINT);
бизнес-ориентированная аналитика;
взаимодействие с ГосСОПКА;
комплексное ИБ-консультирование;
аудит и анализ защищенности;
форензика.
Сегодня Jet CSIRT успешно функционирует, помогая заказчикам из самых разных отраслей комплексно решать задачу по обеспечению безопасности ИТ-инфраструктуры. В наших планах – дальнейшее расширение и углубление возможностей в части киберкриминалистики и OSINT-технологий, а также обогащение опыта в части взаимодействия с ГосСОПКА.