Александр Баринов, «Ростелеком-Солар»
CNews: Каковы глобальные тенденции последнего времени, связанные с информационной безопасностью?
Александр Баринов: Если посмотреть на глобальный рынок, то явно прослеживается тенденция к росту популярности сервисной модели. Это особенно заметно в ИБ-сегменте. Построить с нуля контур и защитить бизнес непросто: это требует времени, средств и высококвалифицированных кадров. Поэтому компании предпочитают передавать такие участки непрофильной деятельности в ведение сервис-провайдера. Все больше клиентов переходят на сервисную модель и все больше провайдеров предлагают сервисы — они уже воспринимается рынком не как эксперимент, а как стандартная модель потребления.
CNews: А как обстоят дела с сервисной моделью ИБ в России — что показывает ваш опыт?
Александр Баринов: В России, к сожалению, это до сих пор скорее исключение, чем правило — во многом из-за отсутствия адекватного предложения. Что касается спроса, фактическая потребность в обеспечении ИБ есть и у компаний уровня enterprise, и у сегмента СМБ, и далеко не всегда они могут реализовать полноценную защиту информационных активов собственными силами. Но при этом в силу нашей ментальности все еще сохраняется определенное недоверие к внешним сервисам ИБ. Отчасти иногда сами провайдеры способствуют такому положению дел на рынке, например, недостаточно четко прописывая уровень своей ответственности перед заказчиком за выполнение SLA или не вполне прозрачно обозначая технологические аспекты подключения и функционирования сервиса.
Именно поэтому год назад, когда мы запускали платформу управляемых сервисов кибербезопасности Solar MSS, нам приходилось фактически продираться сквозь предубеждения заказчиков и на практике доказывать, что сервисы кибербезопасности — это действительно безопасно, контролируемо и соответствует заявленному уровню качества. Как правило, для принятия решения компаниям хватало 1-3 месяцев пилотной эксплуатации сервиса. За это время мы объединенной командой прорабатывали специфические требования к подключению и настройкам, а иногда и с нуля вместе с заказчиком выявляли эти самые требования опытным путем.
Спустя год мы видим, что ситуация постепенно меняется: появляются заказчики, у которых абстрактные вопросы доверия трансформируются в конкретные технические задачи, совершенствуются методологии подключения и эксплуатации.
CNews: Из-за постоянного роста атак и наличия рисков внутри периметров организаций, обеспечение ИБ становится все более дорогой задачей. Из чего складываются основные траты?
Александр Баринов: Если мы говорим про традиционный подход к защите компании, то больше половины бюджета тратится на закупку программного или аппаратного обеспечения, а вторая половина — на профильных специалистов. При этом безопасники вынуждены постоянно догонять мир киберпреступности и все больше тратить на средства киберзащиты и компетенции. Зачастую для топ-менеджмента эти расходы становятся непрозрачными и неконтролируемыми, а офицерам ИБ сложно каждый раз объяснять их необходимость.
В целом у компаний есть два варианта. Первый — дорогостоящая безопасность, обеспеченная собственными силами, с не всегда предсказуемым качеством. Второй — сервисы с вполне понятными и прогнозируемыми затратами, описанными процессами, задокументированными SLA и прочими параметрами качества. Предприятия, как мы уже говорили, все больше склоняются ко второй модели.
CNews: Что делать тем компаниям, которые не могут себе позволить постоянную гонку с киберпреступниками?
Александр Баринов: Как минимум, организационные меры всегда бесплатны: можно обучить сотрудников правилам базовой кибергигиены, рассказать о существующих угрозах ИБ и мерах безопасности.
Самые тяжелые и рутинные работы, которые по факту съедают основные затраты, можно и нужно переводить в сервисную модель. Многие компании движутся путем создания сначала внутренних сервисов, а потом, достигнув определенной зрелости, передают эту часть в ведение внешних сервис-провайдеров.
CNews: Каковы основные преимущества и недостатки перехода на сервисную модель обеспечения безопасности предприятия?
Александр Баринов: В случае с традиционным подходом к обеспечению ИБ собственник компании убежден, что бизнес под защитой, выстроена определенная структура, которая обезопасила его инвестиции и активы. Однако в век цифровизации проще отдать часть непрофильной деятельности профессионалам. Можно и нужно выращивать своих экспертов, но все упирается в денежные возможности, наличие ресурсов и воли у руководства. В случае когда компанию обслуживает сервис-провайдер, он как минимум своей репутацией отвечает за то, чтобы инцидент был максимально отработан, случившиеся потери компенсированы нефинансовыми методами, причины найдены.
Многие компании опасаются перехода на сервис, исходя из ложного предположения о потере контроля. Казалось бы — в случае с самостоятельным обслуживанием нужд ИБ средства защиты располагаются на периметре и только от компании зависит, как быстро и качественно будут настроены новые политики безопасности, закрыты новые уязвимости и т.д. Однако правда в том, что это, как правило, иллюзия: по факту собственного ресурса хватает на самые очевидные задачи, а нижняя часть айсберга остается вне контроля, до нее просто не доходят руки. Также самостоятельное внедрение дороже (как правило, на 40-60%); дольше (месяцы против недель); добавим сюда CAPEX vs OPEX; дефицит компетенций на этапе внедрения, особенно в регионах, где может вообще не быть подходящего интегратора; дефицит кадров на этапе эксплуатации.
CNews: Почему сервисный подход лучше, чем самостоятельная защита?
Александр Баринов: Как я уже сказал, за счет сервисов реализуют наиболее рутинные задачи, например, эксплуатацию NGFW / UTM, SEG, WAF, что дает возможность высвободить кадровые ресурсы для выполнения более интеллектуальной работы. Но, пожалуй, главным эффектом является то что, затраты становятся прозрачными и управляемыми для всех участников, что дает возможность впоследствии более эффективно распоряжаться средствами и подключать новые сервисы по необходимости. Например, сервисы Solar MSS весьма доступны по цене, при этом они гибко управляются в части объемов потребления и тарифов, так что позволить себе их может практически любая компания.
Важным аспектом является географическая распределенность служб эксплуатации на стороне сервис-провайдера — это позволяет обеспечить равномерную защиту 24/7. Тенденция такова, что если раньше в дневное время атак было больше, то сейчас их количество ночью и днем выравнивается.
CNews: Насколько сильно на ИБ влияет кадровая проблема, особенно в регионах?
Александр Баринов: Проблема кадрового голода существует не только в регионах (хотя там она стоит наиболее остро). В столице и в других крупных городах за кадры борются сервис-провайдеры. Это оправдано необходимостью защищать огромное количество разнообразных организаций. Как работодатели они имеют ряд преимуществ. Безопасник внутри предприятия выполняет одни и те же функции на постоянной основе — это рутина, наступает «замыливание», выгорание. В то же время у аутсорсера десятки клиентов и все время появляется что-то новенькое, сервис-провайдер постоянно развивает своего сотрудника.
CNews: Каким компаниям лучше подходит ИБ как сервис?
Александр Баринов: В первую очередь тем, для которых ИБ не является ключевой компетенцией или бизнес-образующей функцией. Это те предприятия, которые видят в ИБ, скорее, обременение, вынужденную необходимость, чем преимущества. Однако на фоне роста хакерской активности, мы видим, как в свою игру злоумышленники вовлекают не только крупные предприятия, которые традиционно были их целью, но и компании малого и среднего бизнеса. Последним приходится выстраивать свои средства защиты, проходить спецобучение по ИБ, на что собственных сил, знаний и желания порой не хватает. На Западе этот сегмент рынка давно использует сервисную модель ИБ, у нас она только выходит на рынок. В целом, сервисное обеспечение информационной безопасности можно рекомендовать как крупным enterprise-компаниям, так и СМБ.
CNews: Что это дает поставщикам услуг?
Александр Баринов: Тут стоит говорить с позиции оператора связи (как вы знаете, в мае 2018 года «Ростелеком-Солар» был приобретен «Ростелекомом»). Операторы привыкли к формату небольшой, но регулярной абонентской платы. И мы с сервисным подходом органично встраиваемся в экономическую модель оператора. Прогнозируемые доходы и высокая степень взаимодействия с клиентом позволяют поставщику услуг постоянно развивать сервисы, обеспечивая своевременные изменения, ввод нового функционала и модернизацию в соответствии с быстро меняющимся ландшафтом угроз.
CNews: Расскажите о вашей платформе ЕПСК. Как она устроена, из каких элементов и сервисов состоит, использовалось ли при ее создании свободное ПО?
Александр Баринов: Единая платформа сервисов кибербезопасности (ЕПСК) является ядром экосистемы управляемых ИБ-сервисов Solar MSS. Работа над созданием платформы началась больше трех лет назад. В ноябре 2018 г. мы запустили ее в коммерческую эксплуатацию.
Сейчас в составе ЕПСК четыре базовых сервиса: защита от сетевых угроз, защита веб-приложений, электронной почты, защита от DDoS-атак на уровне сети и приложений. Наша платформа — экосистемная, то есть сервисы существуют не каждый сам по себе, между ними налажен процесс обогащения телеметрией по угрозам и атакам, что позволяет непрерывно совершенствовать технологии и политики безопасности каждого из них. Мы можем размещать на платформе технологии любых вендоров средств защиты, у которых есть подобные решения в формате виртуализованных программно-аппаратных комплексов. Сейчас на платформе «живут» два зарубежных вендора, обеспечивающие сервисы сетевой безопасности, и один российский, обеспечивающий Web Application Firewall (WAF). В следующем году появится еще несколько вендоров, в том числе российских. То есть архитектура нашей платформы позволяет отвечать и на запросы тех пользователей, для которых критично импортозамещение.
CNews: Какие технологии поддерживает ЕПСК?
Александр Баринов: Как предприятия выстраивали свою защиту 3–5 лет назад? Покупали на свой периметр программное и аппаратное обеспечение от различных поставщиков средств защиты. Расставляли их у себя на площадке, вокруг формировалась собственная служба эксплуатации, безопасности — команды мониторили состояние инфраструктуры и приложений и реагировали на инциденты. Наша платформа подразумевает сервисный подход, при котором все эти средства и железки переезжают в дата-центр оператора и разворачиваются там в формате виртуализованных комплексов.
Чтобы приблизить физическую площадку клиента к нашему дата-центру, необходимо применение технологии SD-WAN: с помощью умного роутера можно «дотянуть» по защищенному каналу площадку заказчика до нового периметра, в котором мы и организуем средства защиты (СЗИ), «живущие» в узлах связи, в операторских дата-центрах. За эксплуатацию СЗИ отвечает наш Solar JSOC. Таким образом мы предлагаем рынку новые технологии: забираем у клиента рутинные функции защиты, разгружая службу заказчика, мониторим всю структуру и по-настоящему обеспечиваем реагирование. Подключив каждую площадку к нашей платформе посредством технологии SD-WAN, мы можем реализовать единую стандартизованную централизованную систему защиты. При этом, если у клиента есть свои дата-центры, филиалы, штаб-квартира, облако — для нас все это просто еще один тип площадок, которые мы соединяем управляемым роутером.
CNews: Как выглядит начало работы с ЕПСК?
Александр Баринов: Подключение к нашей платформе выполняется по технологии One Touch. Требуется лишь небольшое предпроектное обследование, чтобы понять, какой у заказчика сетевой ландшафт. После этого мы отправляем на площадку клиента нашу CPE (Сustomer Premises Equipment) — оконечное оборудование, на котором все заранее преднастроено. Для подключения нужно воткнуть два проводка — интернет и внутреннюю сеть — после нажать на ссылку, которую сгенерировала платформа. Площадка становится защищенной в считанные минуты.
При идеальном сценарии развертывание происходит за 2-3 дня с момента заказа до подключения, самое узкое место — доставка CPE. Мы крупный оператор, поэтому данное оборудование есть на складах «Ростелекома» по всей стране — за счет этого обеспечивается быстрое подключение. Кстати, благодаря SD-WAN нам не важно, сетями какого провайдера пользуется клиент — это не обязательно должен быть «Ростелеком». Если нужно, мы можем обеспечить резервирование каналов ресурсами двух операторов.
При этом каждому заказчику предлагается посчитать стоимость владения нашим решением в сравнении с самостоятельной закупкой и эксплуатацией. Кто-то считает в разрезе 10 лет, кто-то — на 2-3 года. В 99% случаев наше предложение намного выгоднее традиционного подхода. Чем крупнее бизнес, тем дешевле ему это обходится.
Это не скидка, а эффект масштаба. Все оборудование имеет срок амортизации. Когда заказчик стоит перед выбором — обновить свой парк железных средств защиты или перейти на сервисную модель, — он, как правило, выбирает нас. Есть кейсы, когда клиент себе уже купил какое-то оборудование, оно полежало год, кончилась лицензия, а в компании так и не появился человек, который хотя бы включит это оборудование. «Нормативку» заказчик выполнил, но формально, а по факту это средство защиты не заработало. Сказалась нехватка персонала и ресурсов, но защищаться все равно нужно. В таком случае удобнее прийти к сервис-провайдеру и развернуть защиту в считанные дни.
CNews: Можете привести примеры кейсов?
Александр Баринов: Одним из недавних клиентов, который воспользовался всеми технологическими и кадровыми преимуществами платформы, стало региональное медицинское учреждение. Если говорить в разрезе отраслей, сервис очень полезен ритейлу, фармацевтическим и аптечным сетям, розничной торговле, ресторанам, пунктам обслуживания, у которых много площадок, которые могут быстро передвигаться, открываться, закрываться. Мы соответствуем их требованиям к мобильности и скорости.
Сервис используют областные администрации, МФЦ, центры по обслуживанию населения, много вузов, для которых мы делаем хорошие скидки. С банками труднее, но у нас есть несколько кейсов и с ними, и с другими финансовыми организациями — лизинговыми и страховыми компаниями. Чем сложнее инфраструктура, тем сложнее отдать ее на аутсорс, но в то же время это более выгодно экономически и администрировать такое решение получается прозрачно, централизованно и упорядочено. Среди наших клиентов есть медицинские учреждения, компании из энергетики, производственные предприятия. Большинство запросов поступает на базовые сервисы сетевой защиты: межсетевой экран и систему предотвращения вторжений. В Москве активность сосредоточена около государственных структур, в регионах обращаются компании среднего бизнеса, которые на практике сталкивается с угрозами и предпринимают меры защиты по сервисной модели.
Поделиться
