Сервисные провайдеры порой не в состоянии предлагать все услуги по обеспечению безопасности: им может недоставать нужных знаний, чтобы охватить взглядом весь ландшафт ИТ и надежно согласовать между собой используемые инструменты. Выходом из этой ситуации становится концепция аутсорсинга для аутсорсеров, когда специализированный производитель предоставляет провайдеру услуг свое ноу-хау и заполняет пробелы в его списке услуг.

Управляемые службы обеспечения безопасности (Managed Security Services, MSS) варьируются от услуг оценки состояния системы безопасности (Security Assessment Services) и проверок на проникновение до служб оценки уязвимостей и систем обнаружения и предотвращения вторжений. Провайдерам услуг, не способным составить полноценное предложение, рекомендуется передать выполнение определенных задач специализированной компании, чтобы воспользоваться знаниями и умениями ее специалистов, которые обладают необходимой технической подготовкой, а также богатым опытом работы с инфраструктурными решениями конечных клиентов. Кроме того, у такой компании есть необходимое оборудование и персонал для обеспечения круглосуточного мониторинга клиентской сети.

ПРОБЛЕМА МНОГООБРАЗИЯ

Значительное влияние на взаимодействие сервисного провайдера с аутсорсером MSS оказывает инфраструктура ИТ конечного клиента. Большинство предприятий не обладает едиными директивами по обеспечению безопасности, а управление активами часто оказывается крайне сложным по причине отсутствия наглядности. Кроме того, на предприятиях применяется широкий спектр решений обеспечения безопасности, которые, как правило, имеют собственные интерфейсы управления, используются в разных версиях и не обладают общими стандартами обмена информацией и совместной работы.

Наряду с внутренними трудностями серьезным вызовом является характер современных атак на систему безопасности, поскольку довольно часто они происходят в форме отдельных событий. Изолированные устройства с ограниченным «полем зрения» не могут воспринимать их во всей полноте. Поэтому необходимо построить инфраструктуру, в которой централизованно размещаемые системы будут собирать информацию от разных решений, сопоставлять, удалять лишнее, распознавать потенциальные атаки и либо подавать сигнал тревоги, либо принимать соответствующие меры.

ОПРЕДЕЛЕНИЕ ПРАВИЛ

Весомым вкладом в успех проекта по аутсорсингу безопасности станет предварительная подготовка. Проект должен быть хорошо продуман и спланирован, общие условия точно определены. Обязательно рекомендуется зафиксировать цели в правилах. Как неоднократно было подтверждено, эту задачу лучше решать собственными силами, даже когда все остальные области обеспечения безопасности отдаются на аутсорсинг. Так проще гарантировать соответствие правил обеспечения безопасности целям предприятия.

Сервисный провайдер и аутсорсер MSS берут на себя повседневную работу, то есть поддерживают функционирование инфраструктуры обеспечения безопасности, ведут мониторинг сети и отражают атаки. Посредником между ними является ответственный сотрудник предприятия, поскольку он раньше всех узнает о нуждах своей компании и может сообщить аутсорсеру о новых приобретениях, модификациях или измененных паролях (см. врезку «Разделение обязанностей и эскалация»).

ОПРЕДЕЛЕНИЕ КРУГА ОТВЕТСТВЕННОСТИ

Необходимо однозначно и подробно определить задачи и сферы ответственности, а также параметры управления безопасностью для всех сторон. Совместная работа не будет осложняться проблемами лишь тогда, когда имеются соглашения об уровне сервиса (Service Level Agreements, SLA). В одинаковой мере это касается как разделения задач между конечным клиентом и провайдером услуг, так и сотрудничества провайдера с аутсорсером. Практика показывает, что четко налаженное взаимодействие — альфа и омега продуктивной совместной работы. Для достижения тесного и интенсивного сотрудничества должен быть установлен нормальный контакт. Поэтому опытные провайдеры услуг при выборе партнера по аутсорсингу обращают внимание не только на его техническое ноу-хау или уверенную позицию на рынке, но и учитывают доверие, надежность и близость корпоративной культуры.

СОТРУДНИЧЕСТВО НА ПРАКТИКЕ

Важнейшей основой для эффективного аутсорсинга функций обеспечения безопасности является точное знание сети клиента. В идеале и у провайдера услуг, и у аутсорсера MSS должно быть достаточно времени, чтобы ознакомиться с ее особенностями на месте. На практике приходится сталкиваться со множеством различных структур, которые добавлялись в течение многих лет. Поэтому детальное изучение всех особенностей сети может занять несколько недель. Все данные обобщаются в подробной документации и постоянно обновляются. Благодаря такому подходу всесторонняя информация будет доступна не только тому специалисту, который исследовал сеть клиента; тем более что во время атаки принимать решения и необходимые меры придется, скорее всего, всем членам команды — то есть сотрудникам провайдера и аутсорсера. Именно здесь высокое качество взаимодействия себя оправдает. Чем точнее клиент проинформирует тех, кто отвечает за обеспечение безопасности, тем эффективнее они смогут отреагировать.

Для организации оптимальной работы провайдеру услуг и его аутсорсеру MSS следует договориться об общем аппаратном обеспечении и реализовать прямые интерфейсы между своими инфраструктурами. Использование одинаковых систем особенно важно, когда провайдер отдает под контроль аутсорсера MSS не всю область обеспечения безопасности, а лишь отдельные функции. Только таким образом можно гарантировать прозрачную передачу данных. И вновь необходимо четкое разделение задач и ответственности. Если, к примеру, принято соглашение о том, что аутсорсер берет на себя только мониторинг сети, он должен получать лишь ту информацию, которая для этого необходима. Посторонние сигналы тревоги, к примеру о производительности системы, должны отфильтровываться. При определенных обстоятельствах рекомендуется построить всю платформу обеспечения безопасности у аутсорсера, даже если провайдер услуг сам пользуется ею в рабочее время.

БЫСТРОЕ РЕАГИРОВАНИЕ

К важнейшим вопросам, касающимся аутсорсинга функций безопасности, относится скорость реакций: предприятия высказывают вполне понятную тревогу по поводу того, что передача контроля за этой областью может привести к потере времени, что отразится на безопасности сети. Однако в действительности подобное случается крайне редко, поскольку получаемые устройствами мониторинга системные данные, объем которых в крупных средах достигает нескольких гигабайт в сутки, никогда не анализируются администратором ИТ напрямую. Эту задачу берут на себя специальные инструменты для сопоставления данных, которые оценивают поступающую информацию и автоматически предупреждают пользователя о реальных атаках. Поскольку такие системы, как правило, передают свои сообщения об угрозах по электронной почте или SMS, потери времени не происходит. Задержки возможны, только если клиент сам обнаруживает атаку и по телефону сообщает о ней провайдеру MSS. Однако и в таких случаях ненужные проволочки можно устранить путем ограничения цепочки процессов.

ЗАКЛЮЧЕНИЕ

Итак, взвесив все «за» и «против», можно утверждать, что при условии нормального сотрудничества между провайдером услуги и аутсорсером MSS концепция атсорсинга для аутсорсеров принесет конечному пользователю только выгоду.

Кристиан Райхерт — генеральный директор Intact Integrated Services.


© AWi Verlag

Разделение обязанностей и эскалация

Четкого разделения обязанностей между тремя сторонами можно достичь, если предприятие сохранит ведущую роль в определении правил безопасности, провайдер услуг сконцентрируется на отношениях с клиентами (на контактах с ними и отчетности), а аутсорсер функций обеспечения безопасности будет отвечать за все операции и управление. В результате такого договора аутсорсер обеспечивает соблюдение соглашений об уровне сервиса непосредственно у конечного пользователя. Противодействие атаке начинается на уровне простого сотрудника службы безопасности, который в ходе круглосуточного мониторинга системы замечает происходящее событие и сообщает о нем начальнику отдела. Если проблема не решается, к примеру, в течение двух часов, к ее устранению привлекается представитель следующей ступени — технический директор, еще через четыре часа подключается директор по информационным технологиям, а через восемь — генеральный директор.