MSSP - умеют ли они бороться с целенаправленными угрозами?

14 Декабря, 2016 12:35
Алексей Лукацкий
Мы достаточно часто слышим аббревиатуру MSSP (Managed Security Service Provider), особенно в последнее время. Оно и понятно, поставщики услуг SOC часто называют себя именно MSSP, оказывающим аутсорсинговые услуги по мониторингу и обнаружению преимущественно известных угроз.

По сути, то, что многие называют аутсорсинговым SOCом, таковым не является, так как предоставляются в массе своей услуги мониторинга средств защиты, которые, как я уже писал ранее, ориентированы на борьбу с угрозами известными. Да, пусть их и большинство, но оставшиеся единицы процентов являются наиболее опасными для предприятий. Услуги Threat Hunting предоставляет мало кто, фокусируясь на борьбу с 95% угроз, что закрывает потребностости примерно такого же количества предприятий. Правило Паретто тут работает как нельзя лучше. 5% - это наша внутренняя (для Cisco) оценка числа угроз, с которыми базовыми решениями бороться сложновато, так как и сами 5% угроз являются нетипичными.

1_02

И боремся мы у себя внутри с этими 5% достаточно большим числом технологий, выходящих за рамки уже ставших традиционными антивирусов, МСЭ, IPS, средств контентной фильтрации, решений по сегментации сети и т.п.

3_03


Но это наш внутренний "SOC", а как называется организация, которая предлагает такие услуги во внешний мир? Gartner предложил для таких организаций новый термин - MDR (Managed Detection and Response Services). По мнению Gartner - это новый, но активно растущий сегмент рынка, который к 2020-му году будет предлагать каждый второй MSSP. Пока же MSSP в контексте борьбы с инцидентами и продвинутыми атаками - это "детский сад", недоделанный MDR. Разумеется, никто не говорит, что MSSP не нужны, просто у них своя ниша, мало связанная с реагированием на инциденты.


По версии Gartner услуги MDR включают в себя три основных компонента:
  • Обнаружение атак, с фокусом на сложнодетектируемые (APT), обходящие периметровые средства защиты угрозы. По сути, MDR ориентирован на борьбу со второй половиной "убийственной цепочки", а не на предотвращение угроз, как традиционные средства ИБ.
  • Мониторинг и уведомление в режиме 24/7. Однако речь идет о мониторинге не средств защиты заказчика, а того, что происходит в сети за счет установки решений, принадлежащих и управляемых MDR-поставщику. В область работы MDR входит не только и не столько периметр, сколько и внутренняя сеть компании-заказчика.
  • Удаленное расследование и реагирование на инциденты.
2_04
Понятно, что отдельные MSSP также предлагают схожие услуги, но создание новой ниши под названием MDR не случайно. Оно показывает, что рынок созрел до услуг, выходящих за рамки типового мониторинга периметра, и требуются сервисы, "копающие" более глубоко, чем обычно это делает типичный MSSP. Но грань между двумя сегментами будет со временем стираться - под влияением рынка MDR-поставщики начнут включать в свои предложения и мониторинг средств защиты заказчика, выполняя функции классического MSSP, а последние, наоборот, будут пополнять свое портфолио сервисами удаленного расследования и реагирования и анализом происходящего во внутренней сети.
В первый отчет Gartner, посвященный рынку MDR, включены следующие игроки рынка:
  • Arctic Wolf Networks
  • Alert Logic
  • Cisco
  • CrowdStrike
  • eSentire
  • FireEye
  • Mnemotic
  • Morphick
  • Netswitch
  • Rapid7
  • Raytheon Foreground Security
  • Rook Security.

Материал публикуется с разрешения автора

Комментарии: