Как правильно выборать аутсорсингового партнера

Как правильно выбрать
аутсорсингового партнера по ИБ
Алексей Лукацкий
7 ноября 2019
Бизнес-консультант по безопасност

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Confidential
Три альтернативы
Дорого,
но полный контроль
Аренда СрЗИ
или платформ для ИБ
Своя ИБ SECaaS
Дешевле,
но бензин и водитель
нужны свои
Просто закажите услугу
и все сделают за вас
В России нет!
Эконом, Комфорт, Комфорт+, Бизнес

Что заставляет клиентов обращаться к SOCaaS?
1
2
3
4
5
Улучшение процесса реагирования на инциденты. Неключевая функция
Улучшение процесса SecOps. IR, VA/VM, TI и т.п.
Реорганизация. 24х7 vs 8x5
Нехватка персонала. Бюджеты проще выделить на SOCaaS, чем на хайринг
Требования законодательства
6 SOCaaS дешевле, чем DIY (CapEx vs OpEx)

Зрелость и доходы от SECaaS
Зрелость
Доходы
Реактивные
Проактивные
Управляемые
SOCaaS / MDR
Заработок
на проблемах
заказчика
(сбои, утечки,
инциденты…)
Заработок
на успехах
заказчика
(масштаб, uptime,
доступность)

W W W
Корпоративное окружение Портал управления
Управление уязвимостями
Обнаружение угроз
Инциденты
Отчеты
Сигналы
тревоги
Сканирования
Реагирование
Модель аутсорсинга ИБ

На что жалуются клиенты SECaaS?
1
2
3
4
5
Продажи: непонимание проблем клиента и продуктоориентированность
Внедрение сервиса: процесс адаптации – уменьшение FP идет слишком
долго
Мониторинг: «не видят ничего важного»
Несоответствие ожиданий: обнаружение vs реагирование
SLA: что они измеряют и дают ли они ценность?
6 Ценообразование: слишком дорого; демонстрация стоимость vs выгоды

Пример
SOC-as-a-
Service

Что для вас
SOCaaS?
1
2
3
Каких услуг SOC вы
хотите от аутсорсинга
ИБ?
Ваш провайдер может
их предоставить?
Пример: мониторинг vs
реагирование в SOC

Терминология
1
2
3
4
У вас есть понимание
термина «инцидент»?
У вас есть классификация
инцидентов?
Вы попадаете под
требования ФСБ, ФСТЭК и
ЦБ с их разным пониманием
термина «инцидент”
Вы готовы к слишком
большому или слишком
малому потоку событий ИБ?

Каналы связи
1
2
3
4
5
У вас надежный Интернет
на всех площадках?
У вас есть резервные
каналы связи и план
на случай отказа?
У вас безлимитный
Интернет?
У аутсорсера
нормальный Интернет?
Пример: SOCaaS не в
Москве

Внутренняя
инфраструктура
1
2
3
4
Что вы хотите мониторить
- только периметр?
Netflow, EDR, UEBA?
Разделение SOCов –
внутри и снаружи?
Аутсорсер имеет опыт
мониторинга внутренних
сетей?

Реагирование
1
2
3
4
Кто? Вы или аутсорсер?
Как? Доступ есть?
Как взаимодействовать
между вами, ИТ и
аутсорсером?
Ответственность?

Управление
заявками
1
2
3
4
5
Как выстроен процесс
управления заявками?
Вручную?
Автоматизированно?
Выделенный менеджер?
Портал?
Например, внесение
изменений в МСЭ или
установка патча

SLA
1
2
3
Какой SLA вы хотите и
на какой согласен
аутсорсер?
SLA для разных
процессов и типов
инцидентов
Например, 15 минут на
реагирование?! Это миф!
Обнаружение –
реагирование – закрытие
инцидента…

Use case
1
2
3
4
Какие use case вы для
себя опредилили?
С какими use case
имел дело аутсорсер?
Примеры playbook у
аутсорсера
Аутсорсер заявляет, что
он может детектить все?

Доступ
1
2
3
4
5
Какой доступ к вашей
инфраструктуре
имеет аутсорсер?
Как делится
ответственность между
вами, ИТ и аутсорсером?
Какие данные увидит
аутсорсер?
Какие настройки будут у
вас на периметре для
доступа аутсорсера?
Как вы контролируете
защиту аутсорсера?

Ответственность
1
2
3
4
5
Ответственность за
пропуск инцидента?
Штраф? Продление
контракта? Скидка?
Ваша ответственность за
неустранение косяков, по
причине которых
произошел инцидент?
Пример: установка патча
для устранения
уязвимости
За что готовы отвечать
вы?

Логи
1
2
3
4
Где хранятся логи ваших
средств защиты?
Пример: модель оплаты
storage-based у
Сколько хранятся ваши
логи? У вас есть
хранилище? Кто за него
платит?
Как проводить
расследование в
ретроспективе, если логи
у вас?

Отчетность
1
2
3
4
Дашборд или отчеты?
Какие отчеты –
технические или
бизнесовые?
Вы знаете, что хочет
видеть ваше
руководство?
Кто определяет KPI и
метрики?

Compliance
1
2
3
4
5
Защита ПДн по ФЗ-152,
GDPR?
Требования по
аутсорсингу в нормативах
Банка России
Требования по доступу
третьих лиц в ФЗ-187
Требования
международных
требований (например,
PCI DSS, SOC2/3)
Оценка соответствия

Разное
1
2
3
4
5
Атрофия службы ИБ
Зависимость от
Ложные срабатывания
Отслеживание
изменений в мире ИБ
Как вернуться, если
аутсорсер накрылся
медным тазом?

Аутсорсинг ИБ
не означает, что
вы можете
сбросить со
своих плеч ИБ

Прежде чем, это
произойдет, вам
придется
сделать гораздо
больше, чем в
обычной жизни!

А после ваши
процессы ИБ
просто
сдвинутся в
сторону
контроля!

Вопросы?

Как правильно выборать аутсорсингового партнера

Как правильно выборать аутсорсингового партнера

More Related Content

What's hot

Similar to Как правильно выборать аутсорсингового партнера

More from Aleksey Lukatskiy

Как правильно выборать аутсорсингового партнера