Документ обсуждает концепцию безопасности как услуги (SecaaS) и ее применение для защиты облачных активов. Он выделяет преимущества SecaaS, такие как гибкость, возможность быстрого начала работы и экономия на инфраструктуре. Также рассматриваются факторы, влияющие на выбор провайдеров SecaaS, и важность аудитов и сертификаций для обеспечения безопасности.

1. SECaaS или безопасность из облака —
как защитить свои активы без капитальных
вложений
Денис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББС
Руководитель направления по работе с заказчиками
Trend Micro

2. 2
Новые ИТ – это облака
• Динамичность
• Быстрый старт
• Короткий жизненный
цикл
• Разные устройства
• Разные пользователи
• Новая среда

3. Copyright 2014 Trend Micro Inc. 3
?
?
?
?
3
Как это все защищать?
• Утечки данных
• Повсеместный и
небезопасный доступ
• Постоянно изменяющаяся
среда
• Динамичные угрозы

4. Software as a Service
Platform as a Service
Infrastructure as a Service
Everything as a Service
Security as a Service

5. 5
SECaaS
Что это — сервисная модель использования подсистем безопасности и
систем управления безопасностью
Как сервис
• Быстрый старт, нет CAPEX
• Pay as you go
• Масштабируемость
• Лучшие технологии
• Экономия – эффект масштаба
У себя
• Затраты на инфраструктуру
• Затраты на лицензии – платим
вперед
• Унаследованные технологии –
долгий жизненный цикл систем

6. Почему безопасность перемещается в
облако?
Три фактора сложности в борьбе с
6
современными угрозами
Объем
Многообрази
е
Скорость

7. Из облака можно получить
самую актуальную защиту
Динамичность
Эффект масштаба

8. Безопасность из облака
для облака
Традиционные средства защиты иногда просто архитектурно
не могут защищать данных в других облачных системах

9. Можно ли доверять
безопасность третьей стороне?
Вы, вероятно, уже это делаете
фильтрация почты в облаке
защита от DDoS

10. Другие плюсы SecaaS
Динамическая масштабируемость
Практически неограниченные ресурсы
Pay as you go
Вендоры SecaaS серьезней (других SaaS игроков)
относятся к безопасности

11. Обратная сторона
К выбору SecaaS провайдера следует подходить более
тщательнее, чем к выбору других облачных решений
аудиты, сертификация третьей стороной
Необходимо учитывать законодательство по
информационной безопасности
Необходимо понимать, как технически работает
облачное решение

12. Примеры SECaaS-реализации
подсистем ИБ из реальной жизни
12

13. Безопасность как услуга (SECaaS) —
определение категорий сервисов от CSA
• Defined Categories of Service 2011
• SecaaS Category 1 // Identity and Access Management Implementation Guidance
• SecaaS Category 2 // Data Loss Prevention Implementation Guidance
• SecaaS Category 3 // Web Security Implementation Guidance
• SecaaS Category 4 // Email Security Implementation Guidance
• SecaaS Category 5 // Security Assessments Implementation Guidance
• SecaaS Category 6 // Intrusion Management Implementation Guidance
• SecaaS Category 7 // Security Information and Event Management Implementation
Guidance
• SecaaS Category 8 // Encryption Implementation Guidance
• SecaaS Category 9 // BCDR Implementation Guidance
• SecaaS Category 10 // Network Security Implementation Guidance

14. 14
Антивирусная защита
Управление защитой от вредоносного ПО, базовый уровень защиты
Как сервис
• Сервер не нужен
• Любые пользователи – on site и
off site
• Единая система отчетности
У себя
• Нужен сервер АВЗ
• Сложности с мобильными
пользователями

15. 15
Контроль веб-доступа
Повышение продуктивности сотрудников, снижение риска заражения ВПО
Как сервис
• Удаленные офисы и мобильные
сотрудники защищены
• Нет центральной точки
обработки трафика
• Маршрутизация всего трафика
через веб-шлюз
• Сложности с мобильными
пользователями
• Сложности с удаленными
офисами
У себя

16. 16
Управление журналами регистрации событий
Сбор логов для анализа и оповещений, анализ инцидентов
Как сервис
• Интегрируется с облачными
сервисами
• Дешевое дисковое пространство
• Расширяемость по требованию
• Высокие требования к
подсистеме хранения
• Сложности с облачными
сервисами
У себя

17. 17
Управление учетными записями
Контроль создания, удаления и изменения учетных записей в различных
подсистемах
Как сервис
• Основные риски – в облачных
приложениях – готовые
интеграции
• Identity as a Service – источник
данных для других подсистем в
облаке
• Сложности с облачными
сервисами
У себя

18. 18
Аутентификация пользователей
Дополнительное подтверждение личности пользователей при доступе к
критичным системам
• Готовая интеграция
• Рабочие каналы доставки
токенов
Как сервис
• Сложно реализовать –
интеграция с приложениями
• Сложности с каналами доставки
• Сложно защищать хранилище –
HSM?
У себя

19. 19
Защита веб-приложений
Защиту от взлома через уязвимости в веб-приложениях
Как сервис
• Гибкость – простое подключение
• Весь трафик пропускается через
«железку» - неудобно
• Дорого
У себя

20. 20
Защита от DDoS
Доступность веб-приложений в случае атак
Как сервис
• Простое подключение
• Низкий TCO
У себя
• Дублированные каналы связи
• Зависимость от вышестоящих
провайдеров
• Дорогое оборудование

21. 21
Шифрование данных
Защиту от сотрудников сервис-провайдера и прочих третьих лиц
Как сервис
• Готовые интеграции с IaaS
• Разделение ответственности
между провайдером и клиентом
У себя
• Сложности с реализацией
• Где хранить ключи?
• Сложности с IaaS

22. 22
Управление уязвимостями
Выявление уязвимостей на ранних этапах цикла разработки ПО
Как сервис
• Разделяемое знание – доступная
экспертиза
• Покупка узких специалистов в
своей области
У себя
• Экспертиза – дорого содержать
для своих нужд
• Инструменты — лицензии стоят
денег
• Непостоянный контроль в SDLC

23. 23
Еще раз: SecaaS — все плюсы облака плюс
специфика ИБ
Как сервис
• Проще подключение
• Ниже TCO (эффект масштаба и
pay as you go)
• Быстрее возврат инвестиций
• Дорого
• Сложно
• Долго
У себя

24. Преимущества SECaaS
• Security as a Service — не просто модель
аутсорсинга; это необходимый компонент в
новой реальности
• Использование SECaaS для административных
задач, таких как управление журналами
регистрации событий, может сэкономить
время и деньги, позволяя организации
заниматься своим основным бизнесом
24

25. Итоги
SecaaS – уже доступна и будет только развиваться в
ближайшее время
широкий спектр сервисов по безопасности
SecaaS - позволяет существенно экономить на ИБ*
SecaaS - требует более тщательного анализа рисков

26. Всегда помните
26
Ответственность
нельзя передать на
аутсорсинг

27. Спасибо!
DENIS_BEZKOROVAYNY@TRENDMICRO.COM
27