14.11.2016

MSSP не умеют бороться с целенаправленными угрозами. На первый план выходят MDR-поставщики

Мы достаточно часто слышим аббревиатуру MSSP (Managed Security Service Provider), особенно в последнее время, в предверии начинающегося в среду SOC Forum 2.0. Оно и понятно - немалое количество докладов на форуме будет от поставщиков услуг SOC, которые называют себя именно MSSP, оказывающим аутсорсинговые услуги по мониторингу и обнаружению преимущественно известных угроз. По сути, то, что многие называют аутсорсинговым SOCом, таковым не является, так как предоставляются в массе своей услуги мониторинга средств защиты, которые, как я уже писал ранее, ориентированы на борьбу с угрозами известными. Да, пусть их и большинство, но оставшиеся единицы процентов являются наиболее опасными для предприятий. Услуги Threat Hunting предоставляет мало кто, фокусируясь на борьбу с 95% угроз, что закрывает потребностости примерно такого же количества предприятий. Правило Паретто тут работает как нельзя лучше. 5% - это наша внутренняя (для Cisco) оценка числа угроз, с которыми базовыми решениями бороться сложновато, так как и сами 5% угроз являются нетипичными.


И боремся мы у себя внутри с этими 5% достаточно большим числом технологий, выходящих за рамки уже ставших традиционными антивирусов, МСЭ, IPS, средств контентной фильтрации, решений по сегментации сети и т.п.

Но это наш внутренний "SOC", а как называется организация, которая предлагает такие услуги во внешний мир? Gartner предложил для таких организаций новый термин - MDR (Managed Detection and Response Services). По мнению Gartner - это новый, но активно растущий сегмент рынка, который к 2020-му году будет предлагать каждый второй MSSP. Пока же MSSP в контексте борьбы с инцидентами и продвинутыми атаками - это "детский сад", недоделанный MDR. Разумеется, никто не говорит, что MSSP не нужны, просто у них своя ниша, мало связанная с реагированием на инциденты.

По версии Gartner услуги MDR включают в себя три основных компонента:
  • Обнаружение атак, с фокусом на сложнодетектируемые (APT), обходящие периметровые средства защиты угрозы. По сути, MDR ориентирован на борьбу со второй половиной "убийственной цепочки", а не на предотвращение угроз, как традиционные средства ИБ.
  • Мониторинг и уведомление в режиме 24/7. Однако речь идет о мониторинге не средств защиты заказчика, а того, что происходит в сети за счет установки решений, принадлежащих и управляемых MDR-поставщику. В область работы MDR входит не только и не столько периметр, сколько и внутренняя сеть компании-заказчика.
  • Удаленное расследование и реагирование на инциденты.
Понятно, что отдельные MSSP также предлагают схожие услуги, но создание новой ниши под названием MDR не случайно. Оно показывает, что рынок созрел до услуг, выходящих за рамки типового мониторинга периметра, и требуются сервисы, "копающие" более глубоко, чем обычно это делает типичный MSSP. Но грань между двумя сегментами будет со временем стираться - под влияением рынка MDR-поставщики начнут включать в свои предложения и мониторинг средств защиты заказчика, выполняя функции классического MSSP, а последние, наоборот, будут пополнять свое портфолио сервисами удаленного расследования и реагирования и анализом происходящего во внутренней сети.

В первый отчет Gartner, посвященный рынку MDR, включены следующие игроки рынка:
  • Arctic Wolf Networks
  • Alert Logic
  • Cisco
  • CrowdStrike
  • eSentire
  • FireEye
  • Mnemotic
  • Morphick
  • Netswitch
  • Rapid7
  • Raytheon Foreground Security
  • Rook Security.

3 коммент.:

Sergey Soldatov комментирует...

Как я говорил на BIS summit-е, Threat hunting не заменяет классический Alerting (==SOC), но является хорошим дополнением к нему, позволяющим повысить совокупный детект-рейт и предоставляющим возможность как раз противостоять неизвестному ВПО, целевым атакам или атакам без применения ВПО.

Алексей Лукацкий комментирует...

Ну я про это тоже писал в одной из ранее опубликованных заметок :-)

Tomas комментирует...

Что может сторонний SOC, кроме как позвонить админу Заказчика и высказать подозрения на атаку, и возможно (если хорошо понимает инфраструктуру) предложить что-то сделать этому самому админу.
Более полный сервис и реально самостоятельное противостояние угрозам может дать свой SOC или провайдер, который управляет СЗИ Заказчика. "Одна голова - хорошо, а одна нога - плохо".