SECaaS или безопасность из облака — как защитить свои активы без капитальных вложенийДенис Безкоровайный, CISA, CISSP, CCSK, Аудитор СТО БР ИББСРуководитель направления по работе с заказчиками Trend Micro

2

Новые ИТ – это облака

• Динамичность• Быстрый старт• Короткий жизненный

цикл• Разные устройства• Разные пользователи• Новая среда

Copyright 2014 Trend Micro Inc. 3

? ??

?

3

Как это все защищать?

• Утечки данных• Повсеместный и

небезопасный доступ• Постоянно изменяющаяся

среда• Динамичные угрозы

Software as a Service

Platform as a Service

Infrastructure as a Service

Everything as a Service

Security as a Service

5

SECaaS

Что это — сервисная модель использования подсистем безопасности и систем управления безопасностью

• Быстрый старт, нет CAPEX• Pay as you go• Масштабируемость• Лучшие технологии• Экономия – эффект масштаба

Как сервис• Затраты на инфраструктуру• Затраты на лицензии – платим

вперед• Унаследованные технологии –

долгий жизненный цикл систем

У себя

Почему безопасность перемещается в облако?

6

Три фактора сложности в борьбе с современными угрозами

Объем Многообразие Скорость

Из облака можно получить самую актуальную защиту

ДинамичностьЭффект масштаба

Безопасность из облака для облака

Традиционные средства защиты иногда просто архитектурно не могут защищать данных в других облачных системах

Можно ли доверять безопасность третьей стороне?

Вы, вероятно, уже это делаетефильтрация почты в облакезащита от DDoS

Другие плюсы SecaaS Динамическая масштабируемостьПрактически неограниченные ресурсыPay as you goВендоры SecaaS серьезней (других SaaS игроков) относятся к безопасности

Обратная сторонаК выбору SecaaS провайдера следует подходить более тщательнее, чем к выбору других облачных решений

аудиты, сертификация третьей сторонойНеобходимо учитывать законодательство по информационной безопасностиНеобходимо понимать, как технически работает облачное решение

Примеры SECaaS-реализации подсистем ИБ из реальной жизни

12

Безопасность как услуга (SECaaS) — определение категорий сервисов от CSA

• Defined Categories of Service 2011• SecaaS Category 1 // Identity and Access Management Implementation Guidance• SecaaS Category 2 // Data Loss Prevention Implementation Guidance• SecaaS Category 3 // Web Security Implementation Guidance• SecaaS Category 4 // Email Security Implementation Guidance• SecaaS Category 5 // Security Assessments Implementation Guidance• SecaaS Category 6 // Intrusion Management Implementation Guidance• SecaaS Category 7 // Security Information and Event Management Implementation

Guidance• SecaaS Category 8 // Encryption Implementation Guidance• SecaaS Category 9 // BCDR Implementation Guidance• SecaaS Category 10 // Network Security Implementation Guidance

14

Антивирусная защита

Управление защитой от вредоносного ПО, базовый уровень защиты

• Сервер не нужен• Любые пользователи – on site и

off site• Единая система отчетности

Как сервис

• Нужен сервер АВЗ• Сложности с мобильными

пользователями

У себя

15

Контроль веб-доступа

Повышение продуктивности сотрудников, снижение риска заражения ВПО

• Удаленные офисы и мобильные сотрудники защищены

• Нет центральной точки обработки трафика

Как сервис• Маршрутизация всего трафика

через веб-шлюз• Сложности с мобильными

пользователями• Сложности с удаленными

офисами

У себя

16

Управление журналами регистрации событий

Сбор логов для анализа и оповещений, анализ инцидентов

• Интегрируется с облачными сервисами

• Дешевое дисковое пространство• Расширяемость по требованию

Как сервис• Высокие требования к

подсистеме хранения• Сложности с облачными

сервисами

У себя

17

Управление учетными записями

Контроль создания, удаления и изменения учетных записей в различных подсистемах

• Основные риски – в облачных приложениях – готовые интеграции

• Identity as a Service – источник данных для других подсистем в облаке

Как сервис• Сложности с облачными

сервисами

У себя

18

Аутентификация пользователей

Дополнительное подтверждение личности пользователей при доступе к критичным системам

• Готовая интеграция• Рабочие каналы доставки

токенов

Как сервис• Сложно реализовать –

интеграция с приложениями• Сложности с каналами доставки• Сложно защищать хранилище –

HSM?

У себя

19

Защита веб-приложений

Защиту от взлома через уязвимости в веб-приложениях

• Гибкость – простое подключение

Как сервис

• Весь трафик пропускается через «железку» - неудобно

• Дорого

У себя

20

Защита от DDoS

Доступность веб-приложений в случае атак

• Простое подключение• Низкий TCO

Как сервис• Дублированные каналы связи• Зависимость от вышестоящих

провайдеров• Дорогое оборудование

У себя

21

Шифрование данных

Защиту от сотрудников сервис-провайдера и прочих третьих лиц

• Готовые интеграции с IaaS• Разделение ответственности

между провайдером и клиентом

Как сервис

• Сложности с реализацией• Где хранить ключи?• Сложности с IaaS

У себя

22

Управление уязвимостями

Выявление уязвимостей на ранних этапах цикла разработки ПО

• Разделяемое знание – доступная экспертиза

• Покупка узких специалистов в своей области

Как сервис• Экспертиза – дорого содержать

для своих нужд• Инструменты — лицензии стоят

денег• Непостоянный контроль в SDLC

У себя

23

Еще раз: SecaaS — все плюсы облака плюс специфика ИБ

• Проще подключение• Ниже TCO (эффект масштаба и

pay as you go)• Быстрее возврат инвестиций

Как сервис

• Дорого• Сложно• Долго

У себя

24

Преимущества SECaaS

• Security as a Service — не просто модель аутсорсинга; это необходимый компонент в новой реальности

• Использование SECaaS для административных задач, таких как управление журналами регистрации событий, может сэкономить время и деньги, позволяя организации заниматься своим основным бизнесом

ИтогиSecaaS – уже доступна и будет только развиваться в ближайшее время

широкий спектр сервисов по безопасностиSecaaS - позволяет существенно экономить на ИБ*SecaaS - требует более тщательного анализа рисков

26

Всегда помните

Ответственность нельзя передать на

аутсорсинг

27

Спасибо!DENIS_BEZKOROVAYNY@TRENDMICRO.COM