Нет, у нас всегда был штат архитекторов и технических специалистов, которые были обучены и сертифицированы по применяемым решениям. Но часть задач было целесообразно передать вендору в рамках действующих контрактов поддержки - это чисто экономические соображения. При этом мы предусмотрели сценарий, что будем делать «если вдруг», но надо понимать, что это «вдруг» с закрытием офисов и полной приостановкой операций - совершенно экстраординарное событие. После ухода вендоров мы довольно быстро восполнили необходимые компетенции и сейчас можем сами выполнять работы, которые ранее были на вендоре.
Нет неправильно, мы всегда ищем способы снизить свои затраты – в том числе и за счет оптимизации ресурсопотребления.
Линейка MSS (в посте мы пишем именно по эти сервисы) появилась только в 2018 году. При этом у MSS мультивендорный портфель. Были и зарубежные вендоры, и отечественные – под запросы разных заказчиков. Если говорить про Юзергейт - мы же пишем, что к марту находились уже "на финальном этапе тестирования отечественного UserGate", поэтому и удалось так быстро на него перейти.
Модель безопасности основывается на том, что весь трафик фильтруется на NGFW, создаются детальные маршруты для каждого процесса (исходя не только из src и dst ip и портов, но и конкретного пользователя, группы пользователей и используемого приложения). Принимается решение, какой трафик будет расшифровываться для глубокого анализа, а какой нет.
Удаленные пользователи терминируется на NGFW с помощью RA VPN и все их запросы в интернет также фильтруются и обрабатываются на NGFW.
С коммерческой облачной инфраструктурой можно построить Site-to-Site VPN c NGFW или же развернуть vCPE (виртуальный аплаенс) и воспользоваться всеми преимуществами SD-WAN - и весь трафик будет заворачиваться в этот туннель.
Для обеспечения безопасности работы с SaaS также необходимо прописать соответствующие правила фильтрации трафика на NGFW - например, запретить выгрузку документов в облако, но разрешить загрузку из облака. В данном случае трафик, поступающий клиенту, также будет инспектироваться. Все зависит только от вашей фантазии и внутренней политики информационной безопасности.
Все запросы в интернет будут NATиться на public IP NGFW.
С программными СКЗИ все сложно. В этом случае более логичным выглядит аутсорсинг «под ключ» — сервисная компания предоставляет ноутбук с СКЗИ, средствами защиты от НСД и другим ПО. Тогда зоны разграничения ответственности более четкие и понятные.
В мире программно-аппаратных комплексов КС3 выбран как стандарт де-факто, так как он больше всего пользуется спросом. Это помогает унифицировать ЗИП на складах, инструкции и другую документацию. Будет спрос на другие классы защиты — возьмём в проработку.
Про регламент подумаем — спасибо за идею:) Он обычно пишется под заказчика, но какую-то базу, наверное, сможем описать.
Сервисная модель – это вариант, когда СКЗИ в виде криптошлюза устанавливает и полностью обслуживает сервис-провайдер. Здесь мы говорим именно про это.
В посте мы перечисли основные требования по работе с СКЗИ, их распределение между заказчиком и сервис-провайдером, а также подтверждающие документы, которые могут потребоваться при проверке регулятором. Это и есть фундамент доверия к исполнителю.
Наиболее частой проблемой с шифрованием является передача данных по незащищенному каналу (например, передача логинов\паролей через HTTP без шифрования).
Спасибо за вопрос — добавили эту информацию в пост.
Спасибо за такой подробный и интересный комментарий!
Тема с Bug Bounty, действительно, интересна, но она выходила за рамки нашего опроса. Отразим ее в следующих публикациях.
Относительно методологии: мы размещали опрос на нескольких площадках и не ограничивали круг респондентов конкретной отраслью или размером компании, чтобы получить более широкие результаты. Такое деление по количеству хостов используется нами и в других отчетах, и мы пришли к выводу, что оно достаточно универсально для определения масштаба компании и ее ИТ-инфраструктуры.
Мы делаем акцент именно на масштаб, а не на отрасль, так как проблемы с VM, как правило, носят организационный характер – согласованность работы подразделений, наличие штатных специалистов и т.п. И здесь важен скорее масштаб организации, а не сфера деятельности.
Среди opensource решений наиболее детально тестировали сканеры безопасности веб-приложений OWASP ZAP, Nikto и Nuclei.
Нет, у нас всегда был штат архитекторов и технических специалистов, которые были обучены и сертифицированы по применяемым решениям. Но часть задач было целесообразно передать вендору в рамках действующих контрактов поддержки - это чисто экономические соображения. При этом мы предусмотрели сценарий, что будем делать «если вдруг», но надо понимать, что это «вдруг» с закрытием офисов и полной приостановкой операций - совершенно экстраординарное событие. После ухода вендоров мы довольно быстро восполнили необходимые компетенции и сейчас можем сами выполнять работы, которые ранее были на вендоре.
Нет неправильно, мы всегда ищем способы снизить свои затраты – в том числе и за счет оптимизации ресурсопотребления.
Линейка MSS (в посте мы пишем именно по эти сервисы) появилась только в 2018 году. При этом у MSS мультивендорный портфель. Были и зарубежные вендоры, и отечественные – под запросы разных заказчиков. Если говорить про Юзергейт - мы же пишем, что к марту находились уже "на финальном этапе тестирования отечественного UserGate", поэтому и удалось так быстро на него перейти.
Модель безопасности основывается на том, что весь трафик фильтруется на NGFW, создаются детальные маршруты для каждого процесса (исходя не только из src и dst ip и портов, но и конкретного пользователя, группы пользователей и используемого приложения). Принимается решение, какой трафик будет расшифровываться для глубокого анализа, а какой нет.
Удаленные пользователи терминируется на NGFW с помощью RA VPN и все их запросы в интернет также фильтруются и обрабатываются на NGFW.
С коммерческой облачной инфраструктурой можно построить Site-to-Site VPN c NGFW или же развернуть vCPE (виртуальный аплаенс) и воспользоваться всеми преимуществами SD-WAN - и весь трафик будет заворачиваться в этот туннель.
Для обеспечения безопасности работы с SaaS также необходимо прописать соответствующие правила фильтрации трафика на NGFW - например, запретить выгрузку документов в облако, но разрешить загрузку из облака. В данном случае трафик, поступающий клиенту, также будет инспектироваться. Все зависит только от вашей фантазии и внутренней политики информационной безопасности.
Все запросы в интернет будут NATиться на public IP NGFW.
В мире программно-аппаратных комплексов КС3 выбран как стандарт де-факто, так как он больше всего пользуется спросом. Это помогает унифицировать ЗИП на складах, инструкции и другую документацию. Будет спрос на другие классы защиты — возьмём в проработку.
Про регламент подумаем — спасибо за идею:) Он обычно пишется под заказчика, но какую-то базу, наверное, сможем описать.
В посте мы перечисли основные требования по работе с СКЗИ, их распределение между заказчиком и сервис-провайдером, а также подтверждающие документы, которые могут потребоваться при проверке регулятором. Это и есть фундамент доверия к исполнителю.
Спасибо за вопрос — добавили эту информацию в пост.
Пока не довелось поработать с ними
Спасибо за отзыв, учтем
Тут сильно зависит от VPN-протокола (есть ли в нем аналог windows size) и передаваемого трафика (tcp/udp).
Был опыт со спутником, работало, но рекордов там явно не поставить)
Спасибо за такой подробный и интересный комментарий!
Тема с Bug Bounty, действительно, интересна, но она выходила за рамки нашего опроса. Отразим ее в следующих публикациях.
Относительно методологии: мы размещали опрос на нескольких площадках и не ограничивали круг респондентов конкретной отраслью или размером компании, чтобы получить более широкие результаты. Такое деление по количеству хостов используется нами и в других отчетах, и мы пришли к выводу, что оно достаточно универсально для определения масштаба компании и ее ИТ-инфраструктуры.
Мы делаем акцент именно на масштаб, а не на отрасль, так как проблемы с VM, как правило, носят организационный характер – согласованность работы подразделений, наличие штатных специалистов и т.п. И здесь важен скорее масштаб организации, а не сфера деятельности.