Плюсовете и минусите  на софтуера за сигурност  като услуга 

Категория: Софтуер , Приложен софтуер , Информационна Сигурност
Information Security & Storage
сряда, 1 Декември 2010 14:56ч

Плюсовете и минусите  на софтуера за сигурност  като услуга 

Заплахите и уязвимостите в сигурността нараснаха експлозивно през последните години. Нападателите са по-опитни и фокусирани към информация, която има материална стойност откогато и да било. В резултат компаниите от цял свят изливат пари и изразходват време за сигурността, като няма изгледи този процес да се забави.

Всичко това ви звучи познато, нали? И организациите навсякъде са в капана на надпреварата за въоръжаване в името на сигурността. Непрестанните инвестиции в технологиите по сигурност означават постоянна поддръжка и софтуерни обновявания на много инструменти, за да бъдат организациите в крак с текущия обхват от заплахи – независимо дали това е в подкрепа на стратегическите приоритети за бизнеса. И затова много хора започват да се замислят дали няма по-добър и интелигентен начин да се управляват инвестициите.

За много специалисти отговорът е алтернативата, която придобива все по-голяма популярност – софтуерът за сигурност като услуга (SSaaS). Софтуерът, хостван от външен доставчик на услуги, вече е добре установена практика при бизнес приложенията, но SaaS при сигурността е нещо различно. Въпреки че всяко SaaS предложение може да предостави функционалност, за да се разшири сигурността например при контрола на достъпа или комуникациите, SSaaS съществува главно като поддържащ инструмент за сигурността. Като примери могат да се посочат решения за сигурността на хостваните съобщения и филтрацията им (разширяването на антиспама, за да включи антивирусни и други възможности за борба със зловредния софтуер като антифишинг), оценка на уязвимостите, сигурност на уеб прелистването, управление на идентичността като допълнение към други SaaS услуги, като списъкът продължава да се увеличава.

Има още нещо по отношение на сигурността като SaaS някои организации не бяха склонни досега да аутсорсват тези чувствителни функции на ИТ, но днес много от тях прегръщат идеята. Какви са предимствата, които карат корпорациите, както и малките и средните предприятия да се обърнат към хостваните технологии за сигурност. И какви са факторите, които компаниите ще имат предвид, преди да направят SSaaS част от своята стратегия? Тук ще разгледаме тези въпроси и ще предоставим стратегическо ръководство за организациите, разглеждащи SaaS като възможност за сигурността.

Предимства на SAAS

Ако основната стойност на сигурността като SaaS може да бъде сведена до една-единствена дума, тя ще бъде „облекчение.“ При подхода SaaS външен доставчик поема отговорността за поддръжката на технологичните инвестиции. В замяна на редовни такси клиентът получава лесен достъп до технология, която се поддържа в крак с времето, като е необходимо малко или никакво действие от страна на клиента. За корпорациите това означава разширяване на обхвата на управление на сигурността и аутсорсинг на много от сложността на сигурността, което позволява освобождаване на ресурси за по-стратегически приоритети. На малките и средните предприятия (SMB) той дава повече възможности.

Лесно внедряване

В проучване на Enterpr i se Management Associates от тази година сред потребителите на сигурността като софтуерна услуга, големите предприятия, както и малките и средните фирми сочат като най-голяма придобивка подобряването на достъпа до възможности чрез лесно внедряване. В много от случаите клиентът не трябва да прави нищо или нещо съвсем малко той просто активира услугата. За филтриране на съобщенията активирането на услугата е само добавяне на друг ключ към мейл системата. Същото до голяма степен се отнася и за добавяне на вградени уеб прокси за безопасно браузване на услуги. Оценка на уязвимостите може да се използва при поискване. Сравнително лесното внедряване на предложения като филтрация на съобщеня е довело до сравнение с комуналните услуги, които просто се включват, и възраждане на някои от старите аргументи в полза на това, което някога бе наречено „служебни компютърни програми“. Тези, които обмислят SaaS сигурност, обаче следва да имат предвид, че не всички услуги за сигурност са създадени с равни възможности в това отношение. По-лесно преминават към външна услуга функции като филтриране на съобщенията, отколкото да се аутсорсва дълбоко интегрирана технология, от която бизнесът е в критична зависимост, като например управление на достъпa до вътрешни ресурси. Все още трябва да се предоставят потребителски акаунти и това може да изисква синхронизация със съществуващи акаунти.

Прехвърляне на топката по отношение на поддръжката

След като е активирана услугата, текущата поддръжка става отговорност на доставчика на услуги. Това премества тежестта на капиталовите инвестиции и разходи за поддръжка към трета страна по договора. Капиталовите инвестиции в продукти за сигурност, които в миналото са били непредвидими, а понякога и трудно да се обосноват с оглед на техните първоначални разходи, са прехвърлени към операциите във финансовия баланс. Пречките пред придобиване на нови технологии за сигурност са силно намалени или премахнати за сметка на един редовен и по-предвидим абонамент.

Прозрачността на поддръжката на технологията, активирана чрез модела SaaS, е нещо много привлекателно. Както казва един клиент, който е ползвал предлаганата от Qualys SaaS за оценка на уязвимостите: „Започнахме с този доставчик с трета версия на техните услуги. Днес сме на версия седем, а не трябваше да правим нищо. Ние също имамe PCI възможности, добавени към тази услуга, без да си мръднем пръста тя просто се появи. Вие не можете да си представите колко сме щастливи.“

Ползи за корпорациите

Мащабирането и бързата адаптивност са другите предимства на SaaS сигурността за големите или силно разпределените организации. Добавянето на дадена възможност, без да се налага да се назначават дузина или повече инженери по сигурност само за да я използват, е определено голяма полза за тях. Когато доставчик на услуги се адаптира към нови или възникващи проблеми, като например наскоро разкрити уязвимости и заплахи, за екипа на сигурността в корпорацията управлението на услугате е много лесно. Друга корпоративна полза от модела SaaS е, че някои хоствани инструменти могат да бъдат достъпни почти отвсякъде с всички средства на организацията на клиента. Хостваната услуга за филтрация на съобщения може да централизира имейл сигурността глоблно за цялата организация, подобрявайки еднородността в счетоводството, както и отбраната, като същевременно предоставя универсален достъп до услугата, независимо от местоположението. SaaS за оценка на уязвимости дава възможност на глобалния бизнес да покрие по-широк обхват от приложения в световен мащаб. Един от основните доставчици на технология използва този подход, за да идентифицира проблеми, които изискват по-нататъшно разследване със собствени инструменти и експертни знания, които позволяват на компаниите по-добре да разпределят ценни ресурси по сигурност там, където е най-необходимо. Мащабирането е от съществено значение за успешното предлагане на SaaS и допълнително увеличава стойността на този подход за корпорациите. В смисъл, че клиентът „наема“ не просто доставчик на технологии, но също възможностите на центровете му за данни.

Широката достъпност на хостваната услуга е особено ценна за Тери Уайът, корпоративен служител по сигурността във водеща компания за технологии за здравеопазването, която използва SaaS на Hewlett Packard за оценка на уязвимостите на уеб приложенията. „Ние не трябва да проектираме сложни архитектури с цел да се позволи достъп до данните от вътрешния инструмент във всички наши екипи за разработка казва Уайът. Всеки екип получава своя портал към хостваната услуга, където може да намери резултатите, от които се нуждае. Просто извежда заключенията си в PDF доклад, предназначен за одиторите.“ Този подход е играл ключова роля в подпомагането на тази организация да въведе по-ефикасни и ефективни процеси за управление на уязвимостите.

Възможности за МСП

Тъй като доставчикът може да разпредели своите разходи през десетки, стотици или хиляди клиенти, един модел SaaS може да предложи характеристики за сигурност от „корпоративен клас“ и на най-малката организация и може да го направи на предсказуеми разходи за абонамент. За малкия и средния бизнес това е повече от облекчаване на твърде високите първоначални разходи за инвестиции и текущата тежест за поддръжка, като им се дава достъп до технологии, които иначе не биха били в техните възможности.

Моделът SaaS помага на по-малките организации да се възползват от технологии като еднократна регистрация за услуги на трети страни нещо, на което обикновено се гледа като на технологичен проект на корпоративно ниво. Линкълн Канон, директор на уеб системи на компания за медицински устройства с 1500 служители, използва SaaS за управление на идентичността от Symplified, за да разшири вътрешната еднократна регистрация към други SaaS ресурси на трети лица за офис приложенията и обучението. Когато компанията прави промени в документите в SaaS офис пакета, те автоматично се отразяват в SaaS услугата за обучение чрез еднократната регистрация, с което се спестява стъпката да се създава документ в една услуга и после да се качва за друга. „Знаех, че традиционните подходи за еднократна регистрация има вероятност да се окажат нещо прекалено скъпо и трудоемко. Използването на готови за разгръщане SaaS предложения ни позволи не само да пуснем еднократна регистрация за трети страни, но и да интегрираме услугите с удостоверяване към браузъра“ – казва Канон.

Не е изненадващо, че приемането на SaaS сигурността нараства значително сред малкия и средния бизнес. През 2010 г. в проучване на EMA сред клиентите на SaaS сигурност отговорите от организации, които имат по-малко от 2500 служители, са били сравнени с тези от по-големи организации. Въпреки че мнозинството от всички анкетирани (57%) посочва, че използването на SaaS ще се разшири тази година, процентът на малките и средните фирми, казващи, че очакват да нарасне използването му значително, е пет пъти по-голям от този на големите предприятия (двадесет и пет процента в сравнение с 5 процента).

Предизвикателствата

С всички тези положителни характеристики въпросът е защо SaaS сигурността не е трансформирала изцяло управлението на сигурността. За начинаещите по-широкият обхват на SaaS сигурността все още се оформя като комбинация от технологии и доставчици стари и нови. Това означава, че продавачите и първите внедрители все още определят оптималния баланс между това, което доставчикът предлага, и това, което клиентите търсят. Бъдещите потребители ще искат да разгледат тези фактори внимателно, тъй като колкото повече се иска от техните доставчици, по-голяма е вероятността, че доставчиците ще добавят допълнителни цени към клиентите, което може да изложи на риск ценовото предимство на SaaS. Това не е малък проблем. В изследването на EMA на бивши и настоящи потребители на SaaS сигурност неудовлетворените очаквания за намаляване на разходите са номер едно сред причините за отхвърляне на услугата: 63% от тези, които или се отказват, или намаляват използването на SaaS, го правят, защото той не намалява разходите или в някои случаи дори ги увеличава.

Мъките нарастват

Младостта на пазара на SaaS сигурността също е фактор. Някои предложения като например филтрация на съобщения са на около година, а други току-що възникват. Добре доказалите се услуги могат да бъдат възприети с по-високо доверие, отколкото тези, чийто ефект все още не е напълно изяснен. „Ние тепърва ще прилагаме услугата в по-широк обхват, защото искаме първо да се уверим, че няма да изложим на опасност критичните приложения казва един потребител на SaaS оценката на уязвимости от Qualys, който, макар и доволен от услугата досега, е предпазлив в подхода си за развитие на задълбочено разбиране на нейното въздействие.

Младостта на някои SaaS предложения е очевидна и в подхода на доставчиците на услуги по отношение на въпроси като защита на чувствителни данни. „Някои договори на доставчици на услуги обявяват стойности за загуба или разкриване, значително по-ниска от действителната стойност на данните казва Рандъл Гамби, архитект по корпоративна сигурност във Fortune 500 застрахователна и финансова компания. Те не разбират, че ако има инцидент, ние няма да можем да компенсираме вредите си.“

Ако услугата запълва дадена празнина по-добре от всички други, тези фактори може да не са съществени за бизнес, който има остра нужда от нея. Независимо от това, потенциалните клиенти ще искат да научат колкото се може повече за това, как доставчиците на услуги третират рисковете на новите услуги. Ако доставчикът има относително малко на брой клиенти, колко голямо е значението на клиента от гледна точка на способността на доставчика и стабилността му като бизнес? Колко гъвкав е новият доставчик, който иска да спечели бизнес? Ако има установена клиентска база, какво казват другите за неговата услуга? Има ли някакви ключови партньорства с други предпочитани доставчици? Как тези фактори влияят върху дългосрочните перспективи на доставчика?

Сложнотиите на внедряването

Докато някои предложения за SaaS сигурност като филтриране на съобщения и оценка на уязвимостта са лесни за извеждане към външен доставчик и имат ограничено въздействие върху вътрешните ресурси и инфраструктурата, други не са. Услугите за сигурност, които са по-дълбоко интегрирани с вътрешни ресурси, или тези, при които услугата става критична за бизнеса на клиента, са по-сложни за изпълнение. Доставчиците трябва да предлагат достатъчна гаранция за наличността и качеството в тези случаи. Сигурността на услугата само по себе си може да бъде фактор, но в някои случаи това може да бъде разрешено с подходи, като например тези, които обединяват интерфейса на организацията с външните услуги, за да предоставят на клиентите по-голям контрол.

Управлението на идентичността, доставено като SaaS, каквато е услугата Symplified, внедрена в Lincoln Cannon за разширяване на еднократната регисртрация, е един такъв пример. Доставчиците в тази област са наясно, че много организации няма да са склонни да излагат чувствителни вътрешни разрешения за достъп към обществени съобщителни мрежи. За да решат този проблем, те може да поставят интерфейс (софтуер или уред) на границата между своите системи и достъпа до SaaS услугата. Това помага да се отделят пълномощията и да се защити връзката на клиента с доставчика на услуги, а с това и да се повиши защитата. Някои може да нарекат това „хибриден“ подход, но това понятие има потенциал за злоупотреба, особено сред продавачите, които просто добавят възможности, като дистанционно управление към вътрешните продукти, с цел да се възползват от тенденцията „сигурността като услуга“.

Има и други съображения, според които внедряванто може да бъде по-постепенно, отколкото простото превключване. Например, изисква ли доставчикът от клиентите да поддържат отделни потребителски акаунти само за услугата, или те могат да бъдат синхронизирани със съществуващите акаунти? Дали едно прекъсване на услугата, е критично за бизнеса или може да се приемат някакви прекъсвания или други смущения? SaaS доставчиците знаят, че техните клиенти се тревожат за тези неща и някои от тях са готови да отговорят на проблемите там, където могат. Независимо от това, тези, които проучват SaaS сигурността, ще трябва да разберат различните начини, по които преминаването към SaaS може да повлияе на тяхната организация.

Договори за нивото на обслужване

Това води до въпроса за договорите за нивото на обслужване (SLA). Внедрителите трябва да помнят, че в замяна на предимствата от аутсорсинга на управлението на технологииите, клиентът се отказва до голяма степен от прекия контрол. В случай че услугата бъде прекъсната, изложена на риск или по друг начин не дава очаквания резултат, кой за какво носи отговорност?

Доставчиците признават, че клиентите се нуждаят от сигурност, че услугата ще изпълни очакванията, но клиентите трябва да са наясно за това, какво наистина има значение в едно споразумение. Например, ако клиентът има задължения за съответсвие или политики за защита на данни от личен характер, или за предоставяне информация при е-разследване, как това ще се отрази на доставчика на услуги? Какви стандарти или регулаторни изисквания трябва да спазва клиентът и те съвместими ли са със съществуващите практики на доставчика? Колко видимост има клиентът или иска, и как доставчикът на услуги отговаря на очакванията? Как стои въпросът с възстановяването след бедствия и непрекъснатостта на бизнеса? И каква сигурност може да предложи доставчикът, че ще спази ангажиментите си?

Други SLA фактори могат да влязат в играта, ако клиентът реши да се откаже от услугата. Може ли клиентът да вземе всякакви необходими конфигурационни данни, логове на дейностите или друга значима за управлението информация на конкурент? Когато чувствителността на данните е фактор, доставчикът ангажира ли се да осигури заличаване след приключване на услугата или когато и де е, след като данните не са необходими повече? Ако е така, до каква степен (ако има такова заличаване) може клиентът да провери това? Дали услугата предлага всички алтернативи, които ще облекчат или премахнат необходимостта от осигуряване на заличаване в такива случаи, като помага на клиентите да маскират, раздробяват или криптират поверителна информация?

Бъдещите клиенти трябва да помнят, че само защото едно SaaS приложение е проектирано да отговори на нуждите на широк спектър от потребители, това не означава непременно, че услугата може да бъде пригодена да отговари на специфични изисквания. Но те също трябва да помнят, че това вероятно си има и цена. Доставчиците, които предлагат достъпни ценово и все пак реалистични гаранции срещу рисковете от аутсорсинга, вероятно ще бъдат признати от клиентите като по-отзивчиви към техните нужди, като дадат рамо на доставчика в тази нововъзникваща област, където много вече предвиждат висока стойност.

Съвети от фронтовата линия Доставчиците на услуги и техните клиенти казват, че поетапният подход е най-добър при внедряване на SaaS сигурност Днес доставчиците и клиентите изковават отговора на предизвикателствата, свързани със SaaS сигурността, и определят как да се извлече максимална полза от възможността за хостване. Какво препоръчват първите участници в тази все още развиваща се област на тези, които обмислят SaaS сигурност?

И SaaS доставчиците, и клиентите препоръчват приемането на сигурността като услуга на етапи там, където има смисъл това да се прави. Те често предлагат да се започне с услуги, които са най-лесни за внедряване. В корпорациите първоначално разгръщането следва да се ограничи, ако е възможно, за критичните бизнес приложения и при риск от излагане на най-чувствителната информация. Това позволява на клиентите да се запознаят с начина, по който доставчикът подхожда с въпроси като SLA (споразумение за нивото на обслужване), изпълнение на очакванията, поверителността на данните и разделянето на отговорностите между доставчика и клиента.

Такъв подход не винаги е възможен, когато необходимостта надделява над рисковете от внедряването. Това може да е особено вярно за малкия и средния бизнес, за който може да е наложително да изнесе по-широк обхват от функции. Ако не може да се започне с ограничен подход, позоваването на стари клиенти може да помогне на новия клиент да придобие представа за това как услугата може да се отрази на потребителите му, както и на жизнените ресурси и процеси, до които се докосва. Те също могат да помогнат на новите клиенти да научат как да извлекат максимума от услугата, и да споделят опит за работата с доставчика.

Вземането предвид на по-широк кръг случаи на потенциално използване е друг начин да се обърнем към поетапното прилагане на SaaS сигурността. Тери Уайът, корпоративен служител по сигурността във водеща технологична компания за здравеопазване, казва,че организацията в крайна сметка е имала предвид итегриране на премахване на уязвимостите, когато за първи път е преценявала SaaS на Hewlett Packard за уязвимости на уеб приложения. В първата фаза на прилагане на услугата тя е използвана само от екипа по сигурността, за да се запознае той с нейното използване и въздействие върху организацията. Във втората фаза резултатите от оценките на първата са предоставени за развитието на екипи, които да се запознаят с новия инструмент за идентифициране на проблеми в сигурността, изискващи възстановяване.

В третата фаза разработчиците са били достатъчно запознати с услугата, за да започнат сами оценка и са освободили екипа по сигурността за други важни приоритети. Според Уат това не само води до най-стратегическо използване на ограничените ресурси, но и постига важна цел чрез разбиването на бункерите на технологията и културата, за да се насърчи по-ефективен подход за управление на сигурността. – Скот Крауфорд

В перспектива

Къде ще ни доведе тенденцията към SaaS сигурността? Ще трансформира ли тя ИТ сигурността в нещо различно от това, което познаваме днес? В някои случаи е лесно да си представим коя ще е следващата стъпка на продавачите. Производителите на антивирусн софтуер вече предлагат продукти, както и хостинг услуги, които предоставят вградена защита за имейл и съобщителни системи. Те също така осигуряват актуализация на сигнатурите на техните антивирусни продукти като услуга. Не е изненадващо, че някои AV продавачи наскоро разшириха услугите си още повече с антивирусен и антизловреден софтуер за крайни точки, предлаган като SaaS, предотвратяване на загуба на данни (DLP), ефективно допълващи филтрацията на входящите съобщения с изходящ контрол. Услугите за криптиране могат да допълват хоствания DLP, като разширяват обхвата на сигурността на данните, предлагана като услуга.

В други случаи може да е трудно да си представим аутсорсинг на по-чувствителни функции към трета страна, но имайте предвид услугите за сигурност, които вече са навлезли. Дълбоко интегрирани технологии, като например управлението на информационната сигурност и събитията (SIEM), вземат информация от инструментите за сигурност в цялата каорпорация, но управлението на събитията и отговорът на инциденти вече са част от пейзажа на управляваните услуги за сигурност (УУС). Може ли внедряването на основната технология като услуга сама по себе си да изостава?

Това идва да покаже как SaaS сигурността сама по себе си е част от по-голям спектър от „сигурност като услуга“. В известна светлина SaaS може да се разглежда като форма на управлявана услуга, тъй като клиентът ефективно възлага поддръжката на технологията на доставчика на услуги. Това е нещо, което може да се вземе предвид, макар SaaS все още да не е правилният отговор за определени нужди днес. Аутсорсингът на дълбоко интегрирана инфраструктура за сигурност все още не се поддава на модела SaaS, но това може да се промени, ако или когато тенденции като изчислителните облаци се установят. Дотогава потенциалните клиенти трябва да имат предвид, че управляваните услуги за сигурност може да помогнат за запълване на празнината между аутсорсинг на технологии и аутсорсинг на експертиза, необходима за оптимизиране на усилията вътре в организацията.

Тъй като стойността на SaaS сигурността продължава да излиза наяве и отговорите на въпросите и грижите на клиентите да се задълбочават, нейният истински потенциал ще става все по-ясен. Много установени, както и нови доставчици (и повече от няколко потребители) вече смятат, че тя играе решаваща роля в оформянето на бъдещето на ИТ сигурността. В проучването на EMA по-голямата част от днешните внедрители (59%) виждат SaaS сигурността повече като стратегическа, отколкото тактическа. Те я разглеждат като разширяване на капацитета им и оформяне на свои стратегии, а не просто като запълване на оперативни пропуски.

Обещанието, което SaaS сигурността предлага за премахване на някои от най-обременителните главоболия на управлението на сигурността и освобождаването на клиентите да се занимават с по-стратегически приоритети, не се губи при тези първи внедрители, нито е загуба залогът на доставчиците за бъдещето им върху потенциала на сигурността като услуга.


Етикети: информационна сигурност , заплахи , софтуер за сигурност , компютърни заплахи

Четете още:



Последни новини
Джони Деп се завръща на голям екран в емблематичната си ...
 
AOC представя най-бързият геймърски монитор с NVIDIA G-SYNC до момента. ...
 
Още един смартфон от богатото портфолио на Huawei вече е ...
 
Приложенията Word, Excel и Outlook вече могат да бъдат интегрирани ...



Най-четени