Что это и какую модель выбрать❔
Компании все чаще сталкиваются с выбором: ограничиться услугами MSSP или вложиться в MDR.
Оба варианта про «аутсорсинг безопасности», но с очень разным наполнением.
MSSP (Managed Security Service Provider) 👉
Это классические сервисы аутсорсинга ИБ.
Провайдер берет на себя:
⚫️администрирование средств защиты (фаерволы, антивирусы, VPN, почтовые шлюзы);
⚫️мониторинг событий безопасности;
⚫️базовую реакцию на инциденты (например, блокировку зараженного узла).
Подходит компаниям, которым важно «держать периметр» в порядке, но при этом нет собственной большой ИБ-команды.
Важно учитывать, что в рамках MSSP зона ответственности провайдера ограничена эксплуатацией и первичным реагированием, а расследование сложных атак и анализ угроз остаются на стороне компании.
MDR (Managed Detection and Response) 👉
Следующая ступень. MDR-провайдеры не только мониторят, но и активно расследуют атаки. У них есть SOC с экспертами, поведенческая аналитика, EDR/XDR-решения.
⚫️Обнаружение продвинутых угроз (фишинг со слипстримингом, APT-кампании).
⚫️Анализ и реагирование 24/7.
⚫️Поддержка расследований и рекомендации по устранению последствий.
MDR дороже, но закрывает риск, что атака «проскочит» сквозь стандартные средства защиты.
Кроме того, MDR-модель ближе к требованиям регуляторов (например, ФЗ-152, ФЗ-187, ГОСТ Р 57580.1-2017), где необходим постоянный мониторинг и документированное реагирование на инциденты.
КАК ВЫБРАТЬ МОДЕЛЬ
▶️ Размер компании и угрозы. Для малого бизнеса с типовыми рисками MSSP будет достаточно. Если у вас критичные данные, несколько филиалов и ИТ-инфраструктура посложнее, без MDR долго не протянете.
▶️ Внутренняя команда. Если есть свои специалисты по ИБ, MSSP может быть поддержкой. Если команды почти нет — MDR даст готовый «аутсорсинговый SOC».
▶️ Регуляторные требования. В сферах КИИ, финсектора и госсектора MDR становится практически must-have: проверяющим мало увидеть, что у вас «поднят антивирус».
▶️ Также стоит рассмотреть гибридные варианты — MSSP+MDR или co-managed SOC, где часть функций выполняет провайдер, а часть остаётся у вашей ИБ-команды. Это снижает риски и позволяет гибко управлять бюджетом.
MSSP — это «техническое сопровождение и минимальный контроль».
MDR — «постоянное наблюдение и расследование атак».
Для бизнеса вопрос упирается в бюджет и готовность управлять рисками: MSSP дешевле, MDR эффективнее.
При подготовке обоснования для руководства рекомендуется ссылаться не только на стоимость и эффективность, но и на требования законодательства (ФЗ-152, ФЗ-187, ГОСТ Р 57580, ISO/IEC 27001, 27035), а также внутренние политики по управлению рисками.
Если вы выбираете между моделями и хотите понять, что действительно нужно вашей компании (и как это обосновать руководству), мы можем помочь провести оценку рисков и подобрать формат сопровождения под ваши задачи
