
Rozprávali sme sa s riaditeľom výskumníkov hrozieb spoločnosti ESET Jean-Ianom Boutinom o tom, kde riešenia MDR spájajúce pokročilé technológie a ľudskú expertízu prinášajú firmám najväčšiu hodnotu.
IT a bezpečnostné tímy vo firmách čelia nezávideniahodnej úlohe – musia neustále držať krok s čoraz sofistikovanejšími útočníkmi. Často pritom zápasia s obmedzenými zdrojmi a rastúcim počtom potenciálnych vstupných bodov pre útoky. Vybudovanie a prevádzka vlastného bezpečnostného operačného centra (SOC) s elitnými odborníkmi je pre mnohé organizácie finančne aj personálne nedosiahnuteľná.
Medzitým sa kybernetické hrozby neustále vyvíjajú a útočníci zdokonaľujú svoje taktiky, čo vedie k incidentom, ktoré môžu na dlhé hodiny alebo dni ochromiť chod firmy. Aby obrancovia neboli neustále o krok pozadu, potrebujú proaktívny prístup, ktorý kombinuje prevenciu, detekciu, reakciu na incidenty a kvalitné, aktuálne informácie o hrozbách. Ak je budovanie takýchto kapacít vo vlastnej réžii nepraktické, realistickou alternatívou je ich využívať ako službu.
Nejde pritom o nový koncept. Menšie organizácie už desaťročia profitujú z technologických inovácií prostredníctvom outsourcingu, poskytovateľov spravovaných služieb či cloudových riešení.
Rovnaký princíp dnes platí aj pri pokročilých službách kybernetickej bezpečnosti. Práve tu môže výrazne pomôcť služba Managed Detection and Response (MDR). Organizáciám poskytuje proaktívny monitoring, vyhľadávanie hrozieb a podporu skúsených expertov bez potreby budovať vlastný SOC. To, čo bolo ešte donedávna drahé a komplexné riešenie, sa dnes stáva dostupnejšou voľbou aj pre malé a stredné firmy.
Pri tejto príležitosti sme sa rozprávali s Jean-Ianom Boutinom, riaditeľom tímu ESET Threat Research, o práci jeho tímu a o tom, ako sa výskum hrozieb a threat intelligence premietajú do fungovania služieb MDR. Zároveň nám priblížil, kde kombinácia moderných technológií a ľudskej expertízy prináša najväčší praktický prínos, najmä v prostredí malých a stredných firiem.
Čo získavajú bežní používatelia a malé firmy z práce ESET Threat Research? A ako sa to mení pri využívaní služby ESET MDR?
ESET má tím výskumu hrozieb rozmiestnený vo viacerých regiónoch sveta. Ja pracujem v tíme v Montreale, ale našich výskumníkov nájdete aj v Európe či USA.
Časť našej práce je verejne dostupná – napríklad články na portáli WeLiveSecurity alebo prednášky na bezpečnostných konferenciách po celom svete.
Potom sú tu informácie určené výhradne pre firemných zákazníkov spoločnosti ESET. Ide o poznatky o aktéroch hrozieb: čo robia, ako fungujú a aké techniky používajú. Tieto informácie pomáhajú zákazníkom lepšie sa chrániť.
Pri službe riadenej detekcie a reakcie MDR je threat intelligence kľúčovou súčasťou. Pomáha našim tímom pre detekciu a reakciu na incidenty pochopiť správanie útočníkov a využiť tieto poznatky na ochranu zákazníkov pred bezpečnostnými incidentmi.

Hovorili sme o „špičke ľadovca“ – teda o tom, čo zákazníci vidia. Môžete vysvetliť, čo sa deje v zákulisí MDR?
Upozornenia, ktoré sa objavujú v konzole zákazníka, často pochádzajú z detekcií na koncových zariadeniach a vyžadujú ďalšie vyšetrovanie.
Môj tím je zodpovedný za to, aby boli nové vzorky malvéru a nové hrozby správne identifikované a zachytené v prostrediach zákazníkov. Našou úlohou je sledovať nové trendy, analyzovať vzorky a zabezpečiť, aby boli následne detegované v sieťach našich zákazníkov.
Veľkú pozornosť venujeme organizácii údajov o kyberzločine, ransomvéri, APT skupinách či štátom podporovaných aktéroch. Výskumníci tieto informácie využívajú na prepájanie nových incidentov s predchádzajúcimi prípadmi.
Dokážeme tiež vyhodnotiť závažnosť incidentu a často aj predpokladanú motiváciu útoku. Zákazník tak získava ucelený pohľad na to, čo sa stalo, či došlo k narušeniu bezpečnosti a dokonca aj na to, ktorá skupina za útokom pravdepodobne stojí.
Čo MDR pridáva k existujúcej endpoint ochrane ESET?
MDR je personalizovanejšia služba a prináša intenzívnejší vzťah so zákazníkom.
Výstupy môjho tímu sa využívajú v celom produktovom portfóliu ESET-u, ale MDR pridáva vyššiu úroveň služieb, monitorovania a podpory.
Sú súkromné ESET reporty relevantné aj pre malé a stredné firmy? Čelia aj ony cieleným útokom alebo štátom podporovaným aktérom?
Profil hrozieb sa líši podľa typu organizácie. Štátom podporovaní aktéri majú zvyčajne jasne definované ciele a vyberajú si obete, ktoré sú s nimi v súlade.
V oblasti kyberkriminality však ide o oveľa širší problém. Bežne pozorujeme kampane šíriace infostealery aj ransomvér.
Našou úlohou je pochopiť fungovanie týchto skupín a zabezpečiť, aby sme pri objavení nových techník dokázali reagovať čo najrýchlejšie a blokovať pokusy o útok.
Je to neustála práca. Útočníkov je veľa a rovnako aj rodín malvéru, preto je ochrana zákazníkov každodennou výzvou.
Bezpečnostný analytik ESET-u James Rodewald hovorí o „triangulácii“ – spojení pozorovaní z reálnej prevádzky, informácií od zákazníka a threat intelligence tímu. Môžete to priblížiť?
Je dôležité mať úzky kontakt s ľuďmi, ktorí riešia reálne incidenty.
Môj tím analyzuje telemetriu zhromaždenú z koncových zariadení a snaží sa identifikovať prípady, ktoré môžu prispieť k zlepšeniu ochrany.
Niekedy však tím MDR narazí na niečo, čo sme už v minulosti zaznamenali. To nám umožňuje lepšie pochopiť fungovanie konkrétneho útočníka.
Napríklad v prípade skupiny FamousSparrow to bolo veľmi poučné, pretože sme ju dlhší čas nevideli aktívnu.
Pri zákazníkoch využívajúcich MDR máme k dispozícii viac informácií o ich infraštruktúre, vieme lepšie pochopiť dopad incidentu a efektívnejšie im pomôcť. Tieto poznatky následne zdieľame aj s ďalšími zákazníkmi využívajúcimi threat intelligence.
Ako spolupráca s analytikmi MDR a tímom Detection & Response ovplyvňuje váš výskum?
Mení úplne všetko.
Pri MDR už existuje pracovný vzťah s osobou zodpovednou za bezpečnosť v organizácii. Vďaka tomu vieme veľmi rýchlo pochopiť rozsah útoku, jeho priebeh a dôvody, prečo sa útočníci na danú organizáciu zamerali.
Množstvo dostupných informácií je neporovnateľne väčšie než pri bežných endpointoch. Táto spolupráca je preto nesmierne cenná z pohľadu poznatkov, viditeľnosti a porozumenia incidentom.
Minulý rok sme boli svedkami útokov vo Veľkej Británii na spoločnosti ako Jaguar Land Rover alebo Marks & Spencer, ktoré zasiahli veľké spoločnosti prostredníctvom externých dodávateľov servisných služieb. Mali by sa menšie firmy obávať útokov na dodávateľský reťazec?
Riziko útokov cez dodávateľský reťazec je významné.
Za posledné roky sme videli množstvo prípadov, keď sa útočníci zamerali na slabšie zabezpečených externých dodávateľov, aby cez nich získali prístup do infraštruktúry svojich skutočných cieľov.
Výhodou MDR je rozsiahla viditeľnosť, ktorú poskytuje. Vďaka nej dokážeme identifikovať aj drobné anomálie a podozrivé správanie.
Keďže náš tím organizácie nepretržite monitoruje, vieme rýchlo reagovať aj na malé chyby útočníkov.
Útoky na dodávateľský reťazec budú vždy predstavovať výzvu, pretože nie je možné úplne kontrolovať bezpečnosť všetkých externých partnerov. Efektívne riešenie však výrazne zlepšuje schopnosť rýchlo odhaliť a zvládnuť podobné incidenty.
Aký rozdiel vidíte medzi zákazníkmi s MDR a bez tejto služby?
Najväčším rozdielom je úroveň viditeľnosti.
Ak sa organizácia stane súčasťou útočnej kampane, MDR jej poskytuje lepšie nástroje na rekonštrukciu všetkých krokov útočníkov a na pochopenie toho, čo sa v sieti odohralo.
Jednoducho povedané, MDR poskytuje hlbší pohľad na útoky.
Z pohľadu výskumu hrozieb ide o jednu z najväčších výhod. Rovnako dôležitá je aj rýchlosť reakcie. Medzi výskumníkmi a organizáciou už existuje bezpečný komunikačný kanál, takže je jednoduchšie kontaktovať správnych ľudí a rýchlo podniknúť kroky na obmedzenie škôd.
Čo by ste odkázali organizáciám, ktoré považujú MDR za príliš zložité alebo drahé?
Na MDR sa možno pozerať ako na poistku pre firemnú bezpečnosť. Vďaka nepretržitému monitorovaniu dokáže odhaliť hrozby, ako je ransomvér, ešte predtým, než výrazne narušia fungovanie firmy.
Útočníci často využívajú sprostredkovateľov počiatočného prístupu (initial access brokers), no už v počiatočných fázach býva možné zachytiť viacero varovných signálov.
Hoci zaplatenie výkupného nie je nikdy odporúčaným riešením, samotná obnova po útoku býva náročná a môže výrazne narušiť prevádzku firmy.
MDR pomáha zabezpečiť kontinuitu podnikania, aby sa organizácie mohli sústrediť na svoje hlavné aktivity a rozvoj svojho biznisu.