Poskytovatelia spravovaných služieb (MSP) sa musia neustále vyvíjať. Od interných bezpečnostných tímov sa totiž dokážu odlíšiť práve dokonalým prehľadom o najnovších kybernetických hrozbách a trendoch, ako aj udržiavaním maximálnej miery využitia každého produktu zo svojho technologického arzenálu.
Neustále zvyšovanie kvalifikácie zamestnancov však môže vo výsledku znamenať menej personálu dostupného na poskytovanie služieb pre klientov. Podobne je to aj s časom venovaným pravidelnej údržbe, ktorá tvorí jednu z každodenných činností zamestnancov MSP. Pri ochrane zákazníkov s tisíckami zariadení totiž rozhoduje každá minúta či hodina.
Čas je pri zabezpečovaní detekcie a reakcie kľúčovým aspektom. Prečo si teda v prípadoch vysokého vyťaženia a nedostatku času nezvoliť dodatočnú podporu v podobe služby riadenej detekcie a reakcie MDR?
Výzvy z pohľadu MSP
MSP sa musia venovať aj činnostiam, ktoré priamo nedefinujú ich hlavné poslanie, teda ochranu zákazníkov, a ktoré samy osebe negenerujú príjmy, no majú značný vplyv na kvalitu dodávaných služieb.
Spomeňme napríklad údržbu zariadení, aktualizovanie softvéru a hardvéru, riadenie prístupov či riešenie problémov súvisiacich s hybridnou prácou. Tieto činnosti ovplyvňujú, na akej úrovni a do akej miery dokážu MSP chrániť svojich klientov, keďže k narušeniu zabezpečenia môže dôjsť kedykoľvek.
Keď vezmeme do úvahy, že MSP musí byť k dispozícii nonstop 24 hodín denne, 7 dní v týždni, na udržanie takejto prevádzky potrebuje naozaj veľa personálu. Len na ochranu jedného zákazníka je potrebné dobre rozumieť jeho prostrediu, danému odvetviu a dodávateľskému reťazcu, teda všetkým zložkám zaisťujúcim fungovanie firmy. A teraz si predstavte, že má MSP takto pokryť stovky klientov naraz. To už je reč o úplne inej úrovni vyťaženia.
Vysporiadanie sa so stále novými hrozbami
Popri bežnej činnosti sa MSP musí venovať aj mnohým iným záležitostiam. Napríklad držať krok s vývojom najnovších hrozieb. To môže byť skutočne vyčerpávajúce, pretože útočníci sú aktívni naprieč rôznymi časovými pásmami a neustále vymýšľajú nové a čoraz rafinovanejšie techniky.
Vďaka umelej inteligencii sa mnohé aspekty práce MSP zjednodušujú. Silu AI už však aktívne využívajú aj kybernetickí zločinci. Napríklad vývojári ChatGPT museli zasiahnuť, aby zabránili zneužívaniu svojich AI produktov na vývoj malvéru a phishingových útokov.
Sociálne inžinierstvo a phishing zostávajú aj naďalej hlavnými vektormi útokov, o čom svedčia správy spoločností IBM a Verizon, ako aj výskum spoločnosti ESET. Použitie týchto techník navyše častokrát prerastie do ransomvérových útokov, ktoré sú pre bezpečnostných odborníkov mimoriadne náročnou výzvou. Ak tento problém znásobíme počtom zákazníkov, ktorých MSP alebo MSSP chráni, a ešte počtom ich koncových zariadení, potenciálne miesta útokov sa výrazne rozširujú. Je vôbec možné všetky pokryť nepretržitou ochranou? A čo v prípade, že sa cieľom útoku stane samotný MSP?
Útočníci cielia aj priamo na MSP
Zatiaľ čo MSP riešia hrozby číhajúce na ich klientov, sami sa môžu stať terčom malvéru a hackerských útokov. Dôvodom je práve citlivá povaha ich práce. Keďže MSP majú priamy prístup do systémov svojich klientov, často sú hlavným cieľom útokov na dodávateľský reťazec.
Prípad MuddyWater je výstižným príkladom toho, ako môžu byť MSP a ich nástroje zneužité na nezákonné aktivity. V roku 2022 výskumníci spoločnosti ESET odhalili, že APT skupina MuddyWater využívala pri svojich škodlivých operáciách softvér na vzdialený prístup s názvom SimpleHelp, ako aj iné nástroje na poskytovanie podpory na diaľku, s ktorými MSP bežne pracujú.
Tento prípad poukazuje na skutočnosť, že nástroje využívané MSP môžu byť zneužité a útočníci tak dokážu ľahšie získať prístup k zariadeniam a sieťam zákazníkov MSP. Nástroje na vzdialené monitorovanie a správu (RMM), ktoré MSP používajú na dohľad nad systémami viacerých klientov, síce poskytujú efektívnu kontrolu, no zároveň otvárajú dvere potenciálnym hrozbám v prípade, že obsahujú potenciálne zneužiteľné zraniteľnosti.
Aby sa MSP dokázali popasovať s nepredvídanými hrozbami, potrebujú komplexný prehľad a vyladenú detekciu, k čomu vie poslúžiť riešenie XDR (Extended Detection and Response). Nástroje XDR však môžu byť náročné na používanie, keďže môžu obsluhujúcich pracovníkov zahltiť množstvom oznámení. Hoci existujú aj iné riešenia, ako SIEM alebo SOAR, aj tie čelia podobným nedostatkom, pokiaľ nie sú vhodne skombinované.
Kompletné pokrytie službou MDR
Ak je potrebné pokrývať veľký počet systémov súčasne, bežné riešenia detekcie a reakcie nemusia stačiť.
Prevádzka riešenia XDR alebo kombinácie nástrojov SIEM/SOAR si vyžaduje nepretržitý dohľad tímu špecialistov, ktorí sú nonstop pripravení reagovať, dokážu tieto nástroje správne nastaviť pre rôzne prostredia a zároveň rozumejú ich možnostiam na zabezpečovanie prevencie.
Hoci MSP môžu mať kvalifikovaných odborníkov, v porovnaní so špecializovanými poskytovateľmi spravovaných bezpečnostných služieb (MSSP) im môžu chýbať dostatočné zdroje umožňujúce maximálny rozsah pokrytia, keďže bezpečnosť nie je ich hlavnou doménou.
MSP však majú možnosť využiť službu MDR (Managed Detection and Response) určenú na riadenú detekciu a reakciu. Táto služba nielenže zvyšuje úroveň ich vlastného zabezpečenia, ale poskytuje aj cennú podporu pri riešení bezpečnostných problémov ich klientov. Vďaka MDR je možné skrátiť časy detekcie a reakcie na minimum – v niektorých prípadoch až na 20 minút.
ESET MDR poskytuje nepretržitú bezpečnostnú službu, ktorá sa vyznačuje rýchlou reakciou a proaktívnym prístupom – nečaká až do bodu riešenia a nápravných krokov, ale predchádza tomu, aby sa incidenty rozrástli do ďalekosiahlych problémov a narušení zabezpečenia.
Z pohľadu MSP prináša služba ESET MDR posilnenie operácií za pomoci odborníkov, ktorí sa opierajú o bezpečnostné nástroje založené na umelej inteligencii, praktické informácie o hrozbách a poznatky z oceňovaného výskumu spoločnosti ESET, vychádzajúceho z globálnej telemetrickej siete a jedenástich centier výskumu a vývoja. Kombináciou týchto faktorov dokáže ESET MDR pokryť medzery v zabezpečení MSP aj ich klientov.
Outsourcing už outsourcovaného zabezpečenia?
Je pravda, že MSP pokrývajú už outsourcované IT operácie firiem, no netreba zabúdať, že aj tie najväčšie spoločnosti s internými centrami bezpečnostných operácií (SOC) často využívajú externú podporu v podobe služby MDR. Ak MSP potrebuje s niektorými činnosťami pomôcť, nemusí sa za to hanbiť – najmä ak mu táto externá podpora výrazne zlepší úroveň vlastného zabezpečenia a zároveň poskytne lepšiu ochranu jeho klientom.
Silné partnerstvá majú svoj význam a s ohľadom na neustále sa vyvíjajúce kybernetické hrozby a snahu o budovanie bezpečnejšej budúcnosti sú čoraz nevyhnutnejšie.
