ΠΡΟΪΟΝΤΑ

Datto. Τι είναι το Managed SOC (Security Operation Center); Γιατί οι MSPs χρειάζονται το MDR;

Οι hackers έχουν στη διάθεση τους έναν «μακρύ κατάλογο» με στρατηγικές που αξιοποιούν για να εισβάλλουν σε δίκτυα. Ακόμη και όταν οι πάροχοι διαχειριζόμενων υπηρεσιών (MSPs) παρέχουν στους πελάτες τους όλα τα εφόδια και τα εργαλεία που απαιτούνται για μία ισχυρή άμυνα, ορισμένοι κακόβουλοι φορείς και παράγοντες ενδέχεται να έχουν ακόμα τη δυνατότητα να διεισδύσουν στα συστήματα τους για να ξεκινήσουν κάποια επιχείρηση ransomware ή να προβούν σε άλλες επιθέσεις.

Οι μικρομεσαίες επιχειρήσεις (ΜΜΕ) αναζητούν βοήθεια από τους MSPs επειδή δεν μπορούν να προστατευτούν απέναντι στις απειλές που αυξάνονται με εκπληκτικούς ρυθμούς. Για παράδειγμα, μια πρόσφατη μελέτη έδειξε ότι οι επιθέσεις ransomware έχουν σχεδόν διπλασιαστεί από το 2020, και αυτός είναι μόνο ένα από τα πολλά διανύσματα επίθεσης που μπορούν να επηρεάσουν σοβαρά τη λειτουργία μίας εταιρείας.

Αν και οι MSPs αποκτούν ολοένα και μεγαλύτερη εμπειρία στα μέτρα κυβερνοασφάλειας, ενδέχεται να «πελαγώσουν» και να διαπιστώσουν ότι αδυνατούν να βγάλουν εις πέρας το έργο. Τα εργαλεία λογισμικού, όπως η προστασία από ιούς (AV) και οι λύσεις εντοπισμού απειλών και απόκρισης για τερματικές συσκευές (EDR) τους βοηθούν να αντιλαμβάνονται πότε προκύπτουν ζητήματα ασφαλείας. Παρόλα αυτά, πολλοί MSPs δεν διαθέτουν τις απαραίτητες δυνατότητες για να προχωρήσουν στη πραγματοποίηση κυνηγιού απειλών και σε απόκριση συμβάντων για ψηφιακές εγκληματολογικές έρευνες και ανάλυση κακόβουλου λογισμικού.

Οι άριστα εκπαιδευμένοι επαγγελματίες στον κλάδο της κυβερνοασφάλειας, οι οποίοι έχουν και τις δεξιότητες για την παροχή προστασίας από προηγμένες απειλές (ATP) στοιχίζουν πολλά χρήματα για να τους προσλάβεις ενώ η ζήτηση στον εργασιακό τομέα μεγάλη. Η συντριπτική πλειονότητα των MSPs δεν είναι σε θέση να δημιουργήσει μία τεράστια υποδομή ή και κάποια ομάδα για την προστασία από προηγμένες απειλές (ATP), αλλά έχουν μια ποιοτική επιλογή: μία λύση ή υπηρεσία διαχειριζόμενου εντοπισμού και απόκρισης (MDR, Managed Detection and Response).

Γνωστό και ως διαχειριζόμενο κέντρο επιχειρήσεων ασφαλείας (SOC, Security Operations Center) ή MDR (Managed Detection and Response), παρέχει το υψηλότερο επίπεδο προστασίας από απειλές για τους MSPs και τους πελάτες τους. Συνδυάζει τεχνολογικές λύσεις και εξειδικευμένες ομάδες από αναλυτές και ειδικούς για προηγμένο κυνήγι απειλών, παρακολούθηση και απόκριση σε περιστατικά κυβερνοασφαλείας. Οι πάροχοι διαχειριζόμενων υπηρεσιών που είναι εξοπλισμένοι με MDR, μπορούν να εντοπίζουν απειλές και να περιορίζουν γρήγορα τον αντίκτυπό τους χωρίς να χρειάζεται να προσθέσουν επιπλέον δαπανηρό προσωπικό.

Τι είναι το MDR; Μία αναγκαιότητα για την κυβερνοασφάλεια

Ο ρόλος των λύσεων διαχείρισης SOC ή MDR έχει εξελιχθεί σημαντικά εντός της πρακτικής ενός MSP. Για ένα ολοένα και μεγαλύτερο ποσοστό πελατών που αφορούν μικρομεσαίες επιχειρήσεις, από «καλό-να -υπάρχει» το MDR έχει εξελιχθεί σε αναγκαιότητα.

Αυτή η αλλαγή αντικατοπτρίζεται στις βασικές αρχές του πλαισίου κυβερνοασφάλειας NIST, ένα σύνολο διασυνδεδεμένων βημάτων για τη διαχείριση του κινδύνου σε κρίσιμες υποδομές. Τα βήματα (γνωστά και ως κυβερνοκλειδιά) είναι τα παρακάτω:

  • Προσδιορισμός
  • Προστασία
  • Ανίχνευση
  • Απόκριση
  • Αποκατάσταση

Οι περισσότεροι οργανισμοί σήμερα -MSPs, μικρές επιχειρήσεις, τμήματα πληροφορικής (IT)- δαπανούν το 85% του προϋπολογισμού τους για την «προστασία», αφήνοντας μόνο ένα μικρό μέρος για να δαπανηθεί στις άλλες τέσσερις φάσεις. Παρόλα αυτά, παρατηρείται μία αυξανόμενη συνειδητοποίηση ότι πλέον απαιτούνται αλλαγές στις επενδύσεις στην κυβερνοασφάλεια. Η κορυφαία εταιρεία ερευνών Gartner έκανε πρόσφατα την εξής παρατήρηση:

«Οι ηγέτες στους τομείς της αξιολόγησης ρίσκου πληροφορικής και της κυβερνοασφάλειας πρέπει να συνηθίσουν στην ιδέα ότι δεν είναι δυνατόν να αποτρέψουν κάθε απειλή και να αναγνωρίσουν ότι η τέλεια προστασία δεν είναι εφικτή. Οι οργανισμοί πρέπει να μάθουν να εντοπίζουν και να αποκρίνονται σε κακόβουλες συμπεριφορές, περιστατικά και συμβάντα, γιατί ακόμη και οι καλύτεροι προληπτικοί έλεγχοι δεν είναι ικανοί να αποτρέψουν κάθε περιστατικό».

Ο τρόπος που οι σύγχρονοι MSPs αντιμετωπίζουν αυτή την νέα πραγματικότητα είναι με τη εισαγωγή των MDR και Managed SOC στην πρακτική τους. Για παράδειγμα, μέτρα προστασίας όπως το AV και το τείχος προστασίας είναι ευπρόσδεκτα και έχουν την ικανότητα να ανιχνεύουν κακόβουλα αρχεία, όμως η πρόσθετη ασφάλεια πρέπει πλέον να υπερβαίνει κατά πολύ τα παραπάνω.

Και αυτό γιατί οι σημερινοί hackers χρησιμοποιούν όλο και περισσότερο προηγμένες τεχνικές για να διεισδύσουν σε δίκτυα, οι οποίες επιφανειακά δεν μοιάζουν κακόβουλες, με αποτέλεσμα να τους δίνεται η δυνατότητα να αποφεύγουν τις παραδοσιακές άμυνες. Μόλις ένας hacker εισέλθει στο δίκτυο μίας μικρομεσαίας επιχείρησης χρησιμοποιώντας μία τέτοια τεχνική, μπορεί να παραμείνει αόρατος εντός του συστήματος, συλλέγοντας κρίσιμης σημασίας πληροφορίες και δεδομένα πριν εξαπολύσει την επίθεση του.

Για παράδειγμα, οι κακόβουλοι φορείς γνωρίζουν ότι μπορούν να χρησιμοποιήσουν ένα κανονικό εργαλείο όπως τη το περιβάλλον χρήσης γραμμής εντολών (CLI) του Windows PowerShell για μη φυσιολογικές δραστηριότητες. Δουλεύοντας από το PowerShell, ένας hacker μπορεί στη συνέχεια να αξιοποιήσει την εφαρμογή ανοιχτού κώδικα Mimikatz για να παρακολουθήσει και να συλλέξει διαπιστευτήρια αυθεντικοποίησης καθώς τα πακέτα μετακινούνται εντός του συστήματος. Το λογισμικό AV δεν θα καταγράψει το παραπάνω ως μία κακόβουλη ενέργεια, όμως αναμφισβήτητα πρόκειται για μία ύποπτη δραστηριότητα, ειδικά εάν οι εντολές προέρχονται από κάποιο εχθρικό κράτος.

Το MDR βοηθά τους MSPs να εντοπίσουν κακόβουλες ή επικίνδυνες συμπεριφορές που καταφέρνουν να αποφύγουν το antivirus ή άλλα παραδοσιακά προστατευτικά μέτρα. Με μια λύση όπως το Datto Managed SOC, οι MSPs ειδοποιούνται για τέτοιες κρυφές παραβιάσεις, ώστε να μπορούν να προσδιορίσουν, να περιορίσουν και να εξουδετερώσουν μία τέτοια επίθεση προτού καταλήξει να γίνει μείζον πρόβλημα.

Καλύτερη οικονομία

Από άποψη ασφάλειας, το MDR έχει νόημα, ειδικά από την ώρα που συμμορίες ransomware και άλλοι κακόβουλοι παράγοντες εξελίσσονται όλο και περισσότερο με την πάροδο του χρόνου.

Η ανάθεση του MDR σε ένα εξωτερικό, διαχειριζόμενο SOC είναι επίσης μία σωστή επιλογή από οικονομικής άποψης για έναν MSP –συχνά μάλιστα είναι η μόνη εφικτή επιλογή. Και αυτό συμβαίνει επειδή η υλοποίηση και η λειτουργία ενός SOC από την αρχή εσωτερικά είναι σχεδόν απαγορευτικά δαπανηρή. Χωρίς καν να ληφθεί υπόψη η τεχνολογική υποδομή, το κόστος του προσωπικού μπορεί να είναι δυσθεώρητο. Για να λειτουργεί για παράδειγμα 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα, 365 ημέρες τον χρόνο, ένα SOC χρειάζεται τουλάχιστον τρεις ειδικούς αναλυτές ασφαλείας, αλλά όπως μπορείτε να αντιληφθείτε, εύλογα απαιτεί πολλούς περισσότερους.

Λάβετε ωστόσο υπόψη σας ότι οι εξειδικευμένοι επαγγελματίες MDR έχουν μεγάλη ζήτηση πλέον και εξίσου μεγάλους μισθούς. Και αυτό οδηγεί σε δίλλημα τους MSPs που εξετάζουν τις εσωτερικές υπηρεσίες MDR: Επενδύετε πολλά χρήματα -και χρόνο- για να «στήσετε» πρώτα το δικό σας SOC και μετά προσπαθείτε να αποκτήσετε πελάτες; Ή ξεκινάτε να το «πουλάτε» πρώτα σε πελάτες και στη συνέχεια προσπαθείτε να το υλοποιήσετε -βρίσκοντας προσωπικό και υπηρεσίες- για να μην αθετήσετε τις υποσχέσεις σας; Από τη μία το ρίσκο είναι αρκετά δαπανηρό, από την άλλη διακινδυνεύετε τη φήμη σας.

Το πιο λογικό για έναν MSP, είναι να μην βάλει ταμπέλα στο MDR του και να αναθέσει σε κάποιον εξωτερικό συνεργάτη (πάροχο-προμηθευτή) τη διαχειριζόμενη υπηρεσία SOC. Για έναν MSP, αυτός είναι ένας εξαιρετικός τρόπος για να ανταποκριθεί επιτυχώς σε αυτή την ολοένα αυξανόμενη ανάγκη της αγοράς, ειδικά στην περίπτωση που δεν μπορεί να κάνει διαφορετικά.

Ο ρόλος της αποκατάστασης

Με το MDR σε εφαρμογή μέσω ενός διαχειριζόμενου SOC, οι MSPs μπορούν να περάσουν στην επίθεση εντοπίζοντας και περιορίζοντας τις απειλές ασφαλείας πριν αυτές εξαπλωθούν. Αυτό το κυνήγι απειλών αποτελεί κλειδί για την αποκατάσταση της κυβερνοασφάλειας, η οποία είναι η διαδικασία προσδιορισμού και επίλυσης των προβλημάτων ασφάλειας πληροφορικής. Η αποκατάσταση περιλαμβάνει επίσης την επίλυση τυχόν ζητημάτων που μπορεί να έχουν προκύψει μετά από μία παραβίαση.

Το κυνήγι απειλών είναι μία πιο ώριμη δραστηριότητα ασφάλειας που απαιτεί βαθιά εμπειρία στην εγκληματολογία και στην αντιμετώπιση περιστατικών –πρωτοβουλίες που οι περισσότεροι MSPs δεν διαθέτουν ούτε τα άτομα, αλλά ούτε και την εκπαίδευση και τα εργαλεία για να αναλάβουν. Παράλληλα, προχωρά ο ψηφιακός μετασχηματισμός και οι δραστηριότητες ολοένα και περισσότερων μικρομεσαίων επιχειρήσεων μεταβαίνουν στην ψηφιακή υποδομή, πράγμα που σημαίνει ότι οποιαδήποτε επιχείρηση μπορεί να αποτελέσει στόχο. Και αυτό συμβαίνει επειδή πλέον, ανεξαιρέτως, όλες οι πληροφορίες πελατών έχουν μεγάλη αξία, και επομένως μπορούν να κλαπούν και να μεταπωληθούν στον σκοτεινό Ιστό.

Όταν ένας MSP προσφέρει MDR, η κυβερνοασφάλεια γίνεται προληπτική. Οι εμπειρογνώμονες των διαχειριζόμενων SOCs εκπαιδεύονται να «ξεριζώνουν» τους κακούς παράγοντες που έχουν διεισδύσει στις τερματικές συσκευές και στα δίκτυα των μικρομεσαίων επιχειρήσεων και περιέχουν απειλές. Και όπως αναφέραμε παραπάνω, αυτό υπερβαίνει την αντιμετώπιση απειλών όπως το κακόβουλο λογισμικό, το ransomware, τις κατανεμημένες επιθέσεις άρνησης εξυπηρέτησης υπηρεσιών (DDOS) και το phishing: Οι επαγγελματίες MDR αναγνωρίζουν τις φαινομενικά φυσιολογικές δραστηριότητες που μπορούν να καταστρέψουν μια επιχείρηση αν αφεθούν εκτός ελέγχου.

Το διαχειριζόμενο SOC είναι το MDR: Πως να βρείτε τον σωστό πάροχο

Το σωστό MDR διασφαλίζει ότι οι MSPs μπορούν να επεκτείνουν άμεσα την ομάδα τους για να συμπεριλάβουν προσωπικό παγκόσμιας κλάσης που είναι ειδικοί στην παρακολούθηση απειλών 24 ώρες το 24ωρο, 7 ημέρες την εβδομάδα.

Οι MSPs θα πρέπει να αναζητήσουν ένα διαχειριζόμενο SOC που προστατεύει τους πελάτες σε ολόκληρη την υποδομή τους, συμπεριλαμβανομένων των τερματικών συσκευών, των δικτύων και του cloud. Η αποτελεσματική παρακολούθηση αρχείων καταγραφής, το threat intelligence, το κυνήγι απειλών, η ανίχνευση παραβιάσεων, η παρακολούθηση εισβολέων, η προηγμένη πρόληψη κακόβουλου λογισμικού και το PSA ticketing είναι πράγματα που πρέπει οπωσδήποτε να περιλαμβάνονται. Αυτά τα χαρακτηριστικά είναι απαραίτητα για ολοκληρωμένη προστασία και αποτελεσματική αποκατάσταση που δεν θα βαραίνει το προσωπικό των MSPs.

Βελτιώστε τις προσφορές ασφαλείας σας και απολαύστε την εμπιστοσύνη που συνοδεύει τη συνεχή προστασία από τους εισβολείς. Προγραμματίστε να σας γίνει μία επίδειξη του Datto Managed SOC.

Πηγή: Datto