Ciekawie prezentuje się lista ofiar zmuszonych do opłacenia horrendalnych haraczy za odszyfrowanie danych. Na jej szczycie znajduje się agencja turystyczna CWT Global, która zapłaciła napastnikom 4,5 mln dol., zaś kolejne rekordowe okupy uiściły sieć rurociągów naftowych Colonial Pipeline (4,4 mln dol.) oraz dystrybutor surowców chemicznych Brenntag (4,4 mln dol.).

Jedną z powszechnie stosowanych metod dystrybucji złośliwego oprogramowania jest model usługowy RaaS (Ransomware as a Service). Tym samym leży ono w zasięgu organizacji przestępczych z całego świata. Hakerzy nie muszą opracowywać własnych złośliwych programów, bowiem korzystają z gotowców dostarczanych przez gangi ransomware. Tacy operatorzy jak DoppelPaymer, Egregor, Mailto (Net-Walker), REvil/Sodinokibi czy Ryuk, pobierają prowizje w wysokości 20–30 proc. zysku pochodzącego z okupu.

Czy w związku z tym przedsiębiorstwa oraz inne organizacje powinny pójść w podobnym kierunku i postawić na model usługowy? W zasadzie to się już dzieje, co potwierdzają dane Gartnera. Wynika z nich, że ogólne globalne wydatki na cyberbezpieczeństwo wyniosą w tym roku 150,4 mld dol., z czego 48 proc. przypadnie właśnie na usługi.

Usługi lekarstwem na braki personalne

Według konsorcjum Cybersecurity and IT Security Certifications and Training (ISC)², na całym świecie pracuje około 2,8 mln specjalistów od cyberbezpieczeństwa. Niestety, jest to o 1,2 mln za mało, aby podjąć w miarę wyrównaną walkę z cyberprzestępcami. Problem ten dotyka szczególnie małe i średnie firmy, które coraz rzadziej stać na zatrudnienie odpowiedniej klasy fachowców. Z badania przeprowadzonego przez Datto wynika, że niemal 70 proc. dostawców zarządzanych usług bezpieczeństwa (MSSP) postrzega ransomware jako najpoważniejsze cyberzagrożenie czyhające na MŚP. Ale tylko 30 proc. małych i średnich firm wyraża duże zaniepokojenie działaniami gangów ransomware.

Sytuacji nie ułatwia zróżnicowanie narzędzi ochronnych, z których korzystają przedsiębiorcy. Zarządzanie flotą urządzeń oraz zainstalowanym na nich oprogramowaniem (i prowadzenie jego aktualizacji) często przerasta możliwości finansowe oraz kadrowe mniejszych firm. Poza tym, systemy bezpieczeństwa IT stają się coraz bardziej złożone, w związku z czym ich obsługa wymaga specjalistycznej wiedzy. Klasyczny przykład stanowi tutaj EDR (Endpoint Detection and Response). Oprogramowanie monitoruje urządzenia końcowe i reaguje na podejrzane działania, przez co minimalizuje ryzyko cyberataku. Jednak, aby analizować informacje pozwalające wykrywać potencjalne zagrożenia, trzeba dysponować specjalistami.

Braki kadrowe nie są wyłącznie bolączką mniejszych przedsiębiorstw. Eksperci zwracają uwagę na częste roszady personalne w działach IT instytucji państwowych. Czasami jest to utrudnienie dla integratorów, zwłaszcza kiedy zespół informatyczny obsługuje zaawansowane narzędzia, takie jak SIEM. Odejście specjalistów, nawet gdy zastąpią ich nowi pracownicy, prowadzi do tego, że zbudowanie kwalifikacji u takiego klienta może być sporym wyzwaniem. Czasami duże koncerny realizują we własnym zakresie duże projekty związane z cyberbezpieczeństwem, a do takich należy otwarcie własnego ośrodka SOC (Security Operations Center). Niekiedy wydatki na ten cel potrafią pochłaniać ponad 30 proc. budżetu na cyberbezpieczeństwo. To zbyt dużo, aby zaaprobować takie rozwiązanie, dlatego też menedżerowie decydują się na wsparcie ze strony zewnętrznego dostawcy.

Kilka opcji usługowych

Wielu specjalistów ds. cyberbezpieczeństwa twierdzi, że przyszłość należy do modelu MSSP (Managed Security ServiceProvider). Nie jest to nowa forma sprzedaży, bowiem jej początki sięgają końca lat 90. W owym czasie usługodawcy oferowali w tym modelu firewalle. W obecnych czasach pod pojęciem MSSP kryją się kompletne rozwiązania ochronne. Podstawowym zadaniem MSSP jest monitorowanie bezpieczeństwa i reagowanie na incydenty w sieciach korporacyjnych i urządzeniach końcowych.

Wraz z rozwojem sieci i ewolucją technik telekomunikacyjnych pojawia się wsparcie dla innych platform, takich jak infrastruktura bazująca na chmurze. Według MarketsandMarkets, globalne wydatki na zarządzane usługi bezpieczeństwa wyniosły w ubiegłym roku 31 mld dol. Analitycy przewidują, że w najbliższych latach będą one rosły w tempie 8 proc. rocznie, a w 2025 r. przekroczą 46 mld dol. Warto zwrócić przy tym uwagę na fakt, że ciekawe perspektywy rysują się przed rynkiem MDR (Managed Detection and Response), czyli de facto EDR oferowanym w modelu usługowym.

– Klienci rozumieją, że wdrożenie EDR może podnieść poziom bezpieczeństwa ich infrastruktury, ale zadają sobie pytanie, kto będzie tym zarządzał – mówi Paweł Jurek, wicedyrektor ds. rozwoju w Dagmie. – Dlatego warto mieć kompletną ofertę: rozwiązanie EDR wraz z zarządzaniem incydentami. Szukamy partnerów, którzy chcą zaangażować się w świadczenie tego rodzaju usług na bazie oferowanych przez nas rozwiązań.

MDR zapewnia firmom 24-godzinne usługi w zakresie cyberochrony. Usługodawca w tym przypadku czuwa nad urządzeniami końcowymi, a także zajmuje się analityką bezpieczeństwa i ekspertyzami. Niektórzy producenci próbują pójść nieco szerzej i połączyć w ramach jednego pakietu usług system antywirusowy, ochronę poczty elektronicznej, synchronizację i współużytkowanie plików, backup oraz odzyskiwanie danych. Prekursorem tego trendu jest Acronis i zdaniem Artura Cyganka, dyrektora tej firmy na region Europy Wschodniej, walorem łączenia wielu elementów z zakresu cyberbezpieczeństwa i ochrony danych jest możliwość stworzenia unikalnej na rynku oferty.

– Nasz partner nie musi wyszczególniać cen pojedynczych usług, lecz tworzy na ich bazie paczkę. Takie rozwiązanie pozwala utrzymać klientów. Konkurenci nie potrafią ocenić i zrozumieć wyceny zestawu, tym samym ciężko im na tym polu rywalizować z nami – tłumaczy Artur Cyganek.

Z kolei IBM, wspólnie z Ingram Micro, zachęca integratorów do zaangażowania się w sprzedaż usług bezpieczeństwa w ramach modelu ESA. To umowa, która umożliwia korzystanie z rozwiązań IBM bazujących na otwartych standardach. Integrator tworzący usługę dostarcza ją klientom pod własną marką i na własnych warunkach.

– Jednym z przykładów jest wykorzystanie standardowego systemu SIEM. Wiele firm nie dysponuje specjalistami do jego obsługi, więc świadczenie usług na bazie tego produktu stanowi interesującą opcję dla integratorów – podkreśla Grzegorz Ligier, Embedded Solutions Leader Central and Eastern Europe w IBM-ie.

Zdaniem integratora

Wirtualne sieci prywatne czy zero zaufania?

Wirtualne sieci prywatne istnieją już od dłuższego czasu, ale ich popularność nabrała rozpędu w ciągu ostatnich kilkunastu miesięcy. Obecnie szacuje się, że co czwarty użytkownik internetu korzysta z VPN-a. Jeszcze do niedawna uważało się, że to rozwiązanie przeznaczone dla firm bądź internautów mających niecne zamiary, jednak coraz więcej osób zaczyna po prostu dbać o swoją prywatność. VPN stanowi przeszkodę dla napastników, gdyż chroni wszystkie dane przesyłane z urządzeń, co uniemożliwia podsłuchiwanie sieci lub przeprowadzanie ataków typu man-in-the-middle.

Dostawcy usług dysponują rozwiązaniami VPN dla użytkowników indywidualnych i biznesowych. Te drugie kierowane są przede wszystkim do mniejszych firm, o ograniczonych środkach finansowych na zarządzanie bezpieczeństwem. Tym, co różni biznesowe sieci VPN od konsumenckich, jest zabezpieczenie całej firmy, a nie pojedynczego urządzenia, a także dodatkowa ochrona przed inwigilacją i włamaniami. Oznacza to w praktyce, że pracownicy korzystają z jednego uniwersalnego konta, nad którym pełną kontrolę sprawuje opiekun.

Wprawdzie oferta w zakresie usług VPN jest bardzo szeroka, rodzime firmy wykazują nimi umiarkowane zainteresowanie. Karol Labe, właściciel Miecz Netu, przyznaje, że klienci nie kwapią się do inwestowania w tego typu usługi, a ich sprzedaż raczkuje. Najczęściej wynika to z faktu, że przedsiębiorcy wykorzystują do tego celu swoje zasoby sprzętowe. Podobne spostrzeżenia ma Paweł Jurek. Jak dotąd Dagma dostarczała sprzęt zapewniający funkcję VPN, co pokrywało całkowicie potrzeby użytkowników. Od niedawna jednak oferta firmy wzbogaciła się o systemy dostępne w modelu MSSP.

– Tworzymy dla partnerów również rozwiązania VPN rozliczane w abonamencie miesięcznym. Jeszcze nie wiemy, jak przyjmą to partnerzy oferujący usługi. Na pewno będziemy w stanie więcej powiedzieć na ten temat za kilka miesięcy, kiedy nasza nowa oferta bardziej się upowszechni – tłumaczy Paweł Jurek.

W gronie ekspertów oraz analityków nie brakuje opinii, iż VPN w niektórych przypadkach staje się rozwiązaniem archaicznym. Rob Smith z Gartnera twierdzi, że większość firm zamiast wybierać VPN powinno pomyśleć o zarządzaniu dostępem zgodnie z zasadą „zero trust”. Choć jednocześnie dostrzega obszary, w których zastosowanie wirtualnych sieci prywatnych wciąż znajduje uzasadnienie. Zdaniem Smitha, są to instytucje samorządowe czy banki, a więc podmioty bazujące na własnych centrach danych.

Grzegorz Nocoń, inżynier systemowy w firmie Sophos, zauważa wśród klientów wzrost zainteresowania mechanizmami SD-WAN. Ich użycie pozwala określić ważne parametry dotyczące pracy sieci, takie jak opóźnienie czy liczbę utraconych pakietów oraz uzyskać pełną skalowalność w zakresie udostępniania lokalnych zasobów zdalnym użytkownikom. Natomiast stosowane rozwiązania, bazujące na tunelowaniu VPN, nie dają możliwości powiązania konkretnego użytkownika z aplikacją, a tym samym weryfikacji stanu bezpieczeństwa urządzenia.

Backup w chmurach

Backup jako usługa stanowi od pewnego czasu alternatywę dla tradycyjnych metod. Polega na tworzeniu kopii zapasowych plików, folderów lub dysków twardych w zabezpieczonych zasobach chmury publicznej. Dzięki możliwości odzyskania danych ze zdalnego repozytorium takie rozwiązanie pomaga chronić dane przed skutkami cyberataków oraz zaszyfrowania za pomocą oprogramowania ransomware, a także klęsk żywiołowych oraz błędów użytkowników.

Rynek BaaS (Backup as a Service) i ekosystem dostawców jest bardzo szeroki. Obejmuje dostawców chmury, takich jak AWS, Google i Microsoft. Są też gracze, którzy rozpoczynali swoją przygodę z rynkiem od chmury publicznej – Clumio czy Druva. Bardzo silną stawkę tworzą producenci od lat działający w segmencie tradycyjnych systemów do tworzenia kopii zapasowych – Commvault, Dell EMC, HPE, NetApp, Veeam czy Veritas.

Agencja badawcza Technavio prognozuje, że rynek BaaS będzie rosnąć w latach 2021–2025 w tempie 32 proc. rocznie i osiągnie w tym czasie wartość 14,29 mld dol. Jednym z motorów napędowych tego trendu ma być oprogramowanie Software as a Service, z Microsoft 365 oraz Salesforce’em na czele. Dzieje się tak z dwóch powodów – usługi te i inne, podobne, generują ogromną ilość danych, zaś ich dostawcy w większości przypadków nie biorą odpowiedzialności za ich utratę.  

Kolejnym czynnikiem sprzyjającym wzrostowi popularności backupu w chmurze są nowe aplikacje i napływ zdalnych pracowników. Przedsiębiorstwa muszą wzmocnić ochronę danych, nie tylko ze względu na szalejący ransomware, ale również wymagania dotyczące zgodności. BaaS powinien sprostać tym potrzebom.

– W dobie popularyzacji chmury obliczeniowej zupełnie naturalnym krokiem jest replikacja kopii zapasowych do chmury w postaci BaaS – mówi Rafał Hryniewski, Team Leader w Billennium. – Kluczowe dla popularyzacji tego typu rozwiązań jest zaprezentowanie zarządom przedsiębiorstw korzyści wynikających z takiego modelu. Podobnie jak w przypadku typowych usług chmurowych, najbardziej przekonujące są niższe koszty, bowiem nie trzeba inwestować we własną infrastrukturę IT oraz oprogramowanie.

Dostawcy systemów BaaS liczą też na rozbudowę regionów Google Cloud i Microsoft Azure w Polsce. Przemysław Mazurkiewicz, EMEA CEE Sales Engineering Director w firmie Commvault wyraża nadzieję, że nowa oferta światowych gigantów zachęci do korzystania z usług backupu w chmurze klientów z branży bankowej i rynku publicznego.

Zdaniem specjalisty 

Paweł Jurek, wicedyrektor ds. rozwoju, Dagma  

To klienci, poprzez swoje decyzje, wpłyną na obraz rynku i proporcje pomiędzy usługowym modelem bezpieczeństwa, a tradycyjną sprzedażą rozwiązań. Na pewno jest to duża zagadka, dlatego chcemy mieć ofertę konkurencyjną zarówno dla integratorów skupiających się na oferowaniu rozwiązań, jak i dla partnerów stawiających bardziej na usługi. W tej chwili, jeśli chodzi o usługi, oferujemy przede wszystkim audyty bezpieczeństwa informacji, konfiguracji oprogramowania, testy penetracyjne czy też socjotechniczne. Dużym zainteresowaniem cieszą się one w takich branżach jak ochrona zdrowia czy energetyka, a także w instytucjach korzystających z infrastruktury krytycznej.

  

Grzegorz Nocoń, inżynier systemowy, Sophos  

W Polsce widoczny jest znaczny wzrost zainteresowania usługami zarządzania bezpieczeństwem, zarówno wśród dostawców, jak i klientów końcowych. Duży udział w tym rynku mają lokalni gracze świadczący usługi Security Operations Center. Wybór ofert na polskim rynku rośnie, jednak przed podjęciem decyzji firmy powinny pamiętać o kilku kwestiach. Warto sprawdzać ilu klientów ma usługodawca, czy oferuje usługi dostępne w trybie 24/7 i czy uwzględnia reakcje na zagrożenie, które pojawi się na przykład w niedzielę o drugiej nad ranem. Ważny jest ponadto czas odpowiedzi, jak też czy usługa jest świadczona proaktywnie oraz jak przebiega współpraca z zespołem reagowania.

  

Grzegorz Michałek, CEO, Arcabit  

W praktyce każda firma, która generuje i przetwarza dane, poszukuje środków służących do zabezpieczania efektów tej pracy oraz ciągłości działania. Dostrzegamy jednak wyraźne różnice w podejściu przedsiębiorców do cyberbezpieczeństwa. Widoczne są tutaj dwie dominujące grupy klientów. Pierwsza „odhacza” bezpieczeństwo, poprzez kupienie oraz zainstalowanie. Druga chce i potrafi analizować potrzeby, aby z gotową listą wymagań zweryfikować bieżące zabezpieczenia. Jeśli chodzi o usługi bezpieczeństwa, największą popularnością cieszą się najbardziej zaawansowane pakiety ochronne, których nie trzeba dodatkowo wspierać rozwiązaniami firm trzecich. Z tego powodu kilka miesięcy temu wycofaliśmy z naszej oferty proste systemy antywirusowe na rzecz rozbudowanych produktów.

  

Artykuł Cyberwojna z usługami w tle pochodzi z serwisu CRN.

Ten kierunek myślenia podchwycił Gartner, tworząc koncept zwany Triadą Widoczności SOC, opierającą się na trzech uzupełniających się filarach. Dwa z nich to SIEM oraz wykrywanie i reagowanie na punktach końcowych (Endpoint Detection & Response – EDR). Trzeci nazwano NDR (Network Detection & Response – sieciowe wykrywanie i reagowanie), który wcześniej nazywany był po prostu analizą ruchu sieciowego. NDR dodaje perspektywę sieciową i tym samym uzupełnia Triadę Widoczności SOC.

Ideą triady jest siła wynikająca ze zróżnicowania: możliwości każdego rozwiązania niwelują słabości pozostałych dwóch. EDR jest tylko spojrzeniem na punkty końcowe, SIEM może przetwarzać różne logi (i nawet używać danych sieciowych jako źródła), a NDR zapewnia kompleksową perspektywę sieciową. Aby lepiej zrozumieć, w jaki sposób NDR pasuje do triady, rozważmy następujący przykład. Podczas podróży służbowej laptop pracownika został zainfekowany przez ransomware. Po powrocie i podłączeniu do sieci firmowej ransomware poszukuje podatnych urządzeń. W końcu atakujący odkrywają podatność i udaje im się niezauważenie zdobyć dane dostępowe. Dzięki nim uzyskują dostęp do wrażliwych danych prywatnych, które mogą zaszyfrować lub wykraść dzieląc je na mniejsze części i wysyłając w niewinnie wyglądającej komunikacji ICMP. Teraz EDR i SIEM powinny wykryć takie działania, jednak nie zawsze tak się dzieje i dlatego ciągle pojawiają się informacje o nowych atakach ransomware.

W takich przypadkach sprawdza się podejście zorientowane na monitorowanie sieci. Na każdym etapie ataku, przeciwnik zostawia ślady w ruchu sieciowym, które są niezwykle trudne do zamaskowania. One pozwalają NDR dodać znaczący poziom rzetelności do triady. Mimo że w żadnym wypadku nie zastępuje EDR lub SIEM, NDR jest kluczowym składnikiem w warstwowym systemie bezpieczeństwa, który jest potrzebny, by walczyć ze współczesnymi zagrożeniami.