Sophos biedt Managed Threat Response als dienst aan MSP
Het weerstaan van door mensen uitgevoerde aanvallen, vereist door mensen geleide jacht op dreigingen. Dit citaat uit de ‘Managed Detection and Response (MDR) Services Buyers Guide’ van Gartner onderschrijft het nut van de Managed Threat Response van Sophos. “Er is veel behoefte aan”, zegt Daniëlle Meulenberg, verantwoordelijk voor het MSP-kanaal in West-Europa bij de security-specialist.
Volgens dat rapport van Gartner zal in 2025 de helft van alle organisaties MDR-diensten gebruiken, dat is beduidend meer dan de minder dan vijf procent in 2019. Wie de dagbladen opslaat, zal zien waarom er zoveel belangstelling is voor Managed Detection and Response services: cyber-criminelen gaan steeds geraffineerder te werk en slagen erg vaak in hun opzet. Volgens een recente studie van de University of Maryland vindt er wereldwijd elke 39 seconden een aanval plaats (https://eng.umd.edu/news/story/study-hackers-attack-every-39-seconds).
De MTR-dienst van Sophos speelt hierop in. Meulenberg vertelt dat Sophos de service heeft ontwikkeld en uitgebouwd na de overname van Rook Security halverwege 2019. Rook Security was een pionier en leider in MDR-diensten. Een team van experts zoekt 24*7 naar digidreigingen, analyseert ze en wapent zich ertegen. Via een abonnement kunnen organisaties van willekeurige grootte een beroep doen op zijn kennis en vaardigheden. Sophos heeft Rook Security gecombineerd met het technologieplatform van het eerder in 2019 overgenomen DarkBytes. De combinatie is de MTR-dienst die de onderneming vooral aan Managed Service Providers aanbiedt.
Hockeystick
Meulenberg constateert sinds 2016 een enorme groei van traditionele resellers die het MSP-model omarmen. In plaats van de verkoop van softwarelicenties voor gebruik bij klanten in hun server-ruimten verlenen zij diensten die klanten als abonnement kunnen afnemen. “Die groei zet nog steeds door”, ziet zij. “Er is sprake van een hockeystick. Wij doen nu zaken met, wereldwijd, 12.500 MSP’s. Dat is een forse stijging ten opzichte van april vorig jaar. En het ziet ernaar uit dat de groei voorlopig aanblijft.”
De aanwas komt voornamelijk van bestaande partners die zich omvormen tot MSP, omdat klanten de flexibiliteit van het MSP-model op prijs stellen. Maar natuurlijk zitten er ook nieuwe bedrijven bij die zich meteen als MSP bij Sophos melden.
“Wij zijn druk doende de bewustwording rond MTR te vergroten”, gaat zij verder. Dat doet de security-specialist met onder meer webinars voor de MSP’s. “In het eerste deel vertellen we dan wat er loopt, in het tweede deel gaan we in op nieuwe of aanvullende diensten en delen we verhalen uit de praktijk. Dat gebeurt maandelijks. En er komt weer een partner conferentie aan, waar MTR natuurlijk ook onderdeel van het programma vormt.”
Deskundigen
De kern van MTR vormt het team van IT-beveiligingsdeskundigen dat dag en nacht klaar staat. “Dat is ons grootste pluspunt. Uit onderzoek blijkt dat tachtig procent van de MSP’s niet over de juiste kennis en vaardigheden beschikt om dreigingen op te sporen en een doeltreffend antwoord te vormen. Het is verdomd lastig om goed personeel te vinden. Maar, zelfs als je de mensen hebt, dan is het nog lastig om ze klokje rond in dienst te hebben, het hele jaar door. Dus ook op Eerste Kerstdag als er een incident dreigt. Onze experts zijn altijd actief; dan hoeft een MSP geen eigen personeel in te schakelen.”
Het is de grootste nachtmerrie van een MSP dat bij één van zijn klanten een geslaagde aanval plaatsvindt. Een datalek is voor die klant rampzalig, maar voor de MSP catastrofaal, want al zijn andere klanten zullen zich meteen achter de oren krabben en waarschijnlijk de contracten opzeggen. Faillissement ligt op de loer.
“Het is daarom uitermate belangrijk dat een MSP niet alleen investeert in beschermingstechnologieën voor zichzelf en zijn klanten, maar ook zorgt voor een volwassen detectie- en responsmogelijkheden zijn, zodat bedreigingen die de preventie omzeilen snel worden gedetecteerd en aangepakt voordat ze escaleren; escaleren in incidenten met een grote impact.”
Aanvulling
Meulenberg ziet de dienst als een aanvulling op beschermende technologieën als een firewall, endpoint detection and response, en cloudbescherming. “Wij hebben mooie producten binnen die categorieën. De signalen die zij afgeven, plus die van andere leveranciers, verzamelen we in Sophos Central. Daarmee creëer je een gelaagd beveiligingssysteem dat inzichtelijk maakt wat er gebeurt, die overzichtelijk presenteert, zodat meteen maatregelen zijn te nemen die nodig zijn om incidenten te voorkomen. Maar dan heb je nog altijd wel de mensen nodig die weten wat ze met die informatie moeten doen; dag en nacht. Dat bieden wij met MTR.”
Overigens is het bijkomend voordeel van MTR dat de experts proactief te werk gaan. “Zij jagen echt op dreigingen. Ze zien natuurlijk wat er wereldwijd in de netwerken en bij onze klanten gebeurt. Die informatie wordt gebruikt om bedreigingen onklaar te maken. De meest succesvolle aanvallen doen zich als legitiem voor aan de meeste monitoring tools. Ons team heeft onderzoekstechnieken waarmee ze het verschil kunnen zien tussen legitiem gedrag en de tactieken, technieken en procedures die aanvallers gebruiken. Die kennis heeft niet iedereen paraat.”
Er zijn twee MTR-smaken: Standard en Advanced. De advanced-versie gaat nog een stapje verder met gebruikmaking van data science en de intuïtie van door de wol geverfde teamleden om bedreigingen nog beter te doorgronden. Ook pakt deze versie mee wat er gebeurt in de telemetrie.
Rapportages
Op welke versie een MSP een abonnement maakt; in beide gevallen krijgen zij uitgebreide, maandelijkse rapportages over wat het MTR-team heeft kunnen constateren. Zo staat er in het rapport hoeveel aanvallen er zijn geweest, of er incidenten waren. Een voorbeeld is: ‘Sophos MTR heeft met succes vier actieve aanvallen weer staan die zich ritten op klantendata, en er zijn maatregelen getroffen om zich te beschermen tegen toekomstige aanvallen.’
De rapportage onderscheidt de verschillende aanvallen, zoals phishing, virus, keylogger injection, of fake WAP (binnenkomen via public Wi-Fi).
Door: Teus Molenaar
