¿Vale la pena evolucionar para convertirse en un Proveedor de Servicios y Seguridad gestionada (MSSP, por sus siglas en inglés)?
El caso de negocio parece mostrar una clara necesidad de dominio de la ciberseguridad por parte de los MSP, pero ¿Cómo saber cuándo ha llegado el tiempo de convertir una idea en un hecho? Pues, si el número de historias acerca de las amenazas avanzadas que enfrentan los MSP sirve de indicio, entonces el momento es ahora. En octubre de 2018, fueron varias las noticias sobre los MSP siendo objetivo sistemático de amenazas persistentes avanzadas (APT, por sus siglas en inglés). Un ataque fue incluso enlazado al trabajo del reconocido grupo APT10.
Son más los ejemplos que parecen poder rastrearse hasta actores de escala estatal, o al menos conectarse con ellos. Y si bien los grupos APT han ciertamente utilizado buena tecnología y una vasta experiencia al ejecutar sus campañas maliciosas, también han tenido “ayuda”.
Consecuencias de la integración – una amenaza de autoría propia
Esta “ayuda” es una consecuencia de la constante y bienintencionada cadena de procesos, la integración de funcionalidades y herramientas IT, y las relativas buenas prácticas de los administradores, que son en gran parte los principales objetivos de la tecnología de la información aplicada en el negocio.
Estas prácticas son “relativas” porque el problema en estos casos podría no deberse a prácticas de seguridad pobres. En cambio, puede que los procesos utilizados por el modelo MSP para aumentar el índice de eficiencia en el negocio haya atraído los problemas en primera instancia – llevando a que esas organizaciones se vuelvan un objetivo. La propuesta de valor para APT10 – y probablemente otros – es que todo ha sido organizado, formateado y colocado bajo un mismo techo digital antes de tiempo… para su propio beneficio, de forma accidental.
Incluso entre los varios proveedores de servicios informáticos, el modelo de negocios MSP puede resaltar del resto, ya que aquellos proveedores actúan como protectores de enormes cachés de datos personales y de negocio, propiedad intelectual, credenciales de acceso y otros kits de herramientas que potencian la capacidad. Otros ataques similares y campañas de ciberespionaje han también comenzado a apuntar a proveedores de servicios en la nube.
Las llaves del reino – un objetivo atractivo
Los MSP tienen acceso privilegiado, tanto a la información, como a los sistemas de un gran número de redes de clientes. Efectivamente, se trata de accesos autorizados por los clientes (por ejemplo, mediante el protocolo de escritorio remoto) para que los MSP puedan proveer y administrar necesidades informáticas por su cuenta. Desafortunadamente, el modelo de negocios MSP puede incluso permitir que los actores maliciosos apunten a sectores específicos.
Si bien los MSP trabajan día a día en función de las necesidades informáticas de sus clientes a lo largo de múltiples verticales de negocio, construyendo competencia y familiaridad en áreas del negocio como salud IT, finanzas, ingeniería civil y mecánica, etc., es probable que atraigan los intereses de cibercriminales que ven allí una tienda de artículos varios.
En consecuencia, la infiltración en las redes MSP y posterior exfiltración de los datos de clientes, sus inicios de sesión y otra información crítica, derivan en un acceso casi ilimitado para implementar múltiples tipos de campañas criminales.
Ataques de cadena de suministro, ransomware, Denegación de servicio, espionaje corporativo, cryptolocking, etc., podrían ser consecuencia de una infiltración, y afectar a cualquier o a todos los clientes, así como las verticales de negocio a las que pertenecen. Lógicamente, para A. proteger su negocio y B. proteger la infraestructura de los ecosistemas de negocios a los que pertenecen sus clientes (verticales de la industria / cadenas de suministro), los MSP tendrán que poner a la ciberseguridad en el foco de su caso de negocio.
Con tanto en riesgo, ¿Queda alternativa?
Nada de esto es nuevo; siempre ha habido amenazas en el modelo MSP. Lógicamente, entonces, los MSP que han apuntado de forma más activa a la amenaza que va contra su propio negocio (por ende, contra sus clientes), han evolucionado hasta convertirse en MSSPs. Es probable incluso que los MSSPs posean una base de talentos con conocimientos de ciberseguridad más amplios y un mayor entendimiento del mercado y de las oportunidades de ganancias.
Sin embargo, con el peligro presente y manifiesto por los intereses de APT10 – al menos en este caso – podemos decir que aquellos MSP que no deriven el ROI (retorno de la inversión) de su negocio en conjunto con la necesidad y complejidad involucradas con la protección avanzada, estarían haciéndose un daño a sí mismos.
¿Efecto de derrame en la ciberseguridad?
Con múltiples clientes dependiendo de los MSP para llevar a cabo procesos eficientes mediante servicios IT – y para muchos más, su seguridad – los MSP y MSSPs (en menor medida) deben inevitablemente reforzar su postura de seguridad. Cabe destacar que el ecosistema de amenazas ha cambiado, y los MSP han sido identificados como objetivos de alto valor, incluyendo grupos APT. Por eso, los MSP deberían perseguir niveles de protección similares a los de los objetivos corporativos de alto valor.
Muchos seguirán preguntando si la implementación de una solución avanzada para empresas en un MSP es proporcional al riesgo. (Si no está seguro acerca de la eficacia de implementar herramientas corporativas en su operación MSP, considere llevar a cabo una auditoría interna de seguridad, o de evaluar su oferta de seguridad en persona).
Para responder a la pregunta formulada en este título, imagine a sus 10 clientes más importantes sufriendo una brecha u otro incidente de seguridad. Ahora suponga que esa brecha fuera rastreable a su servicio a través de alguna herramienta básica del negocio – por ejemplo, un protocolo de escritorio remoto vulnerado o una implementación pobre de Doble Factor de Autenticación (2FA). En un artículo del recientemente retirado Senior Researcher de ESET Stephen Cobb, “Criminal hacking hits Managed Service Providers: Reasons and responses”, éste discute sobre cómo los MSP han “elevado el estándar de diligencia debida” con motivo de los recientes ataques. “Si sufre una brecha de datos – ya sea como MSP o cliente de un MSP – no puede defender de forma razonable los problemas legales en su postura de seguridad sobre la base de que no estaba al tanto de la existencia de criminales activos en ese espacio”.
En ese artículo, Cobb ofrece una fundamentación para implementar las siguientes ocho medidas: lista blanca de aplicaciones, parcheado de aplicaciones, refuerzo de aplicaciones, restricción de privilegios administrativos, autenticación multifactorial, parcheado de Sistema Operativo, backups diarios y ajuste de configuraciones generales de Microsoft Office.
Estas medidas son consideradas críticas, y fueron incluso promovidas por el gobierno australiano en un comunicado de alerta y recomendación en enero de 2019 titulado “Implementando los 8 esenciales para MSPs”.
La otra recomendación ofrecida por Stephen Cobb fue la implementación de Endpoint Detection and Response (EDR). Las plataformas EDR permiten que los escritorios de seguridad ayuden en la identificación de brechas y comportamientos anómalos/irregulares. Ayudan también en la evaluación de riesgos, respuesta a incidentes, investigaciones y remediación. En ESET, si bien el interés por implementar ESET Enterprise Inspector ha crecido desde su lanzamiento en 2018, debemos decir que no se ha producido una estampida por adquirirlo.
CONOZCA LA OFERTA EDR DE ESET, ESET ENTERPRISE INSPECTOR
Aún si las soluciones EDR representan costos adicionales y demandan habilidades adicionales por encima de las plataformas de protección endpoint estándar, los operadores MSP/MSSP deberían considerar el nivel de su ciberseguridad como un punto clave de ventas y una necesidad central para sus operaciones de negocios. Por ejemplo: comprender cómo se componen y actúan las amenazas significa que el MSP puede no solo protegerse a sí mismo, sino también demostrar sus habilidades de seguridad a los clientes.
Más allá de eso, es probable que la implementación de soluciones EDR y otras capacidades de seguridad avanzadas para la protección endpoint (por ejemplo, Threat Intelligence) se vuelvan prácticas habituales frente a la creciente agresividad de los actores maliciosos que apuntan contra modelos de negocio y tecnologías que ayudan a simplificar procesos y aumentar la eficiencia del negocio.
Entre los MSSP, hay quienes han comercializado sus prácticas EDR internas, proveyendo Detección y Respuesta gestionadas a los clientes 24/7, incluyendo detección, respuesta y remediación de amenazas. Así como con un típico acuerdo MSP, los servicios colaboran con las compañías que no tienen la capacidad interna para lidiar con la gestión de amenazas e incidentes.
Estando esta tendencia en crecimiento, parece claro que el panorama de seguridad presenta nuevos desafíos para los MSP y sus clientes, pero dando también lugar a nuevas oportunidades de negocio.