Skip to main content

Навігація

Каталог

Обізнаність з безпеки Конфіденційність і відповідність Безпека AI та LLM Реальні інциденти

За галуззю

Охорона здоровʼя Фінансові послуги Державний сектор Виробництво Рітейл і e-commerce Освіта Юридичні послуги SaaS і технології MSP-провайдери Неприбуткові організації

За сценарієм

Онбординг співробітників Щорічний комплаєнс Готовність до кіберстрахування Підготовка до аудиту Віддалена команда Підрядники і вендори Репетиція реагування M&A діліджнс Міграція LMS Звітування для ради

Бібліотека загроз

Фішинг Програми-вимагачі Deepfake Соціальна інженерія Компрометація листування AI Prompt Injection

Продукт

Можливості SCORM FAQ

Ресурси

Блог Глосарій Посібник для CISO Карта відповідності Безкоштовні вправи Специфікація продукту

Компанія

Про нас Партнерство Порівняння вендорів Контакти

Правова інформація

Безпека та відповідність Політика конфіденційності Умови використання
English Українська
Замовити демо
Для MSP

Тренінги з кібербезпеки для постачальників керованих послуг

Інтерактивні симуляції для технічних спеціалістів MSP, служб підтримки та клієнтських команд, які ви захищаєте. Фішинг для облікових даних RMM і PSA, реагування на ransomware, vishing з видаванням себе за постачальника та технічні шахрайства, відкалібровані під радіус впливу, який несуть MSP.

Автор Перевірено

Чому MSP несуть найбільший радіус впливу в кіберсфері

MSP сидять у найпривабливішій точці пропуску в кіберекосистемі. Один фішингом викрадений RMM-обліковий запис, один Approve на MFA-пуш або один технік служби підтримки, який передасть сесійний токен vishing-абоненту, можуть скомпрометувати сотні клієнтських тенантів одночасно. Інцидент з Kaseya VSA 2021 року вразив приблизно 1500 нижчих за ланцюгом бізнесів через єдиного постачальника, і CISA продовжує публікувати MSP-специфічні попередження, що цей шаблон не сповільнюється.

CIS Controls 4.4 уже вимагає тренінгів з обізнаності з безпеки, а програма CMMC 2.0 кодифікує це для MSP, що підтримують підрядників уряду США. Страхові компанії, що покривають кіберризики, тепер просять докази тренінгів перед укладанням полісів, а більшість корпоративних клієнтів передають очікування SOC 2 або ISO 27001 у ланцюг постачання. Щорічні відеоролики на проходження більше не задовольняють ані страховиків, ані аудиторів.

RansomLeak пропонує тренінги, які використовують самі техніки MSP, та ті самі тренінги, які вони передають своїм клієнтам. Інтерактивні 3D-симуляції відпрацьовують рішення, що захищають всю книгу бізнесу: відмова від неочікуваного MFA-пушу о 3-й ночі, верифікація поза каналом перед тим, як абонент, що видає себе за постачальника, переконає службу підтримки скинути пароль, та розпізнавання закріплення ransomware до того, як воно поширюється з одного клієнта на всіх.

Загрози, специфічні для MSP

1

Програми-вимагачі через RMM- та PSA-інструменти

Kaseya VSA, ConnectWise, NinjaOne та аналогічні платформи є постійними векторами ransomware. Один фішингом викрадений обліковий запис або скомпрометоване оновлення постачальника поширюється на кожен клієнтський тенант. Тренінг відпрацьовує дисципліну, що тримає ключі поза руками зловмисників.

2

Vishing з видаванням себе за постачальника проти служби підтримки

Зловмисники телефонують у служби підтримки MSP, видаючи себе за IT-директора клієнта, менеджера облікових записів Microsoft або постачальника резервного копіювання. Один скид пароля або сесійний токен дає доступ. Персоналу служби підтримки потрібні скриптовані шаблони верифікації та повноваження відмовляти.

3

Технічні шахрайства проти кінцевих користувачів клієнта

Кінцеві користувачі клієнтів отримують фейкові спливаючі вікна, номери для зворотного дзвінка та запити на віддалений доступ. MSP отримує дзвінок, коли користувач уже надав контроль. Тренування клієнтської бази зменшує обсяг інцидентів і захищає відносини з MSP.

4

BEC проти фінансових команд MSP та клієнтів

Фінансовий відділ MSP обробляє клієнтські рахунки, платежі постачальникам та зарплату по всій книзі. Шахрайство BEC націлюється на MSP, клієнта або обох одночасно, часто через схожі домени або скомпрометовані поштові скриньки.

5

Компрометація ланцюга постачання через довірені інструменти

Постачальники резервного копіювання, інструменти моніторингу та канали оновлень несуть неявну довіру. Тренінг персоналу зменшує ймовірність того, що отруєне оновлення або скомпрометований портал постачальника просунеться глибше у стек.

Фреймворки відповідності, які охоплює ця сторінка

Відповідність регуляціям, що визначають більшість рішень про закупівлю в галузі постачальників керованих послуг.

CIS Controls v8

CIS Control 4.4 (тренінги з обізнаності з безпеки та навичок) це базова лінія, на яку посилаються страхові компанії та клієнти. Охоплення узгоджується з фішингом, соціальною інженерією, безпечним використанням автентифікаторів та звітуванням про інциденти.

CMMC 2.0

MSP, що підтримують підрядників Міністерства оборони США, повинні відповідати практикам Cybersecurity Maturity Model Certification. Тренінги з обізнаності вимагаються на кожному рівні, з документально оформленими доказами для огляду оцінювачем.

SOC 2 Type II та ISO 27001

Більшість корпоративних клієнтів передають очікування SOC 2 CC1.4 та ISO 27001 A.7.2.2 у контракти MSP. Аудиторські докази повинні охоплювати персонал MSP та часто клієнтський персонал, яким керують.

Читати посібник

IRS Pub 4557 та HIPAA BAA

MSP, що обслуговують податкових практиків, повинні узгоджуватися з IRS Publication 4557 (Safeguarding Taxpayer Data). MSP, що підтримують охорону здоровʼя, підписують Business Associate Agreements і успадковують очікування тренінгів HIPAA.

Читати посібник

Вимоги страхових компаній з кіберризиків

Coalition, At-Bay, Beazley та інші страховики тепер вимагають доказів тренінгів з обізнаності з безпеки перед укладанням або поновленням MSP-полісів. Записи проходження по кожному співробітнику це найбільш запитуваний артефакт.

Підібрані вправи для галузі постачальників керованих послуг

Вибрано з каталогу 100+ вправ і пріоритезовано саме для цієї галузі.

Виявлення фішингових листів

Адмін-облікові дані RMM, PSA, резервного копіювання та Microsoft 365 це найцінніші фішингові цілі в екосистемі MSP. Це фундаментальна вправа.

Спробувати вправу

Реагування на ransomware у першу годину

Інциденти з ransomware у MSP поширюються швидко. Вправа відпрацьовує стримування, ескалацію по клієнтському портфоліо та правила, що НЕ робити в першу годину.

Спробувати вправу

Vishing (голосовий фішинг)

Служби підтримки це магніти для vishing. Практика охоплює видавання себе за постачальника, тиск терміновості та відмову від розкриття облікових даних телефоном.

Спробувати вправу

Розпізнавання технічних шахрайств

І техніки MSP, і кінцеві користувачі клієнтів стикаються з фейковими callback-вікнами. Зменшує обсяг інцидентів через тренування клієнтської бази на тому, як виглядає справжній зворотний дзвінок.

Спробувати вправу

Компрометація ділової електронної пошти

Адаптовано для фінансів та операцій MSP та для клієнтських фінансових команд, які підтримує MSP. Охоплює шахрайство з переказами, запити на зміну постачальника та виявлення схожих доменів.

Спробувати вправу

Налаштування MFA та push fatigue

Push-bombing проти технічних спеціалістів MSP тепер є стандартним прийомом. Дисципліна відмови від неочікуваних запитів захищає кожного нижчого за ланцюгом тенанта.

Спробувати вправу
Переглянути повний каталог 100+ вправ

Загрози, які охоплює ця програма

Перейдіть до тематичного посібника для кожного типу атаки та до вправ, що тренують захист від нього.

Ransomware

Phishing

Social Engineering

Що таке тренінги з обізнаності з кібербезпеки для MSP?

Тренінги з обізнаності з кібербезпеки для MSP це структурована програма, що готує технічних спеціалістів MSP, служби підтримки та клієнтський персонал розпізнавати загрози, які прокладають собі шлях через інфраструктуру MSP. Вона задовольняє CIS Controls 4.4, практики обізнаності CMMC 2.0 та очікування SOC 2 CC1.4, які клієнти передають у контракти. Охоплення націлене на MSP-загрози: фішинг для RMM-облікових даних, радіус впливу ransomware, vishing з видаванням себе за постачальника та шахрайство BEC проти фінансів.

На практиці MSP потребують тренінгів, які відповідають подвійній реальності бізнесу: їх власний персонал та кінцеві користувачі клієнтів, якими вони керують. Попередження CISA для MSP та страхові компанії з кіберризиків вимагають контенту за ролями, стійкості до MFA fatigue та культури звітування. Загальні відеоролики проходження більше не задовольняють страховиків.

RansomLeak пропонує MSP-релевантні тренінги через інтерактивні 3D-симуляції та дружню до white-label доставку. Платформа експортує SCORM 1.2 та 2004 пакети для будь-якої LMS, надає аудиторські докази CIS, CMMC, SOC 2 та HIPAA та підтримує розгортання за тенантами, тож MSP можуть передавати один і той самий контент кожному клієнту.

Часті запитання

Що найчастіше запитують покупці у галузі постачальників керованих послуг.

Чи задовольняють тренінги RansomLeak CIS Controls 4.4 та CMMC 2.0?

Так. Каталог узгоджується з CIS Control 4.4 (тренінги з обізнаності з безпеки та навичок) та практиками обізнаності CMMC 2.0. Аудиторські докази експортують записи проходження по кожному співробітнику, бали та охоплення тем у форматах, прийнятних для оцінювачів CMMC та аудиторів CIS.

Чи можемо ми перепродавати або white-label це для наших клієнтів?

Так. RansomLeak підтримує партнерські моделі MSP, включаючи розгортання SCORM за тенантами, дружній до white-label контент та консолідовану звітність по клієнтській книзі. Поговоріть з партнерською командою про ціни та пакування.

Як це допомагає з поновленнями кіберстрахування?

Більшість страхових компаній, орієнтованих на MSP, тепер вимагають доказів тренінгів з обізнаності з безпеки перед укладанням або поновленням. RansomLeak надає записи проходження по кожному співробітнику, час виконання та карти охоплення тем, які безпосередньо узгоджуються з питаннями страхового андерайтингу.

Чи інтегрується це з нашим стеком PSA та RMM?

Кожна вправа експортується як SCORM 1.2 і 2004 пакети, протестована з понад 50 LMS. Для MSP без LMS автономна хмарна платформа пропонує SSO, MFA, аналітику в реальному часі та готову для аудиту звітність, яка вписується поряд з вашими робочими процесами PSA-звітності.

Як ви охоплюєте сценарії служби підтримки та технічної сторони?

Шаблони призначень за ролями постачаються "з коробки". Персонал служби підтримки бачить vishing з видаванням себе за постачальника, соціальну інженерію зі скиданням пароля та шаблони відмови. Польові техніки бачать фішинг RMM-облікових даних, MFA fatigue та реагування на ransomware у першу годину.

Як часто персонал MSP та клієнти повинні проходити тренінги?

CIS, SOC 2 та більшість страхових компаній з кіберризиків очікують тренінг при наймі плюс постійне підкріплення. Більшість MSP проводять повне оновлення раз на рік плюс щомісячні мікромодулі, привʼязані до тенденцій інцидентів та оновлень розвідки загроз. RansomLeak підтримує обидва ритми.

Як це виглядає для клієнтів у регульованих галузях?

Для клієнтів, на яких поширюється HIPAA, каталог узгоджується з 45 CFR § 164.308(a)(5). Для клієнтів-податкових практиків він узгоджується з IRS Pub 4557. Для клієнтів, що підтримують Міністерство оборони, він підтримує практики обізнаності CMMC 2.0. Той самий SCORM-пакет задовольняє кілька фреймворків.

Дотичні матеріали

Тренінги з обізнаності щодо програм-вимагачів для співробітників

Читати статтю

Посібник з тренінгів симуляції фішингу

Читати статтю

Тренінги з обізнаності щодо vishing

Читати статтю

Тренінги з компрометації ділової електронної пошти

Читати статтю

Посібник з тренінгів обізнаності з безпеки

Читати статтю

Запустити цю програму у галузі постачальників керованих послуг

Запишіться на 30-хвилинну демонстрацію, адаптовану під ваш персонал, LMS та аудиторський графік.

Замовити демо Переглянути безкоштовний каталог