压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

托管服務提供商 (MSP) 和托管安全服務提供商 (MSSP) 頗為吸引攻擊者的注意力，攻擊者將之視為訪問其客戶網絡的門路。

世界各地越來越多的托管服務提供商 (MSP) 被黑客盯上并入侵。此類事件可對其客戶的業務造成極大影響，因為被入侵的 MSP 可作為黑客入侵其客戶企業網絡的發射臺。MSP 入侵凸顯出企業認真看待其引入風險和為封堵來自可信業務伙伴的威脅做好準備的重要性。

兩周前，西班牙最大 MSP 之一，NTT 子公司，IT 服務公司 Everis 遭遇勒索軟件攻擊?；谕铺厣闲孤兜膬炔客ㄐ牛摴局甘締T工關停計算機，并決定切斷其辦公地點與客戶間的網絡連接。

依賴 Everis 管理各類 IT 基礎設施的客戶遭受到了直接影響，其中部分客戶啟動內部調查以查明自身是否感染了勒索軟件。

侵襲 Everis 的惡意軟件程序使用 .3v3r1s 勒索軟件加密文件，勒索信還警告該公司不得將事件公開。這表明該 MSP 不單純是無差別攻擊中的隨機受害者，黑客有意選擇了這家 MSP 并為攻擊定制了勒索軟件。

并非第一起MSP攻擊

針對 MSP 和 MSSP 的攻擊近年來迅速崛起，第一波攻擊始于今年 2 月：GandCrab 勒索軟件攻擊者利用 ConnectWise 和 Kaseya 平臺集成插件中的一個已知漏洞實施攻擊。ConnectWise 和 Kaseya 是 MSP 用以管理系統的兩個平臺。

今年 6 月，另一波攻擊襲向 MSP，通過 Webroot 管理控制臺——又一 MSP 常用工具，部署了 Sodinokibi 勒索軟件。該事件迫使網絡安全公司 Webroot 向客戶發出通告，強制使用雙因子身份驗證。

上個月，安全公司 Armor 發布報告，列出今年遭受了勒索軟件攻擊的 13 家 MSP 和云服務提供商。很多案例中，事件都造成了其客戶網絡的勒索軟件感染，影響教育機構、律所、醫療機構和房地產中介等。

不止勒索軟件

雖然截止目前的大部分 MSP 入侵都被利用來部署勒索軟件，但這并不是 MSP 客戶面對的唯一一種威脅。國家支持的網絡間諜組織也可以利用這種技術來侵入其目標，Carbanak 或 FIN7 等高端網絡犯罪團伙同樣可以。這些網絡犯罪團伙的作案手法涉及入侵網絡、橫向移動到關鍵系統、長期觀察并弄清內部工作流，然后從目標機構盜取錢財或信用卡數據。

2013 年造成 4,000 萬支付卡信息泄露的塔吉特數據泄露事件，就是始于黑客利用從其暖通空調供應商盜取的憑證，經該供應商接入塔吉特系統的門戶而入侵了此公司的網絡。盡管這不是首起源于供應鏈入侵的數據泄露，但卻是將此威脅路徑擺上攻擊地圖上的一起。

此后的歲月中，黑客經由合作伙伴或軟件供應商入侵公司企業網絡的事件層出不窮。2017 年始于烏克蘭的 NotPetya 勒索軟件大爆發，就是經由流行稅務會計軟件 MeDoc 的有毒更新流傳開來的。

即使 MSP 攻擊未造成下游系統或網絡入侵，也依然會導致宕機和影響客戶業務——如果 MSP 被迫暫停其正常運營。

如何限制源于被黑MSP的傷害

威瑞森《2019 數據泄露調查》報告指出，去年的數據泄露事件中超過 1/3 由內部人引發。經由對公司基礎設施擁有合法訪問權的可信內部人發起的攻擊，絕對有資格被視為內部人威脅。

緩解此類威脅顯然像緩解大部分供應鏈威脅一樣難。企業信任 MSSP 和 MSP，將自身數據交托于他們。同時，企業經由該供應鏈外包絕大部分傳統緩解技術，如滲透測試、監視和培訓等，來削減運營開銷。

通過研究針對 MSP 和 MSSP 的攻擊所用戰術、技術與流程 (TTP)，企業可以學到一些幫助更好抵御其安全供應鏈上游入侵的方法。包括：

• 保護遠程訪問
• 資源訪問強制實施最小權限策略
• 審核并更新服務提供商的[服務水平協議 (SLA)](https://www.cio.com/article/2438284/outsourcing-sla-definitions-and-solutions.html)
• 審計并改善咨詢公司、供應商或服務提供商對企業資源的外部訪問策略
• 定期掃描并修復漏洞
• 溝通并培訓員工和其他用戶

最后一條可能是網絡威脅緩解中最重要的一個方面。無論是否針對供應鏈威脅，安全意識總是更好安全的關鍵。

為阻止攻擊者濫用合法連接侵入公司網絡，公司企業應該做的首要事情就是隔離。說到經由互聯網連接內部網絡，網絡分隔是每家公司都應做好的頭等大事。每個供應商、MSP 、MSSP 等，只要進入公司網絡都應被隔離，任何到內部源的通信都應被嚴格控制和監視。

緩解來自員工的內部人威脅或阻止攻擊者橫向移動的許多典型建議，都適用于合作伙伴和 MSP。這些典型建議包括：確保使用夠強且經常輪換的獨特憑證，采用雙因子身份驗證，訪問權限制在他們需管理的資產或完成工作所需的信息上，監視其在網絡內的連接和活動，以及設置能夠標記異常行為和策略違反的系統。

Armor 報告：

6 New MSPs and/or Cloud-Based Service Providers Compromised by Ransomware, A Total of 13 for 2019, Reports Armor