MSP托管服務(wù)提供商也應(yīng)視為內(nèi)部威脅?
責(zé)編:gltian |2019-11-29 14:07:37托管服務(wù)提供商 (MSP) 和托管安全服務(wù)提供商 (MSSP) 頗為吸引攻擊者的注意力,攻擊者將之視為訪問(wèn)其客戶網(wǎng)絡(luò)的門(mén)路。
世界各地越來(lái)越多的托管服務(wù)提供商 (MSP) 被黑客盯上并入侵。此類(lèi)事件可對(duì)其客戶的業(yè)務(wù)造成極大影響,因?yàn)楸蝗肭值?MSP 可作為黑客入侵其客戶企業(yè)網(wǎng)絡(luò)的發(fā)射臺(tái)。MSP 入侵凸顯出企業(yè)認(rèn)真看待其引入風(fēng)險(xiǎn)和為封堵來(lái)自可信業(yè)務(wù)伙伴的威脅做好準(zhǔn)備的重要性。
兩周前,西班牙最大 MSP 之一,NTT 子公司,IT 服務(wù)公司 Everis 遭遇勒索軟件攻擊。基于推特上泄露的內(nèi)部通信,該公司指示員工關(guān)停計(jì)算機(jī),并決定切斷其辦公地點(diǎn)與客戶間的網(wǎng)絡(luò)連接。
依賴 Everis 管理各類(lèi) IT 基礎(chǔ)設(shè)施的客戶遭受到了直接影響,其中部分客戶啟動(dòng)內(nèi)部調(diào)查以查明自身是否感染了勒索軟件。
侵襲 Everis 的惡意軟件程序使用 .3v3r1s 勒索軟件加密文件,勒索信還警告該公司不得將事件公開(kāi)。這表明該 MSP 不單純是無(wú)差別攻擊中的隨機(jī)受害者,黑客有意選擇了這家 MSP 并為攻擊定制了勒索軟件。
并非第一起MSP攻擊
針對(duì) MSP 和 MSSP 的攻擊近年來(lái)迅速崛起,第一波攻擊始于今年 2 月:GandCrab 勒索軟件攻擊者利用 ConnectWise 和 Kaseya 平臺(tái)集成插件中的一個(gè)已知漏洞實(shí)施攻擊。ConnectWise 和 Kaseya 是 MSP 用以管理系統(tǒng)的兩個(gè)平臺(tái)。
今年 6 月,另一波攻擊襲向 MSP,通過(guò) Webroot 管理控制臺(tái)——又一 MSP 常用工具,部署了 Sodinokibi 勒索軟件。該事件迫使網(wǎng)絡(luò)安全公司 Webroot 向客戶發(fā)出通告,強(qiáng)制使用雙因子身份驗(yàn)證。
上個(gè)月,安全公司 Armor 發(fā)布報(bào)告,列出今年遭受了勒索軟件攻擊的 13 家 MSP 和云服務(wù)提供商。很多案例中,事件都造成了其客戶網(wǎng)絡(luò)的勒索軟件感染,影響教育機(jī)構(gòu)、律所、醫(yī)療機(jī)構(gòu)和房地產(chǎn)中介等。
不止勒索軟件
雖然截止目前的大部分 MSP 入侵都被利用來(lái)部署勒索軟件,但這并不是 MSP 客戶面對(duì)的唯一一種威脅。國(guó)家支持的網(wǎng)絡(luò)間諜組織也可以利用這種技術(shù)來(lái)侵入其目標(biāo),Carbanak 或 FIN7 等高端網(wǎng)絡(luò)犯罪團(tuán)伙同樣可以。這些網(wǎng)絡(luò)犯罪團(tuán)伙的作案手法涉及入侵網(wǎng)絡(luò)、橫向移動(dòng)到關(guān)鍵系統(tǒng)、長(zhǎng)期觀察并弄清內(nèi)部工作流,然后從目標(biāo)機(jī)構(gòu)盜取錢(qián)財(cái)或信用卡數(shù)據(jù)。
2013 年造成 4,000 萬(wàn)支付卡信息泄露的塔吉特?cái)?shù)據(jù)泄露事件,就是始于黑客利用從其暖通空調(diào)供應(yīng)商盜取的憑證,經(jīng)該供應(yīng)商接入塔吉特系統(tǒng)的門(mén)戶而入侵了此公司的網(wǎng)絡(luò)。盡管這不是首起源于供應(yīng)鏈入侵的數(shù)據(jù)泄露,但卻是將此威脅路徑擺上攻擊地圖上的一起。
此后的歲月中,黑客經(jīng)由合作伙伴或軟件供應(yīng)商入侵公司企業(yè)網(wǎng)絡(luò)的事件層出不窮。2017 年始于烏克蘭的 NotPetya 勒索軟件大爆發(fā),就是經(jīng)由流行稅務(wù)會(huì)計(jì)軟件 MeDoc 的有毒更新流傳開(kāi)來(lái)的。
即使 MSP 攻擊未造成下游系統(tǒng)或網(wǎng)絡(luò)入侵,也依然會(huì)導(dǎo)致宕機(jī)和影響客戶業(yè)務(wù)——如果 MSP 被迫暫停其正常運(yùn)營(yíng)。
如何限制源于被黑MSP的傷害
威瑞森《2019 數(shù)據(jù)泄露調(diào)查》報(bào)告指出,去年的數(shù)據(jù)泄露事件中超過(guò) 1/3 由內(nèi)部人引發(fā)。經(jīng)由對(duì)公司基礎(chǔ)設(shè)施擁有合法訪問(wèn)權(quán)的可信內(nèi)部人發(fā)起的攻擊,絕對(duì)有資格被視為內(nèi)部人威脅。
緩解此類(lèi)威脅顯然像緩解大部分供應(yīng)鏈威脅一樣難。企業(yè)信任 MSSP 和 MSP,將自身數(shù)據(jù)交托于他們。同時(shí),企業(yè)經(jīng)由該供應(yīng)鏈外包絕大部分傳統(tǒng)緩解技術(shù),如滲透測(cè)試、監(jiān)視和培訓(xùn)等,來(lái)削減運(yùn)營(yíng)開(kāi)銷(xiāo)。
通過(guò)研究針對(duì) MSP 和 MSSP 的攻擊所用戰(zhàn)術(shù)、技術(shù)與流程 (TTP),企業(yè)可以學(xué)到一些幫助更好抵御其安全供應(yīng)鏈上游入侵的方法。包括:
- 保護(hù)遠(yuǎn)程訪問(wèn)
- 資源訪問(wèn)強(qiáng)制實(shí)施最小權(quán)限策略
- 審核并更新服務(wù)提供商的[服務(wù)水平協(xié)議 (SLA)](https://www.cio.com/article/2438284/outsourcing-sla-definitions-and-solutions.html)
- 審計(jì)并改善咨詢公司、供應(yīng)商或服務(wù)提供商對(duì)企業(yè)資源的外部訪問(wèn)策略
- 定期掃描并修復(fù)漏洞
- 溝通并培訓(xùn)員工和其他用戶
最后一條可能是網(wǎng)絡(luò)威脅緩解中最重要的一個(gè)方面。無(wú)論是否針對(duì)供應(yīng)鏈威脅,安全意識(shí)總是更好安全的關(guān)鍵。
為阻止攻擊者濫用合法連接侵入公司網(wǎng)絡(luò),公司企業(yè)應(yīng)該做的首要事情就是隔離。說(shuō)到經(jīng)由互聯(lián)網(wǎng)連接內(nèi)部網(wǎng)絡(luò),網(wǎng)絡(luò)分隔是每家公司都應(yīng)做好的頭等大事。每個(gè)供應(yīng)商、MSP 、MSSP 等,只要進(jìn)入公司網(wǎng)絡(luò)都應(yīng)被隔離,任何到內(nèi)部源的通信都應(yīng)被嚴(yán)格控制和監(jiān)視。
緩解來(lái)自員工的內(nèi)部人威脅或阻止攻擊者橫向移動(dòng)的許多典型建議,都適用于合作伙伴和 MSP。這些典型建議包括:確保使用夠強(qiáng)且經(jīng)常輪換的獨(dú)特憑證,采用雙因子身份驗(yàn)證,訪問(wèn)權(quán)限制在他們需管理的資產(chǎn)或完成工作所需的信息上,監(jiān)視其在網(wǎng)絡(luò)內(nèi)的連接和活動(dòng),以及設(shè)置能夠標(biāo)記異常行為和策略違反的系統(tǒng)。
Armor 報(bào)告:
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧