全国网络安全和通信整合中心一直在自2016年以来跟踪来自高级持续威胁行动者对全球托管服务提供商(MSP)的攻击.这些攻击的目标遍布信息技术(IT)、能源、医疗保健、公共卫生、通信和制造业。
托管服务提供商为客户的IT和网络基础设施提供远程管理。由于使用MSP的可伸缩性和成本节约,许多公司都采用了这种形式的服务。为了有效地管理其网络,MSPs通常被授予对客户网络的完全访问权,并有可能访问客户数据。
本质上,MSP将有多个客户。如果在MSP中发生安全漏洞,则可能会使多个组织处于风险之中。MSP还需要在客户网络上创建额外的帐户,并具有提升的权限。这些额外的帐户增加了可用于攻击的途径数量。此外,这些账户的高程访问可能会暴露MSP和客户公司,这需要主动占用的安全措施。乐动体育 足球快讯
高级持续威胁攻击者将目标对准合法的管理资源,使攻击看起来尽可能接近正常的日常操作。乐动体育 南安普顿合作伙伴由于在网络上所做的大多数操作都要创建日志,因此以恶意方式使用预期的操作变得更加难以检测。如果攻击者能够获得对管理员级别用户凭证的访问权,那么他们就可以访问各种设备和系统工具的特性和服务。例如,如果正在使用的服务器包含渗透测试工具,则可以恶意地使用这些工具来发现网络中的其他弱点。然后,可以使用其他合法的内置服务从网络提取数据,而不会向管理员发出任何警告。
解决托管服务提供商的攻击
成功的网络侵入可能导致组织的严重影响,包括丧失专有信息,对常规业务的破坏,财务损失以及对本组织的声誉造成危害。此外,某些行业必须遵守各种水平的规定(HIPAA,PCI,GDPR)。如果发生违规行为,则根据客户信息的损坏,通常征收符合公司的大量罚款。乐动体育 足球快讯
检测
解决方案以检测开始的事件。应该在组织中部署集中的日志收集设备。在集中式日志解决方案中,日志保存在与受损设备不同的位置,从而防止对本地日志文件进行更改。日志的集中化和使用SIEM之类的设备允许在整个网络上创建正常日志活动的基线。如果出现漏洞,当合法服务开始以意想不到的方式运行时,就会增加创建警报的机会。
响应
组织从事件中快速响应和恢复的能力始于事件响应程序的创建。一个事件响应计划应该包括采取的步骤的顺序,这样,不管可能出现的问题,每个人都致力于同样的重要问题,而不是混乱和工作在较小的,低优先级的任务。
致力于确保端点和网络基础设施的安全:预防比事故发生后作出反应成本更低、更有效。主动采取安全措施并进行监控。这最好是用a来完成网络利用向安全和网络监控工具发送数据。
建议减轻风险
MSP客户应该意识到使用MSP所产生的风险。客户应该确切地知道MSP需要访问什么,并以只提供所需控制的方式解决这些可访问性需求。
确保未分配给管理员组的MSP帐户。MSP帐户应该被限制在他们需要访问的管理范围内。如果帐户被泄露,这将极大地限制可能受到影响的领域。
确保MSP帐户密码符合组织政策密码策略的复杂性,到期日期,以及必须使用多少个新密码才能再次使用旧密码。
限制MSP帐户的时间和/或日期。这样,如果客户不再希望使用MSP,则该帐户将被遗忘的事件中锁定。
集中系统日志,以防止更改本地文件,以防违反。如果出现漏洞,当合法服务开始以意想不到的方式运行时,就会增加创建警报的机会。
将这些中央日志配置为存储一年以上的日志数据,并建立日志审查流程。
安装并配置安全信息和事件管理(SIEM)工具,以接收日志和网络流进行分析。
通过在网络中的关键点处使用抽头和聚合设备来创建系统和网络行为的基线。
监控流量的最佳方法是使用水龙头。让安全设备侧重于安全性,而不是生成跨度/镜像流量。TAPS将抓住100%的交通方向,并将其发送到安全监控工具。
确保内部和外部DNS查询由专用服务器执行。保持DNS锁定和内部,这有助于防止攻击者拦截DNS请求和重定向互联网流量。
限制对未经授权的公共文件共享的访问。DLP设备将有助于识别并停止未经批准的数据导出。旁路龙头可以缓解DLP系统的实现到网络中。
定期检查网络设备的环境和配置。
查看特权帐户组并禁用不活动的帐户组。
没有单一的解决方案来保护和防御一个网络。通过密切遵循安全与监控堆栈的行业最佳实践和标准,可以提高成功识别入侵、阻止攻击和破坏恶意活动的几率。最终目标是让攻击者尽可能难以成功侵入您的网络,同时迫使他们使用更容易检测的方法。
[想深入了解如何在即时响应数据泄露时获得充分的能见度吗?看看我们用网络防御组用例.]