对一些公司来说,管理服务提供商(MSPs)可能是天赐之物——一种力量乘数,使他们能够支持更多的客户和更多的员工,而无需花费精力和费用扩大IT部门。MSPs是能够访问公司网络的供应商,允许他们进行日常维护、补丁管理,甚至像云迁移这样的大型项目。它们与托管安全服务提供商(msps)一道,让客户能够在专注于核心竞争力的同时,拥有一个完整的IT和安全基础设施。
然而,在过去的几个月里,攻击者得到了治疗MSP和MSSPS.不是作为安全提供商,而是作为单一的故障点,允许他们同时利用多个公司。拿下一个MSP意味着可能会感染并破坏它的每一个客户。MSPs如何抵御这种新的威胁?
最近的攻击突出显示MSP漏洞
最近的一些数据泄露和勒索软件事件表明,攻击者开始在供应链攻击中针对MSPs。
攻击者针对MSP的第一个迹象于2019年回归2019年,当时中国安全部相关的攻击者被绑定到受影响的违规行为八服务提供商- 为HP,IBM和FUJITSU的MSP武器。这些袭击遵循国土安全部门警告,攻击者正在准备使用岛屿跳跃策略跟踪数据从MSPs进入他们的客户网络。
事情从那时开始升级,到2020年美国秘密服务发布了另一份基于国土安全部文件调查结果的备忘录。在这里,他们指出,攻击者在如何利用入侵的MSPs来伤害他们的客户方面变得越来越有创意。被攻破的MSP系统被用来用勒索软件感染客户,骗他们发送不必要的付款,甚至窃取MSP客户的最终客户。更重要的是,这些攻击是由犯罪集团实施的,而不是国家支持的黑客。
事件在2021年7月达到高潮,发生了有记录以来最大的勒索软件攻击。一个名为REvil的勒索软件组织承认对攻击名为Kaseya的MSP组织负责,然后使用同样的跨岛策略感染了17个国家的数千名客户,要求7000万美元的赎金.在提出这种需求之后不久,勒索软件集团擦过互联网的存在,也许担心国家赞助的报复。这意味着数百名客户已加密的客户 - 并且除了支付赎金的情况下没有求助 - 现在无法检索其数据。
黑客躲在MSP的盲点
信息安全世界的巨大讽刺之一是,被指控保护其他人的公司可以将受害者降至同样的攻击。MSP是一个新的目标,但是这样的公司FireEye那LastPass,Verizon企业(基准年度数据泄露调查报告的作者)都报告了过去几年的网络攻击。因此,MSPs和MSPs是旧模式的最新迭代,但问题仍然存在——他们做错了什么?
在Kaseya的情况下,该公司似乎将受害者降低到老哈布里斯。乐动体育 足球快讯组织的举报人说他们标记漏洞在公司的网络安乐动体育 足球快讯全战略中,在三年内,只有他们的警告忽略了。Kaseya依靠过时的操作系统,未能使用强烈的加密,并忽略了修补易受攻击的软件。一个举报人表示,该公司在纯文本中存储了客户密码(!)。乐动体育 足球快讯
如果您来自MSP并且您正在阅读这一点,我们将假设您正在制作不仅仅是遵守网络安全最佳实践的基本努力。换句话说,您的网络可能少对攻击者的打开邀请。有人会如何尝试在那次活动中违反您的网络?
虽然没有人可以肯定地说,原始部门安全报告突出了一个共同的战略跳跃。最有可能发生的是,您的组织不会成为广泛数据泄露的“患者零”。直到他们违反你的一个客户,你甚至可能甚至没有攻击者的雷达。他们,攻击者将试图在受感染的客户的供应链中违反每个供应商 - 现在包括您。
由于您已经连接到客户的网络,因此攻击者很容易找到一个未被监控的连接,该连接可以返回到您自己的总部——一旦他们找到您的总部,攻击者就可以很容易地返回到您的客户。请记住,由于您的客户没有太多自己的信息安全基础设施,他们几乎完全无法抵御数据泄露。它们的安全性依赖于您监视网络的能力。
MSPs可以通过增加可见性对抗攻击者
MSPs需要提高其能见度,以应对供应链攻击的风险。依赖客户端交换机SPAN端口的日子已经过去了,因为众所周知它们会引入额外的漏洞,并且不能提供完整的可见性。通过整合可见性织物的网络监听和包代理在您的安全解决方案下,MSPs可以保护客户的网络,而不必冒丢包或网络盲点的风险。
另外,私有数据二极管抽头可以强制客户和安全工具之间的单向通信,防止攻击者横向移动或感染其他客户。内联旁路阀门确保活动内联工具的24/7可用性,防止它们成为单一的故障点。
希望为下一个MSP部署提供完整的可见性,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示.没有义务——这是我们喜欢做的事。
