MSP托管服务提供商也应视为内部威胁?

托管服务提供商 (MSP) 和托管安全服务提供商 (MSSP) 颇为吸引攻击者的注意力,攻击者将之视为访问其客户网络的门路。

世界各地越来越多的托管服务提供商 (MSP) 被黑客盯上并入侵。此类事件可对其客户的业务造成极大影响,因为被入侵的 MSP 可作为黑客入侵其客户企业网络的发射台。MSP 入侵凸显出企业认真看待其引入风险和为封堵来自可信业务伙伴的威胁做好准备的重要性。

两周前,西班牙最大 MSP 之一,NTT 子公司,IT 服务公司 Everis 遭遇勒索软件攻击。基于推特上泄露的内部通信,该公司指示员工关停计算机,并决定切断其办公地点与客户间的网络连接。

依赖 Everis 管理各类 IT 基础设施的客户遭受到了直接影响,其中部分客户启动内部调查以查明自身是否感染了勒索软件。

侵袭 Everis 的恶意软件程序使用 .3v3r1s 勒索软件加密文件,勒索信还警告该公司不得将事件公开。这表明该 MSP 不单纯是无差别攻击中的随机受害者,黑客有意选择了这家 MSP 并为攻击定制了勒索软件。

并非第一起MSP攻击

针对 MSP 和 MSSP 的攻击近年来迅速崛起,第一波攻击始于今年 2 月:GandCrab 勒索软件攻击者利用 ConnectWise 和 Kaseya 平台集成插件中的一个已知漏洞实施攻击。ConnectWise 和 Kaseya 是 MSP 用以管理系统的两个平台。

今年 6 月,另一波攻击袭向 MSP,通过 Webroot 管理控制台——又一 MSP 常用工具,部署了 Sodinokibi 勒索软件。该事件迫使网络安全公司 Webroot 向客户发出通告,强制使用双因子身份验证。

上个月,安全公司 Armor 发布报告,列出今年遭受了勒索软件攻击的 13 家 MSP 和云服务提供商。很多案例中,事件都造成了其客户网络的勒索软件感染,影响教育机构、律所、医疗机构和房地产中介等。

不止勒索软件

虽然截止目前的大部分 MSP 入侵都被利用来部署勒索软件,但这并不是 MSP 客户面对的唯一一种威胁。国家支持的网络间谍组织也可以利用这种技术来侵入其目标,Carbanak 或 FIN7 等高端网络犯罪团伙同样可以。这些网络犯罪团伙的作案手法涉及入侵网络、横向移动到关键系统、长期观察并弄清内部工作流,然后从目标机构盗取钱财或信用卡数据。

2013 年造成 4,000 万支付卡信息泄露的塔吉特数据泄露事件,就是始于黑客利用从其暖通空调供应商盗取的凭证,经该供应商接入塔吉特系统的门户而入侵了此公司的网络。尽管这不是首起源于供应链入侵的数据泄露,但却是将此威胁路径摆上攻击地图上的一起。

此后的岁月中,黑客经由合作伙伴或软件供应商入侵公司企业网络的事件层出不穷。2017 年始于乌克兰的 NotPetya 勒索软件大爆发,就是经由流行税务会计软件 MeDoc 的有毒更新流传开来的。

即使 MSP 攻击未造成下游系统或网络入侵,也依然会导致宕机和影响客户业务——如果 MSP 被迫暂停其正常运营。

如何限制源于被黑MSP的伤害

威瑞森《2019 数据泄露调查》报告指出,去年的数据泄露事件中超过 1/3 由内部人引发。经由对公司基础设施拥有合法访问权的可信内部人发起的攻击,绝对有资格被视为内部人威胁。

缓解此类威胁显然像缓解大部分供应链威胁一样难。企业信任 MSSP 和 MSP,将自身数据交托于他们。同时,企业经由该供应链外包绝大部分传统缓解技术,如渗透测试、监视和培训等,来削减运营开销。

通过研究针对 MSP 和 MSSP 的攻击所用战术、技术与流程 (TTP),企业可以学到一些帮助更好抵御其安全供应链上游入侵的方法。包括:

  • 保护远程访问
  • 资源访问强制实施最小权限策略
  • 审核并更新服务提供商的[服务水平协议 (SLA)](https://www.cio.com/article/2438284/outsourcing-sla-definitions-and-solutions.html)
  • 审计并改善咨询公司、供应商或服务提供商对企业资源的外部访问策略
  • 定期扫描并修复漏洞
  • 沟通并培训员工和其他用户

最后一条可能是网络威胁缓解中最重要的一个方面。无论是否针对供应链威胁,安全意识总是更好安全的关键。

为阻止攻击者滥用合法连接侵入公司网络,公司企业应该做的首要事情就是隔离。说到经由互联网连接内部网络,网络分隔是每家公司都应做好的头等大事。每个供应商、MSP 、MSSP 等,只要进入公司网络都应被隔离,任何到内部源的通信都应被严格控制和监视。

缓解来自员工的内部人威胁或阻止攻击者横向移动的许多典型建议,都适用于合作伙伴和 MSP。这些典型建议包括:确保使用够强且经常轮换的独特凭证,采用双因子身份验证,访问权限制在他们需管理的资产或完成工作所需的信息上,监视其在网络内的连接和活动,以及设置能够标记异常行为和策略违反的系统。

Armor 报告:

6 New MSPs and/or Cloud-Based Service Providers Compromised by Ransomware, A Total of 13 for 2019, Reports Armor

上一篇:完美落幕,EISS 2019企业信息安全峰会之上海站 11月22日成功举办!

下一篇:新千年虫出现:Splunk时间戳功能将在2020年出现重大问题