我们已经以前讨论的对管理服务提供商(MSPs)的威胁,包括他们作为一个有价值的二级目标的身份,对各种APT集团和出于经济动机的威胁集团。覆盖新的攻击向量的问题,然而,是在每一个新的向量通常是没一个系统修改,资产管理,安全官员不雇佣(通常是合理的,事实上“技能短缺”的可疑的索赔)或董事会认为,基础设施投资是的,安全是基础设施——作为成本中心,而不是可持续利润的长期投资。
简而言之,恶意软件对企业的危害远小于企业自身的操作流程。
进入点
关于违规根本原因的数据很难通过,通常是因为安全供应商倾向于通过不提供行业纵向特定风险分析来受益。但是,可用的数据偶尔会在公司数据泄露以某些常见的未策略错误开始提示。
的2019 Verizon Dbir.该公司声称,在观察到的数据泄露事件中,只有28%涉及使用恶意软件进行初始入侵。虽然恶意软件在随后的入侵中扮演了重要角色,但数据表明,大多数公开入侵并非由零日攻击或古怪复杂的入侵路径驱动。因此,如果您试图保护MSP,攻击者最常见的入口点是什么?
在“黑客攻击”的广阔标题下,入口点的最突出的观察策略包括网络钓鱼,使用被盗凭证和其他社会工程技术。随后进一步访问的操作包括常见的后门或受损的Web应用程序。让我们进一步打破这些下来。
网络钓鱼是一种可靠的方式获得立足点,危害一个系统。一个员工点击了一个钓鱼网站,怎么会构成一个非强制错误呢?经常是各种企业激励他们的员工点击所有的东西,同时限制他们实际阅读的信息。设计不良的企业通信的后果可能是巨大的,正如MSP所看到的那样丢失了管理凭据通过网络钓鱼攻击,随后用于发射赎金软件。
被盗凭证是一种非常常见的攻击载体,在几起高调的MSP数据泄露事件中都见过。“偷来的”这个词有点用词不当,更确切地说应该是“处理不当”。
不考虑通过社会工程或网络钓鱼获得的证书,公司经常会因为保持旧的或不必要的帐户活跃而失去证书的跟踪,未能监控帐户的公开曝光,未能在可能影响员工的二次入侵后强制重置帐户,没有执行现代的密码策略——基本上没有注意到。
如果具有暴露凭据的任何单一帐户都是过度特权,几乎保证了一个重要的违规行为。和MSP的后果具有邋&凭证处理的可能性非常严重(1,2)。
最后在阵容中为不必要的安全失败是补丁管理。与尝试管理固定基础架构成本的任何其他公司一样,MSP严重依赖第三方软件和服务。因此,当发现业务关键的支持应用程序时多重严重漏洞,为进一步开发提供了广阔的渠道。有时,使用的漏洞是全新的。通常情况下,它们不是这样的,而那些无法修补或减轻易受攻击软件的公司就会受到攻击可预见地被剥削.
处理不当缓解
这些攻击入口点有几个共同的因素。首先,它们在技术上并不复杂。即使是有限的APT例子,参与者在部署横向传播的大枪之前,也首先依赖于安全证书和网络钓鱼。其次,减轻这些公共入口点是影响MSPs无论如何都应该做的操作。
包括有限的外部监控,及时访问控制和定期权限审查的凭证管理并不简单地防止灾难性的漏洞 - 它可以防止在技术复杂频谱的所有点处的一系列攻击。
防护系统设计提示不仅捍卫员工泄露关键数据,他们还可以为更高效的公司通信,让员工安全,理想地减少整体电子邮件负荷。
适当的伐木与时的人为审查削减了违规发现的时间,也有助于详细的风险分析,可以为未来提供精益和有效的安全预算。所有这些安全行为与观察到的MSP数据违规之间的关系表明,更多关注行业最佳实践可能已经走向消除或大幅度减少违规风险。
最后,追踪第三方软件和服务的补丁管理计划,修复漏洞的方式是将一些最大的入口点关闭到MSP中的一个很好的方法。从属于非关键业务需求的修补程序,没有测试网络要部署修补程序,或根本根本没有修补,是攻击者的大型路标,表示简单的目标。
MSP安全:不是奢侈品
MSP可能很想考虑安全作为昂贵的放纵 - 在正常运行时间和资源的可用性之后被视为良好的令人愉快的放纵。做得好,既不昂贵,也不是奢侈品。
遵守较数较好的安全规范可以很长时间才能防止大违规行为,并且可以在没有昂贵的供应商合同,支架顾问或最佳设备的情况下进行。选择忽略或延迟这些规范的托管服务提供商在其危险之中。
评论