不幸的是,MSP 已成为勒索软件攻击的目标。了解您可以采取哪些措施以防止网络攻击,同时确保您的企业和客户的安全。
2022年2月,美国网络安全和基础设施安全局(CISA)发布了警报 AA22-040A,这是美国、英国和澳大利亚安全机构共同努力的结果。根据美英澳联合网络咨询委员会的观察,针对全球关键基础设施组织的影响重大的复杂勒索软件事件有所增加——他们还特别指出 MSP 已成为勒索软件黑客的重点攻击目标。完整的趋势数据请参阅此网络安全咨询报告《2021趋势显示勒索软件的全球化威胁增加》。
该委员会还特别提醒各组织要注意以 MSP 为攻击目标的勒索软件黑客,这些黑客通过受信任的 MSP 访问路径侵入客户组织。比如远程 IT 服务管理软件 Kaseya 网络攻击事件以及网络管理软件供应商 SolarWinds 黑客攻击事件就是这种情况。
“MSP 受到客户组织的信任,可以广泛访问客户组织。勒索软件威胁行动者通过攻击 MSP,仅需最初的一次攻击就能入侵多个受害者。根据美国、澳大利亚和英国的网络安全咨询委员会评估,勒索软件事件将持续增加,威胁行动者选定 MSP 为攻击目标能够获取其客户的信息。” — 美国/英国/澳大利亚联合网络安全咨询委员会
MSP 将会面临怎样的后果?
作为 MSP,您首先要加强网络安全防御,同时更深入地了解所使用的技术可能会造成的威胁。其次,您要尽可能避免遭受攻击时需要承担的责任。以下是解决以上两个问题的几个使用方法。
充分利用具备强大日志数据的 MSP 技术
许多 MSP 已开始研究购买安全信息和事件管理(SIEM)工具。SIEM 工具越来越受欢迎,因为这一工具可以让网络安全团队充分了解 IT 基础设施,从而增强威胁检测并增加额外的防御层。SIEM 平台包括安全信息管理和安全事件管理,可确保整个组织的安全环境实时可见。
在选购 SIEM 工具时,您要考虑到高级日志搜索、事件日志归档、网络取证、合规性审计等功能。因为在发生网络安全事件或出现网络安全漏洞时,这些功能对于快速制作报表至关重要。
您要充分利用所有工具的日志数据,而不仅仅是安全工具的日志数据。因为谁也不知道威胁行动者打算从什么位置侵入您的网络或用户设备。为此,您需要能够随时随地发现异常。
例如,您可以订购 Splashtop 等远程访问与支持解决方案,可以提供实时的和历史的日志数据。所有 Splashtop 远程访问或远程支持会话在结束时,均会被记录并轻松形成报表。在进行网络威胁取证或证明符合 GDPR、CCA、HIPAA、FERPA 等法规时,这些信息非常重要。
不断增强勒索软件缓解技术
回顾美英澳共同发布的网络安全咨询报告,作者在仅有一页纸的报告中使用“勒索软件”一词多达76次。显然,他们非常担心 MSP 服务会遭受攻击,从而使客户面临网络威胁。为此,他们建议所有 MSP 尽快采取以下勒索软件缓解技术:
实时更新所有操作系统和软件。及时 打补丁是组织可以采取的最有效、最具成本效益的措施之一,可以最大限度地降低风险。
限制通过内网访问资源。尤其可以限制使用远程桌面协议(RDP)的访问。虽然可以通过虚拟桌面基础架构实现这一目的,但远程访问与支持解决方案是更具资源和成本效益的替代方案。
实施用户培训计划。比如网络钓鱼训练,旨在提高用户的风险意识,包括访问可疑网站、点击可疑链接、打开可疑附件等。
对所有帐户强制执行 MFA。尤其是访问关键系统的电子邮件、VPN 和帐户。
要求所有使用密码登录的帐户都使用唯一的强密码。例如,服务帐户、管理员帐户、域管理员帐户等。
如果是 Linux,请使用 Linux 安全模块。如 SELinux、AppArmor 或 SecComp,可用于深度防御。
备份到多个位置以保护云存储,要求访问时需进行 MFA 并加密云端数据。如果使用云端密钥管理进行加密,请确保将存储角色和密钥管理角色分离。
及时了解最新威胁。可参阅美国政府推出的综合网站 StopRansomware.gov,了解各种勒索软件资源和警报。
购买针对网络安全事件的责任保险
MSP 是网络攻击的主要目标,必须要为公司投保才能免受攻击。然而,NinjaOne 和 Coveware 最近的一项调查显示,35%的 MSP 在遭遇网络事件或受到网络罪犯侵害时没有网络保险,从而增加了不必要的业务风险。
Benjamin Dynkin 是 Atlas Cybersecurity 的联合创始人兼首席执行官,也是 CompTIA ISAO 的中小企业冠军委员会成员之一,他说:“MSP 是完美的供应链攻击。如果我作为黑客想获得高回报,MSP 则是最佳攻击目标。即使客户有网络保险,MSP 也仍然需要购买保险。这样做同样是出于减轻网络风险的目的。你不能把责任推给客户,否则你可能会面临非常严峻的经济状况,高达六到七位数的损失。”
作为 MSP,如果客户在你的监控期间遭受网络攻击,这时职业责任保险则至关重要。如果客户认为是你的疏忽导致了此次攻击,那么职业责任保险则尤为重要。职业责任保险非常关键,但高达35%的 MSP 声称在其客户遭受攻击时他们并没有购买责任保险。在这种情况下,客户遭受网络攻击时,MSP 则可能面临破产,从而导致其余客户无法获得服务或保护。虽然责任保险看似复杂且昂贵,但对于组织的生存而言则至关重要。
成为安全可靠的商业合作伙伴
通过上述措施,可有效提高 MSP 业务的安全性。如需详细了解如何成为客户更安全的商业合作伙伴,请查看 Splashtop MSP 咨询委员会的安全洞察。Splashtop 创立 MSP 咨询委员会,旨在帮助我们及时了解 MSP 的挑战、见解和想法,以更好地服务于 MSP 这一重要市场。