譯者 | 陳峻
審校 | 重樓
縱觀各個中小型企業,由于預算十分有限而且系統環境的滿載,如今它們往往需要依賴托管服務提供商(managed service providers,MSP)來支持其IT服務與流程。而由于MSP提供的解決方案可以與客戶端基礎設施相集成,因此可以實現適當的服務交付。當然,在提供優異功能的同時,它們也會伴隨著一些缺點。下面,我將主要圍繞著MSP網絡安全性的挑戰和實踐,和您深入探討如下方面:
- 為什么應當關注MSP的網絡安全性
- 最需要應對哪些安全威脅
- 如何保護自己的基礎設施和客戶的數據,免受可能出現的故障影響
MSP安全的重要性
由于托管服務提供商(MSP)通常可以連接到多個客戶端的環境,因此他們往往成為了黑客的理想目標。各種快速迭代的網絡攻擊,以及廣泛傳播的態勢,勢必會給MSP、及其服務的組織帶來難以估量的安全風險。可以說,MSP解決方案中的單個漏洞,很可能成為導致眾多基礎架構出現故障的根本原因,進而導致數據的大量泄漏或丟失。此外,由此產生的嚴重違規罰款,也可能給MSP乃至用戶企業帶來巨大的經濟損失、以及聲譽損失。
MSP網絡安全的主要威脅
雖然MSP可能面對的在線網絡安全威脅類型數不勝數,但是其中有一些比較典型、且更為頻繁。下面,我將羅列出最為常見的MSP系統安全威脅:
網絡釣魚
網絡釣魚可以被認為是一種過時的網絡攻擊方法,尤其是當您已了解了黑客們的時髦攻擊方式后。然而,網絡釣魚目前仍然是全球范圍內,個人和組織所面臨的首要數據威脅之一。畢竟,網絡釣魚電子郵件很容易被構建,并被發送給數以千計的潛在受害者,其中就包括MSP。相對于那些需要黑客單獨創建的、有針對性的電子郵件欺騙攻擊而言,網絡釣魚的實施成本更低,而波及面更廣。
勒索軟件
據統計,勒索軟件每年都會制造數億次攻擊。它們可謂近十年來,中小型企業和組織所面臨的最新、也是最大的威脅。作為一種惡意軟件,勒索軟件會偷偷地滲透到組織的環境中,然后對它能接觸到的所有數據開啟加密模式。而在大量文件被加密之后,勒索軟件會在用戶點擊文件時,展示其索取贖金的彈窗。去年發生在美國的燃油管道公司遭受勒索攻擊的事件,就屬于此類。由于MSP和客戶端之間的連接可能會導致此類攻擊被快速傳播和放大,因此托管服務提供商必須特別注意這種攻擊對于全局數據的嚴重威脅。
拒絕服務(Denial of Service,DoS)攻擊
拒絕服務和分布式拒絕服務(Distributed Denial of Service,DDoS)攻擊也是自上世紀90年代中期以來,被廣泛使用的“老派”、簡單且有效的黑客策略。此類攻擊的重點是對組織的基礎設施(網站、網絡、以及數據中心等)產生異常負載,從而導致系統出現中斷,服務響應不及時,遠程操作不便,進而給組織帶來財務和聲譽上的損失。
從實現方式上說,DoS攻擊是通過使用被黑客控制的設備(或僵尸網絡)來實現的。這些設備會將大量數據發送到目標組織的某個節點上,并導致其處理性能和/或可用帶寬的過載。同樣地,MSP一旦遭遇到DoS攻擊,勢必會傳導到客戶端環境中,并導致其系統服務層面上的失能。
中間人(Man-in-the-Middle,MITM)攻擊
這種類型的網絡威脅比起對于基礎設施的直接攻擊,更加棘手、也更加復雜。中間人攻擊主要源自針對網絡路由器或計算機的黑客入侵。其目的是攔截流量。通常,在惡意軟件成功入侵目標后,黑客可以監控流經受感染節點的數據流,以竊取諸如:個人信息、密碼憑據、支付卡信息等敏感數據。當然,它也可能是一種針對企業的間諜活動,以達到盜竊商業策略和秘密的目的。
常見的中間人攻擊往往發生在安全保護級別較低的公共Wi-Fi網絡中。黑客能夠輕而易舉地從粗心的、未經加密的用戶流量中,竊取重要的數據,進而轉售牟利。
加密劫持(Cryptojacking)
加密劫持是一種相對較新的網絡威脅類型,是隨著加密貨幣挖礦熱潮而出現的。為了增加加密貨幣挖礦的利潤,網絡犯罪分子設法采用惡意代理入侵目標計算機,然后使用其CPU和/或GPU的處理能力挖掘加密貨幣,進而將其收益直接轉移到匿名錢包之中。由于在整個過程中,他們無需為挖礦設備支付電費,因此網絡犯罪分子往往可以從中獲得更高的利潤。
由于MSP通常是多個組織網絡的匯聚訪問點,各種服務器和其他計算設備都會使用到它,因此MSP同樣是加密劫持者的理想目標。一旦得手,他們就能夠獲取更多可以被用于加密劫持的大量資源。
MSP組織應采用的8種網絡安全實踐
下面,我將向您介紹8種可有效降低風險的MSP網絡安全實踐。
針對憑據泄露予以防范
作為第一步,為了適當地構建安全系統,托管服務提供商應當為易受攻擊的節點提供加固的遠程訪問方式與工具,并防范其信任憑據遭受破壞或竊取。同時,應考慮為連接用戶的Web、APP等服務器的遠程桌面(RDP)服務,設置標準化的保護措施,以減少網絡釣魚、密碼暴力破解等攻擊的影響。此外,我們也應為支撐用戶生產環境的應用提供定期的系統級掃描,以查找并及時彌補潛在的漏洞。
網絡安全意識
世界經濟論壇(World Economic Forum)的一份全球風險報告指出:截至2022年,95%的網絡安全問題都牽涉到人為錯誤。可以說,毫無安全意識的員工或用戶,是數字環境中最大的威脅之一。
因此,我們需要通過安全意識的灌輸,確保普通員工、以及系統管理員知曉哪些電子郵件不能打開,哪些鏈接不能點擊,以及無論出于何種原因,都不能隨意提供哪些信任憑據。可以說,與各種昂貴的網絡安全保護措施和解決方案相比,員工安全意識教育是投資少、見效快的網絡系統“軟防火墻”。它往往對于前文提到的網絡釣魚威脅等非常見效。
反惡意軟件和反勒索軟件
托管服務提供商是客戶的第一道防線,為了防止惡意軟件滲入其IT環境,進而利用系統尋找惡意代理,我們需要將專業的跟蹤惡意軟件和勒索軟件的工具,集成到MSP網絡中,且保持其持續更新。當然,有時候,此類軟件的購置與維護費用并不便宜。不過,鑒于安全數據、生產環境的可用性、以及全球IT系統的穩定性等方面,我們還是又必要進行投入的。
網絡分離
與任何中小型企業(SMB)類似,MSP也應該像關注外部邊界那樣,去關注其內部的網絡安全。通過配置內部防火墻,分隔出不同部門的虛擬空間,可以在一定程度上,防范組織內部惡意行為者的橫向穿越。此外,即使內部防火墻無法立即阻止它們,那些威脅檢測系統也能夠讓提供商有更多的時間做出反應,并成功地應對各類內部越權行為。
徹底的移除流程
為了確保穩定的生產環境和適當的性能交付,MSP時常需要更新換代其正在運行的第三方軟件。每當由于工作流的優化等原因,導致某套方案不再被使用時,我們應當及時將其從提供服務的環境中移除。而且,為了避免其留下未被發現的后門,我們必須設置相應的卸載流程,使得與之相關的元素能夠徹底從原有的基礎架構中,被完全清除。類似的處置方式,也適用于那些前雇員賬戶。
零信任和最小特權原則
零信任和最小特權原則(principle of least privilege,PoLP)是如今MSP常用的兩種網絡安全方法。它們都可以被用來最大限度地限制對于關鍵數據和系統元素的訪問。其中:
- PoLP規定了只授予環境中的每個用戶做好本職工作所需的訪問權限。換句話說,我們應該在不降低員工效率或客戶舒適度的情況下,禁止任何訪問。
- 零信任方法則側重于授權。也就是說,每個用戶和機器都必須在訪問已知資源和操作之前進行身份驗證。此外,零信任也有助于提高網絡分段的效率。
這兩種方法并非相互排斥或可替代,而是完全可以被同時使用,以進一步提升MSP網絡安全。
多重身份驗證
雙因素身份驗證(Two-factor authentication,2FA)要求用戶使用短信驗證碼、或其他授權短語來確認登錄,然后才能使用其帳戶更改數據或操作其他功能。由于附加碼是在登錄時隨機生成的,因此黑客很難在有限的關聯期內,及時檢索和獲取。因此,向MSP基礎架構添加雙因素身份驗證,可以加強對整個服務環境的保護,避免用戶的帳戶和數據遭受未經授權的訪問。
持續威脅監控
目前,隨著威脅的不斷迭代,內外部攻擊不但變得越來越復雜,而且越來越能夠有效地突破MSP的安全防護層。因此,24/7全天候的主動監控環境,可以幫助我們在違規發生或由漏洞導致的無法修復之前,及時檢測到它們。借助最新的監控軟件,您可以更好地控制由MSP提供的IT環境,并有更多的時間對網絡攻擊做出適當的反應。
MSP的備份
一個不爭的事實是,隨著網絡威脅的不間斷發展,黑客攻破我們的安全系統,其實只是時間問題。那么在發生了重大數據丟失事件后,唯一可能幫助我們找回丟失的企業數據和基礎架構配置的方法,就是備份。為了確保組織能夠盡快地恢復正常運作,我們有必要將手動與自動化的備份方式相結合,及時生成針對由MSP平臺產生的大數據量的、獨立存儲的數據副本,以應對不同場景造成的、主站點上的原始數據被破壞或丟失的緊急情況。
小結
在目前、以及不久的將來,托管服務提供商仍將繼續成為網絡釣魚、DoS攻擊、勒索軟件感染、以及加密貨幣劫持等網絡攻擊的理想目標。希望上述討論以及給出的針對MSP網絡威脅的8種安全實踐,能夠為您的日常業務和服務提供保駕護航。
譯者介紹
陳峻(Julian Chen),51CTO社區編輯,具有十多年的IT項目實施經驗,善于對內外部資源與風險實施管控,專注傳播網絡與信息安全知識與經驗。
原文標題:Everything You Need to Know About MSP Cybersecurity,作者:Alex Tray
