自2016年以来,国家网络安全和通信集成中心一直在跟踪高级持续性威胁参与者对全球管理服务提供商(MSP)的攻击。这些攻击的目标遍及信息技术(IT)、能源、医疗保健、公共卫生、通信和制造业。
托管服务提供商为其客户的IT和网络基础设施提供远程管理。由于使用MSP的可伸缩性和成本节约,许多公司都采用了这种形式的服务。为了提供对其网络的有效管理,msp通常被赋予对客户网络的完全访问权,并有可能访问客户数据。
从本质上讲,msp将拥有不止一个客户。如果在MSP中发生安全漏洞,这可能会使多个组织处于危险之中。msp还需要在客户的网络上创建具有提升权限的其他帐户。这些额外的账户增加了可用攻击途径的数量。此外,这些帐户的提升访问权限可能会暴露MSP和客户公司,这需要双方主动采取安全措施。
高级持续性威胁攻击者将以合法的管理资源为目标,使攻击看起来尽可能接近正常的日常操作。由于日志是为网络上的大多数操作创建的,因此以恶意方式使用预期操作变得更难检测。如果攻击者能够获得对管理级别用户凭证的访问权限,他们就可以访问各种设备和系统工具的功能和服务。例如,如果正在使用的服务器包含渗透测试工具,这些工具可以被恶意使用,以发现网络中的其他弱点。然后,可以使用其他合法的内置服务从网络中提取数据,而不会向管理员发出任何危险信号。
处理对托管服务提供商的攻击
成功的网络入侵可能会对组织造成严重的影响,包括专有信息的丢失、常规业务操作的中断、财务损失以及对组织声誉的损害。此外,某些行业必须遵守不同级别的法规(HIPAA、PCI、GDPR)。如果发生违规行为,根据对客户信息的损害程度,公司通常会被处以巨额罚款。
检测
解决方案从检测事件开始。应该在组织中部署集中式日志收集设备。使用集中式日志解决方案,日志保存在与受损设备不同的位置,从而防止对本地日志文件进行更改。日志的集中化和使用SIEM之类的设备允许在整个网络中创建正常日志活动的基线。如果发生违规行为,当合法服务开始以意想不到的方式运行时,这会增加创建警报的机会。响应
组织快速响应事件并从事件中恢复的能力始于创建事件响应程序。事件响应计划应该包括采取的步骤顺序,这样无论可能出现什么问题,每个人都在处理同样重要的问题,而不是手忙脚地处理较小的、低优先级的任务。致力于保护端点和网络基础设施:预防比在事件发生后做出反应成本更低,效率更高。主动采取安全措施和监控措施。通过使用Network TAP将数据发送到安全和网络监控工具,可以最好地实现这一点。降低风险的建议MSP客户应该意识到使用MSP产生的风险。客户应该确切地知道MSP需要访问什么,并以只提供所需控制的方式解决这些可访问性需求。
-
确保没有将MSP帐户分配给管理员组。MSP账户应该被限制在他们需要管理的权限范围内。如果帐户被泄露,这极大地限制了可能受到影响的区域。
-
确保MSP帐户密码符合组织策略和密码策略,包括复杂性、到期日期以及旧密码可以再次使用之前必须使用多少个新密码。
-
按时间和/或日期限制MSP帐户。这样,如果客户不再希望使用MSP,则在忘记该帐户的情况下,该帐户将被锁定。
-
集中系统日志,以防止在违规情况下对本地文件进行更改。如果发生违规行为,当合法服务开始以意想不到的方式运行时,这会增加创建警报的机会。
-
将这些中央日志配置为存储一年以上的日志数据,并建立日志审查流程。
-
安装并配置SIEM (Security Information and Event Management)工具,以便接收日志和网络流进行分析。
-
通过在网络中的关键点使用tap和聚合设备,为系统和网络行为创建基线。
-
监控交通的最好方法是使用TAP。让安全设备专注于安全性,而不是生成SPAN/镜像流量。tap将100%抓取两个方向的流量,并将其发送给安全监控工具。
-
确保内部和外部DNS查询由专用服务器执行。保持DNS锁定和内部,这有助于防止攻击者拦截DNS请求和重定向互联网流量。
-
限制对未授权公共文件共享的访问。DLP设备将有助于识别和阻止未经批准的数据导出。旁路tap可以简化DLP系统在网络中的实施。
-
定期检查网络设备环境和配置。
-
检查特权帐户组并禁用非活动组。
没有单一的解决方案来保护和防御网络。通过严格遵循安全性和监视堆栈的行业最佳实践和标准,您可以增加成功识别入侵、阻止攻击和破坏恶意活动的几率。最终目标是使攻击者尽可能难以成功破坏您的网络,同时迫使他们使用更容易检测到的方法。[想深入了解如何在即时响应数据泄露期间获得全面可见性?查看体育博彩平台推荐与网络防御组的用例。]