来聊聊托管服务提供商(MSP)安全
译者 | 陈峻
审校 | 重楼
(资料图片仅供参考)
纵观各个中小型企业,由于预算十分有限而且系统环境的满载,如今它们往往需要依赖托管服务提供商(managed service providers,MSP)来支持其IT服务与流程。而由于MSP提供的解决方案可以与客户端基础设施相集成,因此可以实现适当的服务交付。当然,在提供优异功能的同时,它们也会伴随着一些缺点。下面,我将主要围绕着MSP网络安全性的挑战和实践,和您深入探讨如下方面:
为什么应当关注MSP的网络安全性最需要应对哪些安全威胁如何保护自己的基础设施和客户的数据,免受可能出现的故障影响MSP安全的重要性由于托管服务提供商(MSP)通常可以连接到多个客户端的环境,因此他们往往成为了黑客的理想目标。各种快速迭代的网络攻击,以及广泛传播的态势,势必会给MSP、及其服务的组织带来难以估量的安全风险。可以说,MSP解决方案中的单个漏洞,很可能成为导致众多基础架构出现故障的根本原因,进而导致数据的大量泄漏或丢失。此外,由此产生的严重违规罚款,也可能给MSP乃至用户企业带来巨大的经济损失、以及声誉损失。
MSP网络安全的主要威胁虽然MSP可能面对的在线网络安全威胁类型数不胜数,但是其中有一些比较典型、且更为频繁。下面,我将罗列出最为常见的MSP系统安全威胁:
网络钓鱼网络钓鱼可以被认为是一种过时的网络攻击方法,尤其是当您已了解了黑客们的时髦攻击方式后。然而,网络钓鱼目前仍然是全球范围内,个人和组织所面临的首要数据威胁之一。毕竟,网络钓鱼电子邮件很容易被构建,并被发送给数以千计的潜在受害者,其中就包括MSP。相对于那些需要黑客单独创建的、有针对性的电子邮件欺骗攻击而言,网络钓鱼的实施成本更低,而波及面更广。
勒索软件据统计,勒索软件每年都会制造数亿次攻击。它们可谓近十年来,中小型企业和组织所面临的最新、也是最大的威胁。作为一种恶意软件,勒索软件会偷偷地渗透到组织的环境中,然后对它能接触到的所有数据开启加密模式。而在大量文件被加密之后,勒索软件会在用户点击文件时,展示其索取赎金的弹窗。去年发生在美国的燃油管道公司遭受勒索攻击的事件,就属于此类。由于MSP和客户端之间的连接可能会导致此类攻击被快速传播和放大,因此托管服务提供商必须特别注意这种攻击对于全局数据的严重威胁。
拒绝服务(Denial of Service,DoS)攻击拒绝服务和分布式拒绝服务(Distributed Denial of Service,DDoS)攻击也是自上世纪90年代中期以来,被广泛使用的“老派”、简单且有效的黑客策略。此类攻击的重点是对组织的基础设施(网站、网络、以及数据中心等)产生异常负载,从而导致系统出现中断,服务响应不及时,远程操作不便,进而给组织带来财务和声誉上的损失。
从实现方式上说,DoS攻击是通过使用被黑客控制的设备(或僵尸网络)来实现的。这些设备会将大量数据发送到目标组织的某个节点上,并导致其处理性能和/或可用带宽的过载。同样地,MSP一旦遭遇到DoS攻击,势必会传导到客户端环境中,并导致其系统服务层面上的失能。
中间人(Man-in-the-Middle,MITM)攻击这种类型的网络威胁比起对于基础设施的直接攻击,更加棘手、也更加复杂。中间人攻击主要源自针对网络路由器或计算机的黑客入侵。其目的是拦截流量。通常,在恶意软件成功入侵目标后,黑客可以监控流经受感染节点的数据流,以窃取诸如:个人信息、密码凭据、支付卡信息等敏感数据。当然,它也可能是一种针对企业的间谍活动,以达到盗窃商业策略和秘密的目的。
常见的中间人攻击往往发生在安全保护级别较低的公共Wi-Fi网络中。黑客能够轻而易举地从粗心的、未经加密的用户流量中,窃取重要的数据,进而转售牟利。
加密劫持(Cryptojacking)加密劫持是一种相对较新的网络威胁类型,是随着加密货币挖矿热潮而出现的。为了增加加密货币挖矿的利润,网络犯罪分子设法采用恶意代理入侵目标计算机,然后使用其CPU和/或GPU的处理能力挖掘加密货币,进而将其收益直接转移到匿名钱包之中。由于在整个过程中,他们无需为挖矿设备支付电费,因此网络犯罪分子往往可以从中获得更高的利润。
由于MSP通常是多个组织网络的汇聚访问点,各种服务器和其他计算设备都会使用到它,因此MSP同样是加密劫持者的理想目标。一旦得手,他们就能够获取更多可以被用于加密劫持的大量资源。
MSP组织应采用的8种网络安全实践下面,我将向您介绍8种可有效降低风险的MSP网络安全实践。
针对凭据泄露予以防范作为第一步,为了适当地构建安全系统,托管服务提供商应当为易受攻击的节点提供加固的远程访问方式与工具,并防范其信任凭据遭受破坏或窃取。同时,应考虑为连接用户的Web、APP等服务器的远程桌面(RDP)服务,设置标准化的保护措施,以减少网络钓鱼、密码暴力破解等攻击的影响。此外,我们也应为支撑用户生产环境的应用提供定期的系统级扫描,以查找并及时弥补潜在的漏洞。
网络安全意识世界经济论坛(World Economic Forum)的一份全球风险报告指出:截至2022年,95%的网络安全问题都牵涉到人为错误。可以说,毫无安全意识的员工或用户,是数字环境中最大的威胁之一。
因此,我们需要通过安全意识的灌输,确保普通员工、以及系统管理员知晓哪些电子邮件不能打开,哪些链接不能点击,以及无论出于何种原因,都不能随意提供哪些信任凭据。可以说,与各种昂贵的网络安全保护措施和解决方案相比,员工安全意识教育是投资少、见效快的网络系统“软防火墙”。它往往对于前文提到的网络钓鱼威胁等非常见效。
反恶意软件和反勒索软件托管服务提供商是客户的第一道防线,为了防止恶意软件渗入其IT环境,进而利用系统寻找恶意代理,我们需要将专业的跟踪恶意软件和勒索软件的工具,集成到MSP网络中,且保持其持续更新。当然,有时候,此类软件的购置与维护费用并不便宜。不过,鉴于安全数据、生产环境的可用性、以及全球IT系统的稳定性等方面,我们还是又必要进行投入的。
网络分离与任何中小型企业(SMB)类似,MSP也应该像关注外部边界那样,去关注其内部的网络安全。通过配置内部防火墙,分隔出不同部门的虚拟空间,可以在一定程度上,防范组织内部恶意行为者的横向穿越。此外,即使内部防火墙无法立即阻止它们,那些威胁检测系统也能够让提供商有更多的时间做出反应,并成功地应对各类内部越权行为。
彻底的移除流程为了确保稳定的生产环境和适当的性能交付,MSP时常需要更新换代其正在运行的第三方软件。每当由于工作流的优化等原因,导致某套方案不再被使用时,我们应当及时将其从提供服务的环境中移除。而且,为了避免其留下未被发现的后门,我们必须设置相应的卸载流程,使得与之相关的元素能够彻底从原有的基础架构中,被完全清除。类似的处置方式,也适用于那些前雇员账户。
零信任和最小特权原则零信任和最小特权原则(principle of least privilege,PoLP)是如今MSP常用的两种网络安全方法。它们都可以被用来最大限度地限制对于关键数据和系统元素的访问。其中:
PoLP规定了只授予环境中的每个用户做好本职工作所需的访问权限。换句话说,我们应该在不降低员工效率或客户舒适度的情况下,禁止任何访问。零信任方法则侧重于授权。也就是说,每个用户和机器都必须在访问已知资源和操作之前进行身份验证。此外,零信任也有助于提高网络分段的效率。这两种方法并非相互排斥或可替代,而是完全可以被同时使用,以进一步提升MSP网络安全。
多重身份验证双因素身份验证(Two-factor authentication,2FA)要求用户使用短信验证码、或其他授权短语来确认登录,然后才能使用其帐户更改数据或操作其他功能。由于附加码是在登录时随机生成的,因此黑客很难在有限的关联期内,及时检索和获取。因此,向MSP基础架构添加双因素身份验证,可以加强对整个服务环境的保护,避免用户的帐户和数据遭受未经授权的访问。
持续威胁监控目前,随着威胁的不断迭代,内外部攻击不但变得越来越复杂,而且越来越能够有效地突破MSP的安全防护层。因此,24/7全天候的主动监控环境,可以帮助我们在违规发生或由漏洞导致的无法修复之前,及时检测到它们。借助最新的监控软件,您可以更好地控制由MSP提供的IT环境,并有更多的时间对网络攻击做出适当的反应。
MSP的备份一个不争的事实是,随着网络威胁的不间断发展,黑客攻破我们的安全系统,其实只是时间问题。那么在发生了重大数据丢失事件后,唯一可能帮助我们找回丢失的企业数据和基础架构配置的方法,就是备份。为了确保组织能够尽快地恢复正常运作,我们有必要将手动与自动化的备份方式相结合,及时生成针对由MSP平台产生的大数据量的、独立存储的数据副本,以应对不同场景造成的、主站点上的原始数据被破坏或丢失的紧急情况。
小结在目前、以及不久的将来,托管服务提供商仍将继续成为网络钓鱼、DoS攻击、勒索软件感染、以及加密货币劫持等网络攻击的理想目标。希望上述讨论以及给出的针对MSP网络威胁的8种安全实践,能够为您的日常业务和服务提供保驾护航。
译者介绍陈峻(Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。
原文标题:Everything You Need to Know About MSP Cybersecurity,作者:Alex Tray
关键词:
-
来聊聊托管服务提供商(MSP)安全
2023-08-18 -
信阳博物馆2023年度小小志愿讲解员培训班开班
2023-08-18 -
焦作市:学前教育扩容提质惠民生
2023-08-18 -
8月17日统一大市场板块涨幅达2%
2023-08-18 -
加拿大德国超级杯夺冠合影 众星让NBA“弃选秀”周志豪站C位
2023-08-18 -
老款伊兰特凸轮轴链条记号怎么对(伊兰特1 6凸轮轴链条图)
2023-08-18 -
中国华融:上半年净亏损预计约46亿至50亿元 减亏约73%至76%
2023-08-17 -
突然暴雷!暴跌 99%,2000 亿巨头崩了!“股神”大撤退
2023-08-17 -
女性不再穿裙子搭配白鞋,今年流行穿“高跟凉鞋”,女神时尚万种
2023-08-17 -
济南这两个片区征收冻结,具体范围公布
2023-08-17 -
广西红树林面积居全国第二位 全区共建立223处自然保护地
2023-08-17 -
世体:登贝莱在离开巴萨后社交媒体掉粉数16万+
2023-08-17 -
肾俞穴的准确位置及功效作用 肾腧穴
2023-08-17 -
达仁堂:8月14日融资买入1279.84万元,融资融券余额2.74亿元
2023-08-17 -
公司收到个人借款财务处理(公司收到某人的借款该怎样做会计分录)
2023-08-17 -
翻越睡梦之墙:洛夫克拉夫特
2023-08-17 -
董事长减持超23亿元还债 科大讯飞发生了什么?
2023-08-17 -
2G腾挪换5G,运营商800MHz频段“旧土”栽“新花”
2023-08-17 -
不落俗尘的qq网名女生超拽霸气清冷艳丽 简单大气的网名女生
2023-08-17 -
生活成本高“逼走”精英,硅谷AI人才正被多伦多吸走?
2023-08-17 -
陕西省国际信托:“20阳光城ABN001”持有人会议审议通过增设临时兑付日等议案
2023-08-17 -
8月16日基金净值:银华心享一年持有期混合最新净值0.7563,跌0.6%
2023-08-17 -
新股前瞻|泓基集团:第一大客户贡献营收约7成 依赖后遗症“刺伤”盈利
2023-08-17 -
江苏金坛中等专业学校机电一体化专业介绍(江苏金坛中等专业学校电话)
2023-08-17 -
我的e家账号密码是什么 我的e家账号密码是什么
2023-08-17 -
眩晕症的症状及治疗上海_眩晕症的症状及原因
2023-08-17 -
消费参考丨餐饮兴旺 巨头扩张
2023-08-17 -
维科精密8月16日快速回调
2023-08-17 -
效果接近实际上手:iPhone 15 Pro铝板模型外观出炉
2023-08-17 -
98%好评率登临绝顶,口碑旗舰魅族20 PRO至高立省300元燃动818
2023-08-17
-
8月16日基金净值:银华心享一年持有期混合最新净值0.7563,跌0.6%
2023-08-17 -
港股通净卖出30.43亿港元
2023-08-17 -
蒙行中国因漏税被罚234万 蒙特利尔银行中国公司因漏税被罚
2023-08-16 -
特大暴雨过后,心理“救援”服务送进北京山村深处
2023-08-16 -
接下来,济南的秋天是这样的!
2023-08-16 -
天源转债涨20%,盘中临停(08-16)
2023-08-16 -
外汇局:7月份我国外汇市场运行保持理性有序
2023-08-16 -
绿豆和它是“对头”,两者一起吃,可能会唤醒癌细胞?不妨了解
2023-08-16 -
三星或明年推出卫星通信服务:韩国唯一大型智能手机品牌
2023-08-16 -
乡村篮球赛
2023-08-16