引言:中小企业面临风险
英国组织正日益成为网络犯罪分子的目标。这可能导致财务损失、服务中断和组织声誉受损。
由于 MSP 将访问您的系统和数据(其中可能包含您客户的详细信息),因此确保 MSP 认真对待网络安全,并且您了解他们已采取的措施至关重要。这意味着在与 MSP 签订合同时要提出正确的问题,以确保您的数据、系统和声誉得到保护。在选型阶段就考虑网络安全的主动方法,可以降低代价高昂的数据泄露、服务停机和监管处罚风险。
选择合适的 MSP
通过主动接触和审查 MSP,中小企业可以更好地保护自身、客户和数据。本节描述了选择 MSP 时应关注的事项。
认证很重要
您应选择拥有公认认证的 MSP,例如 Cyber Essentials Plus,这是英国政府对网络安全的最低基线标准。您可以使用 Cyber Essentials 网站来检查您的 MSP 是否获得认证。选择经过认证的 MSP 很重要,因为它是一种质量和信誉的指标。其他认证如 ISO 27001 或 SOC 2 表明组织认真对待信息安全——这包括网络安全。
即使您使用了经过认证的提供商,您组织使用的每项服务仍然需要以安全的方式配置,以防常见的网络攻击。您可以使用 NCSC 的单独指南快速检查任何在线服务。信誉良好的服务提供商会让您轻松做到这一点,并且通常会提供有用的“入门”教程和指南,例如:
- Google Workspace:面向小型企业(1-100 名用户)的安全清单
- Microsoft 365:使用 Microsoft 365 保护数据的十大方法
检查客户推荐信
要求您的 MSP 向您提供其其他客户(尤其是中小企业)的推荐信和/或参考资料,以便您查看当前客户的反馈。MSP 的往绩记录可以有力表明其可靠性、处理安全事件的能力,以及未来与您合作的方式。
透明度与良好沟通
信誉良好的 MSP 应清晰阐述他们提供的服务、政策和责任。关于安全事件(即如何处理和报告)的公开沟通以及快速响应对于维持信任至关重要。透明度确保您了解 MSP 的实践及其维护您环境安全的承诺。
清晰的合同
合同应明确规定包含什么和不包含什么。详细说明 MSP 将做什么以及作为客户的您需要承担什么的责任矩阵是一种良好实践。与 MSP 合作时,您的合同应:
- 定义角色和职责:明确列出 MSP 将负责什么,以及作为客户您需要保留什么。
- 商定事件报告程序:规定如何报告事件,包括 MSP 自身发生事件时是否会通知您。
- 建立责任条款:确保就谁对漏洞、损害和事件影响负责达成明确协议。
- 建立技术报告:许多保险公司可能会要求查看(例如)最近的运行状况或配置报告,以验证网络保险索赔。
没有清晰的合同,责任就会变得模糊。与您的 IT 服务提供商保持对话开放非常重要,建立积极的关系并增进对彼此责任的理解。
需要与您的 MSP 讨论的安全问题
您的组织可能依赖于多个 IT 服务提供商。您应检查是否已落实以下措施。您还应通过仔细阅读 MSP 合同来评估潜在的成本影响,因为其中某些功能可能会产生额外费用。一旦达成一致,所有这些方面都需要包含在您的合同中。
补丁和更新
您的 MSP 保持软件更新并快速应用安全补丁至关重要,因为这些更新包含对病毒和其他类型恶意软件的防护。询问您的供应商关于应用更新的政策。我们的建议是在更新发布后 14 天内修补软件(当补丁修复的是关键或高风险漏洞时)。
备份
备份是组织响应和恢复流程的重要组成部分,进行定期备份(并确保可以从备份中恢复数据)是从勒索软件攻击中恢复的最有效方式。因此,与您的 MSP 确认现有的备份安排、测试频率以及是否符合您的要求非常重要。如果他们(或您)遭受勒索软件攻击,他们将如何恢复服务和您的数据?您还应确定数据备份的频率、存储位置以及谁有权访问它。
访问控制
您的数据(以及您负责的他人数据)是否得到适当保护?您能否实施双重验证(2SV)以限制对您数据和服务的访问?
用户应仅能访问其工作所需的内容,并且在该工作完成后应撤销该访问权限。
您应仅将管理账户授予真正需要的人,并确保这些账户受到保护。
检查 MSP 是否也保护了他们对您系统的访问。他们也应实施 2SV,以保护这些重要的凭据。
日志记录
日志记录在诊断系统面临的任何问题以及识别和调查安全事件方面可以发挥至关重要的作用。除了帮助确定服务是否按预期运行外,日志记录还可以提供安全控制是否有效运行的保证。日志记录在响应安全事件和从中恢复时也将证明其宝贵价值。因此,与您的 MSP 确认以下内容很重要:
- 是否出于安全目的保留日志
- 这些日志保留多长时间
- 如果需要,您(或您的事件管理提供商)是否可以访问此日志记录数据
您业务所需的任何特定日志保留期限应在合同中详细说明。
事件响应
如果出现问题会怎样?您的 MSP 应有明确的步骤说明他们将如何响应任何事件以及如何与您互动(包括如果 MSP 自身受到事件影响时会发生什么)。对于大型组织,我们关于安全运营、监控和事件响应的指南有更深入的探讨。
需要在 MSP 合同中检查的细节
清晰的合同定义了事件每个方面的责任方,有助于保护您的组织,并在您遭受攻击时使事情变得更容易。始终坚持清晰、详细的合同,明确规定责任、响应时间和责任划分,包括您的 MSP 用于交付服务的任何第三方的责任。
服务级别协议
这些协议有助于建立对响应时间、解决时间和整体服务交付的明确期望,并帮助您评估 MSP 的绩效。
- 响应时间 指记录问题到您的 MSP 开始调查之间的时间。对于一般服务请求或次要问题,1 个工作日的响应时间是标准。对于紧急问题,1 小时内的响应时间是标准。
- 解决时间,或解决问题或实施变通方案所需的时间,可能因问题的复杂性而异。然而,对于中等优先级的常规问题,2-3 个工作日的解决时间是一个良好的起点。
请注意,要求更快的响应时间可能会影响您的合同成本。
定期审查和报告
定期审查和报告是您合同的重要组成部分,有助于确保您的系统安全、健康且合规运行(而不是直到出现问题或面临违规时才假定一切正常)。
定期审计可以帮助验证系统配置是否正确,并有助于识别:
- 未应用的安全补丁
- 拥有不必要管理权限的用户
- 弱密码策略的实施
基础设施健康报告可以向您提供详细信息,包括:
- 监控和运行时间统计(服务器、网络、云服务)
- 补丁和更新合规性
- 备份成功/失败率
- 安全警报摘要(防火墙、EDR、网络钓鱼检测)
- 硬件或软件问题的重点说明
至关重要的是,健康报告还创建了可审计的轨迹,表明您一直在检查、记录和处理风险。对于网络保险,保险公司可能会在索赔后要求查看最近的健康或配置报告。
事件通知和管理
中小企业通常对停机时间的抵御能力较弱,因为每损失一小时都可能影响收入、客户服务和声誉。因此,您的合同必须详细说明将在什么时间范围内通知您任何安全漏洞或事件,并且事件管理流程必须有清晰的记录。通知时间将取决于事件的严重程度,但应适合您的公司。
访问和权限控制
与您的 MSP 确认他们如何管理对您系统的访问以及如何保护这些连接(例如 VPN、加密隧道、受限 IP 范围)。这有助于限制对您组织的潜在攻击途径,并确保所有远程访问都得到适当控制和监控。我们建议使用最小权限原则(仅授予您的 MSP 完成工作所需的权限),并强制执行 2SV,使账户更难被黑客入侵。同时检查他们如何保护登录凭据,尤其是管理凭据。
合同期限和退出条款
设定您的协议期限以及如果您想终止或更改协议会发生什么,包括续订、重新谈判或终止如何运作。确保合同期限符合您的业务目标,并在您的组织改变方向(或您对服务质量不满意)时为您提供灵活性。
生命周期终止系统
对接近生命周期终止(EOL)的系统进行规划对于维护安全、合规性和业务连续性至关重要。您的 MSP 合同应明确规定谁负责跟踪 EOL 日期、建议合适的替代品或升级方案,并在支持终止前采取必要行动。如果没有这样的协议,将存在过时系统在制造商停止提供更新后仍在使用中的真正风险。
一旦不再提供安全补丁,漏洞很快就会被利用,可能导致数据泄露、监管处罚和代价高昂的停机。通过预先讨论并记录 EOL 责任,中小企业可以避免最后一刻的费用、计划外停机以及增加的网络风险,同时确保 IT 投资在一段时间内保持安全和有效。
MSP 尽职调查清单
选择 MSP
- MSP 是否持有公认的安全认证(例如,Cyber Essentials Plus、ISO 27001)?如果没有,他们使用什么安全标准?
- 他们能否提供来自其他中小企业的推荐信、推荐语或案例研究?
- 他们是否有安全和服务质量方面的良好记录?
- 他们是否在服务和流程方面表现出透明度?
- 他们的服务水平(响应时间、正常运行时间)是否在 SLA 中有明确定义?
- 他们是否符合您的需求和预算?
需请求的服务
- 对所有系统和软件的及时补丁管理
- 自动化的异地数据备份和定期的恢复测试
- 安全监控和日志记录,并对可疑活动发出警报
- 在所有访问点使用 2SV
- 清晰的事件响应和管理程序
- 及时应用安全更新和固件补丁
合同和协议注意事项
- 是否有详细的服务级别协议?
- 角色、责任和赔偿责任是否明确定义?
- 合同是否规定了如何以及何时通知安全事件?
- 是否有定期审查和报告的条款?
- 是否对 MSP 访问应用了最小权限原则?
- 是否有管理废弃账户和基础设施的条款?
- 是否有明确的合同审查、续订或终止流程?
风险和责任
- 您是否评估了您 MSP 的供应链风险?(原文此处重复了"供应链风险")
- MSP 的供应链风险
- 网络安全事件的责任和赔偿责任是否有明确记录?
- MSP 是否有经过测试的事件响应和恢复计划?
- 备份和灾难恢复程序是否有概述并达成一致?
- 是否有定期安全培训和意识提升的流程?