托管服务提供商:网络攻击的入口
如果有人决定在2024年抢劫银行,他们可能不会寻找左轮手枪,而是转向网络犯罪(或者彻底重新考虑计划)。他们可能更进一步——不是只针对一家银行或逐个攻击,而是大规模攻击。通过入侵托管服务提供商(MSP),他们可以获得包括银行在内的众多客户组织的基础设施访问权限。
这个例子可能看起来很幽默,但现实却很严峻。网络犯罪分子越来越多地瞄准MSP,这种日益增长的威胁正在全球范围内被报道,包括美国、英国和其他国家。
MSP在网络安全漏洞中的角色
缩写MSP指的是使用基础设施即服务(IaaS)模式为客户提供IT产品全面管理的承包商。根据IBM的数据,对MSP成功攻击的主要原因是提供商员工及其客户的凭证泄露。弱密码和泄露密码占这些事件的三分之一。在暗网上最常见的用户账户包括Microsoft Outlook和WordPress。
另一个重大威胁是软件漏洞。根据IBM的数据,过去一年中,云服务中的漏洞数量增加了两倍,增长了近200%。在这里,犯罪分子也利用Microsoft Outlook和其他广泛使用的商业产品中的安全缺陷。然而,也有专门针对MSP的应用程序出现问题的情况。
最显著的例子之一涉及ConnectWise ManagedITSync插件中发现的一个漏洞。服务提供商使用此插件将ConnectWise Manage自动化平台与处理远程监控和资产管理的Kaseya VSA集成。发现的缺陷允许修改数据库、添加新用户、授予他们完全权限并分配任何任务。简而言之,犯罪分子可以远程将恶意软件下载到MSP客户的设备上。
尽管这个漏洞很快被修复,但后来Kaseya VSA又出现了其他问题。2021年,至少三家主要MSP及其客户受到一个漏洞的影响。例如,在瑞典,大型零售连锁店Coop的网络服务遭到破坏,迫使该公司暂时关闭约800家门店。
勒索和间谍活动
对MSP行业的攻击通常涉及相同的犯罪团伙,其中许多是勒索软件团伙或通过订阅模式将其恶意软件租给其他黑帽黑客的组织。有时,犯罪分子会向提供商本身索要赎金,但更常见的是,他们针对其客户。黑客通常威胁要泄露数据。为了说明规模,考虑涉及知名团伙的三个事件。
1. Black Hunt
2024年1月,对巴拉圭移动通信、云服务和托管市场领导者Tigo Business的攻击曝光。该提供商成为Black Hunt勒索软件团伙的目标。攻击导致提供商的330台服务器被加密,立即造成故障。因此,超过300家客户公司的网络服务中断。
Black Hunt黑客首次出现在2022年底,并在南美洲活跃。通常,犯罪分子获得企业网络和用户设备的访问权限,从中发起勒索软件攻击。此外,在与受害者的沟通中,他们提到可能在暗网上出售获得的数据。
这些攻击的主要入口点是不安全的远程桌面协议(RDP)。一旦获得访问权限,犯罪分子会清除受害者计算机上的Windows事件日志,删除NTFS记录的影子副本,禁用系统还原功能并终止Microsoft Defender。所有这些操作都在用户不知情的情况下秘密进行。
2. REvil
另一个勒索软件团伙利用了著名软件Kaseya VSA中的漏洞。涉及REvil团伙和MSP承包商的最著名事件发生在2021年。该团伙声称感染了Kaseya本身和使用其产品的其他服务提供商。据犯罪分子称,这导致全球一百万个操作系统受到影响。此前,该团伙使用Sodin勒索软件执行了类似的攻击。黑客主要通过Webroot远程访问控制台针对MSP。
3. APT29
2024年2月底,网络安全和基础设施安全局(CISA)报告称,APT29团伙开始专门攻击云服务。此前,他们专注于利用本地漏洞。
APT29,也称为Midnight Blizzard和Cozy Bear,被一些安全专家认为由俄罗斯对外情报局运营。通常,该团伙针对美国和欧洲国家的政府结构和组织。这些事件通常导致机密信息泄露。
通常,犯罪分子通过暴力攻击获得受害者网络的访问权限。然而,根据CISA的报告,在对云服务器的攻击中,APT29黑客更频繁地使用令牌,这使他们无需密码即可访问账户。该团伙还经常采用多因素认证(MFA)绕过技术。一旦访问了组织的云存储,团伙成员会向其添加新设备并开始侦察。
防御策略
原则很简单:您拥有的IT服务提供商越少,来自他们的攻击可能性就越低。另一个明显的建议:最好提前验证承包商的可靠性。这不仅仅是关于攻击者是否曾以他们为目标。一家公司可能太新,没有此类事件的重大历史,但它可能与竞争对手一样可靠。此外,并非所有市场参与者都愿意分享此类关于自己的信息。
因此,建议检查服务提供商是否拥有必要的监管和市场合规证书。重要的是要考虑行业特定认证(如PCI DSS)和通用认证(如ISO 27001)。
重要的是要记住,拥有纸上安全的结案并不总能确保实际中的数据安全。如果您不确定,最好向提供商提出属于其责任范围的问题。这些包括:
1. 其设备存放在何种类型的数据中心?
有时,标榜为数据中心的可能只是商务中心内的服务器机房。在物理安全方面,这种设置通常不如带有围栏区域的独立数据中心强大。还要检查访问系统的管理方式,是否有全天候安保,以及是否有室内和室外视频监控。
2. 网络安全如何安排?
您不仅应关注强制性的网络分段,即将提供商和客户网络分离。了解DDoS防护的组织方式至关重要:受攻击的公司是否被路由到黑洞,还是整个云在L3/L4层受到保护?最新方法允许更早检测威胁并避免受害者IP地址的突然关闭。
3. 实施了哪些身份和访问管理实践?
最好提供商和客户管理员使用MFA并通过远程桌面(VDI)连接资源。此外,如果承包商不仅要求每90天更新访问凭证,还验证密码哈希以防止暴力攻击,那就更好了。
4. 使用哪些漏洞扫描器?
所有MSP都会定期扫描其内部和云基础设施。然而,有时根据协议,承包商提供给客户的一些资源也会接受检查。
5. 如何进行监控和日志收集?
许多提供商使用云软件和设备的日志来及时检测异常并减轻自身及其客户的潜在风险。这些数据有助于更快的事件响应和调查。
6. 是否在远程位置创建和存储备份?
重要的是不要将备份与灾难恢复编排混淆(实践中存在此类误解)。在勒索软件的情况下,存在将相同加密数据复制到备份站点与主站点相同的风险。确保您的MSP备份策略全面解决这些问题。
7. 他们是否为员工提供培训?
由于人是最薄弱的环节,员工培训应侧重于识别社会工程策略等内容。他们应练习强密码习惯和安全浏览。员工还需要知道如何及时报告安全事件。
所有提到的标准代表了可信服务提供商应满足的基本标准。理想情况下,提供商应超越监管和客户需求。例如,进行事件前响应(Pre-IR)测试是一个可选步骤。如果提供商主动采取此措施并取得积极成果,则表明其对安全问题的承诺更高。
尽管存在许多与MSP相关的威胁,但现实并不像人们想象的那么糟糕。与其他行业类似,只有一小部分公司成为黑客的受害者。在大多数情况下,服务提供商采用强大的措施和保护,证明在所有情况下都有效。如果您恰好是那个试图入侵可靠服务提供商的大胆网络罪犯,我同情您的黑暗努力,但很可能,实现您的目标将是一个难题。