Cómo los proveedores de servicios gestionados pueden representar un riesgo para sus clientes


El Servicio Secreto de EE. UU. Ha advertido a las organizaciones sobre el aumento de los ataques de MSP y ofrece consejos sobre cómo reforzar la seguridad.

cyberattack.jpg

Muchas organizaciones confían cada vez más en los proveedores de servicios administrados (MSP) para administrar de forma remota la infraestructura de TI y otros recursos. Al externalizar el cuidado y la alimentación de su red, aplicaciones o seguridad, una organización puede ahorrar tiempo y dinero, especialmente si carece del particular interno y las capacidades necesarias.

VER: Conciencia de seguridad y política de capacitación (TechRepublic High quality)

Pero a medida que los MSP se han vuelto más populares, también se han convertido en un objetivo más abierto para los cibercriminales. Dado que cada MSP generalmente tiene acceso a recursos vitales para múltiples clientes, una sola violación de datos puede abrir la puerta a un tesoro de datos confidenciales.

El nivel de riesgo puede ser aún mayor si el MSP aloja un servidor y otro components físico para un cliente. Una alerta reciente del Servicio Secreto de EE. UU. Advierte sobre un aumento en los ataques de MSP y ofrece consejos sobre lo que los proveedores y los clientes deben hacer para reforzar su seguridad.

Observando el aumento de los ataques cibernéticos contra los MSP, la alerta de junio del Servicio Secreto explica que, dado que un MSP puede atender a un gran número de clientes, los piratas informáticos se dirigen a ellos como una forma de atacar a varias empresas a través del mismo vector. Además, los MSP utilizan diversas aplicaciones empresariales y de código abierto para gestionar de forma remota los entornos de sus clientes. Como tal, los ciberdelincuentes están explotando estas aplicaciones para llevar a cabo ataques de ransomware, campañas de Compromiso de correo electrónico comercial (BEC) y intrusiones en el punto de venta.

Como se describe en un Historia del lunes de ZDNet, la firma de inteligencia de amenazas Armor dijo en octubre que identificó al menos 13 MSP que fueron pirateados en 2019, desencadenando la implementación de ransomware en las redes de sus clientes. Además, en una llamada telefónica con ZDNet, Kyle Hanslovan, CEO de Huntress Labs, dijo que su compañía brindó soporte en al menos 63 incidentes de ataques de MSP en 2019 que llevaron a ataques de ransomware en las redes de los clientes. Sin embargo, Hanslovan cree que el número complete de tales incidentes podría haber sido más de 100 el año pasado.

La alerta del Servicio Secreto está lejos de ser la primera notificación de este tipo en los últimos años. En octubre de 2018, el Centro Nacional de Integración de Ciberseguridad y Comunicaciones (NCCIC) advertido de intentos en curso desde grupos de piratería patrocinados por el estado para violar los MSP, especialmente dirigidos a proveedores de servicios basados ​​en la nube.

«Los atacantes concentran sus esfuerzos maliciosos en los MSP porque ahora son una fruta fácil», dijo a TechRepublic Ilia Kolochenko, fundadora y directora ejecutiva de la compañía de seguridad world-wide-web ImmuniWeb. «Peor aún, la mayoría de las intrusiones exitosas nunca se detectan ni se informan dado que los atacantes tienen fuertes incentivos para ocultar la violación que de otro modo podría desencadenar una investigación que podría depreciar el valor de los datos robados o incluso llevar un equipo SWAT a sus hogares».

En su aviso, el Servicio Secreto ofreció consejos tanto a los MSP como a sus clientes para lidiar con el aumento de los ataques y las infracciones.

Mejores prácticas para MSP

  • Tener un acuerdo de nivel de servicio bien definido.
  • Asegúrese de que las herramientas de administración remota estén parcheadas y actualizadas.
  • Hacer cumplir el privilegio mínimo para acceder a los recursos.
  • Tenga controles de seguridad bien definidos que cumplan con el cumplimiento normativo de los usuarios finales.
  • Realizar auditorías anuales de datos.
  • Tenga en cuenta los estándares de cumplimiento de datos locales, estatales y federales.
  • Conducir proactivamente programas de capacitación y educación cibernética para empleados.

Mejores prácticas para clientes de MSP

  • Auditoría de acuerdos de nivel de servicio.
  • Audite las herramientas de administración remota que se utilizan en su entorno.
  • Aplicar la autenticación de dos factores para todos los inicios de sesión remotos.
  • Restrinja el acceso administrativo durante inicios de sesión remotos.
  • Hacer cumplir el privilegio mínimo para acceder a los recursos.
  • Utilice una crimson segura y una infraestructura de sistema capaz de cumplir con los requisitos de seguridad actuales.
  • Conducir proactivamente programas de capacitación y educación cibernética para empleados.

La gestión de riesgos es otra área que los clientes de MSP deben reevaluar, según Kolochenko.

«Sin embargo, su proceso de gestión de riesgos de terceros se basa principalmente en cuestionarios obsoletos de talla única», dijo Kolochenko. «Este enfoque burocrático puede ser excesivamente oneroso y complejo para algunos vendedores pequeños para otros, son inadecuados y defectuosos. Las organizaciones deberían repensar sus estrategias de gestión de riesgos de terceros, haciéndolas ajustables y proporcionales al riesgo en un caso por caso. base de caso «.

Lane Roush, vicepresidente de ingeniería de preventa del proveedor de seguridad Arctic Wolf, tiene tres recomendaciones para los MSP.

Habilitar autenticación multifactor. Mostrar dos pruebas para demostrar quién eres siempre es mejor que uno. Los MSP deberían habilitar la autenticación multifactor para todas sus herramientas. Hacerlo reduciría drásticamente la probabilidad de sufrir una violación.

Realizar revisiones periódicas de acceso de usuarios. Los MSP deben realizar periódicamente revisiones manuales de acceso de los usuarios de sus sistemas para rastrear, controlar y evitar el acceso a los activos y sistemas críticos y garantizar que sus credenciales no estén disponibles en la Darkish World wide web. Es importante asegurarse de que solo las personas autorizadas, las computadoras y las aplicaciones puedan acceder a la información que necesitan. Esta necesidad de regulate de acceso es especialmente cierta para las organizaciones que pueden haber suspendido recientemente a los empleados debido a COVID-19 y pueden no haber revocado el acceso a todos los sistemas a los que fueron aprovisionados previamente.

Mantener o establecer una gestión agresiva de vulnerabilidades.. Es probable que los equipos de MSP se vean afectados por la gestión de sus clientes que trabajan con trabajadores remotos desde COVID-19, pero no pueden descuidar el trabajo de evaluación comparativa y parcheo. Las vulnerabilidades sin parches y las configuraciones incorrectas del sistema son un objetivo principal para los atacantes.

Ver también



Enlace a la noticia initial