Elección de su MSP: lo que nos dice el incidente de Kaseya sobre el riesgo cibernético de terceros


Lecciones que aprender del ciberincidente de Kaseya para proteger los datos de su empresa al hacer negocios con un MSP.

Los proveedores de servicios gestionados (MSP) desempeñan un papel basic en el ecosistema de TI. Al subcontratar muchos de sus requisitos de TI diarios a estas empresas, las organizaciones más pequeñas en unique pueden ahorrar costos, mejorar los niveles de servicio y concentrar más recursos en hacer crecer el negocio. En teoría, también pueden reducir el riesgo de seguridad entregándose a un proveedor más capaz y con mejores recursos. Sin embargo, como ha ilustrado la campaña de ransomware que afecta a los clientes de Kaseya, los MSP también pueden ser una fuente de riesgo cibernético.

En medio del panorama de amenazas volátiles de hoy, estos riesgos están en constante evolución. Eso ejerce más presión sobre las organizaciones para asegurarse de que están haciendo las preguntas de diligencia debida adecuadas a los posibles proveedores antes de firmar contratos.

¿Qué pasó en Kaseya?

Kaseya es un proveedor de application de gestión de TI cuyos principales clientes son MSP. Su producto VSA ofrece parches de software program automatizados, monitoreo remoto y otras capacidades para que estas empresas puedan administrar sin problemas la infraestructura de TI de sus clientes. De manera equivalent a Vientos solares Orion, el producto requiere un acceso altamente privilegiado a los entornos del cliente para funcionar. Esto lo convierte en una opción perfecta para los atacantes que buscan un vector de amenazas efectivo y de alto retorno de la inversión.

Eso es exactamente lo que sucedió el 2 de julio. Como se describe en la página de actualización del servicio del proveedor, los actores de amenazas utilizaron la plataforma para comprometer decenas de MSP y lanzar una actualización falsa a sus clientes, que contenía el ransomware REvil / Sodinokibi. Alrededor de 50-60 MSP se vieron afectados, y en la región de 1.500 clientes intermedios. ¿Cómo hicieron esto? Su ahora se ha informado que los actores de amenazas explotaron entre una y tres vulnerabilidades de día cero en el producto Kaseya VSA regional, superando al propio equipo de seguridad del proveedor, que estaba trabajando en parches para los errores al mismo tiempo. Estos son:

Esto les permitió omitir la autenticación en la interfaz internet del Kaseya VSA community de los MSP. Luego usaron la sesión para cargar su carga útil y ejecutar comandos mediante inyección SQL. En el momento de redactar este artículo, finalmente se estaba implementando un parche para los clientes locales, mientras que la mayoría de los MSP de SaaS ya están en línea.

¿Por qué son riesgosos los MSP?

Esta no es la primera vez que Kaseya ha sido atacado por grupos de ransomware. En 2019, los actores de amenazas explotaron un complemento susceptible para Kaseya VSA, lo que les permitió comprometer a un solo cliente de MSP. Con acceso de nivel de administrador al computer software, pudieron ejecutar ransomware en todos los sistemas de clientes que administraba, lo que provocó que entre 1.500 y 2.000 clientes se infectaran con la variante de ransomware Gandcrab.

Aunque Gandcrab ha sido vinculado a REvil, no hay indicios de que estos ataques hayan sido perpetrados por el mismo grupo. Pero en cualquier caso, el ciberdelito clandestino hace un trabajo mucho mejor compartiendo inteligencia y herramientas que la comunidad de seguridad informática. Eso significa que si se ha demostrado que los ataques funcionan en el pasado, generalmente se repetirán en el futuro. Esta es una mala noticia para los MSP y sus clientes, ya que existe una gran cantidad de evidencia histórica que muestra que las campañas contra los MSP pueden tener mucho éxito.

Algunos de los más destacados en el pasado han sido los operativos respaldados por el estado. Estos incluyen Operation Cloud Hopper, un audaz system de varios años atribuido a APT10 que impactó «una red sin precedentes de víctimas globales». La diferencia hoy en día es que ahora son los ciberdelincuentes motivados financieramente los que se dirigen a los MSP. De acuerdo a un informe reciente, El 73 por ciento de los MSP informaron al menos un incidente de seguridad durante el año pasado y el 60 por ciento de estos estaban relacionados con ransomware.

El ciberdelito es un gran negocio hoy en día. Y tiene sentido comercial complete dedicar tiempo a investigar y dirigirse a una sola organización que puede proporcionar acceso a miles más, que dirigirse a esos clientes intermedios individualmente. Después de todo, los MSP tienen datos de clientes y acceso privilegiado a estas organizaciones. De acuerdo a algunas estimaciones podría haber hasta 20.000 de estos MSP que prestan servicios a varios clientes solo en América del Norte en la actualidad. Y no todos son tan seguras como deberían ser. Ese es un objetivo importante al que deben apuntar los actores de amenazas.

Cómo gestionar el riesgo de MSP

La dinámica del mercado debería significar que los MSP que constantemente fallan a sus clientes en seguridad eventualmente ceden el paso a aquellos con una postura de gestión de riesgos cibernéticos más sólida. No hay escasez de herramientas en el mercado para ayudar a estos proveedores a diferenciarse en seguridad. Sin embargo, esto solo funciona si los clientes están lo suficientemente bien informados como para votar con los pies.

Con ese fin, aquí hay algunas verificaciones básicas de diligencia debida y preguntas que debe considerar antes de elegir su próximo MSP:

  • ¿Cómo es su programa de administración de parches / vulnerabilidades?
  • ¿Con qué socios de software package trabajan y cuál es su reputación de garantía de seguridad / calidad?
  • Realice comprobaciones adicionales en cualquier application de MSP que funcione con altos privilegios.
  • ¿Ejecutan el ocho controles esenciales para MSP? (Estos son: lista blanca de aplicaciones, parcheo y refuerzo, restricción de privilegios administrativos, autenticación multifactor, parcheo del sistema operativo, copias de seguridad diarias y ajuste de la configuración de macros de Business office)
  • ¿Tienen una sólida protección antimalware en servidores, terminales, redes, correo electrónico, sistemas en la nube, and so on.?
  • ¿Operan una política de acceso con privilegios mínimos y segmentación de la pink para minimizar la superficie de ataque?
  • ¿Capacitan y actualizan regularmente al personalized en concienciación sobre phishing?
  • ¿Realizan auditorías / revisiones de seguridad completas y periódicas?
  • ¿Ejecutan detección y respuesta de amenazas extendidas (XDR) para una protección proactiva?
  • ¿Tienen un system de respuesta a incidentes bien ensayado incluso en el peor de los casos?
  • ¿Qué estándares, certificaciones y marcos de la industria siguen?

Las verificaciones de diligencia debida como esta no aislarán a su organización al 100 por ciento de un incidente de seguridad que involucre a un MSP. Pero ayudarán a reducir el riesgo de uno. Y hoy, eso es lo mejor que puede hacer.



Enlace a la noticia first