Carder
Professional
- Messages
- 2,619
- Reaction score
- 1,921
- Points
- 113
О взломе нескольких поставщиков управляемых услуг (MSP) сообщалось в 2017 году. В ответ Австралийский центр кибербезопасности (ACSC) предоставил организациям информацию, необходимую им для защиты себя и других от этой угрозы.
В 2018 году злоумышленники продолжали атаковать и скомпрометировать MSP, а через них и их клиентов. ACSC подтверждает необходимость того, чтобы организации внимательно изучили меры кибербезопасности, реализованные в контрактных решениях ИКТ для борьбы с угрозой.
Количество и тип элементов управления, используемых с MSP, будет зависеть от чувствительности ваших систем. ACSC рекомендует следующие стратегии для снижения риска взлома через MSP.
Четко сформулируйте заранее ожидания кибербезопасности. Попросите кандидатов в MSP предоставить доказательства их способности соответствовать вашим требованиям безопасности при администрировании вашей сети. Во время переговоров вы можете попросить кандидата в MSP рассказать, как он управляет сетью клиента.
Во время переговоров запросите у MSP контактную информацию для других клиентов. У вас должна быть возможность открыто поговорить об опыте другого клиента относительно способности MSP защитить клиентские системы.
Убедитесь, что ваш контракт требует, чтобы ваш MSP поддерживал хорошую культуру внутренней безопасности и внедрял рекомендации по кибербезопасности, такие как Essential Eight ACSC.
Включите положения об уведомлении об инцидентах в области кибербезопасности в свой контракт с вашим MSP. MSP должен быть обязан уведомить клиента в случае любого инцидента кибербезопасности, который может поставить под угрозу сеть клиента. Сюда могут входить случаи, когда системы MSP, относящиеся к администрированию, управлению или хранению информации в сети клиента, были скомпрометированы или были доступны неавторизованной и / или неизвестной стороне.
Определите уровни допуска, ожидаемые от сотрудников MSP, работающих с вашими системами, и убедитесь, что они предоставлены вам для проверки. Дополнительный риск из-за внутренних угроз возникает, если MSP привлекает персонал за пределами вашего обычного уровня допуска и проверки биографических данных.
Знайте границы между вами и вашим MSP. Убедитесь, что ваша организация четко определяет, к каким системам и как может получить доступ каждый MSP, и постоянно обновляйте записи. Эти обращения следует рассматривать как ненадежные для всего, что выходит за рамки ответственности MSP. Например, подключение от MSP к определенной клиентской системе следует рассматривать как ненадежный доступ по отношению к другим системам в вашей сети.
Сегментируйте свою сеть от MSP. Это ограничит возможность злоумышленника перейти от скомпрометированной сети MSP к сети клиента. ACSC обнаружила, что злоумышленники используют скомпрометированные рабочие станции MSP для бокового перемещения к контроллерам домена клиентов, расположенным в зарубежных странах, что увеличивает доступ к сети жертвы. Примеры сегментации включают:
Внедрите администрирование с минимальными привилегиями, чтобы уменьшить влияние злоумышленников, получающих доступ уровня MSP к сетям клиентов. Предоставьте MSP учетные записи с минимальными привилегиями, необходимые для выполнения его работы [3].
Тщательно контролируйте учетные записи администраторов предприятия и домена. Учетные записи администратора предприятия и домена по умолчанию не должны иметь участников. Используйте принципы своевременности для привилегированных учетных записей, таких как администратор домена. Используйте ручной процесс или программное обеспечение для управления привилегированным доступом, чтобы добавить именованные учетные записи к роли администратора домена на ограниченный срок.
Предоставьте связанные счета. Учетные записи должны относиться к MSP, чтобы можно было легко идентифицировать действия MSP в распределении привилегий и журналах. ACSC обнаружила, что злоумышленники используют законные учетные записи поддержки, предоставленные поставщиками услуг для развертывания вредоносного ПО в клиентских сетях; Быстрая атрибуция такой активности поможет клиенту работать со своим MSP, чтобы исправить компрометацию их сети.
Включите многофакторную аутентификацию для удаленно доступных сервисов, используемых вашим MSP для доступа к вашей сети и системам. Это гарантирует, что даже если злоумышленник скомпрометировал учетные данные учетных записей MSP, он останется неспособным войти в систему без второго фактора, такого как токен. Злоумышленники использовали протокол удаленного рабочего стола непосредственно из сети MSP для развертывания вредоносного ПО на серверах в любом месте управляемой сети; многофакторная аутентификация может предотвратить получение злоумышленником несанкционированного доступа. Также рассмотрите возможность блокировки доступа MSP по умолчанию и разрешения удаленного доступа в согласованное время. Свяжите этот доступ с конкретным заданием.
Рекомендуемый срок хранения журнала событий - не менее 18 месяцев; однако в некоторых организациях может быть нормативное требование хранить журналы событий в течение более длительного периода.
Сохранение размеров журналов событий по умолчанию может привести к перезаписи старых журналов, содержащих ключевые данные, до начала расследования; Поэтому рекомендуется, чтобы организации увеличивали размеры по умолчанию или пересылали журналы в центральное место для хранения.
Сообщите в соответствующие органы. Во-первых, убедитесь, что соответствующие лица в вашей организации были уведомлены. Если личная информация была утеряна или скомпрометирована, от вас может потребоваться по закону сообщить об инциденте кибербезопасности в Управление комиссара по информации. Вы также должны сообщить об инциденте кибербезопасности в ACSC для получения совета и помощи о том, как исправить вашу сеть.
Введение
В 2017 году было сообщено о взломе нескольких поставщиков управляемых услуг (MSP). В ответ центр кибербезопасности (ACSC) предоставил организациям информацию, необходимую им для защиты себя и других от этой угрозы.В 2018 году злоумышленники продолжали атаковать и скомпрометировать MSP, а через них и их клиентов. ACSC подтверждает необходимость того, чтобы организации внимательно изучили меры кибербезопасности, реализованные в контрактных решениях ИКТ для борьбы с угрозой.
Поставщики управляемых услуг и ACSC
Чтобы обеспечить уровень уверенности и улучшить стандарты кибербезопасности MSP, ACSC разработала программу партнерства MSP. Приглашаем MSP участвовать в программе и оставлять отзывы. Аналогичным образом, потенциальным клиентам MSP рекомендуется рассматривать участие своих потенциальных поставщиков в этой программе как фактор в их процессе закупок.Стратегии смягчения последствий
В этом документе организациям показаны действия, которые они могут предпринять для управления рисками безопасности, связанными с подключением и авторизацией сетевого доступа для поставщиков услуг Интернета. Многие из следующих рекомендаций применимы к любому внешнему поставщику услуг ИКТ, а не только к MSP.Количество и тип элементов управления, используемых с MSP, будет зависеть от чувствительности ваших систем. ACSC рекомендует следующие стратегии для снижения риска взлома через MSP.
Убедитесь, что ваша собственная сеть безопасна
Внедрить стандарт кибербезопасности, такой как ACSC Essential Eight, разработанный Австралийским управлением сигналов; список приоритетных стратегий по снижению инцидентов кибербезопасности. Эти стратегии эффективны для защиты от злонамеренных действий, таких как предотвращение выполнения вредоносных программ и уменьшение уязвимости организации.Получите безопасность в договоре
Безопасность не может быть главным соображением при передаче управления системой на аутсорсинг; однако стоимость исправления после компромисса намного превышает стоимость предварительной реализации.Четко сформулируйте заранее ожидания кибербезопасности. Попросите кандидатов в MSP предоставить доказательства их способности соответствовать вашим требованиям безопасности при администрировании вашей сети. Во время переговоров вы можете попросить кандидата в MSP рассказать, как он управляет сетью клиента.
Во время переговоров запросите у MSP контактную информацию для других клиентов. У вас должна быть возможность открыто поговорить об опыте другого клиента относительно способности MSP защитить клиентские системы.
Убедитесь, что ваш контракт требует, чтобы ваш MSP поддерживал хорошую культуру внутренней безопасности и внедрял рекомендации по кибербезопасности, такие как Essential Eight ACSC.
Включите положения об уведомлении об инцидентах в области кибербезопасности в свой контракт с вашим MSP. MSP должен быть обязан уведомить клиента в случае любого инцидента кибербезопасности, который может поставить под угрозу сеть клиента. Сюда могут входить случаи, когда системы MSP, относящиеся к администрированию, управлению или хранению информации в сети клиента, были скомпрометированы или были доступны неавторизованной и / или неизвестной стороне.
Определите уровни допуска, ожидаемые от сотрудников MSP, работающих с вашими системами, и убедитесь, что они предоставлены вам для проверки. Дополнительный риск из-за внутренних угроз возникает, если MSP привлекает персонал за пределами вашего обычного уровня допуска и проверки биографических данных.
Управляйте доступом MSP к вашей сети
Для выполнения своих договорных обязанностей MSP должен администрировать либо систему в вашей сети, либо всю вашу сеть. Без надлежащего контроля этот высокий уровень привилегированного доступа в сочетании с неизвестным состоянием безопасности сети, которую вы не контролируете, может сделать вашу сеть уязвимой для вторжений.Знайте границы между вами и вашим MSP. Убедитесь, что ваша организация четко определяет, к каким системам и как может получить доступ каждый MSP, и постоянно обновляйте записи. Эти обращения следует рассматривать как ненадежные для всего, что выходит за рамки ответственности MSP. Например, подключение от MSP к определенной клиентской системе следует рассматривать как ненадежный доступ по отношению к другим системам в вашей сети.
Сегментируйте свою сеть от MSP. Это ограничит возможность злоумышленника перейти от скомпрометированной сети MSP к сети клиента. ACSC обнаружила, что злоумышленники используют скомпрометированные рабочие станции MSP для бокового перемещения к контроллерам домена клиентов, расположенным в зарубежных странах, что увеличивает доступ к сети жертвы. Примеры сегментации включают:
- Если MSP администрирует всю сеть, заказчик может оговорить, что сеть MSP не будет использоваться для администрирования систем клиента. Вместо этого сотрудники MSP администрируют сеть клиента из системы в сети клиента.
- Рассмотрите возможность сегментации вашей сети на зоны доверия [1] .
Снижайте влияние кражи или злоупотребления учетными данными
Управление учетными данными - это часть контроля и ограничения доступа MSP к вашей сети. В качестве ключевого вектора использования учетные данные требуют специальной защиты. Обычно, когда злоумышленник имеет полный доступ к вашему MSP, он будет иметь доступ ко всем учетным данным в своей сети. Сюда входят не только корпоративные учетные данные MSP, но и учетные данные для устройств и систем их клиентов, управляемых MSP, если они хранятся в системе MSP.Внедрите администрирование с минимальными привилегиями, чтобы уменьшить влияние злоумышленников, получающих доступ уровня MSP к сетям клиентов. Предоставьте MSP учетные записи с минимальными привилегиями, необходимые для выполнения его работы [3].
Тщательно контролируйте учетные записи администраторов предприятия и домена. Учетные записи администратора предприятия и домена по умолчанию не должны иметь участников. Используйте принципы своевременности для привилегированных учетных записей, таких как администратор домена. Используйте ручной процесс или программное обеспечение для управления привилегированным доступом, чтобы добавить именованные учетные записи к роли администратора домена на ограниченный срок.
Предоставьте связанные счета. Учетные записи должны относиться к MSP, чтобы можно было легко идентифицировать действия MSP в распределении привилегий и журналах. ACSC обнаружила, что злоумышленники используют законные учетные записи поддержки, предоставленные поставщиками услуг для развертывания вредоносного ПО в клиентских сетях; Быстрая атрибуция такой активности поможет клиенту работать со своим MSP, чтобы исправить компрометацию их сети.
Включите многофакторную аутентификацию для удаленно доступных сервисов, используемых вашим MSP для доступа к вашей сети и системам. Это гарантирует, что даже если злоумышленник скомпрометировал учетные данные учетных записей MSP, он останется неспособным войти в систему без второго фактора, такого как токен. Злоумышленники использовали протокол удаленного рабочего стола непосредственно из сети MSP для развертывания вредоносного ПО на серверах в любом месте управляемой сети; многофакторная аутентификация может предотвратить получение злоумышленником несанкционированного доступа. Также рассмотрите возможность блокировки доступа MSP по умолчанию и разрешения удаленного доступа в согласованное время. Свяжите этот доступ с конкретным заданием.
Обеспечьте видимость действий MSP в вашей сети
Захватывайте соответствующие журналы, чтобы улучшить видимость потенциально вредоносной активности. Журналы следует хранить централизованно. Администратор безопасности или независимая сторона без прав доступа / учетных записей должны регулярно просматривать журналы на предмет подозрительной активности в проверенных системах. Также рассмотрите возможность включения требования контракта для вашего MSP для ведения журналов хостов и сетей, используемых для удаленного подключения к среде клиента. Соответствующее ведение журнала включает:- журналы событий на основе хоста для обеспечения видимости вредоносной активности на рабочих станциях и серверах.
- журналы брандмауэра и прокси для обеспечения видимости сетевых подключений, связанных с противниками.
- журналы удаленного доступа, чтобы помочь идентифицировать необычный доступ к сети из учетных записей, используемых MSP.
Рекомендуемый срок хранения журнала событий - не менее 18 месяцев; однако в некоторых организациях может быть нормативное требование хранить журналы событий в течение более длительного периода.
Сохранение размеров журналов событий по умолчанию может привести к перезаписи старых журналов, содержащих ключевые данные, до начала расследования; Поэтому рекомендуется, чтобы организации увеличивали размеры по умолчанию или пересылали журналы в центральное место для хранения.
Планируйте инцидент кибербезопасности
Составьте практический план реагирования на инциденты
Если вы обнаружили инцидент кибербезопасности или ваш MSP уведомил о возможном инциденте кибербезопасности, убедитесь, что вы получили как можно больше подробностей. Обратите внимание на признаки того, какой уровень доступа привел к возникновению инцидента кибербезопасности. Сканирование служб через Интернет сильно отличается от входа в систему во внешней системе или внутреннего бокового перемещения. Информация для запроса включает:- Что это за инцидент кибербезопасности?
- Какие конкретные данные и системы, как известно, будут затронуты?
- Что указывало на инцидент кибербезопасности?
- Дата и время инцидента кибербезопасности?
- Инцидент кибербезопасности продолжается?
- Какие действия предпринимает MSP для расследования и исправления?
- Сообщалось ли об этом инциденте кибербезопасности?
Разработайте коммуникационную стратегию
Общайтесь безопасно. Если компрометация затронула вашу корпоративную сеть, вы больше не сможете доверять корпоративным коммуникациям. Убедитесь, что у вас есть альтернативные безопасные каналы связи внутри компании и с вашим поставщиком услуг связи. Сохраняйте записи о любом взаимодействии с MSP для дальнейшего использования.Сообщите в соответствующие органы. Во-первых, убедитесь, что соответствующие лица в вашей организации были уведомлены. Если личная информация была утеряна или скомпрометирована, от вас может потребоваться по закону сообщить об инциденте кибербезопасности в Управление комиссара по информации. Вы также должны сообщить об инциденте кибербезопасности в ACSC для получения совета и помощи о том, как исправить вашу сеть.
