Поставщикам управляемых услуг: как управлять рисками для клиентских сетей

[Carder]

Введение​

В 2017 году было сообщено о взломе нескольких поставщиков управляемых услуг (MSP). В ответ центр кибербезопасности (ACSC) предоставил организациям информацию, необходимую им для защиты себя и других от этой угрозы.
В 2018 году злоумышленники продолжали атаковать и скомпрометировать MSP, а через них и их клиентов. ACSC подтверждает необходимость того, чтобы организации внимательно изучили меры кибербезопасности, реализованные в контрактных решениях ИКТ для борьбы с угрозой.

Поставщики управляемых услуг и ACSC​

Чтобы обеспечить уровень уверенности и улучшить стандарты кибербезопасности MSP, ACSC разработала программу партнерства MSP. Приглашаем MSP участвовать в программе и оставлять отзывы. Аналогичным образом, потенциальным клиентам MSP рекомендуется рассматривать участие своих потенциальных поставщиков в этой программе как фактор в их процессе закупок.

Стратегии смягчения последствий​

Многие компромиссы с участием клиентов MSP произошли потому, что сами MSP были начальной точкой компромисса. То есть покупатель не был первоначальной жертвой; MSP была вектором компрометации их клиентов. MSP должен управлять рисками безопасности, которые они представляют для систем своих клиентов, защищая свою сеть от простых попыток вторжения и защищая доверительные отношения с клиентом.
В этом документе представлены стратегии, которые MSP могут реализовать для защиты своих сетей и управления рисками безопасности, создаваемыми для сетей клиентов. Обратите внимание, что многие из этих рекомендаций применимы к любому внешнему поставщику услуг ИКТ, а не только к MSP. Количество и тип средств контроля, которые MSP будет использовать со своими клиентами, будут варьироваться в зависимости от чувствительности систем и данных клиента.

Убедитесь, что ваша собственная сеть безопасна​

Определите, повлияла ли на вас недавняя кампания, ориентированная на MSP. Ресурсы доступны в Национальном центре интеграции кибербезопасности и связи США [1] и Национальном центре кибербезопасности Великобритании [2]. MSP должны полностью расследовать любые признаки инцидента кибербезопасности и сообщать о любой злонамеренной деятельности в ACSC.
Имейте в виду, что отсутствие конкретных индикаторов компрометации (IOC) не свидетельствует об отсутствии инцидента кибербезопасности. Злоумышленники могут использовать разные инструменты и инфраструктуру для разных жертв, особенно когда IOC публично или широко раскрыты.
Внедрите стандарт кибербезопасности в своей организации и продвигайте его в системах, которыми вы управляете для своих клиентов. Например, Essential Eight от ACSC представляет собой список приоритетных стратегий по смягчению инцидентов кибербезопасности. Эти стратегии эффективны для защиты от злонамеренных действий, таких как предотвращение выполнения вредоносных программ и уменьшение поверхности атаки организации.

Проведите откровенный и прозрачный разговор с вашими клиентами о кибербезопасности​

MSP несут ответственность за защиту данных своих клиентов, включая их уведомление об инцидентах кибербезопасности. MSP должны быть прозрачными при возникновении инцидента кибербезопасности, включая то, какие шаги они должны предпринять для устранения и снижения риска повторения инцидента кибербезопасности.
Обеспечьте взаимно согласованные ожидания кибербезопасности. MSP должны гарантировать, что обсуждение того, на какую безопасность может рассчитывать клиент, является частью переговоров и постоянных отношений. Это должно быть отличительным признаком хорошего MSP.
Включите положения об уведомлении об инцидентах в области кибербезопасности в свой контракт с клиентом. MSP должен уведомить клиента в случае любого инцидента кибербезопасности, который может поставить под угрозу сеть клиента. Сюда могут входить случаи, когда системы MSP, относящиеся к администрированию, управлению или хранению информации в сети клиента, были скомпрометированы или были доступны неавторизованной и / или неизвестной стороне. MSP должны учитывать обязательства по отчетности, предусмотренные законодательством Австралии об обязательном раскрытии информации о нарушениях.
Понимать уровень допуска, ожидаемый от сотрудников MSP, работающих с системами клиентов. Существует дополнительный риск для клиентов из-за внутренних угроз, если персонал задействован вне процедур допуска и проверки биографических данных клиента.

Безопасное администрирование доступа к системам клиентов​

Для выполнения своих контрактных обязанностей MSP может администрировать либо систему в сети клиента, либо всю свою сеть. Без надлежащего контроля этот высокий уровень привилегированного доступа в сочетании с потенциальной зависимостью клиента от безопасности сети MSP может сделать сети и данные клиентов уязвимыми для вторжений.
Знайте границы между вами и вашими клиентами. Убедитесь, что вы четко определяете, какие клиентские системы вы администрируете и как, а также обновляете записи.
Сегментируйте клиентскую сеть от MSP. Это ограничит возможность злоумышленника перейти из скомпрометированной сети MSP в любую клиентскую сеть и наоборот. ACSC наблюдала, как злоумышленники используют скомпрометированные рабочие станции MSP для латерального перемещения в клиентские сети, включая критически важные системы, такие как контроллеры домена Windows. Примеры сегментации включают:

• Если MSP администрирует всю сеть, сеть MSP не должна использоваться для администрирования систем клиента. Вместо этого персонал MSP должен управлять сетью клиента из системы в сети клиента.
• Рассмотрите возможность сегментации вашей сети на зоны доверия.

Сегментируйте клиентов друг от друга или по доменам риска. Убедитесь, что заказчик с высокими требованиями к безопасности не размещается и не управляется совместно с клиентами с низким уровнем безопасности или повышенным риском. Как минимум, убедитесь, что клиент знает, что он размещен в зоне с низким уровнем безопасности. Примером такого поведения является общий веб-хостинг. В 2020 году ACSC исследовал несколько провайдеров веб-хостинга, которые были скомпрометированы через уязвимую веб-службу на одном клиенте, который затем скомпрометировал базовую инфраструктуру из-за плохой конфигурации безопасности, что привело к компрометации всех веб-сайтов, размещенных на этой службе.
Используйте безопасный узел перехода для выполнения административных задач. Если вам необходимо получить доступ к клиентской сети из вашей собственной сети или удаленно, укажите выделенную рабочую станцию, на которой ваш административный персонал должен выполнять важные административные обязанности с ограниченным доступом к критически важным серверам. Совместите это с многофакторной аутентификацией, чтобы ограничить возможность злоумышленника взломать критически важные активы.

Снижайте влияние кражи или злоупотребления учетными данными​

Кража и злоупотребление учетными данными в настоящее время является распространенным и эффективным вектором вторжений. Кража учетных данных не обязательно требует взлома внутренней сети, например, фишинговые страницы и утечка учетных данных NTLM являются альтернативными методами. Обычно, когда злоумышленник имеет полный доступ к MSP, он будет иметь доступ ко всем учетным данным в своей сети. Сюда входят не только корпоративные учетные данные MSP, но, вероятно, также учетные данные для их клиентских устройств и систем, управляемых MSP, если они хранятся или доступны в системах MSP.
Управление учетными данными является частью контроля и ограничения доступа MSP к клиентским сетям, а также ограничения последствий кражи учетных данных.
Внедрите администрирование с минимальными привилегиями в клиентских системах, чтобы снизить влияние злоумышленников, получающих доступ уровня MSP к клиентским сетям. Используйте учетные записи с минимальными привилегиями, необходимые для администрирования клиентских сетей [6].
Тщательно контролируйте учетные записи администраторов предприятия и домена. Учетные записи администратора предприятия и домена по умолчанию не должны иметь участников. Используйте принципы своевременности для привилегированных учетных записей, таких как администратор домена. Используйте ручной процесс или программное обеспечение для управления привилегированным доступом, чтобы добавить именованные учетные записи к роли администратора домена на ограниченный срок.
Предоставьте связанные счета. Учетные записи должны относиться к MSP, чтобы можно было легко идентифицировать действия MSP в распределении привилегий и журналах. ACSC наблюдала, как злоумышленники использовали законные учетные записи поддержки, предоставленные поставщиками услуг для развертывания вредоносного ПО в клиентских сетях; Быстрая атрибуция такой активности поможет клиенту работать со своим MSP, чтобы исправить компрометацию их сети.
Включите многофакторную аутентификацию для удаленно доступных служб, используемых для доступа к сетям и системам клиентов. Это гарантирует, что даже если злоумышленник скомпрометировал учетные данные учетных записей MSP, он останется неспособным войти в систему без второго фактора, такого как аппаратный токен. Злоумышленники использовали протокол удаленного рабочего стола непосредственно из сети MSP для развертывания вредоносного ПО на серверах в любом месте управляемой сети.

Записывайте и просматривайте действия MSP в клиентских сетях​

Зачем собирать данные журнала​

Хорошее ведение журнала важно для проведения эффективного расследования, снижающего общие затраты на реагирование на инциденты кибербезопасности.

Рекомендации по сбору данных​

Данные журнала следует собирать из разных источников, чтобы обеспечить корреляцию и проверку событий. Некоторые источники данных и события в этих источниках более ценны, чем другие, поэтому следует подумать о приоритетности собранных данных, если пространство для хранения является проблемой.
Данные журнала должны быть централизованы в одной системе для корреляции, иметь возможность запрашивать стандартные предупреждения и настраиваемые запросы, а также проверять.
Следующие типы данных полезны для расследования:

• журналы событий на основе хоста для обеспечения видимости вредоносной активности на рабочих станциях и серверах [8]
• журналы брандмауэра и прокси для обеспечения видимости сетевых подключений, связанных с противниками
• журналы удаленного доступа для выявления злоупотреблений законным внешним доступом.

Сохранение размеров журналов событий по умолчанию при хранении в локальной системе может привести к перезаписи старых журналов, содержащих ключевые данные, до начала расследования; Поэтому рекомендуется, чтобы организации увеличивали размеры по умолчанию или пересылали журналы в центральное место для хранения.
Основываясь на опыте ACSC в расследованиях кибербезопасности, ведение журнала помогает расследованиям не менее 18 месяцев.

MSP и данные их клиентов​

Помимо мониторинга собственной сети MSP, MSP должен контролировать их доступ к сетям своих клиентов.
Рассмотрите возможность планирования удаленного доступа к клиентским сетям в согласованное время и сопоставления журналов с конкретным заданием.
Будьте готовы предоставить подробные журналы, относящиеся к клиентским системам, если у клиента есть проблемы с безопасностью, которые он желает изучить дальше.

Планируйте инцидент кибербезопасности​

Составьте практический план реагирования на инциденты​

Если вы обнаружили инцидент кибербезопасности или получили уведомление о возможном инциденте кибербезопасности, убедитесь, что вы получили как можно больше подробностей. Обратите внимание на признаки того, какая уязвимость в системе безопасности привела к возникновению инцидента кибербезопасности. Например, сканирование служб с выходом в Интернет сильно отличается от несанкционированного входа в систему из внешней системы или внутреннего бокового перемещения. Соответствующая информация обеспечит точную расстановку приоритетов и обмен сообщениями. Эта информация может включать:

• Что это за инцидент кибербезопасности?
• Какие конкретные данные и системы, как известно, будут затронуты?
• Что указывало на инцидент кибербезопасности?
• Какова была дата и время инцидента кибербезопасности?
• Инцидент кибербезопасности продолжается?
• Какие действия предпринимаются для расследования и исправления?
• Сообщалось ли об этом инциденте кибербезопасности?

Разработайте коммуникационную стратегию​

Если происходит инцидент кибербезопасности, который, вероятно, влияет на данные клиентов, лучше быть открытым и прозрачным для клиентов и управлять ответом, чем ждать. Если данные клиента были украдены, существует высокая вероятность того, что третья сторона обнаружит инцидент кибербезопасности, потому что злоумышленник часто меньше заинтересован в вашей безопасности и безопасности данных ваших клиентов.
Общайтесь безопасно. Если компрометация затронула вашу корпоративную сеть, вы больше не сможете доверять корпоративным коммуникациям. Особенно на ранних этапах расследования убедитесь, что у вас есть альтернативные безопасные каналы связи внутри компании и с клиентом. Сохраняйте записи о любом взаимодействии с клиентом для использования в будущем.
Сообщите в соответствующие органы. Убедитесь, что соответствующие лица в вашей организации были уведомлены. Если личная информация была утеряна или скомпрометирована, по закону от вас могут потребовать сообщить об инциденте кибербезопасности в Управление Комиссара по информации. Вам также следует сообщить об инциденте кибербезопасности в ACSC для получения совета и помощи о том, как исправить вашу сеть, а также для того, чтобы внести свой вклад в широкую ситуационную осведомленность ACSC и извлечь из нее пользу.
Если об инциденте кибербезопасности сообщается публично или становится достоянием общественности во время или после расследования, заранее подготовьте публичные темы для обсуждения. Если в публичном сообщении упоминаются другие заинтересованные стороны, убедитесь, что с ними консультируются или уведомляются как можно скорее.