您当前的位置:首页 > IT > 新闻内容

yabox7_yabo88vip1com_yabo024

时间:2020-03-23 15:30:30  来源:  作者:  浏览量:

 IT安全交给MSP,企业能当“甩手掌柜”吗?

 

在MSP(Managed Service Provider)越来越流行的当下,企业已经开始习惯把自己的IT系统托管给专业MSP,不再亲自操刀日常的IT运营和管理。当网络攻击变得日益频繁,企业IT安全是否可以100%依赖MSP?

 

疫情发生以来,全球出现了很多以“新冠病毒”等网络热词为诱饵的网络攻击。无论是政府、医疗机构还是大中型企业,都成为黑客组织定向瞄准的对象。

 

在大量机构纷纷中招之际,那些将自身IT系统托管给MSP的企事业单位,似乎显得更为放心。

 

作为企业数字化转型的重要合作伙伴,MSP可以说是企业“上云”和“管云”的最佳选择之一。

 

如今的MSP一般以整套服务方式对企业数据中心的整体IT资源进行统一管理,包括对操作系统、中间件、应用程序等提供运营服务,而相应的技术支持和服务则包括安全、监控、配置、更新、部署实施等。

 

当网络攻击来袭时,对托管在其平台上的企业提供安全预警和响应服务,自然也成为MSP的“分内事”。但是很少人注意到,以往针对企业的网络攻击,正在悄然转向MSP。

 

安全公司Armor曾发布报告,2019年有13家MSP和云服务提供商遭受了勒索软件攻击,造成了其客户网络遭受勒索软件感染。

 

令业界倍感震惊的是,美国知名MSP服务商Synoptek也遭到了勒索软件的攻击,导致托管在其云管平台上的1100个企业客户业务无法正常运营。

 

针对MSP的攻击迅速崛起,为整个MSP领域敲响了警钟。人们不禁好奇,为什么网络攻击对象会从最终用户转向MSP,以及黑客会采用哪些攻击手段?

 

更值得关注的是,如果MSP遭到了网络攻击,将“身家性命”都托管给MSP的企业和机构,还该不该信任MSP?双方应该如何合作,才能确保企业的网络和数据安全呢?

针对MSP的网络攻击成为趋势

 

在安畅网络MSP布道师兼架构师主管曲骏看来,将MSP作为网络攻击对象正在成为一种趋势。

 

作为IT服务管理提供商,MSP承接着大量企业客户的基础架构监控和运维工作,大部分企业用户还会把大量的关键系统管理权限委托给MSP。

 

在这个过程中,无论是MSP的数据管控风险,还是企业的权限治理风险都会逐渐升高。

 

如果黑客成功攻入MSP系统,可以一次性拿到多个企业的核心数据,因此攻击MSP比攻击最终用户的成本更低,这使得MSP成为攻击最终目标用户的一条新路径。

 

除此之外,多云及混合云管理服务提供商Bespin Global(贝斯平)的专家也表示,由于MSP在受到攻击时无法提供正常服务,承受的压力更大,因此也更容易为快速恢复服务而向攻击者妥协。

 

从贝斯平的服务经验看,针对MSP最常见的攻击手段一般分为两类:

 

第一类,以勒索钱财为目的的勒索病毒攻击;第二类,获取服务客户敏感信息的钓鱼或APT攻击。

 

与直接针对最终用户的攻击相比,针对MSP的攻击手段似乎并无太大区别。但实际上,对MSP服务进行安全防护更为复杂。

 

由于不同企业客户的环境中存在管理差异,而这些环境对于MSP来说完全属于黑盒,因此在MSP服务过程中可能会存在一些安全短板,例如:数据库的弱口令、redis的空口令、以及企业客户对自身员工的管理疏漏导致的病毒入侵,都可能对MSP的服务质量造成影响。

 

在国内,MSP产业才刚刚兴起,很多MSP服务商在安全治理的发展上还不够成熟,这也成为MSP易受攻击的原因之一。

 

曲骏认为,国内大部分的MSP服务商,都会强调自己拥有云管理平台、专业的工程师、半自动化或全自动化的工具,去帮助客户解决各种各样的问题,但是往往会忽略一个关键点:数据资产和网络安全风险。

 

一旦2020年出现更多针对MSP攻击的案例,无论是MSP服务商还是企业客户,都会把安全作为一个头等大事来对待,其防御等级和安全意识会随之提升。

 

MSP服务模式下如何确保企业IT安全?

 

当网络攻击的重点转向了MSP,这是否意味着企业将IT系统全权托管给MSP的方式不再安全?

 

事实上,这个问题并不能一概而论。在MSP服务过程中,往往涉及多方参与,包括最终用户、MSP服务商和众多的第三方合作伙伴。无论是哪一方,都有可能成为网络攻击的入口,因此需要各方合力做好网络安全防护。

 

从企业用户的角度看,根据国家《网络安全法》和等保2.0等规定,企业在网络安全防护和信息安全管理方面须具备相应的能力。

 

尤其是在金融、游戏、教育、电商、网贷、通讯、能源、运输等行业,企业的网络安全建设必须符合等保2.0的要求。换句话说,企业要做好自己内部的安全防护,才能不让网络攻击有机可乘。

 

从MSP服务商的角度看,和各行业的企业一样,MSP服务商首先必须保证自身的安全治理符合等保2.0的规定。

 

此外,MSP服务商因承诺为企业客户提供安全可靠的IT托管服务,因而在技术、管理、咨询等层面,都须具备更高的要求和能力。

 

在曲骏看来,MSP在提供服务之前,需要从两个方面来确保企业客户的网络安全和数据安全:

 

第一,MSP的运维人员是否具备基本的安全意识,尤其是基于安全体系的操作认知,必须强化在每一个工程师心中。

 

第二,MSP的管理平台是否具备严格的安全管理和运维规范。

 

例如,在不影响企业客户授权和安全审计体系的前提下,MSP平台需要通过严谨的管理体系和标准作业流程,对拥有客户权限的MSP工程师,在操作行为上进行管控和规范,杜绝因MSP工程师主动意愿或误操作带来的安全隐患。

 

针对企业客户的授权方式,安畅网络一般采用“多鉴权的方式”去管理客户的数字资产,如:通过非明文密码、多因子认证等方式进行授权,确保授权过程及授权后的数据安全。

 

在获得授权后,安畅网络的CMP平台对客户数据也只做导入,对数据进行分析和判断,整个过程清晰可视化,从根本上保证客户的数据安全。

 

此外,由于不同企业客户在托管方式和交互方式上具有很大的差异,MSP服务商需要面对多样化的企业客户需求,如:半托管和全托管,公有云、私有云和混合云管理,以及密钥管理、API接口等交互方式。

 

因此,要保障企业客户的数据资产和网络安全,一套完整的方法论和丰富的行业服务经验也必不可少。

 

在贝斯平,为了避免由于MSP受到攻击而影响最终企业客户行为的发生,其经验是从技术和管理两个维度进行有效控制。

 

以勒索病毒为例,在技术层面,贝斯平在网络边界隔离、系统加固、补丁安装、端口开放、杀毒软件、漏洞扫描、备份、网络准入、双因素认证、访问控制、最小权限、审计等方面进行有效管理。

 

在管理层面,对MSP的运维人员从运维SOP、技术培训、安全意识培训等方面进行管理。在有效缓解被攻击的可能性同时,也降低了特殊情况下所影响的客户面。

 

一般情况下,在管理层面先有需求后,随之在技术层面执行落地。因此,在这种管理指导技术实现的方式下,无须过多强调它们之间的界限。

已有位网友发表评论
网友评论

登录名: 匿名发表