Доставчиците на управляеми ИТ услуги стават все по-желана мишена за рансъмуер групите (снимка: CC0 Public Domain)
В днешния свят доставчиците на управляеми услуги (MSP) са спасение за бизнеса, затрупан от сложността при управлението на технологичните рискове. За немалко от големите организации и за почти всички по-малки компании аутсорсингът е единственият начин за поддържане „в добра спортна форма“ на бързо развиващите се технологии.
MSP вече са неразделна част от дигиталната екосистема. Компаниите им се доверяват и поверяват своите чувствителни данни. Затова е логично те да станат сериозни мишени за рансъмуер бандите, предупреждават специалистите. В MSP хакерските групи виждат нелесна, но много щедро отплащаща се мишена.
Многократно изнудване
Щетите, които рансъмуерът може да нанесе на MSP организациите, не са изненада за никого – всички знаем за случаите на изнудвания и платени откупи в размери на милиони. Въпреки мащаба на тези големи атаки, те бледнеят в сравнение с това, което рансъмуер екипите правят, когато проникнат в мрежите на MSP. Образно казано, едно е крадец да открадне оборота на касата на едно магазинче, друго е да обере трезора на банка…
Когато нападателите намерят уязвимост в дадена организация, те могат да я компрометират и след това да изнудват организация. Но намирането на уязвимост при MSP означава потенциално компрометиране на всяка организация, която MSP обслужва. Нападателите могат да извършват двойни и тройни изнудвания, парализирайки редица организации – нещо, което доскоро беше немислимо, освен ако не бъде хакната правителствена информационна система.
Най-тревожното е, че една успешна атака срещу MSP отваря вратата за четворно изнудване. В този сценарий нападателите не преследват само доставчика, но тормозят и клиентите, които разчитат на услугите на въпросния доставчик на управляеми услуги.
Мнозина са чували за пробива при Solarwinds. Инструментите за дистанционно наблюдение и управление (RMM) като тези на фирмата позволяват на екипите да наблюдават и управляват ИТ системи. Съответно атаката позволи на хакерите да се сдобият с достъп до всички, които използват RMM от разработчика – сред тях правителствени агенции, разработчици на софтуер за киберсигурност и други ключови организации.
Киберпрестъпниците вече следват този „блестящ“ пример. Бандата REvil, например, идентифицира уязвимост в Kaseya – друг инструмент за RMM – и през юли 2021 г. използва тази уязвимост, за да компрометира множество MSP и техните клиенти, като държи данните им за залог, искайки откуп.
Клиентите понасят последствията
„Смисълът за съществуването“ на MSP е отчасти една от най-големите му уязвимости. За много фирми MSP се явяват попълване на липсващ ресурс: те осигуряват експертен опит или услуги, които са твърде скъпи за управление посредством вътрешен екип. Естествено, MSP имат неограничен достъп до множество системи, за да могат да предоставят своите услуги.
Проблемът с този модел е, че организациите-потребители вече имат недостатъчна видимост над това, което се случва в собствените им ИТ системи. Те могат да се озова „на тъмно“, когато възникнат проблеми.
Повечето хора смятат, че са своего рода „застраховани“, ако организациите все пак си имат своите вътрешни технологични екипи, които могат да управляват заплахите и да гарантират, че персоналът във фирмата е добре образован. Но това не може да бъде спасение.
Обикновено MSP управляват определени части от инфраструктурата, например отговарят за управлението на бази данни или за разработване на ново приложение. Тази разпокъсаност и липсата на видимост около критична част от инфраструктурата може да попречи на цялостната реакция на заплахата и да загуби ценно време.
Намаляване на риска
Решението на проблема не е в прекратяването на всяко споразумение с която и да е организация с достъп до системите на бизнеса. Само по себе си функционирането на даден бизнес носи и винаги ще носи известно ниво на риск – и всяка организация има интерес да има поне някакво ниво на връзка с MSP.
Но организациите трябва да помислят сериозно за постигането на правилния баланс между предоставянето на достъп на MSP и намаляването на риска, свързан с високо ниво на достъп на външни страни.
Ценно е да се извършват оценки на партньорите-MSP, за да се гарантира, че външните фирми имат надеждни практики за информационна сигурност и защитават своите ИТ среди по адекватен начин, ако не и по-добре от самата организация-клиент.