在MSP(Managed Service Provider)越來越流行的當下,企業已經開始習慣把自己的IT系統託管給專業MSP,不再親自操刀日常的IT運營和管理。當網絡攻擊變得日益頻繁,企業IT安全是否可以100%依賴MSP?
疫情發生以來,全球出現了很多以“新冠病毒”等網絡熱詞為誘餌的網絡攻擊。無論是政府、醫療機構還是大中型企業,都成為黑客組織定向瞄準的對象。
在大量機構紛紛中招之際,那些將自身IT系統託管給MSP的企事業單位,似乎顯得更為放心。
作為企業數字化轉型的重要合作伙伴,MSP可以說是企業“上雲”和“管雲”的最佳選擇之一。
如今的MSP一般以整套服務方式對企業數據中心的整體IT資源進行統一管理,包括對操作系統、中間件、應用程序等提供運營服務,而相應的技術支持和服務則包括安全、監控、配置、更新、部署實施等。
當網絡攻擊來襲時,對託管在其平臺上的企業提供安全預警和響應服務,自然也成為MSP的“分內事”。但是很少人注意到,以往針對企業的網絡攻擊,正在悄然轉向MSP。
安全公司Armor曾發佈報告,2019年有13家MSP和雲服務提供商遭受了勒索軟件攻擊,造成了其客戶網絡遭受勒索軟件感染。
令業界倍感震驚的是,美國知名MSP服務商Synoptek也遭到了勒索軟件的攻擊,導致託管在其雲管平臺上的1100個企業客戶業務無法正常運營。
針對MSP的攻擊迅速崛起,為整個MSP領域敲響了警鐘。人們不禁好奇,為什麼網絡攻擊對象會從最終用戶轉向MSP,以及黑客會採用哪些攻擊手段?
更值得關注的是,如果MSP遭到了網絡攻擊,將“身家性命”都託管給MSP的企業和機構,還該不該信任MSP?雙方應該如何合作,才能確保企業的網絡和數據安全呢?
針對MSP的網絡攻擊成為趨勢
在安暢網絡MSP佈道師兼架構師主管曲駿看來,將MSP作為網絡攻擊對象正在成為一種趨勢。
作為IT服務管理提供商,MSP承接著大量企業客戶的基礎架構監控和運維工作,大部分企業用戶還會把大量的關鍵系統管理權限委託給MSP。
在這個過程中,無論是MSP的數據管控風險,還是企業的權限治理風險都會逐漸升高。
如果黑客成功攻入MSP系統,可以一次性拿到多個企業的核心數據,因此攻擊MSP比攻擊最終用戶的成本更低,這使得MSP成為攻擊最終目標用戶的一條新路徑。
除此之外,多雲及混合雲管理服務提供商Bespin Global(貝斯平)的專家也表示,由於MSP在受到攻擊時無法提供正常服務,承受的壓力更大,因此也更容易為快速恢復服務而向攻擊者妥協。
從貝斯平的服務經驗看,針對MSP最常見的攻擊手段一般分為兩類:
第一類,以勒索錢財為目的的勒索病毒攻擊;第二類,獲取服務客戶敏感信息的釣魚或APT攻擊。
與直接針對最終用戶的攻擊相比,針對MSP的攻擊手段似乎並無太大區別。但實際上,對MSP服務進行安全防護更為複雜。
由於不同企業客戶的環境中存在管理差異,而這些環境對於MSP來說完全屬於黑盒,因此在MSP服務過程中可能會存在一些安全短板,例如:數據庫的弱口令、redis的空口令、以及企業客戶對自身員工的管理疏漏導致的病毒入侵,都可能對MSP的服務質量造成影響。
在國內,MSP產業才剛剛興起,很多MSP服務商在安全治理的發展上還不夠成熟,這也成為MSP易受攻擊的原因之一。
曲駿認為,國內大部分的MSP服務商,都會強調自己擁有云管理平臺、專業的工程師、半自動化或全自動化的工具,去幫助客戶解決各種各樣的問題,但是往往會忽略一個關鍵點:數據資產和網絡安全風險。
一旦2020年出現更多針對MSP攻擊的案例,無論是MSP服務商還是企業客戶,都會把安全作為一個頭等大事來對待,其防禦等級和安全意識會隨之提升。
MSP服務模式下如何確保企業IT安全?
當網絡攻擊的重點轉向了MSP,這是否意味著企業將IT系統全權託管給MSP的方式不再安全?
事實上,這個問題並不能一概而論。在MSP服務過程中,往往涉及多方參與,包括最終用戶、MSP服務商和眾多的第三方合作伙伴。無論是哪一方,都有可能成為網絡攻擊的入口,因此需要各方合力做好網絡安全防護。
從企業用戶的角度看,根據國家《網絡安全法》和等保2.0等規定,企業在網絡安全防護和信息安全管理方面須具備相應的能力。
尤其是在金融、遊戲、教育、電商、網貸、通訊、能源、運輸等行業,企業的網絡安全建設必須符合等保2.0的要求。換句話說,企業要做好自己內部的安全防護,才能不讓網絡攻擊有機可乘。
從MSP服務商的角度看,和各行業的企業一樣,MSP服務商首先必須保證自身的安全治理符合等保2.0的規定。
此外,MSP服務商因承諾為企業客戶提供安全可靠的IT託管服務,因而在技術、管理、諮詢等層面,都須具備更高的要求和能力。
在曲駿看來,MSP在提供服務之前,需要從兩個方面來確保企業客戶的網絡安全和數據安全:
第一,MSP的運維人員是否具備基本的安全意識,尤其是基於安全體系的操作認知,必須強化在每一個工程師心中。
第二,MSP的管理平臺是否具備嚴格的安全管理和運維規範。
例如,在不影響企業客戶授權和安全審計體系的前提下,MSP平臺需要通過嚴謹的管理體系和標準作業流程,對擁有客戶權限的MSP工程師,在操作行為上進行管控和規範,杜絕因MSP工程師主動意願或誤操作帶來的安全隱患。
針對企業客戶的授權方式,安暢網絡一般採用“多鑑權的方式”去管理客戶的數字資產,如:通過非明文密碼、多因子認證等方式進行授權,確保授權過程及授權後的數據安全。
在獲得授權後,安暢網絡的CMP平臺對客戶數據也只做導入,對數據進行分析和判斷,整個過程清晰可視化,從根本上保證客戶的數據安全。
此外,由於不同企業客戶在託管方式和交互方式上具有很大的差異,MSP服務商需要面對多樣化的企業客戶需求,如:半托管和全託管,公有云、私有云和混合雲管理,以及密鑰管理、API接口等交互方式。
因此,要保障企業客戶的數據資產和網絡安全,一套完整的方法論和豐富的行業服務經驗也必不可少。
在貝斯平,為了避免由於MSP受到攻擊而影響最終企業客戶行為的發生,其經驗是從技術和管理兩個維度進行有效控制。
以勒索病毒為例,在技術層面,貝斯平在網絡邊界隔離、系統加固、補丁安裝、端口開放、殺毒軟件、漏洞掃描、備份、網絡准入、雙因素認證、訪問控制、最小權限、審計等方面進行有效管理。
在管理層面,對MSP的運維人員從運維SOP、技術培訓、安全意識培訓等方面進行管理。在有效緩解被攻擊的可能性同時,也降低了特殊情況下所影響的客戶面。
一般情況下,在管理層面先有需求後,隨之在技術層面執行落地。因此,在這種管理指導技術實現的方式下,無須過多強調它們之間的界限。
MSP遭受攻擊帶來的損失由誰承擔?
事實上,企業IT永遠不可能達到100%的安全。當企業客戶將自己的數據和業務系統遷移到雲上,將系統的控制權交給MSP,其數據資產和網絡安全的風險就進一步加大了。
同時,在MSP服務模式下,由於MSP平臺的管理和運行主體與數據安全的責任主體不同,相互之間的責任如何界定,缺乏明確的規定。不同的服務模式和部署模式、雲環境的複雜性也增加了劃分MSP和企業客戶之間責任的難度。
一旦MSP遭受攻擊而導致企業客戶利益受損,這個責任該由誰承擔?
對此,貝斯平專家認為,MSP與客戶簽署SLA(服務等級協議)聲明,提供具有質量保證的服務,是MSP義不容辭的責任。
如果在MSP提供服務的過程中出現此類事件,MSP應當承擔一定的責任和賠償。
賠償方式可以多樣化,例如:部分雲廠商是以“無法提供服務的時長*相應係數”作為補償時間來賠償客戶,MSP則採用續簽合同贈送額外服務的方式進行彌補。
在安暢網絡,責任劃分則是通過一整套IT治理框架和細化的SOW來實施。
在合同簽署前,安暢網絡會主動與企業客戶溝通各自的工作邊界和責任,並出具詳細的服務SOW,包括:賠償方案、服務響應時間等顆粒度明確的聲明,以確保雙方的權益以及一旦事故發生後的責任歸屬。
此外,曲駿也認為MSP具備“知識轉移”的義務和責任。
作為連接多個雲服務和企業IT系統的第三方服務商,MSP需要將自身的知識和經驗轉移給企業客戶,幫助企業客戶掌握雲計算、雲安全等新技術形態下的IT建設經驗,雙方共同構建更加安全有效的IT運營。
在IT安全越來越重要的今天,企業對網絡安全和數據安全的重視程度日益提升,因此優質的第三方MSP服務商成為政企客戶的一致選擇。
在中國信通院發佈的國內首個雲MSP標準評估中,貝斯平、安暢網絡、浙江移動、神州數碼、上海天璣是國內首批通過可信雲標準的5家MSP服務商,為各行業選擇安全可靠的MSP服務商提供了權威參考。
對於行業客戶而言,將IT託管給MSP不再意味著當“甩手掌櫃”,如何擦亮雙眼選擇優質的MSP服務商,快速找到雙方共建IT安全的合作模式,將成為未來企業和MSP服務商需要共同探討的話題。
閱讀更多 科技雲報道 的文章
