Di Dor Sarig, Product Manager, Perimeter 81
Alla luce della pandemia di COVID-19 e della trasformazione digitale che ha determinato sul posto di lavoro, i fornitori di servizi gestiti IT (MSP) devono affrontare molte sfide. Spesso hanno la responsabilità di garantire che i propri clienti possano continuare a operare in condizioni di business incerte e in continua evoluzione.
In aumento gli attacchi agli MSP
I criminali informatici vedono la pandemia come un’opportunità e gli MSP come un obiettivo ottimale poiché spesso non dispongono di risorse sufficienti per proteggersi da sofisticati attacchi informatici. Un recente avviso della Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti ha indicato un aumento di attività dannose nei confronti degli MSP nell’ultimo anno. Ciò è supportato da un rapporto di terze parti che afferma che quasi tutti gli MSP hanno subito un attacco informatico riuscito negli ultimi 18 mesi: oltre il 90% degli intervistati ha notato un aumento degli attacchi dall’inizio della pandemia.
È facile capire perché gli MSP dovrebbero essere presi di mira. Il loro ruolo prevede la gestione dei sistemi IT client come server, desktop, laptop e software. Con l’accesso agli agenti installati localmente, possono controllare le operazioni IT dei loro clienti senza dover mettere piede in loco. Gli MSP ospitano anche gli identificatori univoci dei loro clienti, come nomi utente e password, che possono essere utilizzati per accedere a reti e sistemi interni.
In poche parole, gli MSP sono un comodo punto di ingresso nella catena di approvvigionamento per accedere a dati e sistemi sensibili. Invece di infettare un’organizzazione con il ransomware, perché non prendere di mira il proprio fornitore di servizi e ottenere l’accesso a centinaia o migliaia di altre organizzazioni?
Gli aggressori che ottengono l’accesso al software di monitoraggio e gestione remoti (RMM) di un MSP possono quindi eseguire una serie di attacchi come compromissioni di e-mail aziendali o ransomware. Un buon esempio di ciò è stato l’attacco Kaseya, in cui le vittime sono state infettate tramite l’aggiornamento automatico del software.
Come possono proteggersi gli MSP?
Separare le reti interne
È importante che gli MSP comprendano il loro ambiente e segmentano le loro reti. Un buon inizio è applicare appropriati controlli di sicurezza della rete ai sistemi aziendali critici: identificare, raggruppare e isolare questi sistemi per ridurre l’impatto di una compromissione.
Tutte le connessioni tra i sistemi interni, i sistemi dei clienti e altre reti devono essere riviste e verificate dagli MSP. Separare i set di dati dei clienti gli uni dagli altri (e dai servizi, ove applicabile) nonché dalle reti interne dell’MSP per limitare l’impatto di un singolo vettore di attacco. Inoltre, le credenziali di amministratore non devono essere riutilizzate tra più clienti.
Usa il principio del privilegio minimo
Il principio del privilegio minimo dovrebbe essere applicato in tutto l’ambiente di rete di un MSP e i privilegi dovrebbero essere aggiornati immediatamente quando i ruoli amministrativi vengono modificati. Assicurati che gli account amministrativi non dispongano di accessi o privilegi non necessari utilizzando un modello di livelli.
Sfrutta i privilegi basati sul tempo e sulla posizione per limitare ulteriormente l’uso degli account con privilegi completi in un’azienda quando necessario. Infine, riduci l’accesso a dispositivi, servizi e utenti ad alto rischio. Questo principio dovrebbe essere applicato dagli MSP sia agli ambienti interni che a quelli dei clienti.
Applicare l’autenticazione a più fattori (MFA)
Per rafforzare l’infrastruttura che consente l’accesso a reti e sistemi, le organizzazioni dovrebbero proteggere le applicazioni di accesso remoto e applicare l’autenticazione a più fattori ove possibile. Si consiglia ai clienti di adottare la MFA in tutti i servizi e prodotti forniti dagli MSP. Inoltre, gli MSP dovrebbero implementare l’autenticazione a più fattori su tutti gli account che hanno accesso agli ambienti dei clienti e trattare tali account come privilegiati.
Migliora i processi di monitoraggio e registrazione
Implementare e mantenere un regime di registrazione separato per rilevare le minacce alla rete, tramite una soluzione SIEM o strumenti di registrazione discreti. Le attività coinvolte nella fornitura di servizi ai clienti dovrebbero essere registrate dagli MSP. A seconda dell’accordo contrattuale, gli MSP dovrebbero registrare l’attività della rete interna e del cliente.
Inoltre, le organizzazioni client MSP dovrebbero implementare funzionalità di rilevamento degli endpoint e monitoraggio della difesa della rete insieme a elenchi di applicazioni consentite/negate, sia attraverso accordi contrattuali con un MSP che in modo indipendente.
Implementa una soluzione di sicurezza Zero-Trust
Adottando una soluzione di sicurezza Zero Trust, gli MSP sono in grado di proteggere meglio dati, sistemi e servizi sensibili su reti aziendali sempre più disperse e complesse.
Il modello di sicurezza Zero Trust rimuove la fiducia implicita in qualsiasi elemento, nodo o servizio riconoscendo le minacce all’interno e all’esterno dei confini della rete tradizionale, richiedendo il monitoraggio continuo in tempo reale delle informazioni da più fonti per determinare l’accesso e altre risposte del sistema.
Partendo dal presupposto che una violazione sia inevitabile, Zero Trust limita costantemente l’accesso solo a ciò che è necessario e monitora comportamenti anomali o dannosi.
Per proteggere risorse e dati critici in tempo reale all’interno di un ambiente dinamico di minacce, una buona soluzione Zero Trust dovrebbe includere un monitoraggio completo della sicurezza, controlli granulari degli accessi basati sul rischio e l’automazione della sicurezza del sistema. Inoltre, dovrebbe fornire un unico punto di controllo e visibilità sulla rete in modo che il personale IT e di sicurezza possa vedere cosa sta succedendo ovunque si trovino gli utenti, a casa, al lavoro o in viaggio.
Con questo modello di sicurezza incentrato sull’utente, il principio dell’accesso con privilegi minimi può essere applicato alle decisioni di accesso consentendo o negando l’accesso alle risorse in base a diversi fattori contestuali.
Gli ambienti di rete stanno diventando sempre più complessi e gli avversari sono in grado di comprometterli più facilmente che mai. Pertanto, il focus difensivo deve cambiare. Utilizzando tecnologie come ZTNA, le reti critiche e i percorsi di accesso sono protetti eliminando il più possibile la fiducia implicita e verificando regolarmente ogni richiesta di accesso.
Una strategia Zero Trust correttamente implementata consente miglioramenti significativi nel rilevamento, prevenzione e contenimento delle intrusioni rispetto ad approcci e architetture di cybersecurity legacy meno integrati.
