IT安全交给MSP,企业能当“甩手掌柜”吗?

2022-04-15 17:37:50 浏览数 (2)

在MSP(Managed Service Provider)越来越流行的当下,企业已经开始习惯把自己的IT系统托管给专业MSP,不再亲自操刀日常的IT运营和管理。当网络攻击变得日益频繁,企业IT安全是否可以100%依赖MSP?

疫情发生以来,全球出现了很多以“新冠病毒”等网络热词为诱饵的网络攻击。无论是政府、医疗机构还是大中型企业,都成为黑客组织定向瞄准的对象。

在大量机构纷纷中招之际,那些将自身IT系统托管给MSP的企事业单位,似乎显得更为放心。

作为企业数字化转型的重要合作伙伴,MSP可以说是企业“上云”和“管云”的最佳选择之一。

如今的MSP一般以整套服务方式对企业数据中心的整体IT资源进行统一管理,包括对操作系统、中间件、应用程序等提供运营服务,而相应的技术支持和服务则包括安全、监控、配置、更新、部署实施等。

当网络攻击来袭时,对托管在其平台上的企业提供安全预警和响应服务,自然也成为MSP的“分内事”。但是很少人注意到,以往针对企业的网络攻击,正在悄然转向MSP。

安全公司Armor曾发布报告,2019年有13家MSP和云服务提供商遭受了勒索软件攻击,造成了其客户网络遭受勒索软件感染。

令业界倍感震惊的是,美国知名MSP服务商Synoptek也遭到了勒索软件的攻击,导致托管在其云管平台上的1100个企业客户业务无法正常运营。

针对MSP的攻击迅速崛起,为整个MSP领域敲响了警钟。人们不禁好奇,为什么网络攻击对象会从最终用户转向MSP,以及黑客会采用哪些攻击手段?

更值得关注的是,如果MSP遭到了网络攻击,将“身家性命”都托管给MSP的企业和机构,还该不该信任MSP?双方应该如何合作,才能确保企业的网络和数据安全呢?

针对MSP的网络攻击成为趋势

在安畅网络MSP布道师兼架构师主管曲骏看来,将MSP作为网络攻击对象正在成为一种趋势。

作为IT服务管理提供商,MSP承接着大量企业客户的基础架构监控和运维工作,大部分企业用户还会把大量的关键系统管理权限委托给MSP。

在这个过程中,无论是MSP的数据管控风险,还是企业的权限治理风险都会逐渐升高。

如果黑客成功攻入MSP系统,可以一次性拿到多个企业的核心数据,因此攻击MSP比攻击最终用户的成本更低,这使得MSP成为攻击最终目标用户的一条新路径。

除此之外,多云及混合云管理服务提供商Bespin Global(贝斯平)的专家也表示,由于MSP在受到攻击时无法提供正常服务,承受的压力更大,因此也更容易为快速恢复服务而向攻击者妥协。

从贝斯平的服务经验看,针对MSP最常见的攻击手段一般分为两类:

第一类,以勒索钱财为目的的勒索病毒攻击;第二类,获取服务客户敏感信息的钓鱼或APT攻击。

与直接针对最终用户的攻击相比,针对MSP的攻击手段似乎并无太大区别。但实际上,对MSP服务进行安全防护更为复杂。

由于不同企业客户的环境中存在管理差异,而这些环境对于MSP来说完全属于黑盒,因此在MSP服务过程中可能会存在一些安全短板,例如:数据库的弱口令、redis的空口令、以及企业客户对自身员工的管理疏漏导致的病毒入侵,都可能对MSP的服务质量造成影响。

在国内,MSP产业才刚刚兴起,很多MSP服务商在安全治理的发展上还不够成熟,这也成为MSP易受攻击的原因之一。

曲骏认为,国内大部分的MSP服务商,都会强调自己拥有云管理平台、专业的工程师、半自动化或全自动化的工具,去帮助客户解决各种各样的问题,但是往往会忽略一个关键点:数据资产和网络安全风险。

一旦2020年出现更多针对MSP攻击的案例,无论是MSP服务商还是企业客户,都会把安全作为一个头等大事来对待,其防御等级和安全意识会随之提升。

MSP服务模式下

如何确保企业IT安全?

当网络攻击的重点转向了MSP,这是否意味着企业将IT系统全权托管给MSP的方式不再安全?

事实上,这个问题并不能一概而论。在MSP服务过程中,往往涉及多方参与,包括最终用户、MSP服务商和众多的第三方合作伙伴。无论是哪一方,都有可能成为网络攻击的入口,因此需要各方合力做好网络安全防护。

从企业用户的角度看,根据国家《网络安全法》和等保2.0等规定,企业在网络安全防护和信息安全管理方面须具备相应的能力。

尤其是在金融、游戏、教育、电商、网贷、通讯、能源、运输等行业,企业的网络安全建设必须符合等保2.0的要求。换句话说,企业要做好自己内部的安全防护,才能不让网络攻击有机可乘。

从MSP服务商的角度看,和各行业的企业一样,MSP服务商首先必须保证自身的安全治理符合等保2.0的规定。

此外,MSP服务商因承诺为企业客户提供安全可靠的IT托管服务,因而在技术、管理、咨询等层面,都须具备更高的要求和能力。

在曲骏看来,MSP在提供服务之前,需要从两个方面来确保企业客户的网络安全和数据安全:

第一,MSP的运维人员是否具备基本的安全意识,尤其是基于安全体系的操作认知,必须强化在每一个工程师心中。

第二,MSP的管理平台是否具备严格的安全管理和运维规范。

例如,在不影响企业客户授权和安全审计体系的前提下,MSP平台需要通过严谨的管理体系和标准作业流程,对拥有客户权限的MSP工程师,在操作行为上进行管控和规范,杜绝因MSP工程师主动意愿或误操作带来的安全隐患。

针对企业客户的授权方式,安畅网络一般采用“多鉴权的方式”去管理客户的数字资产,如:通过非明文密码、多因子认证等方式进行授权,确保授权过程及授权后的数据安全。

在获得授权后,安畅网络的CMP平台对客户数据也只做导入,对数据进行分析和判断,整个过程清晰可视化,从根本上保证客户的数据安全。

此外,由于不同企业客户在托管方式和交互方式上具有很大的差异,MSP服务商需要面对多样化的企业客户需求,如:半托管和全托管,公有云、私有云和混合云管理,以及密钥管理、API接口等交互方式。

因此,要保障企业客户的数据资产和网络安全,一套完整的方法论和丰富的行业服务经验也必不可少。

在贝斯平,为了避免由于MSP受到攻击而影响最终企业客户行为的发生,其经验是从技术和管理两个维度进行有效控制。

以勒索病毒为例,在技术层面,贝斯平在网络边界隔离、系统加固、补丁安装、端口开放、杀毒软件、漏洞扫描、备份、网络准入、双因素认证、访问控制、最小权限、审计等方面进行有效管理。

在管理层面,对MSP的运维人员从运维SOP、技术培训、安全意识培训等方面进行管理。在有效缓解被攻击的可能性同时,也降低了特殊情况下所影响的客户面。

一般情况下,在管理层面先有需求后,随之在技术层面执行落地。因此,在这种管理指导技术实现的方式下,无须过多强调它们之间的界限。

MSP遭受攻击带来的损失

由谁承担?

事实上,企业IT永远不可能达到100%的安全。当企业客户将自己的数据和业务系统迁移到云上,将系统的控制权交给MSP,其数据资产和网络安全的风险就进一步加大了。

同时,在MSP服务模式下,由于MSP平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定。不同的服务模式和部署模式、云环境的复杂性也增加了划分MSP和企业客户之间责任的难度。

一旦MSP遭受攻击而导致企业客户利益受损,这个责任该由谁承担?

对此,贝斯平专家认为,MSP与客户签署SLA(服务等级协议)声明,提供具有质量保证的服务,是MSP义不容辞的责任。

如果在MSP提供服务的过程中出现此类事件,MSP应当承担一定的责任和赔偿。

赔偿方式可以多样化,例如:部分云厂商是以“无法提供服务的时长*相应系数”作为补偿时间来赔偿客户,MSP则采用续签合同赠送额外服务的方式进行弥补。

在安畅网络,责任划分则是通过一整套IT治理框架和细化的SOW来实施。

在合同签署前,安畅网络会主动与企业客户沟通各自的工作边界和责任,并出具详细的服务SOW,包括:赔偿方案、服务响应时间等颗粒度明确的声明,以确保双方的权益以及一旦事故发生后的责任归属。

此外,曲骏也认为MSP具备“知识转移”的义务和责任。

作为连接多个云服务和企业IT系统的第三方服务商,MSP需要将自身的知识和经验转移给企业客户,帮助企业客户掌握云计算、云安全等新技术形态下的IT建设经验,双方共同构建更加安全有效的IT运营。

在IT安全越来越重要的今天,企业对网络安全和数据安全的重视程度日益提升,因此优质的第三方MSP服务商成为政企客户的一致选择。

在中国信通院发布的国内首个云MSP标准评估中,贝斯平、安畅网络、浙江移动、神州数码、上海天玑是国内首批通过可信云标准的5家MSP服务商,为各行业选择安全可靠的MSP服务商提供了权威参考。

对于行业客户而言,将IT托管给MSP不再意味着当“甩手掌柜”,如何擦亮双眼选择优质的MSP服务商,快速找到双方共建IT安全的合作模式,将成为未来企业和MSP服务商需要共同探讨的话题。

0 人点赞