Väärinkäyttäjät kohdistuvat hallittuihin palveluntarjoajiin (MSPS) murtautuakseen asiakkaiden verkkoihin ja ottamaan käyttöön lunnausohjelmia, varastamaan tietoja ja vakoilemaan niitä, viiden silmän kansakuntien kyberturvallisuusviranomaiset ovat muodollisesti varoittaneet yhteisessä turvallisuushälytyksessä.
"Yhdistynyt kuningaskunta, Australian, Kanadan, Uuden-Seelannin ja Yhdysvaltain kyberturvallisuusviranomaiset odottavat haitallisia kybertoimijoita-mukaan lukien valtion tukemia edistyneitä jatkuvia uhkia (APT)-lisäävänsä MSP: n kohdentamistaan pyrkiessään hyödyntämään tarjoaja-asiakasverkkojen luottamussuhteita., "hälytys varoitti.
Tämäntyyppiset toimitusketjut tai "saaren hyppäävät" hyökkäykset voivat osoittautua erittäin tuottoisiksi tietoverkkorikollisille, koska kun ne ovat murtuneet MSP: hen, he pääsevät kaikkiin asiakkaiden verkkoihin ja hallinnoimaan tietoja ja sitoutuvat puolestaan tietokonerikoksiin ja petoksiinnäiden asiakkaiden asiakkaita vastaan.
Esimerkki: Solarwinds-hyökkäys vuonna 2020, kun Kremlin tukemat väärinkäyttäjät liukastuivat haittaohjelmiin Solarwinds 'Orion -ohjelmistoon, joka sitten työnnettiin noin 18 000 aurinkokiertoon asiakkaille.Tämä antoi rikollisille mahdollisuuden tunkeutua lähes 100 Yhdysvaltain hallituksen ja yksityisen sektorin verkkoon.
Se, että MSP: t ovat heikko kohta IT -toimitusketjussa, ei ole maapallon särkyvää suurelle joukolle teistä teollisuudessa, vaikkakin on tervetullutta nähdä, että hallitukset eivät vain tunnista uhkaa, vaan yrittävät myös korostaa sitä.
"Nykypäivän yhteinen neuvonta on karkea varoitus jatkuvasta ja nykyisestä vaarasta, jonka jatkuvat hyökkäyskampanjat aiheuttavat MSP: tä vastaan. Rogue nation states love this method of cyber-colonization," Tom Kellermann, head of cybersecurity strategy at VMware, told The Register.Virtualisointi Biz on havainnut 58 prosentin nousun saaren hyppäämisessä viimeisen vuoden aikana, Kellermann lisäsi.
"Olen huolestunut siitä, että kun geopoliittinen jännitys metastoidaan kyberavaruudessa, nämä hyökkäykset kärjistyvät ja Venäjän kybervapuja käyttää tätä Stratagemia tuhoamaan tuhoavia haittaohjelmia koko MSP: n asiakaspohjoissa", hän sanoi."Yritysten on keskityttävä nollaluokan toteuttamiseen ja aktiivisen uhkien metsästyksen lisäämiseen, etenkin verkoissa ja päätepisteissä."
Viiden silmän hälytys antaa myös ohjeita keskusteluista, joiden pitäisi tapahtua MSP: n ja heidän asiakkaidensa välillä arkaluontoisten tietojen turvaamisesta.
"Näiden keskustelujen tulisi johtaa turvallisuusprosessien uudelleenarviointiin ja sopimussitoumuksiin asiakkaiden riskien suvaitsevaisuuden huomioon ottamiseksi", neuvonta mainittu.Lisäksi asiakkaiden tulee tarkistaa, että heidän sopimuksissaan täsmennetään, että MSP: t toteuttavat tietyt tietoturvavalvontaa virastojen mukaan, joihin kuuluvat CISA, FBI ja National Security Alliance.
Ensimmäinen askel, tavallista, on perustason turvallisuus- ja operatiivisten ohjausten toteuttaminen.Tähän sisältyy järjestelmien ja datan varmuuskopiointi, kriittisten järjestelmien eristäminen, pienimmän asteen periaatteiden soveltaminen verkon ja laitteen pääsyn kautta sekä monitektorien todennuksen käyttöönotto (MFA) päälle (MFA).
Hälytys huomautti kuitenkin, että Venäjän valtion tukemat rikolliset voivat hyödyntää oletusarvoisia MFA-protokollia, kuten ne osoittivat viimeaikaisissa hyökkäyksissä, joissa myös hyödynnettiinPrintnightMare-haavoittuvuutta,."Organisaatioiden tulisi tarkistaa kokoonpanopolitiikat suojaamaan" epäonnistumista avoimilta "ja uudelleensuunnitelmilta", hälytys varoitti.
Kuinka estää alkuperäinen kompromissi
Koska etäkäyttö VPN: t, Internet-kohdennuspalvelut, tietojenkalasteluviestit ja salasanasuihkutus ovat yleensä mukana alkuperäisessä kompromississa, virastot viittaavat myös ohjeisiin kovettumisen ja suojaamisen tekniikoiden sulkemiseksi hyökkäysten yhteisten lähtökohtien tarkistamiseksi.
MSPS: n tulisi kirjata toimitusinfrastruktuuritoimintansa palvelujen tarjoamiseen asiakkailleen sekä sisäiseen ja asiakasverkkoon, hälytyksen mukaan."Se voi kestää kuukausia ennen tapausten havaitsemista, joten Yhdistyneen kuningaskunnan, Australian, Kanadan, Uuden -Seelannin ja Yhdysvaltain kyberturvallisuusviranomaiset suosittelevat kaikkia organisaatioita tallentamaan tärkeimmät lokit vähintään kuuden kuukauden ajan", se sanoi.
Asiakkaiden ja MSP: n tulisi tarkistaa ajoittain hyökkäyspinta ja poistaa käytöstä tilit ja infrastruktuuri, joita ei enää ole käytössä, kuten käyttötilien jälkeen, kun työntekijä poistuu yrityksestä.
Ja päivitä ohjelmistot ja käytä korjauksia."Predit turvallisuuspäivitysten soveltaminen ohjelmistoihin, jotka sisältävät tunnettuja hyödynnettyjä haavoittuvuuksia", ehdotettu hälytys.®
Get our Tech Resources
