L’accesso ampio e privilegiato che gli MSP hanno alle reti dei clienti ha attirato l’interesse degli attaccanti nell’ottica di azioni rivolte alla supply chain. Ecco che cosa devono fare per una difesa efficace di sé stessi e dei propri clienti.
Autore: Marco Rottigni
I Managed Service Provider sono diventati fondamentali per le aziende di ogni dimensione, che li utilizzano per monitorare, gestire e proteggere i dati. Per questo motivo sono diventati essi stessi un bersaglio sempre più gettonato dai cyber attacchi, soprattutto nell’ottica delle azioni rivolte contro alle supply chain – come vedremo più avanti. Da qui la necessità per ogni MSP di rafforzare le proprie difese così da garantire anche la sicurezza dei propri clienti da attacchi informatici sempre più avanzati.
Gli MSP sono nati durante l'era delle dot-com, alla fine degli anni Novanta. Ciò che è iniziato come provider di servizi Internet (ISP) che offrivano ai loro clienti dispositivi firewall e i servizi operativi che li accompagnavano, ha poi dato il via al concetto dei servizi di sicurezza gestiti. Con il tempo, gli MSP si sono evoluti fino a diventare fornitori di servizi di sicurezza a 360 gradi che supportano le organizzazioni a livello globale, anche quelle di piccole e medie dimensioni che necessitano di assistenza per ottenere soluzioni accessibili e scalabili e una protezione qualificata.
Gli MSP hanno iniziato a essere sempre più rilevanti perché nella società moderna la cybersecurity è diventata una necessità per le aziende che operano in contesti in continua evoluzione. Tuttavia, è ormai assodato che le soluzioni tradizionali, come gli antivirus e gli anti-malware, non sono più in grado di contrastare le minacce avanzate che non fanno distinzione in base alle caratteristiche degli obiettivi.
Cosa rende gli MSP un obiettivo così interessante per i cyber criminali esperti? I gruppi di Advanced Persistent Threat (APT) hanno messo nel mirino l'accesso alla rete provider-cliente degli MSP. I clienti degli MSP dipendono dai loro fornitori per l'archiviazione dei dati, la gestione delle piattaforme di comunicazione e il supporto dell'infrastruttura IT. Dato l'accesso degli MSP a tutte le reti dei loro clienti, i criminali informatici vedono le aziende MSP come un unico punto di accesso a una varietà di obiettivi, non fermando il loro attacco ai clienti dell'MSP, ma spesso attaccando anche i clienti dei loro clienti.
Ricordiamo infatti che gli attaccanti cercano spesso la soluzione che gli consenta di raggiungere il massimo risultato con poco sforzo. Per questo tentano di sfruttare l’accesso alle reti che hanno gli MSP e cercano di utilizzarli come vettori di accesso iniziale: se la protezione dell’MSP è debole a rimetterci sono tutti i clienti e danno il via all’attacco alla supply chain.
In generale, gli MSP forniscono servizi di monitoraggio e gestione continua della sicurezza ai clienti cui forniscono assistenza. La maggior parte degli MSP offre modelli di servizio basati su abbonamenti che consentono di adattare il supporto alle esigenze specifiche di ciascun cliente. Molte aziende scelgono di lavorare con gli MSP per aumentare le capacità dei propri team IT interni, altre cercano un supporto che garantisca una copertura 24/7/365 e molte si affidano a esperti di cybersecurity per essere aiutate a mantenere e gestire tutti gli aspetti di un ecosistema informatico.
Gli MSP forniscono essenzialmente i seguenti servizi incentrati sulla cybersecurity:
Per fornire questi servizi, gli MSP richiedono ai loro clienti un accesso privilegiato alle reti e una connettività affidabile. Per questo motivo, le minacce sfruttano gli MSP vulnerabili piuttosto che cercare di colpire direttamente i clienti di un MSP. Dopo una violazione andata a segno, gli attaccanti possono anche condurre attività di cyberspionaggio sull'MSP e sui suoi clienti per prepararsi ad attività future come attacchi ransomware con doppia estorsione.
Le aziende si rivolgono agli MSP per assicurarsi che i propri fornitori mettano in atto misure strategiche di salvaguardia dei dati per ridurre i rischi di attacchi alla supply chain. Gli MSP sono obbligati per contratto a garantire che la loro architettura di sicurezza, la governance e le relative funzionalità siano in linea con gli standard del settore e devono assicurarsi di essere in grado di soddisfare le misure e i controlli raccomandati.
Che cosa deve fare un MSP per proteggere sé stesso e fornire le corrette garanzie ai propri clienti.
Per prevenire gli attacchi un MSP deve rinforzare i dispositivi vulnerabili e gli strumenti di accesso remoto come le VPN (reti private virtuali). La scansione delle vulnerabilità è fondamentale per prevenire e proteggere. Anche gli attacchi mirati, come lo spraying di password, gli attacchi brute force e le campagne di phishing, possono essere mitigati quando gli MSP rafforzano i loro servizi di desktop remoto (RDP) rivolti a Internet.
Gli MSP devono avere cura della cyber hygiene per garantire la longevità delle loro operazioni. Ciò significa aggiornare gli strumenti e i software interni e completare tempestivamente le patch soprattutto per le appliance firewall e VPN.
Lo scopo del modello zero trust è quello di ridurre al minimo l'esposizione dei dati più sensibili di una rete ad accessi non necessari, concedendo l’accesso all’utente solo per poter svolgere le proprie mansioni. Inoltre l’approccio zero trust prevede la segmentazione di una rete che isoli ogni sezione dal resto, rendendo l'intera rete sicura contro le minacce che tentano di diffondersi lateralmente tra i sistemi.
L'offboarding IT comporta la rimozione di account, installazioni e strumenti obsoleti e inutili per l'azienda. Gli account con password condivise devono essere eliminati e, in caso di transizione dei dipendenti, anche i loro account utente devono essere revocati. Gli strumenti di scansione delle porte e gli inventari automatici dei sistemi possono aiutare nel processo di offboarding, in quanto le imprese eseguono controlli regolari sulla loro infrastruttura di rete.
Sia gli MSP che i loro clienti devono assicurarsi di avere più copie di backup di tutti i dati e le infrastrutture essenziali, in modo da poter ripristinare il sistema o qualsiasi sua parte in caso di guasto, perdita o compromissione. I backup dovrebbero essere archiviati in remoto, nel cloud o su un server fisico dedicato. I backup devono essere su sistemi separati, crittografati ed esaminati periodicamente per verificare la presenza di accessi anomali e l'integrità dei dati.
Tuttavia, la continua evoluzione dei ransomware permette ai cybercriminali di esfiltrare e crittografare i dati protetti con la minaccia di renderli pubblici. Sebbene i backup non siano più sufficienti a sventare gli attacchi ransomware, assicurarsi di averne più copie significa poter accedere ancora ai propri dati eseguire processi di comunicazione di emergenza e attuare il loro piano di risposta agli incidenti, compresa la ripresa dei servizi interessati.
Sebbene il settore dell'IoT abbia registrato un boom nell'ultimo decennio, l'integrazione dei dispositivi intelligenti nel luogo di lavoro rappresenta un altro fattore di rischio. Password predefinite note, firmware obsoleti o vulnerabili e porte pubbliche rivolte a Internet sono solo alcune delle problematiche possibili. Inoltre, i dispositivi IoT sono spesso lasciati senza protezione perché le loro risorse hardware limitate non sono adatte all'esecuzione di soluzioni di sicurezza endpoint. Gli MSP e i loro clienti devono assicurarsi di implementare il rilevamento delle risorse di rete per ottenere visibilità sui dispositivi IoT connessi e bloccare quelli non autorizzati.
Disporre di un piano chiaro e attuabile nel caso di un evento di sicurezza può determinare l'efficacia con cui un'azienda risponde e si riprende da un attacco informatico. I piani di risposta agli incidenti (IR) sono fondamentali per costruire la resilienza informatica e possono aiutare le aziende a identificare le persone, i processi e le tecnologie che devono essere rafforzate. I piani devono essere praticati su base programmata e aggiornati spesso per garantire che siano al passo con i requisiti aziendali attuali e con le nuove tendenze degli attacchi informatici.
Gli attaccanti continuano a evolversi e ad aggiornare i loro metodi di attacco mentre gli MSP devono stabilire una strategia di risposta efficace. In caso di attacchi un tempo di risposta rapido può fare la differenza tra una violazione e la continuità aziendale. Gli MSP spesso integrano il loro team interno con una solida soluzione di rilevamento e risposta per garantire tempi di reazione il più possibile efficienti per proteggere i clienti.
Gli MSP cercano di offrire una protezione accessibile e scalabile per i propri clienti, rispondendo a contesti di minacce sempre più in espansione. In particolare, gli MSP che basano i loro servizi di sicurezza su soluzioni efficaci legati a una piattaforma XDR sono in grado di prevenire, rilevare e rispondere alle minacce persistenti avanzate sull'intera superficie di attacco.
Marco Rottigni, Technical Director di SentinelOne