Marco Rottigni, Technical Director di SentinelOne: per difendersi dal problema dei costanti cyberattacchi in azienda, gli MSP ora possono utilizzare 8 metodi.
I Managed Service Provider sono diventati fondamentali per le aziende di ogni dimensione, che li utilizzano per monitorare, gestire e salvaguardare i dati. Lo scorso maggio, il gruppo di intelligence Five Eyes ha pubblicato un advisory in materia di sicurezza informatica che metteva in guardia gli MSP rispetto ai crescenti attacchi alla supply chain.
Per difendersi dai cyberattacchi
Le organizzazioni MSP costituiscono una parte significativa del settore della difesa informatica collettiva. In questo articolo, si analizzano le azioni chiave che ogni MSP dovrebbe implementare per rafforzare le proprie difese. Oltre a garantire anche la sicurezza dei propri clienti da attacchi informatici sempre più avanzati.
Gli MSP sono il trampolino di lancio per le minacce informatiche malevoli
Gli MSP sono nati durante l’era delle dot-com, alla fine degli anni Novanta. Ciò che è iniziato come provider di servizi Internet (ISP) che offrivano ai loro clienti dispositivi firewall e i servizi operativi che li accompagnavano, ha poi dato il via al concetto dei servizi di sicurezza gestiti. Con il tempo, gli MSP si sono evoluti fino a diventare fornitori di servizi di sicurezza a 360° che supportano le organizzazioni a livello globale. Anche quelle di piccole e medie dimensioni che necessitano di assistenza per ottenere soluzioni accessibili e scalabili e una protezione qualificata.
Il ruolo del Managed Service Provider per difendersi dai cyberattacchi
Gli MSP hanno iniziato a essere sempre più rilevanti perchè nella società moderna la cybersecurity è diventata una necessità per le aziende che operano in contesti in continua evoluzione. Tuttavia, le soluzioni tradizionali, come gli antivirus e gli anti-malware, non sono più in grado di contrastare le minacce avanzate. Esse non fanno distinzione in base alle caratteristiche degli obiettivi.
Nel mirino degli hacker
Cosa rende gli MSP un obiettivo così interessante per gli hacker esperti? I gruppi di Advanced Persistent Threat (APT) hanno messo nel mirino l’accesso alla rete provider-cliente degli MSP. I clienti degli MSP dipendono dai loro fornitori per l’archiviazione dei dati, la gestione delle piattaforme di comunicazione e il supporto dell’infrastruttura IT. Dato l’accesso degli MSP a tutte le reti dei loro clienti, i criminali informatici vedono le aziende MSP come un unico punto di accesso a una varietà di obiettivi. Non fermando il loro attacco ai clienti dell’MSP, ma spesso attaccando anche i clienti dei loro clienti.
I rischi intrinseci dei pilastri dei servizi MSP
In generale, gli MSP forniscono servizi di monitoraggio e gestione continua della sicurezza ai clienti cui forniscono assistenza. La maggior parte degli MSP offre modelli di servizio basati su abbonamenti che consentono di adattare il supporto alle esigenze specifiche di ciascun cliente. Molte aziende scelgono di lavorare con gli MSP per aumentare le capacità dei propri team IT interni. Altre cercano un supporto che garantisca una copertura 24/7/365. Molte si affidano a esperti di cybersecurity per essere aiutate a mantenere e gestire tutti gli aspetti di un ecosistema informatico.
8 metodi per difendersi dai cyberattacchi
Gli MSP forniscono essenzialmente i seguenti servizi incentrati sulla cybersecurity:
- Rilevamento e risposta continui alle intrusioni
- Gestione delle identità e degli accessi privilegiati
- Gestione e monitoraggio dei firewall
- Gestione delle patch e delle vulnerabilità
- Gestione delle reti private virtuali (VPN)
- Valutazione del rischio e gestione della conformità
- Competenze e formazione in materia di cybersecurity
Per fornire questi servizi, gli MSP richiedono ai loro clienti un accesso privilegiato alle reti e una connettività affidabile. Perciò, le minacce sfruttano gli MSP vulnerabili piuttosto che cercare di colpire direttamente i clienti di un MSP. Dopo una violazione andata a segno, gli hacker possono anche condurre attività di cyberspionaggio sull’MSP e sui suoi clienti. Così da prepararsi ad attività future come attacchi ransomware e doppie estorsioni.
In cosa consiste un attacco alla supply chain
Gli hacker cercano spesso la soluzione che gli consenta di raggiungere il massimo risultato con poco sforzo. Tentano di sfruttare l’accesso alle reti che hanno gli MSP e cercano di utilizzarli come vettori di accesso iniziale. Se la protezione dell’MSP è debole a rimetterci sono tutti i clienti e danno il via all’attacco alla supply chain. Questa tipologia di attacco negli anni è diventata la più diffusa. Anche la Casa Bianca è dovuta intervenire a riguardo pubblicando una guida sul rafforzamento delle protezioni di sicurezza informatica
I principali metodi di difesa utilizzati dalle aziende MSP
Le aziende si rivolgono agli MSP per assicurarsi che i loro fornitori mettano in atto misure strategiche di salvaguardia dei dati per ridurre i rischi di attacchi alla supply chain. Gli MSP sono obbligati per contratto a garantire che la loro architettura di sicurezza, la governance e le relative funzionalità siano in linea con gli standard del settore. Inoltre devono assicurarsi di essere in grado di soddisfare le misure e i controlli raccomandati.
1 Prevenire la minaccia iniziale e gli attacchi mirati
Per prevenire gli attacchi un MSP deve rinforzare i dispositivi vulnerabili e gli strumenti di accesso remoto come le VPN (reti private virtuali). La scansione delle vulnerabilità è fondamentale per prevenire e proteggere. Anche gli attacchi mirati, come lo spraying di password, gli attacchi brute force e le campagne di phishing, possono essere mitigati quando gli MSP rafforzano i loro servizi di desktop remoto (RDP) rivolti a Internet.
2 Promuovere una cyber hygiene a 360°
Gli MSP devono avere cura della cyber hygiene per garantire la longevità delle loro operazioni. Ciò significa aggiornare gli strumenti e i software interni e completare tempestivamente le patch soprattutto per le appliance firewall e VPN.
3 Implementare un modello zero-trust
Lo scopo del modello zero trust è quello di ridurre al minimo l’esposizione dei dati più sensibili di una rete ad accessi non necessari. Concedendo l’accesso all’utente solo per poter svolgere le proprie mansioni. Inoltre l’approccio zero trust prevede la segmentazione di una rete che isoli ogni sezione dal resto. Rendendo l’intera rete sicura contro le minacce che tentano di diffondersi lateralmente tra i sistemi.
4 Applicare procedure corrette per l’offboarding
L’offboarding IT comporta la rimozione di account, installazioni e strumenti obsoleti e inutili per l’azienda. Gli account con password condivise devono essere eliminati. In caso di transizione dei dipendenti, anche i loro account utente devono essere revocati. Gli strumenti di scansione delle porte e gli inventari automatici dei sistemi possono aiutare nel processo di offboarding. In quanto le imprese eseguono controlli regolari sulla loro infrastruttura di rete.
5 Gestire periodicamente i backup
Sia gli MSP che i loro clienti devono assicurarsi di avere più copie di backup di tutti i dati e le infrastrutture essenziali. In modo da poter ripristinare il sistema o qualsiasi sua parte in caso di guasto, perdita o compromissione. I backup dovrebbero essere archiviati in remoto, nel cloud o su un server fisico dedicato. I backup devono essere su sistemi separati, crittografati e esaminati periodicamente per verificare la presenza di accessi anomali e l’integrità dei dati.
MSP: come difendersi dai cyberattacchi
Tuttavia, la continua evoluzione dei ransomware permette ai cybercriminali di esfiltrare e crittografare i dati protetti con la minaccia di renderli pubblici. Sebbene i backup non siano più sufficienti a sventare gli attacchi ransomware, assicurarsi di averne più copie significa poter accedere ancora ai propri dati. Inoltre seguire processi di comunicazione di emergenza e attuare il loro piano di risposta agli incidenti, compresa la ripresa dei servizi interessati.
6 Migliorare la sicurezza dell’Internet of things (IoT)
Sebbene il settore dell’IoT abbia registrato un boom nell’ultimo decennio, l’integrazione dei dispositivi intelligenti nel luogo di lavoro rappresenta un altro fattore di rischio. Password predefinite note, firmware obsoleti o vulnerabili e porte pubbliche rivolte a Internet sono solo alcune delle problematiche possibili. Inoltre, i dispositivi IoT sono spesso lasciati senza protezione. Perché le loro risorse hardware limitate non sono adatte all’esecuzione di soluzioni di sicurezza endpoint. Gli MSP e i loro clienti devono assicurarsi di implementare il rilevamento delle risorse di rete per ottenere visibilità sui dispositivi IoT connessi e bloccare quelli non autorizzati.
7 Pianificare gli incident response e recovery
Disporre di un piano chiaro e attuabile nel caso di un evento di sicurezza può determinare l’efficacia con cui un’azienda risponde e si riprende da un attacco informatico. I piani di risposta agli incidenti (IR) sono fondamentali per costruire la resilienza informatica. Inoltre possono aiutare le aziende a identificare le persone, i processi e le tecnologie che devono essere rafforzate. I piani devono essere praticati su base programmata e aggiornati spesso per garantire che siano al passo con i requisiti aziendali attuali e con le nuove tendenze degli attacchi informatici.
8 Stabilire un sistema di rilevamento e risposta autonomo 24/7
Gli hacker continuano a evolversi e ad aggiornare i loro metodi di attacco. Mentre gli MSP per difendersi dai cyberattacchi devono stabilire una strategia di risposta efficace. In caso di attacchi un tempo di risposta rapido può fare la differenza tra una violazione e la continuità aziendale. Gli MSP spesso integrano il loro team interno con una solida soluzione di rilevamento e risposta per garantire tempi di reazione il più possibile efficienti per proteggere i clienti.
Conclusioni
Gli MSP cercano di offrire una protezione accessibile e scalabile per i propri clienti, rispondendo a contesti di minacce sempre più in espansione. In particolare, gli MSP che basano i loro servizi di sicurezza su soluzioni efficaci legati a una piattaforma XDR, come Singularity di SentinelOne, sono in grado di prevenire, rilevare e rispondere alle minacce persistenti avanzate sull’intera superficie di attacco.