Peter Geytenbeek, director senior de canales EMEA en Thycotic, comparte una advertencia sobre la necesidad de que los proveedores de servicios gestionados se tomen en serio su propia seguridad
Los ciberdelincuentes buscarán cualquier vulnerabilidad para infiltrarse en una red informática corporativa. Si no pueden atacar a una organización directamente, intentarán entrar por la puerta trasera a través de la cadena de suministro. Entre los posibles objetivos de los socios, el más valioso para cualquier atacante es el proveedor de servicios administrados (MSP).
Los MSP tienen las llaves de los reinos de sus clientes, particularmente con credenciales. Si un atacante se apodera de las bases de datos de credenciales del cliente, puede obtener acceso instantáneo de una sola vez a los sistemas de miles de empresas. No hace falta decir que un MSP sufre un gran daño a la reputación cuando esto sucede, de los que es posible que nunca se recupere por completo.
MSP en la mira
Un método de ataque superior es el ransomware. Los ciberdelincuentes utilizan con frecuencia esta técnica para bloquear sistemas y exfiltrar datos. En el caso de un MSP, comienza con un ataque a la red y, si tiene éxito, puede extenderse a los sistemas cliente.Los MSP son un objetivo premiado porque son una puerta de entrada a muchas, a veces cientos, de redes comerciales. Los actores de amenazas también saben que la pandemia los ha puesto bajo presión para continuar brindando servicios las 24 horas del día, los 7 días de la semana, a pesar de que muchos empleados ahora tienen que trabajar desde casa.
Su esperanza es que los MSP simplemente no tuvieran tiempo para verificar las precauciones de seguridad tan a fondo como desearían en las prisas para evitar interrupciones en los servicios. A fines de mayo de 2020, el gigante de servicios de TI Conduent sufrió un ataque de ransomware contra sus operaciones europeas. Si bien el MSP afirmó que la interrupción fue mínima, habiendo restaurado la mayoría de los sistemas en ocho horas, esto destaca una tendencia creciente de actores de amenazas que atacan a los MSP con ransomware.
Además, aunque los servicios volvieron a estar en funcionamiento, también parece que los atacantes, que se cree que son el grupo de ransomware Maze, también lograron exfiltrar datos, publicando auditorías de clientes robados en su página web oscura. El grupo Maze también fue responsable de un ataque de ransomware contra Cognizant en abril, y el MSP estimó que ha perdido hasta $ 70 millones en varios costos para aclarar el incidente. Si bien el ataque no afectó a ningún cliente, se informó que muchos suspendieron sus servicios de Cognizant como resultado.
Los actores de amenazas saben que infiltrarse en un MSP y luego encriptar todos los datos de sus clientes puede ser muy rentable. Para mantenerse en el negocio, los MSP tendrían que resolver rápidamente un ataque de ransomware de amplio alcance o arriesgarse a perder a todos sus clientes.
A pesar de toda su experiencia en TI, los MSP son tan vulnerables a los ataques como cualquier otra empresa. Los actores de amenazas buscarán áreas de debilidad para explotar: pueden tropezar con software sin parches o sistemas que se dejan abiertos en Internet a través del protocolo de escritorio remoto (RDP) o depósitos no seguros de Amazon Web Services (AWS) o mediante phishing a la antigua.
Una vez dentro de la red, un ciberdelincuente podría tardar semanas en detectarse, lo cual es tiempo suficiente para recopilar credenciales y liberar más ransomware u otro malware. Una forma eficaz de evitar la posibilidad de migración de la red del host a la de los clientes es implementar la administración de cuentas de privilegios (PAM).
Utilice el almacenamiento seguro en la nube para proteger a los trabajadores remotos
Como la mayoría de la población activa, el personal técnico de MSP se ha visto obligado a trabajar desde casa.Para brindar un servicio eficaz a las cuentas de sus clientes, los profesionales de TI necesitan acceso a las credenciales de los clientes y las cuentas privilegiadas. Por lo general, se almacenan en una bóveda dentro de la red MSP en un intento por detener el acceso no autorizado desde el exterior.
Sin embargo, esto puede obstaculizar el trabajo del personal técnico cuando trabaja de forma remota, ya que necesitan usar continuamente redes privadas virtuales (VPN) para ingresar a la red interna de MSP, así como lidiar con el enrutamiento y la seguridad asociados.Para ahorrar tiempo y esfuerzo, los administradores pueden mantener las credenciales en sus propios sistemas localmente o reutilizar contraseñas para evitar tener que recordar varias. Estos son claramente enormes riesgos de seguridad.
Para combatir ataques devastadores como el ransomware, PAM ayuda a los MSP a proteger, administrar y monitorear aún más el acceso a sus cuentas privilegiadas y las de sus clientes.Según Gartner, PAM es una prioridad para todos los directores de seguridad de la información (CISO) que desean fortalecer la postura de seguridad de su organización. La implementación de PAM eliminará la necesidad de que los técnicos del cliente tengan que almacenar contraseñas localmente, ya que todas las credenciales se guardan en una bóveda segura en la nube protegida por cifrado de alto nivel (generalmente AES de 256 bits).
De hecho, los administradores de TI ni siquiera necesitan ver las credenciales. Hay disponibles opciones de software como servicio (SaaS) que las recuperarán automáticamente de la bóveda mediante Secure Shell (SSH) o RDP. La bóveda también se puede conectar a herramientas de administración de identidad o Active Directory para ofrecer controles de acceso basados en roles para garantizar diferentes niveles de funcionalidad para diferentes niveles de usuarios.PAM no solo se ocupa de proteger las contraseñas en una bóveda, sino que también ayuda a los MSP a proporcionar documentación a sus clientes. Documentación que es obligatoria debido a las regulaciones locales o por razones de cumplimiento. Con PAM, un MSP puede entregar pruebas a sus clientes sobre quién tiene acceso a qué y en qué momento.
La colaboración es clave
A medida que más empresas se enfrenten a la nueva realidad de tener su fuerza laboral operando de forma remota, recurrirán a los MSP para mantener las operaciones funcionando normalmente. Los MSP, a su vez, tienen mucho que ganar si se asocian con proveedores de herramientas de seguridad especializados y los implementan en sus propias redes. Es un escenario en el que todos ganan. Los clientes estarán seguros de que su MSP los protege contra ataques directos mientras su red está protegida contra amenazas relacionadas con la cadena de suministro.