譯者 | 陳峻

審校 | 重樓

縱觀各個中小型企業(yè)，由于預(yù)算十分有限而且系統(tǒng)環(huán)境的滿載，如今它們往往需要依賴托管服務(wù)提供商（managed service providers，MSP）來支持其IT服務(wù)與流程。而由于MSP提供的解決方案可以與客戶端基礎(chǔ)設(shè)施相集成，因此可以實(shí)現(xiàn)適當(dāng)?shù)姆?wù)交付。當(dāng)然，在提供優(yōu)異功能的同時(shí)，它們也會伴隨著一些缺點(diǎn)。下面，我將主要圍繞著MSP網(wǎng)絡(luò)安全性的挑戰(zhàn)和實(shí)踐，和您深入探討如下方面：

• 為什么應(yīng)當(dāng)關(guān)注MSP的網(wǎng)絡(luò)安全性
• 最需要應(yīng)對哪些安全威脅
• 如何保護(hù)自己的基礎(chǔ)設(shè)施和客戶的數(shù)據(jù)，免受可能出現(xiàn)的故障影響

MSP安全的重要性

由于托管服務(wù)提供商（MSP）通?？梢赃B接到多個客戶端的環(huán)境，因此他們往往成為了黑客的理想目標(biāo)。各種快速迭代的網(wǎng)絡(luò)攻擊，以及廣泛傳播的態(tài)勢，勢必會給MSP、及其服務(wù)的組織帶來難以估量的安全風(fēng)險(xiǎn)。可以說，MSP解決方案中的單個漏洞，很可能成為導(dǎo)致眾多基礎(chǔ)架構(gòu)出現(xiàn)故障的根本原因，進(jìn)而導(dǎo)致數(shù)據(jù)的大量泄漏或丟失。此外，由此產(chǎn)生的嚴(yán)重違規(guī)罰款，也可能給MSP乃至用戶企業(yè)帶來巨大的經(jīng)濟(jì)損失、以及聲譽(yù)損失。

MSP網(wǎng)絡(luò)安全的主要威脅

雖然MSP可能面對的在線網(wǎng)絡(luò)安全威脅類型數(shù)不勝數(shù)，但是其中有一些比較典型、且更為頻繁。下面，我將羅列出最為常見的MSP系統(tǒng)安全威脅：

網(wǎng)絡(luò)釣魚

網(wǎng)絡(luò)釣魚可以被認(rèn)為是一種過時(shí)的網(wǎng)絡(luò)攻擊方法，尤其是當(dāng)您已了解了黑客們的時(shí)髦攻擊方式后。然而，網(wǎng)絡(luò)釣魚目前仍然是全球范圍內(nèi)，個人和組織所面臨的首要數(shù)據(jù)威脅之一。畢竟，網(wǎng)絡(luò)釣魚電子郵件很容易被構(gòu)建，并被發(fā)送給數(shù)以千計(jì)的潛在受害者，其中就包括MSP。相對于那些需要黑客單獨(dú)創(chuàng)建的、有針對性的電子郵件欺騙攻擊而言，網(wǎng)絡(luò)釣魚的實(shí)施成本更低，而波及面更廣。

勒索軟件

據(jù)統(tǒng)計(jì)，勒索軟件每年都會制造數(shù)億次攻擊。它們可謂近十年來，中小型企業(yè)和組織所面臨的最新、也是最大的威脅。作為一種惡意軟件，勒索軟件會偷偷地滲透到組織的環(huán)境中，然后對它能接觸到的所有數(shù)據(jù)開啟加密模式。而在大量文件被加密之后，勒索軟件會在用戶點(diǎn)擊文件時(shí)，展示其索取贖金的彈窗。去年發(fā)生在美國的燃油管道公司遭受勒索攻擊的事件，就屬于此類。由于MSP和客戶端之間的連接可能會導(dǎo)致此類攻擊被快速傳播和放大，因此托管服務(wù)提供商必須特別注意這種攻擊對于全局?jǐn)?shù)據(jù)的嚴(yán)重威脅。

拒絕服務(wù)（Denial of Service，DoS）攻擊

拒絕服務(wù)和分布式拒絕服務(wù)（Distributed Denial of Service，DDoS）攻擊也是自上世紀(jì)90年代中期以來，被廣泛使用的“老派”、簡單且有效的黑客策略。此類攻擊的重點(diǎn)是對組織的基礎(chǔ)設(shè)施（網(wǎng)站、網(wǎng)絡(luò)、以及數(shù)據(jù)中心等）產(chǎn)生異常負(fù)載，從而導(dǎo)致系統(tǒng)出現(xiàn)中斷，服務(wù)響應(yīng)不及時(shí)，遠(yuǎn)程操作不便，進(jìn)而給組織帶來財(cái)務(wù)和聲譽(yù)上的損失。

從實(shí)現(xiàn)方式上說，DoS攻擊是通過使用被黑客控制的設(shè)備（或僵尸網(wǎng)絡(luò)）來實(shí)現(xiàn)的。這些設(shè)備會將大量數(shù)據(jù)發(fā)送到目標(biāo)組織的某個節(jié)點(diǎn)上，并導(dǎo)致其處理性能和/或可用帶寬的過載。同樣地，MSP一旦遭遇到DoS攻擊，勢必會傳導(dǎo)到客戶端環(huán)境中，并導(dǎo)致其系統(tǒng)服務(wù)層面上的失能。

中間人（Man-in-the-Middle，MITM）攻擊

這種類型的網(wǎng)絡(luò)威脅比起對于基礎(chǔ)設(shè)施的直接攻擊，更加棘手、也更加復(fù)雜。中間人攻擊主要源自針對網(wǎng)絡(luò)路由器或計(jì)算機(jī)的黑客入侵。其目的是攔截流量。通常，在惡意軟件成功入侵目標(biāo)后，黑客可以監(jiān)控流經(jīng)受感染節(jié)點(diǎn)的數(shù)據(jù)流，以竊取諸如：個人信息、密碼憑據(jù)、支付卡信息等敏感數(shù)據(jù)。當(dāng)然，它也可能是一種針對企業(yè)的間諜活動，以達(dá)到盜竊商業(yè)策略和秘密的目的。

常見的中間人攻擊往往發(fā)生在安全保護(hù)級別較低的公共Wi-Fi網(wǎng)絡(luò)中。黑客能夠輕而易舉地從粗心的、未經(jīng)加密的用戶流量中，竊取重要的數(shù)據(jù)，進(jìn)而轉(zhuǎn)售牟利。

加密劫持（Cryptojacking）

加密劫持是一種相對較新的網(wǎng)絡(luò)威脅類型，是隨著加密貨幣挖礦熱潮而出現(xiàn)的。為了增加加密貨幣挖礦的利潤，網(wǎng)絡(luò)犯罪分子設(shè)法采用惡意代理入侵目標(biāo)計(jì)算機(jī)，然后使用其CPU和/或GPU的處理能力挖掘加密貨幣，進(jìn)而將其收益直接轉(zhuǎn)移到匿名錢包之中。由于在整個過程中，他們無需為挖礦設(shè)備支付電費(fèi)，因此網(wǎng)絡(luò)犯罪分子往往可以從中獲得更高的利潤。

由于MSP通常是多個組織網(wǎng)絡(luò)的匯聚訪問點(diǎn)，各種服務(wù)器和其他計(jì)算設(shè)備都會使用到它，因此MSP同樣是加密劫持者的理想目標(biāo)。一旦得手，他們就能夠獲取更多可以被用于加密劫持的大量資源。

MSP組織應(yīng)采用的8種網(wǎng)絡(luò)安全實(shí)踐

下面，我將向您介紹8種可有效降低風(fēng)險(xiǎn)的MSP網(wǎng)絡(luò)安全實(shí)踐。

針對憑據(jù)泄露予以防范

作為第一步，為了適當(dāng)?shù)貥?gòu)建安全系統(tǒng)，托管服務(wù)提供商應(yīng)當(dāng)為易受攻擊的節(jié)點(diǎn)提供加固的遠(yuǎn)程訪問方式與工具，并防范其信任憑據(jù)遭受破壞或竊取。同時(shí)，應(yīng)考慮為連接用戶的Web、APP等服務(wù)器的遠(yuǎn)程桌面（RDP）服務(wù)，設(shè)置標(biāo)準(zhǔn)化的保護(hù)措施，以減少網(wǎng)絡(luò)釣魚、密碼暴力破解等攻擊的影響。此外，我們也應(yīng)為支撐用戶生產(chǎn)環(huán)境的應(yīng)用提供定期的系統(tǒng)級掃描，以查找并及時(shí)彌補(bǔ)潛在的漏洞。

網(wǎng)絡(luò)安全意識

世界經(jīng)濟(jì)論壇（World Economic Forum）的一份全球風(fēng)險(xiǎn)報(bào)告指出：截至2022年，95%的網(wǎng)絡(luò)安全問題都牽涉到人為錯誤?？梢哉f，毫無安全意識的員工或用戶，是數(shù)字環(huán)境中最大的威脅之一。

因此，我們需要通過安全意識的灌輸，確保普通員工、以及系統(tǒng)管理員知曉哪些電子郵件不能打開，哪些鏈接不能點(diǎn)擊，以及無論出于何種原因，都不能隨意提供哪些信任憑據(jù)?？梢哉f，與各種昂貴的網(wǎng)絡(luò)安全保護(hù)措施和解決方案相比，員工安全意識教育是投資少、見效快的網(wǎng)絡(luò)系統(tǒng)“軟防火墻”。它往往對于前文提到的網(wǎng)絡(luò)釣魚威脅等非常見效。

反惡意軟件和反勒索軟件

托管服務(wù)提供商是客戶的第一道防線，為了防止惡意軟件滲入其IT環(huán)境，進(jìn)而利用系統(tǒng)尋找惡意代理，我們需要將專業(yè)的跟蹤惡意軟件和勒索軟件的工具，集成到MSP網(wǎng)絡(luò)中，且保持其持續(xù)更新。當(dāng)然，有時(shí)候，此類軟件的購置與維護(hù)費(fèi)用并不便宜。不過，鑒于安全數(shù)據(jù)、生產(chǎn)環(huán)境的可用性、以及全球IT系統(tǒng)的穩(wěn)定性等方面，我們還是又必要進(jìn)行投入的。

網(wǎng)絡(luò)分離

與任何中小型企業(yè)（SMB）類似，MSP也應(yīng)該像關(guān)注外部邊界那樣，去關(guān)注其內(nèi)部的網(wǎng)絡(luò)安全。通過配置內(nèi)部防火墻，分隔出不同部門的虛擬空間，可以在一定程度上，防范組織內(nèi)部惡意行為者的橫向穿越。此外，即使內(nèi)部防火墻無法立即阻止它們，那些威脅檢測系統(tǒng)也能夠讓提供商有更多的時(shí)間做出反應(yīng)，并成功地應(yīng)對各類內(nèi)部越權(quán)行為。

徹底的移除流程

為了確保穩(wěn)定的生產(chǎn)環(huán)境和適當(dāng)?shù)男阅芙桓叮?/span>MSP時(shí)常需要更新?lián)Q代其正在運(yùn)行的第三方軟件。每當(dāng)由于工作流的優(yōu)化等原因，導(dǎo)致某套方案不再被使用時(shí)，我們應(yīng)當(dāng)及時(shí)將其從提供服務(wù)的環(huán)境中移除。而且，為了避免其留下未被發(fā)現(xiàn)的后門，我們必須設(shè)置相應(yīng)的卸載流程，使得與之相關(guān)的元素能夠徹底從原有的基礎(chǔ)架構(gòu)中，被完全清除。類似的處置方式，也適用于那些前雇員賬戶。

零信任和最小特權(quán)原則

零信任和最小特權(quán)原則（principle of least privilege，PoLP）是如今MSP常用的兩種網(wǎng)絡(luò)安全方法。它們都可以被用來最大限度地限制對于關(guān)鍵數(shù)據(jù)和系統(tǒng)元素的訪問。其中：

• PoLP規(guī)定了只授予環(huán)境中的每個用戶做好本職工作所需的訪問權(quán)限。換句話說，我們應(yīng)該在不降低員工效率或客戶舒適度的情況下，禁止任何訪問。
• 零信任方法則側(cè)重于授權(quán)。也就是說，每個用戶和機(jī)器都必須在訪問已知資源和操作之前進(jìn)行身份驗(yàn)證。此外，零信任也有助于提高網(wǎng)絡(luò)分段的效率。

這兩種方法并非相互排斥或可替代，而是完全可以被同時(shí)使用，以進(jìn)一步提升MSP網(wǎng)絡(luò)安全。

多重身份驗(yàn)證

雙因素身份驗(yàn)證（Two-factor authentication，2FA）要求用戶使用短信驗(yàn)證碼、或其他授權(quán)短語來確認(rèn)登錄，然后才能使用其帳戶更改數(shù)據(jù)或操作其他功能。由于附加碼是在登錄時(shí)隨機(jī)生成的，因此黑客很難在有限的關(guān)聯(lián)期內(nèi)，及時(shí)檢索和獲取。因此，向MSP基礎(chǔ)架構(gòu)添加雙因素身份驗(yàn)證，可以加強(qiáng)對整個服務(wù)環(huán)境的保護(hù)，避免用戶的帳戶和數(shù)據(jù)遭受未經(jīng)授權(quán)的訪問。

持續(xù)威脅監(jiān)控

目前，隨著威脅的不斷迭代，內(nèi)外部攻擊不但變得越來越復(fù)雜，而且越來越能夠有效地突破MSP的安全防護(hù)層。因此，24/7全天候的主動監(jiān)控環(huán)境，可以幫助我們在違規(guī)發(fā)生或由漏洞導(dǎo)致的無法修復(fù)之前，及時(shí)檢測到它們。借助最新的監(jiān)控軟件，您可以更好地控制由MSP提供的IT環(huán)境，并有更多的時(shí)間對網(wǎng)絡(luò)攻擊做出適當(dāng)?shù)姆磻?yīng)。

MSP的備份

一個不爭的事實(shí)是，隨著網(wǎng)絡(luò)威脅的不間斷發(fā)展，黑客攻破我們的安全系統(tǒng)，其實(shí)只是時(shí)間問題。那么在發(fā)生了重大數(shù)據(jù)丟失事件后，唯一可能幫助我們找回丟失的企業(yè)數(shù)據(jù)和基礎(chǔ)架構(gòu)配置的方法，就是備份。為了確保組織能夠盡快地恢復(fù)正常運(yùn)作，我們有必要將手動與自動化的備份方式相結(jié)合，及時(shí)生成針對由MSP平臺產(chǎn)生的大數(shù)據(jù)量的、獨(dú)立存儲的數(shù)據(jù)副本，以應(yīng)對不同場景造成的、主站點(diǎn)上的原始數(shù)據(jù)被破壞或丟失的緊急情況。

小結(jié)

在目前、以及不久的將來，托管服務(wù)提供商仍將繼續(xù)成為網(wǎng)絡(luò)釣魚、DoS攻擊、勒索軟件感染、以及加密貨幣劫持等網(wǎng)絡(luò)攻擊的理想目標(biāo)。希望上述討論以及給出的針對MSP網(wǎng)絡(luò)威脅的8種安全實(shí)踐，能夠?yàn)槟娜粘I(yè)務(wù)和服務(wù)提供保駕護(hù)航。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗(yàn)。

原文標(biāo)題：Everything You Need to Know About MSP Cybersecurity，作者：Alex Tray