IT 供应链安全中的潜在薄弱环节

admin
admin
admin
139166
文章
114
评论
2022年7月29日07:59:33评论55 views字数 1937阅读6分27秒阅读模式

IT 供应链安全中的潜在薄弱环节


Huntress介绍了他们看到的威胁行为者在其供应链攻击中以托管服务提供商(MSP)为目标的方式进行。“ Huntress 的研究人员发现了一个从2022年7月18日开始的Beeper线程,该线程寻找一个合作伙伴来帮助处理从50多个美国MSP、100个ESXi和1000多个服务器中窃取的数据。黑客吹嘘自己“利润分成很高”,在利用这些数据之前只剩下很少的事情要做了。


Huntress 提醒我们,这似乎也证实了五眼联盟(澳大利亚、加拿大、新西兰、英国和美国)在今年5月11日警告的对MSP的威胁。他们的观察也证实了C2C市场的一些情况:其犯罪玩家与我们其他人一样,面临着同样的人力资源挑战。


这是一则相当于罪犯招聘广告的文字:“寻找MSP处理合作伙伴。我可以进入50多家公司的MSP小组。超过100个ESXi,1000多台服务器。所有的公司都是美国公司,而且几乎在同一个时区。我想做高质量的工作,但是我没有足够的人手。准备方面,只剩下一点点东西,所以我的利润分成会高。更多详情和建议请给我发消息。”


五眼联盟国家的网络安全当局在联合安全警报中正式警告说,不法分子的目标是管理服务提供商 (MSP),以侵入其客户的网络并部署勒索软件、窃取数据并监视他们。

“英国、澳大利亚、加拿大、新西兰和美国的网络安全当局期望恶意网络行为者——包括国家支持的高级持续威胁 (APT) 团体——加强针对 MSP 的目标,以利用提供商-客户网络信任关系”警报警告说。

这些类型的供应链或“跳岛”攻击对网络犯罪分子来说非常有利可图,因为一旦他们闯入 MSP,他们就可以访问所有客户的网络和被管理的数据,进而实施计算机犯罪和欺诈针对那些客户的客户。

恰当的例子:2020 年的SolarWinds 攻击,当时克里姆林宫支持的不法分子将恶意软件放入 SolarWinds 的 Orion 软件,然后将其推送给 SolarWinds 的约 18,000 名客户。这使犯罪分子能够渗透到近 100 个美国政府和私营部门网络。

MSP 是 IT 供应链中的一个薄弱环节,这对业内的很多人来说并没有惊天动地,尽管很高兴看到政府不仅认识到威胁,而且还试图强调它。

VMware 网络安全战略负责人汤姆·凯勒曼告诉The Register:“今天的联合咨询是对针对 MSP 的持续攻击活动所带来的明确而现实的危险发出的明确警告。虚拟化业务在过去一年中的显著式增长了 58% 。

“我担心随着地缘政治紧张局势在网络空间中蔓延,这些攻击将会升级,俄罗斯网络间谍将利用这一策略在 MSP 的整个客户群中部署破坏性恶意软件,”他说。“企业必须专注于实施零信任并增加主动威胁搜寻,尤其是跨网络和端点。”

五眼警报还为 MSP 与其客户之间应就保护敏感数据进行的讨论提供了指导。
 
“这些讨论应导致对安全流程和合同承诺的重新评估,以适应客户的风险承受能力,”该公告称。此外,根据包括 CISA、FBI 和国家安全联盟在内的机构的说法,客户应检查他们的合同是否指定 MSP 实施某些安全控制。

按照惯例,第一步是实施基线安全和运营控制。这包括备份系统和数据、隔离关键系统、在网络和设备访问中应用最小权限原则以及启用多因素身份验证 (MFA)。 

然而,警报指出,俄罗斯支持的犯罪分子可以利用默认的 MFA 协议,正如他们在最近的攻击中所展示的那样,这些攻击也利用了 PrintNightmare 漏洞。“组织应审查配置策略,以防止出现‘失败开放’和重新注册的情况,”警报警告说。

如何防止最初的威胁


由于远程访问 VPN、面向互联网的服务、网络钓鱼电子邮件和密码爆破通常涉及初始攻击,因此这些机构还指出了有关强化和保护技术的指导,以关闭常见的攻击入口点。

根据警报,MSP 应记录与向客户提供服务以及内部和客户网络活动相关的交付基础设施活动。“检测到事件可能需要几个月的时间,因此英国、澳大利亚、加拿大、新西兰和美国的网络安全当局建议所有组织将其最重要的日志存储至少六个月,”它说。

客户和 MSP 应定期检查其攻击面并禁用不再使用的帐户和基础设施,例如在员工离开公司后使用帐户。

并且一如既往地更新软件和应用补丁。“优先将安全更新应用于包含已知被利用漏洞的软件,”警报建议。

CISA已知漏洞利用目录



IT 供应链安全中的潜在薄弱环节

https://www.cisa.gov/known-exploited-vulnerabilities-catalog



选择和强化远程访问VPN解决方案

IT 供应链安全中的潜在薄弱环节

选择和强化远程访问解决方案中文版.pdf
https://kaishi.lanzouv.com/iP2fE08kus3a
选择和强化远程访问解决方案原文版.pdf
https://kaishi.lanzouv.com/izccu08kus5c

原文始发于微信公众号(网络研究院):IT 供应链安全中的潜在薄弱环节

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月29日07:59:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   IT 供应链安全中的潜在薄弱环节https://cn-sec.com/archives/1208257.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息