Los proveedores de servicios gestionados (MSP) han sido una bendición para las medianas empresas. Permiten descargar la deuda técnica a un agente con las habilidades y recursos para administrarla, dando así a la organización un espacio para enfocarse en el crecimiento de un negocio, en lugar de los detalles de la infraestructura.
Durante mucho tiempo, los proveedores de servicios externos no fueron atacados directamente por sus fallas de seguridad, ya que los objetivos lucrativos estaban más directamente disponibles. Pero con las mejores prácticas de seguridad obteniendo una adopción lenta en todas las organizaciones empresariales, los MSP se han vuelto gradualmente sujetos a amenazas, con sus clientes como el objetivo final, ya que se consideran una victoria más fácil que atacar a los clientes por la puerta principal.
Hoy en día, un MSP puede esperar ser atacado no solo por derecho propio, sino como un punto clave para obtener datos del cliente que de otro modo podrían defenderse mejor contra el ataque directo.
Pero, ¿qué tan malo es realmente el panorama de amenazas para los proveedores de servicios administrados? Los MSP generalmente operan en un entorno de recursos limitados, y seguramente los ataques secundarios no serían tan comunes como los ataques directos, ¿verdad?
Echemos un vistazo a lo que los proveedores de servicios externos enfrentan hoy en un intento de mantener a esos clientes seguros y felices.
Ataques de ransomware en MSP
El ransomware puede usarse en un ataque secundario apalancado contra datos específicos del cliente. También se puede implementar en un ataque oportunista, al igual que con los usuarios finales individuales. O puede servir como un ataque dirigido contra un segmento del mercado que sufrió graves daños por el tiempo de inactividad, como lo ha sido para las ciudades y escuelas de EE. UU.
En junio de 2019, se observaron ataques contra clientes de MSP utilizando PowerShell para impulsar el ransomware Sodinokibi a puntos finales administrados. Estas tácticas fueron empleadas previamente por los actores de ransomware GandCrab, que utilizaron una vulnerabilidad en el software de administración remota en un intento de infectar a todos los clientes de MSP a la vez.
Si bien el ransomware es una constante en el panorama de amenazas tanto para usuarios finales como para empresas de todos los tamaños, los ataques dirigidos a múltiples vectores que utilizan software auxiliar como punto de pivote solo se veían anteriormente con grupos APT . Dado el potencial de los actores de amenazas de monetizar la gran base de clientes de un MSP de una vez, los defensores deben esperar que los ataques complejos como estos aumenten en el futuro.
Los ataques APT son el foco de mucho esfuerzo en las conversaciones de seguridad empresarial, a pesar de que son bastante raros. El noventa por ciento de las organizaciones recibirían un mejor servicio al enfocarse en los 10 principales OWASP , la administración de activos y los errores de configuración predeterminados incluso antes de comenzar a abordar los ataques APT.
Dicho esto, los MSP con objetivos de alto valor como clientes pueden caer en el 10 por ciento de las empresas sujetas a ataques secundarios y dirigidos. Anteriormente visto con mayor frecuencia con firmas de abogados que prestan servicios a clientes sensibles, algunos movimientos de APT se han expandido para dirigirse a todos los proveedores de servicios que tienen datos en sus objetivos principales.
Entre 2017 y 2018, el grupo MenuPass utilizó credenciales robadas para obtener acceso a un MSP noruego con aproximadamente 850,000 clientes en total. Posteriormente enumeraron los datos de la red y la información patentada extraída, con la probable intención de obtener inteligencia sobre clientes específicos de MSP.
Notable en esta campaña fue el uso subrepticio de credenciales legítimas para afianzarse en las redes de víctimas. Estas tácticas se observaron en la naturaleza en la medida en que USCERT lanzó un aviso a los proveedores de servicios de TI para implementar una estrategia de defensa en profundidad para mitigar futuros ataques APT.
Los defensores deben tener en cuenta aquí el uso de credenciales legítimas. Los grupos APT son más conocidos por usar vulnerabilidades de día cero u otros ataques que requieren altos recursos y apoyo institucional. Pero al igual que otros grupos de amenazas menos sofisticados, no tienen la obligación de continuar haciéndolo: una gestión deficiente de las credenciales junto con un software de terceros sin parches es suficiente para permitir a los actores APT un camino claro hacia los datos de propiedad de un cliente a través de la red MSP.
Entonces, ¿cómo saber si su lista de clientes incluye «objetivos sensibles» sujetos a este tipo de ataque? El modelado de amenazas es un tema en sí mismo que puede recorrer un largo camino hacia la identificación de clientes en riesgo. (Consulte nuestra versión sobre el modelado de amenazas aquí .) Pero los ataques anteriores indican que los clientes involucrados en la ley, los contratos de defensa, la fabricación u organización de la disidencia política están potencialmente sujetos a ataques APT, ya sea directamente o a través de sus redes.
Los sospechosos de siempre
Habiendo revisado algunas operaciones interesantes centradas específicamente en los datos y clientes de MSP, sería negligente si no mencionáramos los ataques que, por peso, constituyen la mayor parte de las amenazas que enfrentan todas las organizaciones.
Aunque APT 10 lo utiliza para violar un MSP australiano, el mal manejo de las credenciales de administrador no es un ataque avanzado. El hecho de no examinar y parchear adecuadamente el software de terceros introduce un riesgo significativo que no requiere un actor sofisticado para explotar. (Más información sobre la seguridad de aplicaciones de terceros aquí ).
Para un ejemplo reciente, se ha descubierto que la plataforma de administración en la nube OnApp tiene una vulnerabilidad que permite el acceso a todos los servidores administrados con un proveedor de la nube, siempre que comiencen con el acceso a uno.
Por último, la gestión deficiente de los activos y la falta de herramientas de análisis de registro adecuadas (o, en algunos casos, la falta de uso) ha sido responsable de escalar un incidente de seguridad relativamente menor a una violación significativa en muchos casos, ya sea que el ataque fuera objetivo o no. Aunque los proveedores de servicios de TI enfrentan desafíos únicos como se enumeró anteriormente, ignorar los conceptos básicos puede dar como resultado ataques oportunistas tan dañinos como los APT potenciales.
La comida para llevar
Un MSP que busca proporcionar un servicio de primer nivel a un cliente valioso ya no puede centrarse exclusivamente en el tiempo de actividad como la única medida de calidad. Un panorama de amenazas cambiante ha convertido a los datos de alto valor en un objetivo destacado, independientemente de en qué red se encuentre. El aumento de la conciencia de seguridad en las organizaciones empresariales solo continuará aumentando la recompensa de atacar objetivos auxiliares, como los proveedores de servicios, en cumplimiento de los objetivos de los actores de amenazas.
Los proveedores de servicios de TI de terceros generalmente no son abiertamente negligentes, pero pueden encontrarse detrás de la curva de seguridad debido a la falta de experiencia actualizada en el tema, la falta de cobertura de los conceptos básicos y, lo más importante, la idea de que La seguridad es un centro de costos que debe minimizarse de la forma más agresiva posible.
La seguridad empresarial es, de hecho, una inversión en la confianza pública que se requiere para un crecimiento sostenido del capital. El MSP exitoso a largo plazo será el mejor capaz de mantener y capitalizar la confianza del cliente. Ignora esa confianza bajo tu propio riesgo.
Sobre el autor