Waarom je je managed service provider niet moet vertrouwen

Je kan jezelf nog zo goed beschermen tegen aanvallen van buitenaf, als je niet goed over je schouder kijkt kan dat evengoed funest zijn. Het gevaar kan van je beste partner komen.

Een groeiend aantal managed services providers (MSP's) uit de hele wereld wordt door hackers als doelwit op de korrel genomen. Dergelijke inbreuken kunnen ernstige gevolgen hebben voor de activiteiten van hun klanten, aangezien gecompromitteerde MSP's kunnen dienen als lanceerplatform voor een aanval op de bedrijfsnetwerken van hun klanten. Die aanvallen op MSP's maken duidelijk waarom het voor organisaties belangrijk is om rekening te houden met de risico's die zij vormen en daarom klaar moeten zijn om bedreigingen via vertrouwde zakenpartners te blokkeren.

Twee weken geleden werd IT-servicebedrijf Everis, een dochteronderneming van NTT en een van de grootste MSP's in Spanje, getroffen door een ransomware-aanval.Uit interne communicatie die uitgelekt is op Twitter, valt op te maken dat het bedrijf zijn werknemers de opdracht gaf hun computers uit te schakelen en dat het de netwerkverbindingen tussen zijn kantoren en zijn klanten verbrak.

De aanval had directe gevolgen voor de klanten van Everis, die op het bedrijf vertrouwden in het beheren van hun IT-infrastructuur, en sommige van hen begonnen intern te onderzoeken of ze zelf besmet waren met ransomware.

Het malwareprogramma dat Everis had aangevallen, versleutelde data met de .3v3r1s ransomware en het bijgeleverde bericht waarschuwde het bedrijf tegen het openbaar maken van het incident. Dit suggereert dat de MSP niet zomaar een willekeurig slachtoffer was bij een willekeurige aanval, maar dat hackers deze met opzet hadden gekozen en de ransomware voor de aanval aanpasten.

Niet de eerste MSP-aanval

Aanvallen tegen MSP's en managed security service providers (MSSP's) zijn dit jaar toegenomen met een eerste golf van aanvallen in februari door GandCrab-ransomware-pushers die gebruik maakten van een bekende kwetsbaarheid in een plug-in die ConnectWise integreerde met Kaseya, twee platforms die door MSP's worden gebruikt om systemen te beheren.

In juni werden MSP's opnieuw aangevallen en werd Sodinokibi-ransomware ingezet via de Webroot Management Console, een ander hulpmiddel dat populair is bij managed services providers. Het incident zette Webroot, een cybersecurity bedrijf, ertoe aan om een brief naar klanten te sturen om het gebruik van twee-factor authenticatie te forceren.

Vorige maand publiceerde beveiligingsfirma Pantser een rapport dat een lijst van 13 MSPs en cloud-based serviceproviders opsomde die dit jaar door ransomware zijn aangevallen. In veel gevallen resulteerden de incidenten in ransomware-infecties op de netwerken van hun klanten, met gevolgen voor onderwijsinstellingen, advocatenkantoren, gezondheidszorgorganisaties, makelaars en meer.

Meer dan ransomware

Hoewel de meeste MSP-aanvallen tot nu toe zijn gebruikt om ransomware in te zetten, is dit niet het enige type bedreiging waaraan MSP-klanten worden blootgesteld. Door de staatsondersteunde cyberspionagegroepen kunnen deze techniek ook gebruiken om hun doelwitten aan te vallen en dat geldt ook voor geavanceerde cybercriminele groepen zoals Carbanak of FIN7, waarvan de modus operandi bestaat uit het compromitteren van netwerken, het lateraal overstappen naar kritieke systemen, het leren van interne workflows gedurende een langere periode en vervolgens het stelen van geld of creditcardgegevens van organisaties.

De netwerkbreuk bij Target in 2013, die resulteerde in het stelen van meer dan 40 miljoen betaalkaartgegevens, begon met hackers die gebruik maakten van gegevens die gestolen waren van een leverancier van verwarming, ventilatie en airconditioning die via een portal toegang had tot het systeem van het bedrijf. Hoewel dat niet de eerste inbreuk was die het gevolg was van een gat in de toeleveringsketen, was het wel de inbreuk die deze dreigingsvector op de kaart zette.

In de jaren die volgden waren er veel incidenten waarbij hackers organisaties in gevaar brachten nadat ze hun partners of softwareleveranciers hadden gecompromitteerd. De NotPetya-ransomware-uitbraak in 2017 begon in Oekraïne door middel van een gifpil in een update voor het populaire fiscale boekhoudprogramma MeDoc.

Zelfs wanneer MSP-aanvallen niet leiden tot gecompromitteerde systemen of netwerken van klanten, kunnen ze nog steeds leiden tot downtime en gevolgen hebben voor de activiteiten van klanten als de MSP wordt gedwongen om zijn normale activiteiten tijdelijk stop te zetten.

Hoe kan ik schade beperken?

Volgens het Data Breach Investigations Report 2019 van Verizon is vorig jaar meer dan een derde van de inbreuken veroorzaakt door interne aanvallen. Aanvallen via vertrouwde partners die op legitieme wijze toegang hebben tot jouw infrastructuur worden beschouwd als interne bedreigingen.

"Het tegengaan van deze dreiging is natuurlijk moeilijk", zegt Ioan Constantin, cybersecurity expert bij telecomprovider Orange Romania, die ook managed security operations center oplossingen biedt voor bedrijven. "Bedrijven vertrouwen op MSSP's en MSP's met hun data en vermijden tegelijkertijd operationele overheadkosten door de meeste traditionele mitigatietechnieken via deze toeleveringsketen af te nemen - denk aan zaken als pentesting, monitoring en training."

"Lerend van de tactiek, technieken en procedures van enkele aanvallen tegen MSPs en MSSPs, zijn er sommige leerpunten voor ondernemingen om zich beter tegen inbreuken in hun beveiligingsketen te beschermen", zegt Constantin. Die leerpunten omvatten:

  • Beveiligde toegang op afstand
  • Een beleid voeren dat de minst bevoorrechte toegang tot middelen beperkt tot de minst bevoorrechte personen.
  • Service level agreements (SLA's) met dienstverleners herzien en actualiseren
  • Auditeren en verbeteren van het beleid met betrekking tot de externe toegang tot uw resources van consultants, leveranciers of serviceproviders
  • Regelmatig scannen op en aanpakken van kwetsbaarheden
  • Communiceren en trainen van uw medewerkers en andere gebruikers

Constantin zegt dat het laatste punt waarschijnlijk het belangrijkste aspect is van de mitigatie van cyberbedreigingen. "Bewustwording is, zoals altijd, de sleutel tot een betere beveiliging, ongeacht de toeleveringsketen."

Volgens de bekende hacker, auteur en penetratietester Jayson Street, is het eerste wat organisaties moeten doen om te voorkomen dat aanvallers misbruik maken van legitieme verbindingen in hun netwerk, het isoleren daarvan. "Ik ben er vast van overtuigd dat segmentatie het eerste is dat alle bedrijven zouden moeten doen als het gaat om een verbinding met hun interne netwerk via het internet", vertelt Street, die momenteel werkt als vicepresident van InfoSec bij SphereNY. "Elke verkoper, MSP, MSSP, enz. moet worden geïsoleerd zodra ze zich in het bedrijfsnetwerk bevinden en elke communicatie naar interne bronnen moet strikt worden gecontroleerd en gecontroleerd."

Veel van de typische aanbevelingen voor het beperken van bedreigingen van medewerkers zijn ook van toepassing op partners en MSP's. Dit houdt in dat ze unieke referenties gebruiken die sterk genoeg zijn en vaak genoeg gerouleerd worden, waardoor 2-factor authenticatie mogelijk is, de toegang tot de assets die ze moeten beheren of data die ze nodig hebben om hun werk te doen wordt beperkt, hun verbindingen en bewegingen binnen het netwerk worden gemonitord en er systemen zijn die in staat zijn om ongebruikelijk gedrag en policy-overtredingen te markeren.

Related:

Copyright © 2019 IDG Communications, Inc.

Download CIO's Roadmap Report: Data and analytics at scale