主页 > it > 正文
IT安全交给MSP,企业能当“甩手掌柜”吗?
发表时间:2020-03-23 16:32

IT安全交给MSP,企业能当“甩手掌柜”吗?

在MSP(Managed Service Provider)越来越流行的当下,企业已经开始习惯把自己的IT系统托管给专业MSP,不再亲自操刀日常的IT运营和管理。当网络攻击变得日益频繁,企业IT安全是否可以100%依赖MSP?

疫情发生以来,全球出现了很多以“新冠病毒”等网络热词为诱饵的网络攻击。无论是政府、医疗机构还是大中型企业,都成为黑客组织定向瞄准的对象。

在大量机构纷纷中招之际,那些将自身IT系统托管给MSP的企事业单位,似乎显得更为放心。

作为企业数字化转型的重要合作伙伴,MSP可以说是企业“上云”和“管云”的最佳选择之一。

如今的MSP一般以整套服务方式对企业数据中心的整体IT资源进行统一管理,包括对操作系统、中间件、应用程序等提供运营服务,而相应的技术支持和服务则包括安全、监控、配置、更新、部署实施等。

当网络攻击来袭时,对托管在其平台上的企业提供安全预警和响应服务,自然也成为MSP的“分内事”。但是很少人注意到,以往针对企业的网络攻击,正在悄然转向MSP。

安全公司Armor曾发布报告,2019年有13家MSP和云服务提供商遭受了勒索软件攻击,造成了其客户网络遭受勒索软件感染。

令业界倍感震惊的是,美国知名MSP服务商Synoptek也遭到了勒索软件的攻击,导致托管在其云管平台上的1100个企业客户业务无法正常运营。

针对MSP的攻击迅速崛起,为整个MSP领域敲响了警钟。人们不禁好奇,为什么网络攻击对象会从最终用户转向MSP,以及黑客会采用哪些攻击手段?

更值得关注的是,如果MSP遭到了网络攻击,将“身家性命”都托管给MSP的企业和机构,还该不该信任MSP?双方应该如何合作,才能确保企业的网络和数据安全呢?

 

 

针对MSP的网络攻击成为趋势

在安畅网络MSP布道师兼架构师主管曲骏看来,将MSP作为网络攻击对象正在成为一种趋势。

作为IT服务管理提供商,MSP承接着大量企业客户的基础架构监控和运维工作,大部分企业用户还会把大量的关键系统管理权限委托给MSP。

在这个过程中,无论是MSP的数据管控风险,还是企业的权限治理风险都会逐渐升高。

如果黑客成功攻入MSP系统,可以一次性拿到多个企业的核心数据,因此攻击MSP比攻击最终用户的成本更低,这使得MSP成为攻击最终目标用户的一条新路径。

除此之外,多云及混合云管理服务提供商Bespin Global(贝斯平)的专家也表示,由于MSP在受到攻击时无法提供正常服务,承受的压力更大,因此也更容易为快速恢复服务而向攻击者妥协。

从贝斯平的服务经验看,针对MSP最常见的攻击手段一般分为两类:

第一类,以勒索钱财为目的的勒索病毒攻击;第二类,获取服务客户敏感信息的钓鱼或APT攻击。

与直接针对最终用户的攻击相比,针对MSP的攻击手段似乎并无太大区别。但实际上,对MSP服务进行安全防护更为复杂。

由于不同企业客户的环境中存在管理差异,而这些环境对于MSP来说完全属于黑盒,因此在MSP服务过程中可能会存在一些安全短板,例如:数据库的弱口令、redis的空口令、以及企业客户对自身员工的管理疏漏导致的病毒入侵,都可能对MSP的服务质量造成影响。

在国内,MSP产业才刚刚兴起,很多MSP服务商在安全治理的发展上还不够成熟,这也成为MSP易受攻击的原因之一。

曲骏认为,国内大部分的MSP服务商,都会强调自己拥有云管理平台、专业的工程师、半自动化或全自动化的工具,去帮助客户解决各种各样的问题,但是往往会忽略一个关键点:数据资产和网络安全风险。

一旦2020年出现更多针对MSP攻击的案例,无论是MSP服务商还是企业客户,都会把安全作为一个头等大事来对待,其防御等级和安全意识会随之提升。

 

 

MSP服务模式下如何确保企业IT安全?

当网络攻击的重点转向了MSP,这是否意味着企业将IT系统全权托管给MSP的方式不再安全?

事实上,这个问题并不能一概而论。在MSP服务过程中,往往涉及多方参与,包括最终用户、MSP服务商和众多的第三方合作伙伴。无论是哪一方,都有可能成为网络攻击的入口,因此需要各方合力做好网络安全防护。

从企业用户的角度看,根据国家《网络安全法》和等保2.0等规定,企业在网络安全防护和信息安全管理方面须具备相应的能力。

尤其是在金融、游戏、教育、电商、网贷、通讯、能源、运输等行业,企业的网络安全建设必须符合等保2.0的要求。换句话说,企业要做好自己内部的安全防护,才能不让网络攻击有机可乘。

从MSP服务商的角度看,和各行业的企业一样,MSP服务商首先必须保证自身的安全治理符合等保2.0的规定。

此外,MSP服务商因承诺为企业客户提供安全可靠的IT托管服务,因而在技术、管理、咨询等层面,都须具备更高的要求和能力。

在曲骏看来,MSP在提供服务之前,需要从两个方面来确保企业客户的网络安全和数据安全:

第一,MSP的运维人员是否具备基本的安全意识,尤其是基于安全体系的操作认知,必须强化在每一个工程师心中。

第二,MSP的管理平台是否具备严格的安全管理和运维规范。

例如,在不影响企业客户授权和安全审计体系的前提下,MSP平台需要通过严谨的管理体系和标准作业流程,对拥有客户权限的MSP工程师,在操作行为上进行管控和规范,杜绝因MSP工程师主动意愿或误操作带来的安全隐患。

针对企业客户的授权方式,安畅网络一般采用“多鉴权的方式”去管理客户的数字资产,如:通过非明文密码、多因子认证等方式进行授权,确保授权过程及授权后的数据安全。

在获得授权后,安畅网络的CMP平台对客户数据也只做导入,对数据进行分析和判断,整个过程清晰可视化,从根本上保证客户的数据安全。

此外,由于不同企业客户在托管方式和交互方式上具有很大的差异,MSP服务商需要面对多样化的企业客户需求,如:半托管和全托管,公有云、私有云和混合云管理,以及密钥管理、API接口等交互方式。

因此,要保障企业客户的数据资产和网络安全,一套完整的方法论和丰富的行业服务经验也必不可少。

在贝斯平,为了避免由于MSP受到攻击而影响最终企业客户行为的发生,其经验是从技术和管理两个维度进行有效控制。

以勒索病毒为例,在技术层面,贝斯平在网络边界隔离、系统加固、补丁安装、端口开放、杀毒软件、漏洞扫描、备份、网络准入、双因素认证、访问控制、最小权限、审计等方面进行有效管理。

在管理层面,对MSP的运维人员从运维SOP、技术培训、安全意识培训等方面进行管理。在有效缓解被攻击的可能性同时,也降低了特殊情况下所影响的客户面。

一般情况下,在管理层面先有需求后,随之在技术层面执行落地。因此,在这种管理指导技术实现的方式下,无须过多强调它们之间的界限。

 

 

MSP遭受攻击带来的损失由谁承担?

事实上,企业IT永远不可能达到100%的安全。当企业客户将自己的数据和业务系统迁移到云上,将系统的控制权交给MSP,其数据资产和网络安全的风险就进一步加大了。

同时,在MSP服务模式下,由于MSP平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定。不同的服务模式和部署模式、云环境的复杂性也增加了划分MSP和企业客户之间责任的难度。

一旦MSP遭受攻击而导致企业客户利益受损,这个责任该由谁承担?

对此,贝斯平专家认为,MSP与客户签署SLA(服务等级协议)声明,提供具有质量保证的服务,是MSP义不容辞的责任。

如果在MSP提供服务的过程中出现此类事件,MSP应当承担一定的责任和赔偿。

赔偿方式可以多样化,例如:部分云厂商是以“无法提供服务的时长*相应系数”作为补偿时间来赔偿客户,MSP则采用续签合同赠送额外服务的方式进行弥补。

在安畅网络,责任划分则是通过一整套IT治理框架和细化的SOW来实施。

在合同签署前,安畅网络会主动与企业客户沟通各自的工作边界和责任,并出具详细的服务SOW,包括:赔偿方案、服务响应时间等颗粒度明确的声明,以确保双方的权益以及一旦事故发生后的责任归属。

此外,曲骏也认为MSP具备“知识转移”的义务和责任。

作为连接多个云服务和企业IT系统的第三方服务商,MSP需要将自身的知识和经验转移给企业客户,帮助企业客户掌握云计算、云安全等新技术形态下的IT建设经验,双方共同构建更加安全有效的IT运营。

在IT安全越来越重要的今天,企业对网络安全和数据安全的重视程度日益提升,因此优质的第三方MSP服务商成为政企客户的一致选择。

在中国信通院发布的国内首个云MSP标准评估中,贝斯平、安畅网络、浙江移动、神州数码、上海天玑是国内首批通过可信云标准的5家MSP服务商,为各行业选择安全可靠的MSP服务商提供了权威参考。

对于行业客户而言,将IT托管给MSP不再意味着当“甩手掌柜”,如何擦亮双眼选择优质的MSP服务商,快速找到双方共建IT安全的合作模式,将成为未来企业和MSP服务商需要共同探讨的话题。


文明播报

江西宜春袁州区疫情防控
南昌梅岭景区有序开放
南昌迎出游小高峰 客流超过1万人次
江西芦溪:抢进度 保春耕
江西南昌县:抗疫一线的社区女干部
上饶师范学院从严治党主体责任规定
江西首批援助湖北医疗队队员刘涛
江西学生开学 师生在校须佩戴口罩
疫情防控 网格员在一线

it

IT安全交给MSP,企业能当“甩手掌柜”吗
PS5硬件性能比微软新世代XBOX低太多
微软Surface Go 2配置,并未采用Arm架构
为什么觉得云计算很难
海外医疗IT企业战疫产品盘点
IT行业最热门的三大专业
云计算提供商的网络性能有哪些不同
云计算IT基础设施市场发展
IT人的中年职场保卫战,该如何打赢?

重庆时时彩

安徽福彩帮扶补助政策
山东民政厅调研督导福彩销售场所
镇江福彩推出年度 第一期道德讲堂
站点疫情防控及消防安全检查
刘一手双色球第20014期
轻信彩票APP刷单能赚快钱
福彩和体彩已经恢复开奖
3d开奖结果,这3个号码有点奇葩
福彩3D的销量迎来了严重的下滑
友情链接:福彩
网站地图

以上整理自互联网如有侵权请及时联系我们进行删除,谢谢!联系邮箱:sheng6665588@gmail.com