IT安全交给MSP,企业能当“甩手掌柜”吗?
科技云报道原创。
在MSP(Managed Service Provider)越来越流行的当下,企业已经开始习惯把自己的IT系统托管给专业MSP,不再亲自操刀日常的IT运营和管理。当网络攻击变得日益频繁,企业IT安全是否可以100%依赖MSP?
疫情发生以来,全球出现了很多以“新冠病毒”等网络热词为诱饵的网络攻击。无论是政府、医疗机构还是大中型企业,都成为黑客组织定向瞄准的对象。
在大量机构纷纷中招之际,那些将自身IT系统托管给MSP的企事业单位,似乎显得更为放心。
作为企业数字化转型的重要合作伙伴,MSP可以说是企业“上云”和“管云”的最佳选择之一。
如今的MSP一般以整套服务方式对企业数据中心的整体IT资源进行统一管理,包括对操作系统、中间件、应用程序等提供运营服务,而相应的技术支持和服务则包括安全、监控、配置、更新、部署实施等。
当网络攻击来袭时,对托管在其平台上的企业提供安全预警和响应服务,自然也成为MSP的“分内事”。但是很少人注意到,以往针对企业的网络攻击,正在悄然转向MSP。
安全公司Armor曾发布报告,2019年有13家MSP和云服务提供商遭受了勒索软件攻击,造成了其客户网络遭受勒索软件感染。
令业界倍感震惊的是,美国知名MSP服务商Synoptek也遭到了勒索软件的攻击,导致托管在其云管平台上的1100个企业客户业务无法正常运营。
针对MSP的攻击迅速崛起,为整个MSP领域敲响了警钟。人们不禁好奇,为什么网络攻击对象会从最终用户转向MSP,以及黑客会采用哪些攻击手段?
更值得关注的是,如果MSP遭到了网络攻击,将“身家性命”都托管给MSP的企业和机构,还该不该信任MSP?双方应该如何合作,才能确保企业的网络和数据安全呢?
针对MSP的网络攻击成为趋势
在安畅网络MSP布道师兼架构师主管曲骏看来,将MSP作为网络攻击对象正在成为一种趋势。
作为IT服务管理提供商,MSP承接着大量企业客户的基础架构监控和运维工作,大部分企业用户还会把大量的关键系统管理权限委托给MSP。
在这个过程中,无论是MSP的数据管控风险,还是企业的权限治理风险都会逐渐升高。
如果黑客成功攻入MSP系统,可以一次性拿到多个企业的核心数据,因此攻击MSP比攻击最终用户的成本更低,这使得MSP成为攻击最终目标用户的一条新路径。
除此之外,多云及混合云管理服务提供商Bespin Global(贝斯平)的专家也表示,由于MSP在受到攻击时无法提供正常服务,承受的压力更大,因此也更容易为快速恢复服务而向攻击者妥协。
从贝斯平的服务经验看,针对MSP最常见的攻击手段一般分为两类:
第一类,以勒索钱财为目的的勒索病毒攻击;第二类,获取服务客户敏感信息的钓鱼或APT攻击。
与直接针对最终用户的攻击相比,针对MSP的攻击手段似乎并无太大区别。但实际上,对MSP服务进行安全防护更为复杂。
由于不同企业客户的环境中存在管理差异,而这些环境对于MSP来说完全属于黑盒,因此在MSP服务过程中可能会存在一些安全短板,例如:数据库的弱口令、redis的空口令、以及企业客户对自身员工的管理疏漏导致的病毒入侵,都可能对MSP的服务质量造成影响。
在国内,MSP产业才刚刚兴起,很多MSP服务商在安全治理的发展上还不够成熟,这也成为MSP易受攻击的原因之一。
曲骏认为,国内大部分的MSP服务商,都会强调自己拥有云管理平台、专业的工程师、半自动化或全自动化的工具,去帮助客户解决各种各样的问题,但是往往会忽略一个关键点:数据资产和网络安全风险。
一旦2020年出现更多针对MSP攻击的案例,无论是MSP服务商还是企业客户,都会把安全作为一个头等大事来对待,其防御等级和安全意识会随之提升。
MSP服务模式下如何确保企业IT安全?
当网络攻击的重点转向了MSP,这是否意味着企业将IT系统全权托管给MSP的方式不再安全?
事实上,这个问题并不能一概而论。在MSP服务过程中,往往涉及多方参与,包括最终用户、MSP服务商和众多的第三方合作伙伴。无论是哪一方,都有可能成为网络攻击的入口,因此需要各方合力做好网络安全防护。
从企业用户的角度看,根据国家《网络安全法》和等保2.0等规定,企业在网络安全防护和信息安全管理方面须具备相应的能力。
尤其是在金融、游戏、教育、电商、网贷、通讯、能源、运输等行业,企业的网络安全建设必须符合等保2.0的要求。换句话说,企业要做好自己内部的安全防护,才能不让网络攻击有机可乘。
从MSP服务商的角度看,和各行业的企业一样,MSP服务商首先必须保证自身的安全治理符合等保2.0的规定。
此外,MSP服务商因承诺为企业客户提供安全可靠的IT托管服务,因而在技术、管理、咨询等层面,都须具备更高的要求和能力。
在曲骏看来,MSP在提供服务之前,需要从两个方面来确保企业客户的网络安全和数据安全:
第一,MSP的运维人员是否具备基本的安全意识,尤其是基于安全体系的操作认知,必须强化在每一个工程师心中。
第二,MSP的管理平台是否具备严格的安全管理和运维规范。
例如,在不影响企业客户授权和安全审计体系的前提下,MSP平台需要通过严谨的管理体系和标准作业流程,对拥有客户权限的MSP工程师,在操作行为上进行管控和规范,杜绝因MSP工程师主动意愿或误操作带来的安全隐患。
针对企业客户的授权方式,安畅网络一般采用“多鉴权的方式”去管理客户的数字资产,如:通过非明文密码、多因子认证等方式进行授权,确保授权过程及授权后的数据安全。
在获得授权后,安畅网络的CMP平台对客户数据也只做导入,对数据进行分析和判断,整个过程清晰可视化,从根本上保证客户的数据安全。
此外,由于不同企业客户在托管方式和交互方式上具有很大的差异,MSP服务商需要面对多样化的企业客户需求,如:半托管和全托管,公有云、私有云和混合云管理,以及密钥管理、API接口等交互方式。
因此,要保障企业客户的数据资产和网络安全,一套完整的方法论和丰富的行业服务经验也必不可少。
在贝斯平,为了避免由于MSP受到攻击而影响最终企业客户行为的发生,其经验是从技术和管理两个维度进行有效控制。
以勒索病毒为例,在技术层面,贝斯平在网络边界隔离、系统加固、补丁安装、端口开放、杀毒软件、漏洞扫描、备份、网络准入、双因素认证、访问控制、最小权限、审计等方面进行有效管理。
在管理层面,对MSP的运维人员从运维SOP、技术培训、安全意识培训等方面进行管理。在有效缓解被攻击的可能性同时,也降低了特殊情况下所影响的客户面。
一般情况下,在管理层面先有需求后,随之在技术层面执行落地。因此,在这种管理指导技术实现的方式下,无须过多强调它们之间的界限。
MSP遭受攻击带来的损失由谁承担?
事实上,企业IT永远不可能达到100%的安全。当企业客户将自己的数据和业务系统迁移到云上,将系统的控制权交给MSP,其数据资产和网络安全的风险就进一步加大了。
同时,在MSP服务模式下,由于MSP平台的管理和运行主体与数据安全的责任主体不同,相互之间的责任如何界定,缺乏明确的规定。不同的服务模式和部署模式、云环境的复杂性也增加了划分MSP和企业客户之间责任的难度。
一旦MSP遭受攻击而导致企业客户利益受损,这个责任该由谁承担?
对此,贝斯平专家认为,MSP与客户签署SLA(服务等级协议)声明,提供具有质量保证的服务,是MSP义不容辞的责任。
如果在MSP提供服务的过程中出现此类事件,MSP应当承担一定的责任和赔偿。
赔偿方式可以多样化,例如:部分云厂商是以“无法提供服务的时长*相应系数”作为补偿时间来赔偿客户,MSP则采用续签合同赠送额外服务的方式进行弥补。
在安畅网络,责任划分则是通过一整套IT治理框架和细化的SOW来实施。
在合同签署前,安畅网络会主动与企业客户沟通各自的工作边界和责任,并出具详细的服务SOW,包括:赔偿方案、服务响应时间等颗粒度明确的声明,以确保双方的权益以及一旦事故发生后的责任归属。
此外,曲骏也认为MSP具备“知识转移”的义务和责任。
作为连接多个云服务和企业IT系统的第三方服务商,MSP需要将自身的知识和经验转移给企业客户,帮助企业客户掌握云计算、云安全等新技术形态下的IT建设经验,双方共同构建更加安全有效的IT运营。
在IT安全越来越重要的今天,企业对网络安全和数据安全的重视程度日益提升,因此优质的第三方MSP服务商成为政企客户的一致选择。
在中国信通院发布的国内首个云MSP标准评估中,贝斯平、安畅网络、浙江移动、神州数码、上海天玑是国内首批通过可信云标准的5家MSP服务商,为各行业选择安全可靠的MSP服务商提供了权威参考。
对于行业客户而言,将IT托管给MSP不再意味着当“甩手掌柜”,如何擦亮双眼选择优质的MSP服务商,快速找到双方共建IT安全的合作模式,将成为未来企业和MSP服务商需要共同探讨的话题。
【科技云报道原创】
转载请注明来源:科技云报道
IT安全交给MSP,企业能当“甩手掌柜”吗?相关推荐
- 鹏博士和阿里云数据库产品达成战略合作,共赢企业数智化创新市场
简介:近日,生态伙伴的全国总经销商鹏博士与阿里云数据库产品达成战略合作,通过阿里云云原生数据库的产品能力和鹏博士的企业服务能力,助力企业数字创新.鹏博士有服务客户的良好基因,数据库领域也是我们在前行过 ...
- 下一个IPO目标?!美国MSP产业2020六大趋势
2020年1月7日,由工信部牵头中国通信标准化协会云计算标准和开源推进委员会主导的国内首批云管理服务评估结果发布,以安畅.Bespin.浙江移动为代表的三家卓越级服务商以及两家增强级服务商成为中国首批 ...
- Bespin Global:云MSP圈儿里的“有为青年”
谈今天的主题之前,小编先上一张还算有趣的原创图片! 我想如果Bespin Global也有朋友圈的话,很有可能是这个样子滴! 作为亚洲地区唯一入选Gartner首版公有云MSP魔力象限的企业,Besp ...
- 【云驻共创】非标装备制造企业如何破除交付困境
文章目录 前言 一.制造业的生产关系 1.OEM的概念 2.EU的概念 3.EPC/SI的概念 二.数字化的现状及趋势 1.IT和OT 2.数字化设备 三.非标装备企业的现状 1.非标装备企业的现状- ...
- 什么是云原生架构?云原生和应用上云不是一码事!
你知道的越多,不知道的就越多,业余的像一棵小草! 成功路上并不拥挤,因为坚持的人不多. 编辑:业余草 blog.csdn.net/gavinchen1985 推荐:https://www.xttblo ...
- 5分钟搜索120个平台10年数据!监视软件细节曝光:人人“裸奔”,预测警务歧视严重...
来源:大数据文摘本文约3000字,建议阅读5分钟 本文介绍了监事软件的细节,其中预测警务歧视情况十分严重. 在全球各地,警方利用监视软件监视用户,已经成为众人皆知的秘密. 但你可能不知道的是,这些软件 ...
- 银行业B端数字化转型逻辑
互联网的普及和数字技术的应用,给银行业带来的冲击,超出了传统思维的框架.很多银行还没弄清怎么回事,就仓促应对,"线上化.网络化.数字化"已经成了银行家们的标配,但是很少有人弄清背后 ...
- 江苏省2013年会计从业资格考试《会计基础》全真模拟试题
一.单项选择题(共40题,每小题1分,共计40分) 1.在登记账簿时,红色墨水不能用于( ). A.更正错账 B.记账 C.结账 D.冲账 2.下列适合采用多栏式明细账格式核算的是( ). A.原材料 ...
- dc综合与pt静态时序分析(中文)_小三电系统(PDU+DC+OBC)的技术研究
来源 | 电动学堂知圈 | 进"汽车软件社群",请加微13636581676,备注软件 0 引言 近几年,在国家政策的支持下,新能源汽车产销量保持了较快增长,随着规模效应,国家逐步 ...
最新文章
- PostCss 从0开始
- 看了50+竞品分析,我总结出5个常见问题和1套方法论
- C++自学11:命名空间(using namespace)
- C风格简易本地log系统
- 微信开发者工具下载安装教程
- iOS底层 - 符号解析(dSYM 系统符号)Go语言版本
- 各种网线的分类和区别
- matlab 神经网络训练 分类器,matlab神经网络分类器
- 给新服务器装linux系统,新服务器安装linux系统安装教程
- oracle 12c pdb数据库全库备份
- 读《半世烟雨,半世桃花 李清照词传》有感
- 设计模式实例php,PHP三种设计模式实例教程
- SSD_Resnet 飞机与油桶数据集实战
- BCS演讲实录 | 未来智安CTO陈毓端精讲《XDR扩展威胁检测响应探索与实践》
- Ubuntu系统下硬盘安装windows
- 为什么有些应用程序愿意采用不可靠的UDP,而不愿意采用可靠的TCP?试解释为什么ARP高速缓存每存入一个项目就要设置10~20分钟的超时计时器。这个时间设置的太大或太小会出现什么问题?
- 第十四章第五节:Java集合框架之优先级队列PriorityQueue(堆)
- 数据挖掘——文本挖掘-关键字提取
- 围绕 API 团队协作与自动化测试的实践
- 使用hibernate通过修改实体类文件更新数据库失效解决办法