Cybersecurity, Gestione IT

Perché gli MSP sono i migliori bersagli per gli attacchi informatici

03 Febbraio 2022

La trasformazione digitale non ha cambiato solo il modo in cui lavoriamo, consumiamo e interagiamo, ma anche le capacità e le strategie dei cybercriminali.

In questo articolo vedremo perché gli MSP come te sono diventati gli obiettivi preferiti dai criminali informatici e come non farsi trovare impreparati agli attacchi.

Un riassunto dei recenti attacchi agli MSP

Kaseya VSA – Nel luglio 2021, gli aggressori hanno preso di mira i server di Kaseya VSA, utilizzati dagli MSP, così da diffondere il ransomware REvil a migliaia di endpoint aziendali in quello che, ad oggi, risulta il più grande attacco ransomware mai fatto (e riuscito). Gli aggressori hanno sfruttato una vulnerabilità zero-day in un componente VSA in una catena di exploit che ha aggirato Windows Defender e altre misure di sicurezza del sistema operativo nativo. Più di un milione di sistemi sono stati infettati.

SolarWinds Orion – Nel dicembre 2020 un attacco supply-chain ha colpito più di 18.000 aziende sia pubbliche che private. Le vittime sono state compromesse tramite un aggiornamento software di SolarWinds Orion infettato con un trojan che ha diffuso la backdoor SUNBURST. Si ritiene che SUNBURST sia dovuto a un attacco condotto dall’intelligence russa, ma dopo una settimana un altro attacco è stato scoperto, questa volta attribuito a un attore diverso soprannominato SUPERNOVA. Il malware SUPERNOVA assume la forma di un impianto webshell in grado di distribuire ed eseguire codice dannoso sui device delle vittime.

Wipro, Infosys, Cognizant – Nell’aprile 2019 è stata identificata una campagna di phishing di massa che si era infiltrata con successo in Wipro, uno dei principali fornitori outsourcing di IT per le aziende statunitensi. Si ritiene che i cyber criminali abbiano preso di mira anche Cognizant e Infosys. Una volta violate, le “affidabili” reti degli MSP sono state utilizzate per lanciare attacchi informatici contro i clienti dell’azienda.

CloudHopper (APT10) – Nel 2017, un’indagine condotta sull’organizzazione cybercriminale APT10 (pare sostenuta dalla Cina) ha rivelato una campagna di spionaggio di massa rivolta agli MSP e ai loro clienti soprannominata “Operazione Cloud Hopper”. I ricercatori hanno scoperto che questo gruppo, precedentemente associato ad attacchi a organizzazioni governative, si era rivolto ai fornitori di servizi aziendali e alle società di hosting cloud come parte di una vasta e prolungata serie di attacchi supply-chain. Pare che anche l’MSP norvegese Visma sia stato preso di mira dalla stessa minaccia informatica all’inizio del 2018.

Perché gli MSP?

Con la crescente richiesta di supportare il proprio business, sempre più aziende esternalizzano l’IT e la sicurezza agli MSP. Secondo una ricerca di MarketsAndMarkets, il mercato globale dei servizi IT gestiti raggiungerà i 354,8 miliardi di dollari entro il 2026, rispetto ai 242,9 miliardi di dollari del 2021.

Molte piccole e medie imprese (PMI) si affidano, a costi contenuti, agli MSP per assisterle nella gestione, nel monitoraggio e nel supporto generale dell’infrastruttura IT. Inoltre, le aziende si affidano regolarmente agli MSP per la protezione dei propri dati, ma dobbiamo ricordare che gli MSP sono spesso essi stessi piccole imprese. E poiché i vettori di attacco aumentano di minuto in minuto, le crescenti pressioni sugli MSP sembrano non avere fine.

MSP: come proteggere i tuoi clienti e te stesso

Come qualsiasi altra azienda, gli MSP devono smettere di considerare la sicurezza come un obbligo o una costrizione e capire che fa ormai parte dei costi d’impresa. Questo dovrebbe tradursi in maggiore consapevolezza, in un budget appropriato e in una rinnovata mentalità dei dipendenti.

Ecco alcuni passaggi per iniziare:

  • Protezione: non lasciarti alcun endpoint alle spalle

Osservando lo storico degli attacchi, si può notare che gli aggressori cercano sempre la via più semplice. A volte si tratta di un’email di phishing; in altri casi è solo un endpoint non protetto. Una volta centrato il bersaglio, l’attacco diventa molto più semplice da portare a termine. Inoltre, abbiamo visto attacchi che sfruttano le vulnerabilità e utilizzano Active Directory per accedere a luoghi diversi.

Per non farsi mai trovare impreparati, gli MSP dovrebbero garantire la protezione di ogni endpoint. Ricorda che qualsiasi computer connesso a Internet, non importa quanto insignificante per il tuo lavoro, fornisce un punto di accesso al resto della tua rete e quindi dovrebbe essere protetto da una soluzione di endpoint security. Inoltre, assicurati di implementare le giuste difese contro il phishing e istruisci i tuoi utenti su come identificare, evitare e segnalare questo tipo di minaccia.

  • Automazione: lascia che la tecnologia lavori per te

Sai meglio di me che gli MSP devono essere efficienti ma spesso lavorano con margini relativamente piccoli. La maggior parte degli MSP non può permettersi un team di sicurezza sufficientemente grande per gestire e rispondere alle minacce non appena arrivano. Ciò significa che hai bisogno di una tecnologia che sia autonoma, che utilizzi la potenza del computer stesso per prendere decisioni sulla sicurezza, e che possa essere automatizzata e integrata nel resto del tuo stack tecnologico.

Strumenti che non richiedono professionisti certificati per operare e che possono essere programmati con attività automatizzate tramite semplici interfacce sono il mezzo per avere una sicurezza migliore con meno costi. La soluzione che usi per la sicurezza può essere automatizzata per identificare e agire sugli endpoint non protetti? È possibile configurare un endpoint per rafforzare la propria policy di sicurezza se viene rilevata una violazione? Questi e altri compiti sono semplici configurazioni che possono essere impostate manualmente una volta per poi essere lasciate a sé stesse.

  • Visibilità: ciò che non puoi vedere, non puoi proteggere

Sulle nostre reti aziendali abbiamo i desktop e i laptop dei nostri dipendenti, i loro dispositivi mobili e un lungo elenco di dispositivi IoT, come la macchina per il caffè, un router di rete e altro ancora. Ciascuno di questi aumenta la superficie di attacco della tua rete, perché possono avere vulnerabilità, password deboli (o nessuna) e introdurre altri punti di ingresso per gli aggressori.

Come puoi tenere traccia del numero crescente di device? Tutto inizia dalla visibilità e dalla conoscenza di ciò che hai, qui potrebbe darti una mano anche una soluzione di monitoraggio delle reti. Per rendere la tua rete a prova di proiettile, dovresti anche essere in grado di disconnettere i dispositivi vulnerabili e/o sotto attacco. Quando raggiungi un livello di maturità abbastanza alto da sapere cos’è connesso alla tua rete, significa che hai fatto molto per proteggerla.

Dopotutto anche gli MSP sono imprese

Gli MSP non subiscono solo quegli attacchi grandi e devastanti che finiscono sui giornali; sono anche presi di mira da comuni attacchi di malware e ransomware come ogni altro tipo di azienda.

Per difendersi efficacemente dal ransomware, il primo passo è assicurarsi che i file e i dati critici vengano sottoposti regolarmente a backup, inclusi i backup remoti. Dopodiché è fondamentale implementare la migliore protezione degli endpoint possibile. Ciò include sia l’endpoint protection (EPP) che l’endpoint detection & response (EDR).

L’EDR giusto per rilevare e prevenire attacchi di ransomware e altri malware, è quello in grado di reagire alle minacce in modo veloce e automatizzato. Una volta che si verifica un attacco, non puoi basare il cuore della tua difesa sulle risorse umane che reagiscono solo dopo minuti, ore o giorni. I cybercriminali sono orgogliosi dei loro prodotti veloci nell’infettare e crittografare file e dati, il tuo EDR lo deve essere altrettanto: deve reagire in tempo reale per tenerti al sicuro da tali attacchi.

A tal proposito mi permetto di segnalarti un webinar, disponibile on demand, in cui parliamo proprio di EDR.

Conclusione

In questo articolo, abbiamo spiegato perché oggi gli MSP, ancor più di altre aziende, devono essere protetti e considerare la sicurezza come parte integrante della loro strategia aziendale. Ci si aspetta che gli MSP assistano e facilitino la vita dei loro clienti, quindi non possono permettersi di diventare loro stessi punto di ingresso per attività dannose.

C’è una piattaforma che fa al caso tuo mettendo l’automazione nelle tue mani!

Oltre a quanto citato in precedenza, è importante dotarsi anche di un software RMM che permetta di monitorare e gestire al meglio i sistemi informatici, anche tramite l’utilizzo di scripting per automatizzare il patching e le operazioni che devi svolgere sulle tue macchine e su quelle dei tuoi clienti. ConnectWise Automate potrebbe fare al caso tuo.

Se vuoi conoscere meglio la soluzione, scoprirne le caratteristiche e approfondire le sue funzionalità, abbiamo preparato un Webinar On Demand dedicato.

Guarda il Webinar On Demand

Fonte: blog di ConnectWise

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti