Managed service providers zijn steeds vaker het doelwit van cybercriminelen. Dit komt vooral omdat zij onbewust de aanvallers dienen als toegangspoort tot de netwerken en gevoelige gegevens van hun klanten. Naast malware en phishing gebruiken ze vooral het Remote Desktop Protocol om binnen te komen.
Aanvallen op MSP’s zijn zeer gericht en technisch geavanceerd, aldus fabrikant Eset in een recent onderzoek. Door de hoge dichtheid van gevoelige gegevens van diverse klanten kunnen zij qua schadepotentieel zeker worden vergeleken met kritieke infrastructuren. Voor MSP’s betekent dit dat ze zich moeten voorbereiden op een toename van het aantal aanvallen.
Intrusion gateway RDP
Het Remote Desktop Protocol (RDP) is een protocol van Microsoft voor toegang op afstand tot een computer met het Windows-besturingssysteem. Hiermee kunnen schermweergaven en besturingscommando’s in gecodeerde vorm worden verzonden over IP-netwerken zoals het Internet. Er zijn ook implementaties voor andere besturingssystemen. Hackers kunnen RDP misbruiken om toegang te krijgen tot tools van MSP’s, zoals monitoring en beheer op afstand. Vanuit dit gezichtspunt kunnen zij de eindpuntbeveiliging van cliënten ongedaan maken of systeemgegevens van cliënten versleutelen, zodat cliënten geen toegang meer hebben tot hun back-ups.
Ransomware die daarop volgt, kan vooral voor kleine bedrijven een bedreiging vormen. Geen wonder dus dat in het onderzoek van Eset 61 procent van de MSP’s ransomware als een van de grootste beveiligingsuitdagingen tot nu toe bestempelde. Ook Helge Bienkowski, teamleider managed security bij Acmeo, constateert dat hackers steeds vaker toegang krijgen tot systemen van MSP’s via open RDP-poorten. Met de opkomst van thuiswerkplekken is dit probleem nog nijpender geworden.
De klassiekers: phishing en malware
De aanvankelijke aanvallen zijn echter meestal vrij triviaal, vervolgt Bienkowski. Hackers komen vaak in de systemen binnen via phishingmails of malwarewebsites. Gebruikers wordt gevraagd op links in e-mails of op websites te klikken, waardoor de ransomware in clientsystemen terechtkomt en via de MSP-verbinding het datacenter infiltreert.
Extern gehoste exploitkits omvatten ook meer geavanceerde ransomware-varianten die de webapplicaties van sitebezoekers, zoals de JRE, MS Silverlight, JavaScript of Adobe Flash Player, scannen op kwetsbaarheden. De uitdaging voor MSP’s is dus dat zij altijd een exact overzicht moeten hebben van alle door hun klanten gebruikte toepassingen en hun versiebeheer, zodat leemten in een vroeg stadium kunnen worden opgespoord.
De must-haves voor MSP’s
Ondanks het toenemende belang van RDP en andere remote access-diensten, merkt Eset op dat klanten van MSP’s hun instellingen en bescherming verwaarlozen. Als werknemers eenvoudig te raden wachtwoorden gebruiken en er geen extra authenticatie- of beschermingslagen zijn, zullen cybercriminelen zich er waarschijnlijk niet van laten weerhouden om bedrijfssystemen binnen te dringen, zegt hij.
Oplossingen zoals mailbeveiliging die verder gaat dan antivirus en antispam, patchbeheer en netwerksegmentatie zijn standaardmaatregelen die de meeste MSP’s wel kennen, aldus Bienkowski. Wat echter een probleem vormt, is het gebrek aan middelen om de maatregelen efficiënt uit te voeren. Niettemin benadrukt hij drie gebieden waarop de leden van de Commissie zich meer zouden moeten concentreren: Kwetsbaarheidsbeheer, detectie van en respons op endpoints, en toegangsbeheer voor privileges.
Specialist distributeur Ebertlang noemt twee-factor authenticatie en veilige wachtwoorden ook als eerste in zijn zeven must-haves van IT-beveiliging voor MSP’s. De lijst omvat ook anti-virus/anti-spam, klantenauthenticatie, een noodplan, strikte beheersrechten, verzekering en aansprakelijkheid, alsmede redundantie.
Menselijke factor
De beveiligingsexperts van Eset bevelen de volgende maatregelen aan om RDP te beveiligen:
- Directe RDP-toegang via internet uitschakelen.
- Stel alleen sterke en complexe wachtwoorden toe voor alle accounts die RDP gebruiken.
- Gebruik aanvullende verificatiebescherming met behulp van multifactor- of tweefactorauthenticatie.
- Stel een VPN-gateway in voor alle RDP-verbindingen van buiten het lokale netwerk.
- Verbied in de firewall een verbod op externe verbindingen met lokale computers via RDP-poorten.
- Bescherm eindpuntbeveiligingsoplossingen tegen knoeien of verwijderen door de instellingen te beveiligen met een wachtwoord.
- Verwijder onveilige of verouderde computers die via RDP via internet toegankelijk moeten zijn en vervang ze zo snel mogelijk.
In het algemeen raadt Eset aan om de juiste poorten uit te schakelen op alle computers die geen RDP-toegang nodig hebben en de rest actief te bewaken met een geschikte beveiligingsoplossing.
Uit de enquêtes blijkt dat het gebrek aan beveiligingsbewustzijn onder het personeel een van de grootste uitdagingen voor de bedrijfsbeveiliging is. Ongeacht de gebruikte oplossingen is het altijd noodzakelijk dat alle betrokkenen bij de MSP en de klantbedrijven zich bewust worden van de bedreigingen en zich houden aan het beveiligingsbeleid. Volgens Eset werkt een goede beveiligingsoplossing het veiligst in combinatie met regels die onzorgvuldige omgang met gegevens vanaf het begin voorkomen. Dit is waar MSP’s hun klanten kunnen ondersteunen en waardevol advies kunnen geven.