I Managed Service Provider sono il nuovo anello sotto attacco della catena della cyber security. Non un anello debole, a priori, ma comunque un componente della catena della sicurezza IT delle imprese che deve essere adeguatamente protetto. Più di quanto non lo sia già, perché gli MSP sono ora chiaramente nel mirino di una nuova ondata di attacchi della criminalità informatica.

Questo è il succo di un report che le principali agenzie nazionali di sicurezza del mondo anglosassone - tra cui CISA, NSA e FBI per gli USA - hanno redatto di recente. Sottolineando che gli attacchi agli MSP sono particolarmente intensi e questo richiede nuovi interventi sia degli MSP stessi, sia delle aziende loro clienti.

Parlando di MSP, le agenzie di sicurezza si riferiscono principalmente a operatori che offrono servizi IT ad aziende clienti e che per questo hanno accesso diretto all'infrastruttura IT di queste ultime. Infrastruttura che può essere on-premise presso le aziende stesse oppure ospitata nei data center del MSP. In entrambi questi scenari, un MSP possiede elevati privilegi di accesso alle risorse IT aziendali ed è connesso direttamente ad esse attraverso uno o più link di rete considerati affidabili.

Proprio per queste caratteristiche, un MSP vulnerabile rappresenta un vettore di attacco molto interessante per i cyber criminali. Violare le infrastrutture e la sicurezza di un MSP permette infatti, a cascata, di accedere facilmente alle reti e alle risorse IT (dati compresi) potenzialmente di tutti i suoi clienti.

Le forme di difesa

Il report della CISA e delle agenzie "sorelle" spiega che la cyber security degli MSP viene violata soprattutto con tre macro-tipi di attacchi: la violazione di endpoint o di servizi accessibili via Internet, attacchi a forza bruta, campagne di phishing. Tutte le forme di difesa preventiva che aiutano a contenere o bloccare questi tipi di attacchi dovrebbero quindi essere implementate dagli MSP e costantemente rafforzate.

Un altro componente essenziale della sicurezza IT è, secondo il report, il monitoraggio delle infrastrutture. Un attacco ben riuscito può restare "silente" per mesi, quindi è opportuno conservare anche a lungo (minimo sei mesi) log dettagliati di quanto succede in rete. Per capire, una volta scoperto l'attacco già avvenuto, cosa hanno potuto fare nel frattempo i cyber criminali.

Il logging dovrebbe essere fatto sia dal MSP sia dall'azienda sua cliente, separatamente. L'azienda può appaltare il monitoraggio e il logging al MSP stesso o a un altro provider, ma in questo caso deve controllare con attenzione le clausole contrattuali che riguardano questa attività. Per essere certa che essa sia pervasiva e che soprattutto comprenda notifiche repentine e precise delle violazioni alla sicurezza.

Altro tassello: la MFA. Implementare forme di autenticazione a più fattori dovrebbe essere scontato, il consiglio è rafforzare al massimo le singole implementazioni della MFA perché le APT più evolute hanno già dimostrato la loro capacità di superarne i protocolli base. Consiglio per le aziende clientti degli MSP: la MFA deve essere abilitata anche per gli account che il provider usa per accedere agli ambienti IT delle imprese che serve.

E a proposito di account per la gestione, va assolutamente adottato il principio dei privilegi minimi in tutta l'organizzazione degli MSP. Il report spinge per un modello "a livelli" dei privilegi, in modo che ciascuno abbia solo i privilegi che davvero gli servono e per evitare al minimo indispensabile l'uso di "super account" con tutti i privilegi di accesso. L'organizzazione dei privilegi deve essere ovviamente sempre aggiornata.

Meno possibilità di attacco, più sicurezza

Il tema dell'aggiornamento costante di tutti gli aspetti della gestione delle infrastrutture IT, proprio in ottica di cyber security, è trasversale. Con l'obiettivo di ridurre al minimo, in ogni momento, la superficie di attacco del singolo MSP e delle aziende clienti. Questo significa tra l'altro eliminare subito del tutto account obsoleti, disabilitare sistemi e servizi una volta che non sono più attivi, aggiornare software e firmware non appena possibile, applicare immediatamente le patch di sicurezza disponibili.

Devono poi essere implementate anche forme di sicurezza che limitino i danni in caso di attacchi riusciti o di qualche malfunzionamento nell'architettura dellla cyber security. Ad esempio, è opportuno segmentare la rete per isolare i sistemi più critici e i loro dati. Vanno identificate e analizzate tutte le connessioni fra i sistemi interni (del MSP e della singola azienda cliente), fra cliente e MSP, dal cliente e dal MSP verso reti esterne. Le connessioni davvero necessarie vanno protette, le altre andrebbero eliminate.

Il backup dei dati e dei sistemi è ovviamente indispensabile. I backup vanno eseguiti con una frequenza che dipende dalle esigenze del singolo MSP e dei suoi clienti. Una volta eseguiti, vanno conservati al di fuori della rete principale ed isolati da essa. È una buona norma in generale, oggi è insispensabile perché alcuni ransomware sono progettati per cercare backup in rete ed eliminarli.

Serve poi, sempre di più, organizzazione. Servono cioè piani di incident response e di recovery, sempre aggiornati e testati. Serve una cultura della gestione del rischio estesa alla supply chain tanto del provider quanto delle aziende clienti. Sono i clienti in particolare che devono capire come il loro MSP sia inevitabilmente un fattore in più di rischio cyber, in sé e per i vendor tecnologici e i subcontractor che eventualmente coinvolge. Idealmente, tutti i fattori di rischio vanno valutati e vanno definite le opportune risposte, procedurali quanto legali.

Serve in generale anche una cultura della trasparenza tra MSP e clienti: l'azienda cliente deve sapere e comprendere bene cosa copre, in termini di cyber security, il contratto che stipula con il provider e cosa invece resta di sua esclusiva competenza. Definire chiaramente le rispettive responsabilità fa bene a tutti ed elimina il rischio che, in situazioni magari particolarmente complesse, la risposta ad un evento cyber sia inadeguata.