Manage service provider (MSP) memainkan peran penting dalam ekosistem TI. Dengan mengalihdayakan banyak kebutuhan TI sehari-hari ke perusahaan-perusahaan MSP, perusahaan yang lebih kecil khususnya dapat menghemat biaya, meningkatkan tingkat layanan, dan memfokuskan lebih banyak sumber daya untuk mengembangkan bisnis.
Secara teori, mereka juga dapat mengurangi risiko keamanan dengan menyerahkan kepada penyedia yang lebih mampu dan memiliki sumber daya yang baik. Namun, seperti yang digambarkan oleh operasi ransomware yang berdampak pada pelanggan Kaseya, MSP juga dapat menjadi sumber risiko dunia maya.
Di tengah lanskap ancaman yang bergejolak saat ini, risiko ini terus berkembang. Memberi lebih banyak tekanan pada perusahaan untuk memastikan mereka mengajukan pertanyaan uji tuntas yang tepat dari calon penyedia sebelum menandatangani kontrak.
Serangan berulang
Kaseya adalah penyedia perangkat lunak manajemen TI yang klien utamanya adalah MSP. Produk VSA-nya menghadirkan penambalan perangkat lunak otomatis, pemantauan jarak jauh, dan kemampuan lainnya sehingga perusahaan ini dapat mengelola infrastruktur TI pelanggan mereka dengan lancar.
Dengan cara yang mirip dengan SolarWinds Orion, produk memerlukan akses yang sangat istimewa ke lingkungan pelanggan untuk beroperasi. Ini menjadikannya pilihan yang sempurna bagi penyerang yang mencari vektor ancaman ROI yang efektif dan tinggi.
Itulah yang terjadi pada tanggal 2 Juli. Seperti yang dijelaskan di halaman pembaruan layanan vendor, pelaku menggunakan platform untuk mengkompromikan sejumlah MSP dan mengirimkan pembaruan palsu kepada pelanggan mereka, yang berisi ransomware REvil/Sodinokibi.
Sekitar 50-60 MSP terpengaruh, dan 1.500 pelanggan hilir. Bagaimana bisa mereka melakukan hal ini? Sekarang telah dilaporkan bahwa aktor ancaman mengeksploitasi antara satu dan tiga kerentanan zero-day di produk Kaseya VSA lokal, mengalahkan tim keamanan vendor itu sendiri, yang sedang mengerjakan patch untuk bug pada saat yang sama.
CVE-2021-30116: Kebocoran kredensial dan bug logika bisnis
CVE-2021-30120: Bypass otentikasi multi-faktor
CVE-2021-30119: Kerentanan skrip lintas situs
Ini memungkinkan mereka melewati otentikasi di antarmuka web Kaseya VSA lokal MSP. Mereka kemudian menggunakan sesi tersebut untuk mengunggah muatan mereka dan menjalankan perintah melalui injeksi SQL. Pada saat penulisan, patch akhirnya diluncurkan ke pelanggan lokal, sementara sebagian besar MSP SaaS sudah kembali online.
Alasan MSP berisiko
Ini bukan pertama kalinya Kaseya menjadi sasaran kelompok ransomware. Pada tahun 2019, pelaku serangan mengeksploitasi plugin rentan untuk Kaseya VSA yang memungkinkan mereka berkompromi dengan satu pelanggan MSP. Dengan akses tingkat administrator ke perangkat lunak, mereka dapat mengeksekusi ransomware pada setiap sistem pelanggan yang dikelolanya, yang menyebabkan antara 1.500 dan 2.000 pelanggan terinfeksi varian ransomware Gandcrab.
Meskipun Gandcrab telah dikaitkan dengan REvil, tidak ada indikasi bahwa serangan ini dilakukan oleh kelompok yang sama. Tetapi bagaimanapun juga, kejahatan dunia maya bawah tanah melakukan pekerjaan yang jauh lebih baik dalam berbagi intelijen dan peralatan daripada komunitas infosec.
Itu berarti jika serangan telah terbukti berhasil di masa lalu, biasanya akan terulang di masa depan. Ini adalah berita buruk bagi MSP dan pelanggan mereka, karena ada banyak bukti historis yang menunjukkan bahwa kampanye melawan MSP bisa sangat berhasil.
Mengelola risiko MSP
Dinamika pasar seharusnya berarti bahwa MSP yang secara konsisten mengecewakan pelanggan mereka dalam hal keamanan akhirnya memberi jalan kepada mereka yang memiliki postur manajemen risiko dunia maya yang lebih kuat. Tidak ada kekurangan alat di pasar untuk membantu penyedia ini membedakan keamanan. Namun, ini hanya berfungsi jika pelanggan cukup berpengetahuan untuk memilih dengan kaki mereka.
Untuk itu, berikut adalah beberapa pemeriksaan dan pertanyaan uji tuntas dasar yang perlu dipertimbangkan sebelum memilih MSP Anda berikutnya:
-
- Seperti apa program manajemen patch/kerentanan mereka?
-
- Mitra perangkat lunak mana yang bekerja dengan mereka dan seperti apa reputasi mereka untuk keamanan/jaminan kualitas?
-
- Lakukan pemeriksaan ekstra pada perangkat lunak MSP apa pun yang beroperasi dengan hak istimewa tinggi
-
- Apakah mereka menjalankan delapan kontrol penting untuk MSP? (Ini adalah: daftar putih aplikasi, penambalan dan pengerasan, pembatasan hak administratif, autentikasi multi-faktor, penambalan OS, pencadangan harian, dan penyesuaian pengaturan makro Office)
-
- 4Apakah mereka memiliki perlindungan anti-malware yang kuat di seluruh server, titik akhir, jaringan, email, sistem cloud, dll?
-
- Apakah mereka mengoperasikan kebijakan akses hak istimewa paling rendah dan segmentasi jaringan untuk meminimalkan permukaan serangan?
-
- Apakah mereka secara teratur melatih dan memperbarui staf tentang kesadaran phishing?
-
- Apakah mereka melakukan audit/peninjauan keamanan secara teratur dan komprehensif?
-
- Apakah mereka menjalankan deteksi dan respons ancaman yang diperluas (XDR) untuk perlindungan proaktif?
-
- Apakah mereka memiliki rencana respons insiden yang terlatih dengan baik bahkan dalam skenario terburuk?
-
- Standar industri, sertifikasi, dan kerangka kerja apa yang mereka ikuti?
Pemeriksaan uji tuntas seperti ini tidak akan melindungi perusahaan Anda 100 persen dari insiden keamanan yang melibatkan MSP. Tetapi mereka akan membantu mengurangi risiko salah satunya.
