Означают ли бэк-офисы бэкдоры?

Руководители европейского бизнеса, особенно директора по информационной безопасности, технические директора и директора по данным (CDO), приспосабливаются к тому факту, что война в украине война в Европе и имеет глобальные последствия. Санкции, военная помощь и даже прибывающие беженцы — все это сигналы о том, что операторам общих центров обслуживания с интенсивным использованием цифровых технологий (SSC) и оффшорных схем следует пересмотреть свои планы на случай непредвиденных обстоятельств и состояние ИТ-безопасности.

Хотя этот совет лучше всего выполнять периодически, будь то война или ее отсутствие, устойчивый конфликт на границах ЕС должен усилить решимость проверить вашу стратегию ИТ-безопасности. Для предприятий и учреждений, работающих в Центральной и Восточной Европе (ЦВЕ), необходимость переоценки безопасности является серьезным напоминанием о том, что центры обслуживания и модели поддержки могут нести риски помимо высокой подверженности киберугрозам, в том числе геополитическим угрозам.

Безусловно, CEE — не единственная игра в городе. Что касается размещения SSC и швартовных операций, то в Латинской Америке (Аргентина, Бразилия, Мексика, Панама и т. д.) и в Азиатско-Тихоокеанском регионе (Индия, Филиппины, Таиланд и т. д.) векторов рисков из-за их интенсивной зависимости и / или поддержки цифровых / ИТ-процессов.

Однако, когда все внимание обращено на войну в Европе и особенно в Центральной и Восточной Европе, давайте использовать этот регион в качестве нашего объектива.

Расположение, местоположение, местоположение

Многие страны ЦВЕ, включая Словацкую Республику, Польшу и Чешскую Республику, уже более 20 лет размещают рабочие площадки для бизнес-модели SSC, а Украина немного позже добавила свою квалифицированную рабочую силу в «партию» опор и SSC. . В настоящее время бизнес-модель креплений и SSC работает не менее 900,000 XNUMX человек по региону ЦВЕ. Поскольку Киев, Братислава, Прага, Варшава, Клуж и многие другие города поддерживают телекоммуникации, программное обеспечение, финансы, управление персоналом, автоматизацию и другие бизнес-процессы, значительные усилия были направлены на то, чтобы сделать эти ИТ-центры устойчивыми.

Атрибуты географии в сочетании с человеческими ресурсами и инструментами, которые они используют, делают операции SSC интересными кибер-мишенями. Теперь, несмотря на усилия, необходимые для создания и развития этих бизнес-активов, ориентированных на производительность, в течение 20 с лишним лет затишья, сделавшего регион Центральной и Восточной Европы столь привлекательным для SSC, война и ее киберцентрические аспекты ставят новую задачу — обеспечение и безопасность, и доверие.

С точки зрения безопасности, нам нужно только проконсультироваться Отчет Verizon DBIR чтобы увидеть, какие отрасли сталкиваются с самыми высокими показателями постоянных и целенаправленных атак. И доверять? Понимание того, обеспечивают ли ИТ-безопасность при офшорных операциях, ориентированных на услуги, и операциях SSC, управляемых штаб-квартирой или в рамках цепочки поставок, мягкое прикосновение для злоумышленников? В конце концов, многие отрасли, подробно описанные в отчете, и их партнеры по цепочке поставок используют возможности форсинга и SSC, в том числе в ЦВЕ. Таким образом, операторы должны переоценить ИТ-риски и ужесточить методы цифровой безопасности по всем направлениям.

Многие ИТ-директора, директора по информационной безопасности и их сотрудники начали взгляд на нулевое доверие, модель ИТ-безопасности, предназначенная для ограничения подверженности риску за счет устранения ненужного доступа и привилегий в критически важных ИТ-системах. Дивиденды в отношении нулевого доверия заключаются в приоритетное ограничение услуг доступны для пользователей в сети, вместо того, чтобы блокировать доступ задним числом. Это означает, что доступ не предоставляется без специальной и упреждающей авторизации. Хотя это всего лишь один подход, и он является агрессивным, он имеет высокие баллы за проактивность.

COVID-19, война и изменение поведения

Если мы сможем извлечь данные о киберугрозах, связанных с продолжающаяся пандемия COVID-19 (Пик угроз, связанных с COVID-2020, в 19 г.), а также более широкий ландшафт угроз в 2020, 2021 и первой половине 2022 года, то рабочие процессы с интенсивным использованием ИТ и данных, используемые для резервирования и SSC, действительно требуют осторожности.

По своему замыслу SSC сосредоточены на конкретных задачах или подзадачах, которые могут повысить скорость и/или эффективность доставки с выгодой для руководства. Здесь «совместно» означает сотрудничество; однако сотрудничество также предлагает широкие возможности для векторов угроз. Хотя ниже мы рассмотрим некоторые особенности, мы можем с уверенностью сказать, что модель нулевого доверия предлагает многообещающие операции по резервированию и SSC.

В то время как SSC в ЦВЕ и других местах хорошо демонстрируют преимущества, которые модели, ориентированные на сотрудничество и производительность, приносят бизнесу, в масштабе за этим следует усиление риска. Еще до войны некоторые из этих рисков уже представлялись; в 2021 году дальнейшая доработка и внедрение платформ для совместной работы стали ключевым фактором революции в удаленной работе, первоначально вызванной пандемией. Среди многих платформ Microsoft Exchange Server испытал одно из самых масштабных нарушений безопасности, когда ряд уязвимости был использован по крайней мере 10 акторов продвинутых постоянных угроз (APT) как часть цепочки атаки. Уязвимости позволяли злоумышленникам захватить любой доступный сервер Exchange, даже не зная действительных учетных данных.

В течение недели после объявления об уязвимостях ESET обнаружила атаки веб-шелла на более чем 5,000 почтовых серверов. Поскольку MS Exchange была одной из самых популярных платформ для совместной работы, ущерб распространился повсюду. В последующие дни и недели попытки атак, основанных на использовании этой уязвимости, происходили в несколько волн. Примечательными и наиболее опасными среди атак были кампании программ-вымогателей, проводимые некоторыми из самых активных APT и преступных групп.

Совместная работа может означать многое: электронная почта, общие документы, MS Teams, видеозвонки, MS 365… и, вероятно, использование многих облачных платформ. Опять же, масштаб использования инструментов как внутри организации, так и по всей цепочке поставок (включая партнерские организации) открывает эту большую поверхность угроз. Все цифровые инструменты/платформы, упомянутые здесь, являются краеугольными камнями многих портфелей шуринга и SSC.

Защита и управление всей ИТ-«недвижимостью», подразумеваемой упомянутыми платформами и инструментами, требует больших ресурсов — настолько, что многие предприятия и организации решили передать безопасность на аутсорсинг поставщикам управляемой безопасности и услуг (MSSP + MSP), бизнес-модели. того же года выпуска, что и SSC. К сожалению, тот же цифровой клей, скрепляющий эти предприятия и их клиентов, также подвергся атаке.

Доверие — это цифровой клей

Виртуальные отношения, будь то B2B, B2C или B2B2C, работают благодаря доверительным отношениям, которые лежат в основе нашей готовности к децентрализации и/или аутсорсингу процессов. Что касается задач и услуг по администрированию ИТ и ИТ-безопасности, мы также заметили, что эти доверительные отношения пострадали.

В июле 2021 года программное обеспечение Kaseya для управления ИТ, популярное среди MSP/MSSP, пострадало Атака цепочки поставок беспрецедентного масштаба. Точно так же другой игрок MSP, SolarWinds, столкнулась с атакой на свою платформу Orion, которая требует доступа с высоким уровнем привилегий для управления клиентскими средами; ясно, что эти крупномасштабные среды стали предпочтительным вектором угроз с высокой рентабельностью инвестиций. В то время как лидеры рынка Kaseya и Solar Winds столкнулись с серьезными последствиями для бизнеса и репутации, их клиенты также сильно пострадали.

Ускоренная цифровизация, вызванная пандемией, также пролила свет на ту ключевую роль, которую глобальный переход к работе из дома сыграл в обеспечении безопасности. Возможно, лучше всего это выражается в огромном количестве атак на удобный, но уязвимый интерфейс, который часто используется персоналом дома для подключения к серверам компании — протокол удаленного рабочего стола (RDP). Использование RDP открыло множество «черных ходов» в компаниях и подвергалось постоянным атакам в течение последних двух лет. В декабре 2020 года ESET регистрировала в среднем 14.3 миллиона атак в день только в Германии, Австрии и Швейцарии; это соответствует 166 атакам в секунду. Для контекста, эти три страны имеют значительные операции и инвестиции в производство в Центральной и Восточной Европе, и многое поставлено на карту. Несмотря на то, что в 2022 году RDP-атаки, наконец, заметно снизились, плохая практика административной безопасности и другие факторы, скорее всего, сохранят RPD среди серьезных угроз, с которыми сталкиваются SSC и операции по обеспечению безопасности.

Цифровая защита, большая и малая

Набор инструментов для наилучшего обеспечения безопасности предприятий, в том числе SSC, начинается со зрелых методов управления ИТ. В то время как многие SSC и операции по резервированию выиграли от политики обновления программного обеспечения и управления исправлениями в штаб-квартире, а также от развертывания продуктов для обнаружения конечных точек, до войны в Украине зрелые методы обеспечения безопасности в идеале обеспечивались/управлялись хорошо укомплектованным операционным центром безопасности (SOC). ) команда сейчас критична. Эти бизнес-операции, возможно, находились на периферии более широких операций по обеспечению безопасности как на предприятиях, так и на более крупных малых и средних предприятиях, но необходимость более глубокого изучения для защиты конечных точек, Сервисы), а прозрачность сетей с помощью расширенных средств обнаружения и реагирования, а также методов обеспечения безопасности со стороны ИТ-администраторов и персонала стала более острой.

Обеспокоенность по поводу целенаправленных атак, злонамеренных внутренних субъектов и «доверительных» отношений означает, что сервисные центры, особенно в Центральной и Восточной Европе, должны оценивать уровень своей безопасности и зрелость своих методов обеспечения безопасности, а также проводить аудит как внутренних, так и внешних рисков.

При проведении аудитов такого масштаба предприятиям необходимо активно взаимодействовать с сервисными командами существующих поставщиков или, во многих случаях после вторжения в Украину, быстро переходить в безопасную гавань с новыми поставщиками. Хотя процессы аудита требуют значительных ресурсов, они также обеспечивают экономию затрат, эффективность процессов и непрерывность бизнеса модели шоринга.

Для небольших операций, которые не имеют команды SOC или не имеют бюджета либо на инструменты обнаружения и реагирования на конечных точках, либо на управляемое обнаружение и реагирование, все еще есть важные варианты. Решения для облачной безопасности могут помочь защитить жизненно важные инструменты для совместной работы, включая Microsoft 365, OneDrive и Exchange Online, и включают в себя мощные, простые в интеграции инструменты облачной песочницы, которые эффективны против невиданных ранее угроз.

Заключение

Таким образом, многие из самых серьезных угроз для бизнеса, будь то через RDP, вымогателей и другие вредоносное ПО через файлы с поддержкой макросов, или сообщения электронной почты с вредоносными вложениями могут нанести серьезный ущерб. Для рассматриваемых офисов их клиенты или штаб-квартиры решили инвестировать и наращивать глобально распределенные мощности, поэтому проблемы и угрозы во многом схожи.

С открытым конфликтом в качестве строгого напоминания защита инвестиций и повышение потенциала, обеспечиваемого SSC, опорными операциями и другими бизнес-моделями, ориентированными на эффективность, имеет решающее значение. Это также напоминает о значительных чернилах, пролитых на уровне ЕС, чтобы поддержать более самостоятельную среду безопасности в Европе.

Конфликт в Украине, как и предшествовавшая ему пандемия, посылает четкие сигналы о решающей роли цифровых технологий в глобальном бизнесе и поддержании стабильной и благоприятной экономической среды. В чем-то вроде коллективной безопасности, если SSC станут слабым звеном в европейских или глобальных бизнес-услугах и цепочках поставок, то глобальный бизнес от этого станет беднее.