並非所有代管服務供應商(MSP)都擅於處理企業資安需求。本文將說明如何排除那些令中小企業岌岌可危的廠商。
文/Susan Bradley‧譯/Nica
美國資訊安全與基礎設施安全局(CISA)發表名為「代管服務供應商客戶風險考量」的文件。別的不說,就選擇MSP而言,CISA認同網路管理員的角色在此的必要性。即便這份文件內容可以說是採顧問模式中小企業的整體指南,但我發現其中有部份建議與個人瞭解的中小企業不一致。
特別是CISA建議:「中小企業應分門別類找出哪些資產對營運而言最重要,針對這些資產歸納風險特性。這麼做可以讓企業針對哪些資產應優先排除或納入廠商合約,繼而為影響這些資產的意外事件開展特定應變計劃。」許多小型企業不見得能意識到技術性資產呈現的風險。企業經常必須推動技術性資產採購,然而一旦需求滿足,就不會分析資產風險。多半會等到顧問進駐,才建議變更技術資產。
[ 推薦閱讀: 達美樂以MLOps加速資料科學產出成果 ]
CISA的建議是雇用取得MSP特定合約與服務等級協議的企業組織。同時建議MSP提供:
- 意外事件管理指南。
- MSP緩解已知風險將採取的步驟。
- 說明來自不同客戶端的資料在MSP網路下如何分段或區隔。
- MSP處理事件記錄維護的指導方針。
- 為了讓智慧財產權遭竊風險降到最低而審查員工的文件。
- 客戶檢查直接或間接支援合約服務系統的能力。。
- 支援服務順利整合的變革規劃。
- 計劃內網路中斷的協議。
- MSP財務狀況與揭露所有之前法律問題的文件。
雖然上述清單都不難取得,但實際上它就是不在SMB與MSP的合約協商裡,或者沒有妥善記錄。
[ 推薦閱讀: 後疫情世界資安長會面臨什麼挑戰? ]
CISA建議套用零信任資安模式,包括對所有必須存取你網路的立約人與代管服務廠商僅提供最低特權。許多中小企業要做到網路真正零信任還有一段漫漫長路。相對地,他們必須仰賴其他處理程序,確保已進行額外驗證程序才獲得其網路存取權。
找到專攻資安的代管服務供應商
網路管理或資安管理,可透過對資安問題的回應,找出優秀的MSP或顧問。問他們對多因驗證的看法,尤其是從組織外部存取資源的相關部份。問他們認為你的風險有哪些。若他們把問題推回來或對風險避重就輕,就不是你要的MSP。
MSP不應只是建議定期套用更新,更應確保MSP公司本身也這麼做,尤其是對使用的所有遠端存取工具。與顧問討論他們遠端存取使用的工具與更新處理程序有哪些。確保顧問在遠端存取工具上啟用MFA,並強制每個顧問或技術人員在網路上僅擁有單一存取權杖(access token)且不能重複存取。討論使用專屬VPN存取你的網路,並確保顧問依所需處理程序,將某些應用與任務限定在其固定IP上。
[ 加入 CIO Taiwan 官方 LINE 與 FB ,與全球CIO同步獲取精華見解 ]
MSP應備有多重備份處理程序,這麼一來若/當惡意軟體攻擊你公司時,就不會僅仰賴單一程序備份與回存關鍵營運功能。攻擊者將焦點放在弱點連結與切入點,而MSP正是可口的目標。攻擊者知道,若他們能獲得MSP存取,就能同時存取眾多客戶。
MSP本身通常會使用其他共享廠商與工具。要求MSP所使用廠商與入口網站的安全性實作額外資訊與確認文件,確保MSP得到應有的保護,免於攻擊者利用那些廠商。
再強調一次,向你的顧問提問。若他們同意修補有難度但不強烈要求你停用修補程序,那麼他們瞭解軟體更新安裝以維護你網路安全是有其必要的。若他們同意對那些有必要的人進行MFA限制存取有助於將攻擊者擋在外面,那麼他們是瞭解資安風險的。若他們和你坐下來討論你的業務需求,協助你在營運需求與安全性要求之間取得平衡,他們就是你應該雇用的公司。
CISA的文件太強調大型機構與政府應強制要求其MSP做到的技術。對我而言,雇用MSP或顧問,是關於彼此關係的信任與仰賴他們指導與專業這方面的事。我希望他們能給我建議。我希望知道他們是否為我提供教育訓練與建議資料,幫助我保障自己的安全。對中小企業而言,雇用顧問或MSP,終究關乎於他們是否聆聽並協助公司保障網路安全。
(本文授權非營利轉載,請註明出處:CIO Taiwan)