Европейские бизнес-лидеры, особенно CISO, CTO и CDO, привыкают к тому, что война в Украине — это война в Европе, имеющая глобальные последствия. Санкции, военная помощь и даже беженцы — всё это сигналы для операторов цифровых центров общих услуг (SSC) и аутсорсинговых схем о необходимости пересмотреть свои планы на случай непредвиденных обстоятельств и ИТ-безопасность.
Хотя этим советом лучше пользоваться регулярно, независимо от войны, затяжной конфликт на границах ЕС должен усилить решимость провести аудит вашей стратегии ИТ-безопасности. Для компаний и учреждений, работающих в Центральной и Восточной Европе (ЦВЕ), необходимость переоценки безопасности становится суровым напоминанием о том, что модели сервисных центров и аутсорсинга могут нести риски, выходящие за рамки высокой подверженности киберугрозам, включая геополитические.
Конечно, ЦВЕ — не единственное место. Что касается размещения SSC и аутсорсинговых операций, то Латинская Америка (Аргентина, Бразилия, Мексика, Панама и т. д.) и Азиатско-Тихоокеанский регион (Индия, Филиппины, Таиланд и т. д.) также являются домом для большого числа таких операций и разделяют ряд рисков, связанных с их сильной зависимостью от цифровых/ИТ-процессов и/или поддержкой их.
Однако, поскольку все внимание приковано к войне в Европе, особенно в ЦВЕ, давайте рассмотрим этот регион.
Местоположение, местоположение, местоположение
Многие страны ЦВЕ, включая Словацкую Республику, Польшу и Чешскую Республику, являются площадками для бизнес-модели SSC уже более 20 лет, а Украина присоединилась к «вечеринке» аутсорсинга и SSC позже, предоставив свою квалифицированную рабочую силу. В настоящее время бизнес-модель аутсорсинга и SSC насчитывает не менее 900 000 сотрудников в регионе ЦВЕ. Киев, Братислава, Прага, Варшава, Клуж и многие другие локации, поддерживающие телекоммуникации, программное обеспечение, финансы, HR, автоматизацию и другие бизнес-процессы, прилагают значительные усилия для обеспечения устойчивости этих ИТ-хабов.
Сочетание географических особенностей, человеческих ресурсов и используемых инструментов делает операции SSC интересными киберцелями. Теперь, независимо от усилий, затраченных на создание и развитие этих ориентированных на продуктивность бизнес-активов за 20+ лет спокойствия, которые сделали регион ЦВЕ таким привлекательным для SSC, война и ее кибернетические аспекты представляют собой новую проблему — обеспечение безопасности и доверия.
Что касается безопасности, нам достаточно обратиться к Отчету DBIR от Verizon, чтобы увидеть, какие отрасли сталкиваются с самым высоким уровнем постоянных и целенаправленных атак. А доверие? Понимание того, обеспечивают ли ИТ-безопасность в сервисно-ориентированных операциях аутсорсинга и SSC, управляемых либо головным офисом, либо в рамках цепочки поставок, «мягкую точку» для злоумышленников? Ведь многие отрасли, описанные в отчете, и их партнеры по цепочке поставок пользуются возможностями аутсорсинга и SSC — в том числе в ЦВЕ. Таким образом, операторы должны переоценить ИТ-риски и укрепить практики цифровой безопасности во всех направлениях.
Многие CIO, CISO и их сотрудники начали изучать концепцию нулевого доверия — модель ИТ-безопасности, разработанную для минимизации рисков путем устранения ненужного доступа и привилегий в критически важных ИТ-системах. Преимущества нулевого доверия заключаются в приоритизации ограничения услуг, доступных пользователям в сети, вместо ретроактивного блокирования доступа. Это означает, что доступ не предоставляется без конкретного и проактивного разрешения. Хотя это всего лишь один подход, и он агрессивный, он получает высокие оценки за проактивность.
Читайте также:
Защита гибридного рабочего места с помощью безопасности нулевого доверия
Что такое модель безопасности нулевого доверия и почему растет ее применение?
COVID-19, война и изменившееся поведение
Если мы можем опираться на данные о киберугрозах, связанных с продолжающейся пандемией COVID-19 (пик угроз, связанных с COVID-19 в 2020 году), и более широким ландшафтом угроз в 2020, 2021 и первой половине 2022 года, то ИТ- и данные-интенсивные рабочие процессы, используемые для аутсорсинга и SSC, требуют осторожности.
По своей сути SSC фокусируются на конкретных задачах или подзадачах, которые могут повысить скорость и/или эффективность предоставления услуг с выгодой для руководства. Здесь «общий» означает сотрудничество; однако сотрудничество также предоставляет широкие возможности для векторов угроз. Хотя ниже мы рассмотрим некоторые детали, мы можем с уверенностью сказать, что модель нулевого доверия обещает многое для операций аутсорсинга и SSC.
Хотя SSC в ЦВЕ и других регионах наглядно демонстрируют преимущества, которые приносят бизнесу модели, ориентированные на сотрудничество и продуктивность, в масштабе это приводит к усилению рисков. Еще до войны некоторые из этих рисков уже проявились; в 2021 году дальнейшее совершенствование и внедрение платформ для совместной работы стало ключевым фактором революции удаленной работы, изначально вызванной пандемией. Среди множества платформ Microsoft Exchange Server испытал одно из самых масштабных последствий для безопасности, когда серия уязвимостей была использована по крайней мере 10 продвинутыми постоянными угрозами (APT) в рамках цепочки атак. Уязвимости позволили злоумышленникам захватить любой доступный сервер Exchange, даже не зная учетных данных.
В течение недели после объявления об уязвимостях ESET обнаружил атаки с использованием веб-оболочек более чем на 5000 почтовых серверов. Поскольку MS Exchange является одной из самых популярных платформ для совместной работы, ущерб распространился далеко и широко. В последующие дни и недели попытки атак, основанные на использовании этой уязвимости, поступали волнами. Среди наиболее заметных и опасных атак были кампании ransomware, проводимые одними из самых известных APT и криминальных групп.
Рисунок 1. Обнаружения ESET попыток атак на серверы Microsoft Exchange. Дополнительные сведения см. в статье Эксплойты Microsoft Exchange – первый шаг в цепочке ransomware.
Сотрудничество может означать многое: электронная почта, общие документы, MS Teams, видеозвонки, MS 365… и, вероятно, использование множества облачных платформ. Опять же, масштаб использования инструментов как внутри организации, так и по всей цепочке поставок (включая партнерские организации) открывает большую поверхность для угроз. Все упомянутые здесь цифровые инструменты/платформы являются краеугольными камнями многих портфелей аутсорсинга и SSC.
Защита и управление всей ИТ-«недвижимостью», подразумеваемой упомянутыми платформами и инструментами, требует больших ресурсов. Настолько больших, что многие компании и организации решили передать безопасность на аутсорсинг поставщикам управляемых услуг безопасности (MSSP + MSP) — бизнес-модели, столь же старой, как и SSC. К сожалению, тот же цифровой клей, который связывает эти бизнесы и их клиентов, также подвергся атаке.
Доверие — это цифровой клей
Виртуальные отношения, будь то B2B, B2C или B2B2C, работают благодаря доверительным отношениям, которые лежат в основе нашей готовности децентрализовать и/или аутсорсить процессы. Что касается задач и услуг по администрированию ИТ и ИТ-безопасности, мы также видели, как эти доверительные отношения были затронуты.
В июле 2021 года программное обеспечение для управления ИТ Kaseya, популярное среди MSP/MSSP, пострадало от атаки на цепочку поставок беспрецедентного масштаба. Аналогично, другой игрок MSP, SolarWinds, столкнулся с атакой на свою платформу Orion, которая требует привилегированного доступа для управления средами клиентов; очевидно, что эти крупномасштабные среды стали предпочтительным вектором угроз с высокой рентабельностью инвестиций. Хотя лидеры рынка Kaseya и Solar Winds понесли серьезные бизнес- и репутационные потери, их клиенты также сильно пострадали.
Ускоренная цифровизация, вызванная пандемией, также высветила ключевую роль, которую глобальный переход к работе из дома сыграл в безопасности. Это, пожалуй, лучше всего иллюстрируется огромным количеством атак на удобный, но уязвимый интерфейс, часто используемый сотрудниками на дому для подключения к серверам компании — протокол удаленного рабочего стола (RDP). Использование RDP открыло многочисленные «бэкдоры» в компаниях и подвергалось постоянным атакам в течение последних двух лет. В декабре 2020 года ESET зарегистрировал в среднем 14,3 миллиона атак в день только в Германии, Австрии и Швейцарии; это соответствует 166 атакам в секунду. Для справки, эти три страны имеют значительные операции near-shoring и производственные инвестиции по всей ЦВЕ и многое поставлено на карту. Хотя атаки на RDP наконец-то показали заметное снижение в 2022 году, плохие практики администрирования безопасности и другие факторы, вероятно, сохранят RPD среди серьезных угроз, с которыми сталкиваются SSC и аутсорсинговые операции.
Рисунок 2. Тенденции попыток подключения по RDP в 1 квартале 2020 г. — 2 квартале 2020 г., скользящее среднее за семь дней (источник: ESET Threat Report Q2 2020).
Цифровые защиты, большие и малые
Инструментарий для обеспечения безопасности бизнеса, включая SSC, безусловно, начинается со зрелых практик ИТ-управления. В то время как многие операции SSC и аутсорсинга выигрывали от политик управления обновлениями и исправлениями программного обеспечения своих головных офисов, а также от развертывания продуктов для обнаружения конечных точек, до войны в Украине зрелые практики безопасности, в идеале предоставляемые/управляемые хорошо укомплектованной командой центра оперативного управления (SOC), теперь имеют решающее значение. Эти бизнес-операции могли находиться на периферии более широких операций безопасности как в крупных предприятиях, так и в малом и среднем бизнесе, но необходимость более глубокого изучения безопасности конечных точек, услуг и сетевой видимости с помощью инструментов расширенного обнаружения и реагирования, а также практик безопасности как ИТ-администраторами, так и персоналом стала более острой.
Обеспокоенность по поводу целенаправленных атак, злонамеренных внутренних инсайдеров и «доверительных» отношений означает, что сервисные центры, особенно в ЦВЕ, должны оценить свою позицию в области безопасности и зрелость своих практик, а также провести аудит как внутренних, так и внешних рисков.
Для проведения аудитов в таком масштабе компаниям придется активно взаимодействовать с командами обслуживания существующих поставщиков или, во многих случаях после вторжения в Украину, быстро перейти к безопасному порту с новыми поставщиками. Хотя процессы аудита требуют значительных ресурсов, они также фундаментально обеспечивают продолжение экономии затрат, эффективности процессов и непрерывности бизнеса модели аутсорсинга.
Для небольших операций, которые не имеют команды SOC или бюджета на инструменты обнаружения и реагирования на конечных точках или управляемого обнаружения и реагирования, все еще существуют значительные возможности. Облачные решения безопасности могут помочь защитить жизненно важные инструменты для совместной работы, включая Microsoft 365, OneDrive и Exchange Online, и включают мощные, простые в интеграции облачные инструменты-песочницы, которые эффективны против ранее неизвестных угроз.
Заключение
Таким образом, многие из худших угроз для бизнеса, будь то через RDP, ransomware и другой malware через файлы с поддержкой макросов, или электронные письма с вредоносными вложениями, могут нанести огромный ущерб. Для рассматриваемых офисов их клиенты или головные офисы решили инвестировать и создавать глобально распределенные мощности, поэтому проблемы и угрозы в основном схожи.
Открытый конфликт как суровое напоминание подчеркивает важность защиты инвестиций и улучшенных мощностей, предоставляемых SSC, аутсорсинговыми операциями и другими ориентированными на эффективность бизнес-моделями. Это также напоминает о значительном внимании, уделяемом на уровне ЕС для создания более самодостаточной среды безопасности в Европе.
Конфликт в Украине, как и пандемия до него, посылает четкие сигналы о критической роли, которую цифровые технологии играют в глобальном бизнесе и поддержании стабильной и благоприятной экономической среды. В некотором смысле коллективной безопасности, если SSC станут слабым звеном в европейских или глобальных бизнес-сервисах и цепочках поставок, то глобальный бизнес от этого только обеднеет.
