美国网络安全与基础设施安全局 （CISA）发布了一份题为《托管服务提供商客户风险考虑》的文档。文档中，CISA认可网络管理员及其他岗位在MSP选择中的作用。尽管文档中包含适用于中小企业聘用咨询公司的良好总体建议，但其中一些建议与中小企业的现实情况不太一致。

　　尤其是，CISA建议“中小企业应区分哪些资产是对运营尤为关键的资产，并提取这类资产的风险特征。这样一来，企业就可以确定哪些资产应该包含在供应商协议中，而哪些资产需要从供应商协议中剔除，并针对影响此类资产的事件制定具体的应急计划。”然而，小企业并不总能意识到技术资产所带来的风险。业务需求通常会推动技术资产购买；而一旦需求被满足，就不会再顾及这些资产会带来怎样的风险了。这种时候，往往是咨询公司进场建议革新技术资产。

　　CISA建议聘用咨询公司的企业从MSP获取特定的合同和服务水平协议。MSP应提供：

　　• 事件管理指南

　　• MSP缓解已知风险的措施

　　• 关于MSP网络上不同客户数据如何分隔或隔离的陈述

　　• MSP如何维护日志和记录的指南

　　• 员工审核文档记录，最大限度地降低知识产权盗窃的风险

　　• 供客户检查签约服务的直接或间接支持系统的功能

　　• 支持平滑服务集成的过渡方案

　　• 计划网络中断的协议

　　• MSP财务健康状况文档和以往法律问题的披露

　　尽管上述条目可能都是可获取的，但现实情况是，中小企业和MSP的合同谈判中就是没有这些条目，或者没有很好地表述出来。

　　CISA建议应用零信任安全模型，包括对任何能够访问公司网络的承包商或托管服务提供商采取最小权限原则。很多中小企业距离在自家网络上真正实施零信任还有很长的一段路要走。他们需要依赖额外的流程来确保设置了某些附加验证过程来访问其网络。

找到安全MSP的小建议

　　网络管理员或安全管理部门能够通过候选MSP对安全问题的回答来鉴别出杰出的MSP或咨询公司。询问他们对于多因素身份验证（MFA），尤其是对可从公司外部访问的资源实施MFA的看法是怎样的。问他们觉得公司面临的风险状况如何。如果候选MSP回避风险问题或刻意弱化风险，那他们就不是值得签约的MSP。

　　MSP不应仅仅是建议定期更新，而是应该确保MSP公司切实应用了更新，尤其是对所用任何远程访问工具而言。要与你的顾问讨论他们采用哪些工具和更新过程来保障远程访问工具的安全。确保MSP在远程访问工具上启用了MFA，并要求每个顾问或技术人员拥有唯一的网络访问凭证，不重复使用访问权限。讨论使用专用VPN访问公司网络，并确保顾问根据其流程的需要将某些应用和任务与其静态IP绑定。

　　MSP应具有多个备份过程，从而在万一遭遇勒索软件攻击时，公司不会仅仰赖某一个过程执行关键功能备份和恢复。攻击者总是盯住薄弱环节和脆弱入口点，而MSP正是他们眼中唾手可得的肥美猎物。攻击者明白，只要得手MSP，其连接的多个客户也就注定是自己的囊中之物了。

　　MSP自己往往会使用其他共同的供应商和工具。最好请求MSP提供关于其所用供应商和门户的安全实践的更多信息，确保MSP受到合理保护，可以免遭经由这些供应商的攻击。

　　另外，别忘了质询你的咨询公司。如果他们认为修复很难，但不敦促你禁用修复过程，那他们就很清楚软件更新是维护公司网络安全所必须的。如果他们认同MFA可以限制仅需要的人才可以访问，有助于拒攻击者于门外，那他们就很了解安全风险。如果他们进行调查访问，讨论你的业务需求，帮助你达成业务需求和安全要求的平衡，那他们就是你应该聘用的咨询公司。

　　CISA发布的文档太过专注仅大型实体和政府可以要求其MSP实现的那些技术。然而，聘用MSP或咨询公司在于对这段关系的信任和依赖他们的指导和专业知识，是要靠他们来给出建议，赋予公司能够保障安全的教育性和咨询性材料。对于中小企业而言，聘用咨询公司或MSP最终归结于他们是否能够听取公司情况，帮助公司保护自身网络。

　　美国网络安全与基础设施安全局（CISA）《托管服务提供商客户风险考虑》：点击查看

参考阅读

网络空间资产安全管理实践与创新

基础设施法案通过后美国国会还有哪些网络安全动作

美国网络安全与基础设施安全局发布“不良安全实践”目录