ملخص
- استغل المهاجمون خوادم Kaseya VSA المحلية المتصلة بالإنترنت في 2 يوليو 2021، وتجاوزوا المصادقة، واستخدموا وظائف الإدارة عن بُعد المشروعة لنشر برنامج الفدية REvil. لا يُظهر السجل العام أن بناء برنامج Kaseya أو مستودع التعليمات البرمجية قد تم تغييره.
- كانت Kaseya تعمل بالفعل من خلال إفصاح منسق يغطي سبع ثغرات في VSA. لقد أصلحت العديد من المشكلات ونشرت الإصلاحات ذات الصلة في بيئة SaaS الخاصة بها، لكن الأنظمة المحلية الضعيفة ظلت معرضة للخطر عندما بدأ الهجوم. سؤال المساءلة الذي لم يتم حله ليس ما إذا كانت Kaseya تجاهلت الباحثين؛ الباحثون يقولون إنها لم تفعل. بل هو ما إذا كانت سرعة المعالجة والضوابط المؤقتة والتحذير الخاص للعملاء وتقليل التعرض تتناسب مع السلطة الاستثنائية للمنتج.
- عدد الضحايا المباشر، حوالي 50 إلى 60 عميلًا لـ Kaseya في حساب الشركة اللاحق، يقلل من شأن الحدث التشغيلي. كان العديد منهم مزودي خدمات مُدارة، لذلك وصل برنامج الفدية إلى ما بين 800 و1500 شركة نهاية وفقًا لتقدير Kaseya. حولت منصة الإدارة عن بُعد مستوى تحكم واحدًا مخترقًا إلى العديد من حالات فشل الاستمرارية المحلية.
- المسؤولية متعددة المستويات. سيطرت Kaseya على أمان المنتج ومعالجة الإفصاح وتسليم التصحيحات واتصالات الأزمات. سيطر مزودو الخدمات المُدارة على التعرض للإنترنت والتجزئة وتصميم النسخ الاحتياطي والمراقبة واسترداد العملاء. احتفظ عملاء الشركات الصغيرة بواجبات الاستمرارية والمشتريات، لكنهم غالبًا ما افتقروا إلى المعرفة الهادفة بالأداة الأساسية. ساهمت الوكالات الحكومية في التحذير والتنسيق الاستجابة والتحقيق والمقاضاة دون إزالة الحاجة إلى ضوابط خاصة أقوى.
كان الحادث هجومًا على مسار الثقة
عبارة "هجوم سلسلة التوريد" مفيدة هنا، ولكن فقط إذا كانت تصف مسار السلطة بدلاً من افتراض اختراق نظام البناء. يقولنظرة عامة على الحادث من Kaseyaإن المهاجمين استغلوا ثغرات يوم الصفر في منتج VSA المحلي، وتجاوزوا المصادقة، وحققوا تنفيذ أوامر عشوائية، ثم استخدموا وظائف VSA القياسية لنشر برنامج الفدية على نقاط النهاية المُدارة. كما يقول إنه لا يوجد دليل على أن قاعدة كود VSA نفسها قد تم تعديلها بشكل ضار.
هذا التمييز أساسي للمساءلة. لم يكن على المهاجمين إقناع كل عيادة أسنان أو مكتب محاسبة أو مطعم أو بائع تجزئة أو شركة خدمة محلية بتشغيل برنامج غير معروف. ولا احتاجوا إلى وضع حزمة مسمومة في خط تطوير Kaseya وانتظار إصدار موقّع من البائع. لقد اخترقوا خوادم VSA محددة موثوق بها بالفعل لإدارة أجهزة العملاء. وصل الإجراء الضار مع السلطة العملية لإدارة تكنولوجيا المعلومات الروتينية.
VSA هو برنامج مراقبة وإدارة عن بُعد. يمكن لمزود الخدمات المُدارة استخدامه لجرد الأجهزة ونشر البرامج وتنفيذ البرامج النصية وأتمتة الصيانة وحل الأعطال عبر العديد من بيئات العملاء. تقلل هذه القدرات من تكلفة الوحدة لدعم تكنولوجيا المعلومات. إنها تسمح لفريق تقني واحد بصيانة أنظمة للشركات التي لا تستطيع توظيف متخصصين مكافئين بمفردها. لكن نفس التصميم يخلق أيضًا قناة توزيع مميزة. إذا حصل مهاجم على السيطرة على خادم VSA، فإن ميزة الحجم تتغير.
شركة Huntress، التي تلقت تقارير مبكرة من شركاء MSP المتأثرين، اختصرت سلسلة الهجوم المرصودة إلىتجاوز المصادقة، تحميل ملف عشوائي، وتنفيذ كود. أفاد محققوها أن المهاجمين قاموا بتحميل حمولة مشفرة وملف ثانٍ ساعد في إزالة السجلات والحسابات الإدارية، ثم استخدموا إجراءات قاعدة البيانات لجدولة التسليم إلى نقاط النهاية. أدرجت مؤشرات Kaseya الخاصة الملفagent.crt، والملف التنفيذي المفكوك، وحمولة REvil، بالإضافة إلى سلسلة من طلبات الويب ضد خوادم VSA المخترقة.
لاحظت Sophos بشكل مستقل العواقب من جانب نقطة النهاية. يصفحسابها الفني المعاصرخوادم VSA المتصلة بالإنترنت كهدف أولي وسلطة نشر البرامج العادية للمنتج كطريق إلى بيئات العملاء. اختلفت أعداد المستجيبين الأوائل لأن شركات الأمن المختلفة رأت مجموعات سكانية مختلفة، ولأن التمييز بين عميل VSA مخترق، وMSP، وعميل MSP، وجهاز مشفر لم يتم الحفاظ عليه باستمرار. التقارب الفني أهم من أي إجمالي مبكر فردي: تم تحويل الإدارة عن بُعد المميزة إلى آلية نشر واسعة.
لهذا السبب لا ينبغي اختزال الحدث إلى "تحديث" خاطئ. وصفت بعض بيانات القياس عن بُعد لنقاط النهاية والتقارير الصحفية برنامج الفدية كتحديث ضار لأنه وصل من خلال برنامج يستخدم لدفع التغييرات. من الناحية التشغيلية، كان ذلك الوصف منطقيًا للضحية. لكن لتحليل السيطرة، كان المسار أكثر كشفًا. لم تأذن Kaseya بتحديث بائع عادي يحتوي على REvil. حصل المهاجمون على السيطرة على مثيلات VSA التي يديرها العملاء وجعلوا تلك المثيلات تؤدي مهمة إدارية تبدو مشروعة. كان الهدف المخترق هو علاقة الثقة المفوضة.
إفصاح منسق واجه موعدًا إجراميًا
يقاوم التسلسل الزمني قبل الحادث قصة الإهمال البسيطة. بدأ المعهد الهولندي للإفصاح عن الثغرات، أو DIVD، في البحث في VSA في 1 أبريل 2021، وفحص التثبيتات المتصلة بالإنترنت من 2 أبريل، وأبلغ Kaseya في 6 أبريل. يقولإفصاحه المحدودإن استجابة Kaseya كانت في الوقت المناسب ومنخرطة. استمعت Kaseya، وأصدرت تصحيحات، وسمحت للباحثين بالتحقق من صحة الإصلاحات قيد التطوير. قارن DIVD صراحةً تلك الاستجابة بشكل إيجابي مع تجربته مع بعض البائعين الآخرين.
غطى الإفصاح سبع ثغرات، وليس خللاً واحدًا غير متمايز. سجل DIVD مشكلة تحميل ملف غير مصادق عليه تم إصلاحها في أبريل، وثلاث مشكلات أخرى تم إصلاحها في مايو، وعمل مستمر على تسرب بيانات الاعتماد وخلل منطق الأعمال، والبرمجة النصية عبر المواقع، وتجاوز المصادقة الثنائية. يقولسجل القضيةالذي تم الحفاظ عليه إن الإصدار 9.5.7 وصل إلى بيئة SaaS الخاصة بـ Kaseya في 26 يونيو مع إصلاحات لـ CVE-2021-30116 و CVE-2021-30119. كما يسجل أن جميع إصدارات VSA المحلية ظلت خاضعة لتوصية القضية وأن هذه الأنظمة يجب أن تبقى غير متصلة بالإنترنت حتى تقدم Kaseya تصحيحًا وتعليمات إعادة التشغيل بعد الهجوم.
نشر DIVD لاحقًاأوصافًا كاملة للثغرات. الإدخال الأكثر أهمية المرتبط بالحادث، CVE-2021-30116، يتعلق بالوصول غير المصادق عليه إلى بيانات الاعتماد المرتبطة بعملية تنزيل عميل VSA والقدرة على تحويل تلك البيانات إلى جلسة. يسجلإدخال قاعدة بيانات الثغرات الوطنيةالآن أن المشكلة تم استغلالها في البرية، وتم تصحيحها قبل الإصدار 9.5.7، ثم دخلت لاحقًا كتالوج الثغرات المستغلة المعروفة لدى CISA.
لذلك، يدعم السجل العام أربع نتائج، لكنه لا يدعم كل استنتاج شائع مرتبط بها.
أولاً، كانت Kaseya تعرف عن نقاط ضعف خطيرة في VSA قبل 2 يوليو. ثانيًا، كانت الشركة قد أصلحت العديد من نقاط الضعف المبلغ عنها وكانت تعمل بنشاط مع الباحثين. ثالثًا، كانت إحدى الثغرات المستخدمة في الهجوم على الأقل من بين تلك التي تم الإفصاح عنها بشكل خاص. رابعًا، لم يكن التصحيح المحلي المكافئ في أيدي العملاء بشكل عام قبل بدء الاستغلال الإجرامي.
ما لا يظهره السجل مهم أيضًا. لا يوجد سجل مخاطر داخلي عام لكل مشكلة، أو تقدير هندسي، أو سجل تصعيد تنفيذي، أو سجل قرارات يشرح كيف صنفت Kaseya الثغرات المتبقية. لا توجد قائمة منشورة للضوابط المؤقتة المطلوبة بشكل خاص من العملاء المحليين قبل توفر التصحيح. سلم DIVD إلى Kaseya قائمة بمضيفي VSA المحددين في 4 يونيو، لكن السجل العام لا يثبت أي من المشغلين تم الاتصال بهم، وماذا قيل لهم، ومتى استجابوا، أو ما إذا كانت Kaseya قادرة على التحقق من تقييد الواجهات الخطرة. لا يوجد أيضًا دليل على أن Kaseya سربت تفاصيل الثغرات إلى المهاجمين. الاكتشاف الموازي معقول تمامًا، ولا يزال مصدر الاستغلال غير مثبت في العلن.
هذا يخلق معيارًا صعبًا ولكنه ضروري للمساءلة. لا ينبغي إدانة البائع لمجرد أن المجرمين استغلوا خللاً أثناء إفصاح منسق بحسن نية. لا يمكن القضاء على عيوب البرامج وإعادة الاكتشاف العدائية. ومع ذلك، يجب أن تؤثر صلاحية المنتج ومدى وصوله النهائي على إلحاحية المعالجة. بالنسبة لخادم إدارة عن بُعد متصل بالإنترنت يمكنه تنفيذ أوامر عبر العديد من شبكات العملاء، فإن تجاوز المصادقة الحرج هو أيضًا حالة طوارئ لخطر التركيز. قد تكون قائمة انتظار التصحيحات المصممة حول شدة التطبيق العادية بطيئة جدًا بالنسبة لمستوى تحكم مع هذا النطاق.
كانت معضلة الإفصاح حقيقية. تسمية مسار مصادقة غير مصحح علنًا كان يمكن أن تسرع الاستغلال. التحذير الواسع للعملاء دون تفاصيل كافية ربما كان لا يزال يوجه المهاجمين نحو فئة هدف ضيقة بينما يترك المشغلين غير متأكدين مما يجب تغييره. دافع DIVD عن الإفصاح المحدود لهذا السبب بالضبط. لكن السرية لا تعني الخمول. يمكن للبائع الاتصال بشكل خاص بالعملاء المكشوفين المحددين، وطلب الوصول الإداري خلف VPN، وتوفير قواعد تصفية مؤقتة، وزيادة القياس عن بُعد، وتضييق وظائف الخادم، وتحديد عتبة ترحيل أو إيقاف تشغيل طارئ. السؤال الذي لم تتم الإجابة عليه هو كم من ذلك حدث قبل 2 يوليو، وليس ما إذا كان كان يجب إصدار دليل مفهوم عام.
2 يوليو: الكشف والإيقاف والاحتواء غير الكامل
يقولحساب Kaseya المؤسسي في 5 يوليوإن مصادر داخلية وخارجية نبهته إلى هجوم محتمل في حوالي الساعة 2 ظهرًا بالتوقيت الشرقي في 2 يوليو، وأنه تحرك في غضون ساعة. أوقفت الشركة البنية التحتية لـ SaaS VSA الخاصة بها وبدأت في إخبار العملاء المحليين بإيقاف تشغيل خوادمهم. سجلت Sophos Awareness الحملة في الساعة 18:00 UTC، نفس الفترة الواسعة. وصفت Huntress ثلاثة تقارير من MSP وصلت في غضون نصف ساعة من بعضها البعض قبل أن يصبح رابط VSA المشترك واضحًا.
قرار الإيقاف يستحق الثناء. لم يكن لدى Kaseya دليل على أن عملاء SaaS قد تم اختراقهم، لكنها أزالت الخدمة المستضافة من التشغيل كإجراء احترازي. كما استدعت Mandiant، واتصلت بـ FBI و CISA، ووزعت المؤشرات، وأصدرت أداة كشف الاختراق في 3 يوليو. عززالبيان العام لـ FBIتعليمات إيقاف تشغيل خوادم VSA والإبلاغ عن الاختراق. أضافتإرشادات CISA-FBI المشتركة للحادثتدابير فورية: استخدام أداة الكشف، فرض المصادقة متعددة العوامل، تقييد اتصال RMM بأزواج IP معروفة، وضع الواجهات الإدارية خلف VPN أو شبكة جدار حماية مخصصة، الاحتفاظ بنسخ احتياطية قابلة للاسترداد منفصلة، وتطبيق أقل امتياز.
هذه الإجراءات قيدت المزيد من الضرر، لكن "في غضون ساعة" لا ينبغي الخلط بينه وبين الاحتواء الكامل. يمكن لـ Kaseya إيقاف خدمة SaaS الخاصة بها. لم تستطع إيقاف تشغيل كل خادم يديره العميل. ظل مثيل VSA المحلي خطيرًا حتى تلقى MSP الرسالة، ووثق بها، ووصل إلى الشخص المناسب خلال عطلة نهاية الأسبوع في عطلة، وأكمل الإيقاف. كان لا بد أيضًا من تحديد أي إجراءات ضارة تم إعدادها بالفعل للتنفيذ ومسحها قبل إعادة التشغيل. مكنت القدرة المركزية من النشر السريع؛ اعتمد الاحتواء على مرحل بشري موزع.
يبدأ التسلسل الزمني العام أيضًا عند التنبيه، وليس عند أول استغلال. لم تنشر Kaseya وقت أول طلب ضار عبر مجموعة الخوادم المتأثرة، أو أول شذوذ في القياس عن بُعد داخلي، أو أول حدث تشفير للعميل، أو الفاصل الزمني بين هذه الإشارات. كما لم تكشف عما إذا كانت مراقبتها الخاصة يمكنها التمييز بين إجراء جماعي مصرح به وإجراء تم إنشاؤه من خلال جلسة مسروقة أو مٌصنعة. بدون هذه الطوابع الزمنية، يمكن للمرء الحكم على الاستجابة التنفيذية المبلغ عنها بعد التأكيد، ولكن ليس على حساسية الكشف الوقائي.
عبارة Kaseya "إيقاف الوصول إلى البرنامج" كانت أيضًا أوسع من الواقع التشغيلي. أصبح VSA المستضاف غير متاح بفعل Kaseya. VSA المحلي ينتمي إلى بيئات العملاء ويتطلب إجراء العميل. الفرق أكثر من مجرد صياغة. إنه يكشف المساءلة المنقسمة لبرامج المؤسسات ذاتية الاستضافة: يتحكم البائع في الكود ومعرفة المعالجة؛ يتحكم المشغل في المثيل الجاري؛ قد لا يعرف العملاء النهائيون أن منتج أي من الطرفين يدير أجهزتهم.
المضاعف جلس بين البائع والشركة الصغيرة
أكدت Kaseya في البداية أن جزءًا صغيرًا فقط من قاعدة عملائها المباشرين تم اختراقه. ذكر بيانها في 5 يوليو حوالي 50 من أكثر من 35000 عميل. قالت صفحة الحادث اللاحقة أقل من 60 عميلًا مباشرًا وأقل من 1500 شركة نهاية. حددتقرير SOC 3 لاحق57 عميلًا محليًا. ذكرت رويترز بشكل منفصل تقدير الرئيس التنفيذي لـ800 إلى 1500 شركة متأثرة، مع الإشارة إلى أن Kaseya وجدت صعوبة في الحصول على إجمالي دقيق لأن الشركات المتأثرة كانت عملاء لعملائها.
كل هذه الأرقام يمكن أن تكون صحيحة ضمن تعريفاتها. إنها تصف مستويات مختلفة من شجرة التبعية. قد يقوم عميل Kaseya المباشر بتشغيل خادم VSA واحد كـ MSP. قد يدير هذا MSP عشرات الشركات المستقلة. قد يكون لكل شركة العديد من نقاط النهاية. عد 57 مثيل عميل مخترق لا يخبرنا كثيرًا عن عدد المؤسسات التي فقدت أجهزة الكمبيوتر أو قدرة نقاط البيع أو الملفات أو وقت الموظفين. على العكس من ذلك، الشركة النهائية المرتبطة بـ MSP متأثر لم تكن بالضرورة مشفرة على كل جهاز. يجب أن يذكر التقارير المسؤولة المقام.
الحقيقة الاقتصادية الأكثر أهمية هي أن VSA ساعد في تجميع العمالة المتخصصة. تشتري الشركات الصغيرة الخدمة المُدارة لأن توظيف تكنولوجيا المعلومات داخليًا مكلف ومتقطع ويصعب توظيفه. يقوم MSP بنشر المهندسين وأدوات المراقبة والأتمتة والقوة الشرائية عبر محفظة. يمكن لهذا الترتيب تحسين الأمان. قد يقوم مزود كفء بالتصحيح بشكل أسرع والمراقبة لفترة أطول والاسترداد بشكل أكثر موثوقية مما تستطيع شركة من خمسة أفراد بمفردها.
التجميع يجعل المخاطر التشغيلية مترابطة. قد تبدو مائة شركة صغيرة متنوعة حسب القطاع والجغرافيا، ولكن إذا كان MSP واحد يديرها جميعًا من خلال منصة إدارية واحدة، فإن أنماط فشلها التقني تتداخل. المحفظة لديها تعرض مشترك مخفي. يمكن لثغرة في طبقة المنصة أن تهزم افتراض أن الشركات المحلية تفشل بشكل مستقل.
نادرًا ما يكون هذا الارتباط مرئيًا في عقد الخدمة العادي. قد يعرف العميل الصغير اسم MSP الخاص به ولكن ليس منتج الإدارة عن بُعد أو نموذج الاستضافة أو تعرض واجهة الإدارة أو المقاولين من الباطن أو هندسة النسخ الاحتياطي أو تصميم الوصول المميز. حتى إذا تم تسمية المنتج، فمن غير المرجح أن يكون لدى العميل الخبرة أو القوة التفاوضية لتدقيقه. لذلك، قد يكون الطرف الذي يتحمل الانقطاع على بعد خطوتين من الطرف الذي يتخذ قرار أمان البرنامج.
هذه هي فجوة المساءلة داخل الخدمة المُدارة. ينقل التفويض العمل الفني إلى المتخصصين، لكنه لا ينقل تلقائيًا كل خسارة أو التزام قانوني أو شكوى عميل أو التزام رواتب أو مخزون تالف. لا تزال المؤسسة الصغيرة والمتوسطة تواجه موظفيها وعملائها عندما تتوقف الأنظمة. يواجه MSP تكاليف الاستعادة والالتزامات التعاقدية لخدمة العملاء. يواجه بائع البرامج معالجة المنتج والسمعة. ما لم تقم العقود وتصميم الاسترداد بتخصيص هذه العواقب عن قصد، فقد يكون الطرف الأكثر تعرضًا تشغيليًا هو الأقل اطلاعًا.
جعلت السويد التبعية مرئية
المثال العام الأوضح لم يكن مكتب Kaseya أو مركز عمليات شبكة MSP. كان نقطة دفع في سوبر ماركت. ذكرت رويترز أن سلسلة المتاجر السويدية Coop أغلقتجميع متاجرها البالغ عددها 800في 3 يوليو لأن أنظمة الدفع المتأثرة لم تستطع العمل. قالت السلسلة إن أداة الدفع التي تم تحديثها عن بُعد قد أصيبت. وصفت التقارير اللاحقة مسار مورد متعدد المستويات: اعتمدت Coop على أنظمة الدفع التي تديرها Visma Esscom، والتي استخدمت بدورها Kaseya.
لم يكن هذا فشلاً في الإمداد الغذائي بالمعنى المادي. الرفوف والمباني والموظفين والمنتجات كانت لا تزال موجودة. عدم القدرة على معالجة المدفوعات حول اختراق إدارة تكنولوجيا المعلومات إلى حدث استمرارية بيع بالتجزئة. استخدمت بعض المتاجر لاحقًا تطبيق مسح ودفع بديل، لكن كان على الفنيين أيضًا زيارة المواقع واستعادة أجهزة الدفع من النسخ الاحتياطية.تقرير الاستردادمن رويترز التقط عدم التماثل التشغيلي: الإدارة عن بُعد قد توسعت بكفاءة قبل الحادث، في حين أن الاسترداد يمكن أن يتطلب عملاً بدنيًا في العديد من المواقع.
كانت Coop مؤسسة نهائية كبيرة ومرئية. نفس الآلية أقسى بالنسبة لشركة صغيرة ذات خيارات أقل. يمكن لمكتب محاسبة تأجيل بعض العمل، لكنه قد يفوت مواعيد الرواتب أو التقديم. قد تحتفظ عيادة الأسنان بالأطباء والمعدات ولكنها تفقد الجدولة أو الوصول إلى التصوير أو سير عمل الفوترة. قد يكون لدى المطعم طعام وموظفين لكنه غير قادر على قبول المدفوعات العادية. قد تفقد شركة تصنيع محلية الشحن أو الملصقات أو أنظمة دعم الآلات. هذه الأمثلة لا تثبت أن كل واحد حدث في هذا الحادث؛ إنها تظهر لماذا التشفير الطرفي له معنى اقتصادي مختلف في محفظة المؤسسات الصغيرة والمتوسطة عما يوحي به عدد الأجهزة.
يبدأ تأثير الإيرادات على الفور، بينما تصل تكاليف الاسترداد الفنية فوق ذلك. قد يتم دفع رواتب الموظفين أثناء التوقف. قد يضطر المالكون إلى التواصل مع العملاء دون بيانات اتصال موثوقة. يعمل فنيو MSP ساعات إضافية، غالبًا ما يفرزون العملاء حسب السلامة والإيرادات وحالة النسخ الاحتياطي. إخطار التأمين، والحفظ الجنائي، والمشورة القانونية، واستبدال الأجهزة تضيف نفقات. يمكن لأداة فك التشفير استعادة الملفات، لكنها لا تعكس المبيعات المفقودة بالفعل، أو وقت الموظفين المستهلك بالفعل، أو الثقة المتضررة بالفعل.
كشف الحادث عن تأثير خارجي لاستمرارية الخدمة. تم التفاوض على سعر منتج Kaseya ورسوم خدمة MSP في المنبع. جزء من الجانب السلبي ظهر في الشركات النهائية التي لم تختر بنية VSA وربما لم تر اسم Kaseya أبدًا. ضعف انضباط السوق عندما لا يستطيع حامل المخاطر النهائي مراقبة السيطرة ذات الصلة وليس لديه طريقة عملية لتسعيرها.
الإيقاف الآمن أصبح انقطاعًا خاصًا به
منع إيقاف تشغيل SaaS الاحترازي طريقًا واحدًا محتملاً للانتشار، لكنه أيضًا أزال خدمة إدارة من العملاء الذين قالت Kaseya إنهم لم يتعرضوا للاختراق. كانت هذه المقايضة الصحيحة في ظل عدم اليقين الحاد. لكنه كان لا يزال انقطاعًا، واستمر لفترة أطول بكثير من ساعة الاستجابة الأولية.
يسجلسجل تحديث الحادث المحفوظ لـ Kaseyaأهداف استعادة متغيرة. واجه نشر SaaS المخطط له مشكلة بنية تحتية عابرة في 6 يوليو. تم إعادة تعيين الجداول الزمنية في 7 يوليو. بدأت الشركة في النهاية استعادة SaaS وأصدرت التصحيح المحلي في 11 يوليو؛ أبلغت عن عودة جميع عملاء SaaS عبر الإنترنت بحلول أوائل 12 يوليو. هذا يعني أن العملاء المستضافين غير المتأثرين فقدوا توفر VSA لحوالي تسعة أيام لأن الخدمة لم تكن آمنة بما يكفي لإعادة تشغيلها بعد.
لا ينبغي السخرية من التسلسل كمجرد تأخير. إعادة تشغيل مستوى تحكم مميز بعد استغلال نشط يتطلب أكثر من تغيير سطر واحد من التعليمات البرمجية. كان على Kaseya التحقيق في مسار الوصول، وإنشاء إصدار أمان والتحقق من صحته، والفحص بحثًا عن الاختراق، والتنسيق مع الحكومة ومتخصصي الاستجابة للحوادث، وتقوية البنية التحتية، وإعداد المشغلين، وتجنب إعادة تنشيط الإجراءات الضارة. تظهر تحديثاتها أنها أزالت بعض الوظائف منخفضة الاستخدام من العودة الأولية، وأضافت فحوصات، وراجعت أدلة التشغيل عندما كشف تعليقات العملاء عن مشكلات عملية.
في الوقت نفسه، الإيقاف الممتد هو دليل على قابلية الاسترداد. يمكن للمنصة احتواء ثغرة بسرعة عن طريق أن تصبح غير متوفرة، لكنها لا تزال تترك العملاء دون إدارة أساسية. التوفر العالي والاسترداد الآمن خاصيتان منفصلتان. إذا لم يمكن إجراء التقوية الطارئة أو التحقق من الحالة النظيفة أو إعادة التشغيل على مراحل بسرعة، يحتاج العملاء إلى وضع قابل للتشغيل لا يعتمد على مستوى التحكم.
كان عبء إعادة التشغيل المحلي كبيرًا. تطلب التسلسل الزمني لـ Kaseya من المشغلين عزل الخادم، وتشغيل أداة الكشف، وتصحيح نظام التشغيل، ومراجعة تكوين IIS، ونشر وكيل أمان نقطة النهاية، ومسح الإجراءات المعلقة، وتثبيت الإصدار الأمني لـ VSA، واتباع قائمة تحقق نهائية. يتطلبدليل التقوية بعد الحادثالوصول المقيد للداخل، ومصادقة أقوى، وتغييرات بيئية أخرى. كانت هذه ضوابط معقولة. يُظهر تقديمها الطارئ أيضًا أن التشغيل الآمن للمنتج يعتمد على التكوين خارج التطبيق وعلى قدرة MSP على تنفيذ دليل تشغيل معقد تحت الضغط.
بالنسبة لـ MSP ناضج، قد يعني تسعة أيام بدون منصة RMM المعتادة التحول إلى أدوات عن بُعد أخرى، والتصحيح اليدوي، والتنسيق الهاتفي، والبرامج النصية، والزيارات الميدانية. بالنسبة لمزود أقل نضجًا، قد تكون المنصة نفسها نموذج التشغيل. إذا كان جرد الأصول وبيانات الاعتماد والإجراءات وجهات اتصال العملاء وتعليمات الاسترداد جميعها أسهل في الوصول إليها من خلال النظام غير المتاح، فإن فقدان الأداة يضعف أيضًا الاستجابة لفقدانها.
فك التشفير كان مساعدة، وليس استعادة
أعلنت Kaseya في 22 يوليو أنها حصلت على أداة فك تشفير عالمية من طرف ثالث وكانت تعمل مع Emsisoft لمساعدة الضحايا. قالت لاحقًا إن الأداة كانت فعالة للملفات المشفرة بالكامل وذكرت أنها لم تدفع أو تتفاوض على فدية للحصول عليها. تظهر هذه البيانات في نفس التسلسل الزمني للحادث، ولا يثبت السجل العام المصدر الأصلي للمفتاح.
كانت أداة فك التشفير قيمة. يمكن أن تقلل من فقدان البيانات الدائم للمؤسسات التي لا تزال لديها أنظمة مشفرة ولم تكمل طريق استرداد آخر. كانت متاحة أيضًا بعد ما يقرب من ثلاثة أسابيع من الهجوم. بحلول ذلك الوقت، كانت بعض الشركات قد استعادت من النسخ الاحتياطية، وأعادت بناء الأجهزة، وغيرت الأنظمة، أو استوعبت بطريقة أخرى الجزء الصعب من الاسترداد. لاحظت Huntress بأثر رجعي رد الفعل المختلط: بالنسبة لبعض الضحايا كان المفتاح اختراقًا؛ بالنسبة للآخرين وصل بعد الاستعادة اليدوية أو قرارات أخرى تم اتخاذها بالفعل.
فك التشفير ليس معادلاً لعودة جديرة بالثقة إلى الخدمة. قد يكون الملف المسترد سليمًا، لكن البيئة التي أنتجت الاختراق لا تزال بحاجة إلى التنظيف والتصحيح. قد تحتاج بيانات الاعتماد والعلاقات الإدارية إلى إعادة تعيين. قد تكون السجلات غير مكتملة لأن المهاجمين حاولوا إزالتها. يجب فحص نقاط النهاية المستعادة قبل إعادة الاتصال. الأعمال المتراكمة ومكالمات العملاء والتسوية المالية والعمل المؤجل تبقى بعد الحدث التشفيري.
هذا التمييز مهم لكيفية وصف البائعين للمعالجة. المفتاح العالمي هو أصل للاستجابة للحوادث، وليس استردادًا لانقطاع الأعمال. النسخ الاحتياطي هو سيطرة على توفر البيانات، وليس دليلاً على أن العملية التي تستخدم البيانات يمكن أن تستأنف ضمن الموعد النهائي لأعمالها. التصحيح المثبت يغلق المسارات التقنية المعروفة، وليس الفجوة في الحوكمة التي سمحت لخدمة مميزة واحدة بأن تصبح نقطة فشل مشتركة.
المساءلة تعود للضوابط، وليس للشعارات
المهاجمون مسؤولون عن الجريمة. جعلت السلطات العامة هذا الإسناد أكثر واقعية في وقت لاحق. زعمإعلان توجيه الاتهام في نوفمبر 2021 من وزارة العدل الأمريكيةأن ياروسلاف فاسينسكي تسبب في نشر كود REvil من خلال وظائف منتج Kaseya إلى نقاط نهاية العملاء. ربطحساب عملية GoldDust من يوروبولمشتبهًا به بهجوم Kaseya ورقم يصل إلى 1500 شركة نهاية. في عام 2024، بعد إقرار بالذنب في لائحة اتهام من 11 تهمة، حكمت محكمة فيدرالية على فاسينسكي بالسجن 13 عامًا وسبعة أشهر لنشاطه الأوسع في REvil، وفقًالوزارة العدل.
المسؤولية الجنائية لا تحسم المساءلة التشغيلية. تسأل حوكمة الأمن سؤالًا مختلفًا: أي طرف كان يتحكم في إجراء وقائي كان يمكن أن يمنع أو يكتشف أو يقيد أو يقصر الضرر بشكل معقول؟ على هذا الأساس، المساءلة موزعة ولكنها ليست غامضة.
| الطرف | السيطرة تحت تأثير ذلك الطرف | سؤال المساءلة الذي أثاره الحادث |
|---|---|---|
| Kaseya | التصميم الآمن، استقبال الثغرات، أولوية المعالجة، تسليم التصحيحات، القياس عن بُعد، الإعدادات الافتراضية للمنتج، تحذير العملاء، تشغيل SaaS، أدوات الاسترداد | هل عكست الإلحاحية ومجموعة الضوابط المؤقتة السلطة النهائية لخادم VSA المكشوف، وهل يمكن للشركة إثبات أن الضوابط اللاحقة تقلل من نفس فئة المخاطر؟ |
| MSP أو المشغل المحلي | التعرض للإنترنت، سياسة جدار الحماية وVPN، تصحيح الخادم، تكوين VSA، فصل الامتياز، مراقبة نقطة النهاية، النسخ الاحتياطي، استرداد العملاء | هل تم التعامل مع مستوى الإدارة كنظام إنتاج عالي القيمة مع مراقبة مستقلة، ووصول مقيد، ونسخ احتياطية نظيفة، وبديل يدوي تم اختباره؟ |
| عميل SME | اختيار المزود، تحليل تأثير الأعمال، الإجراءات غير المتصلة، متطلبات النسخ الاحتياطي، التأمين، بدائل الدفع والاتصال | هل فهمت الشركة أي الوظائف يمكن أن تتوقف مع MSP الخاص بها، وهل قدم عقدها معلومات كافية والتزامًا بالاسترداد للعمل على هذه التبعية؟ |
| باحثو الأمن | الإفصاح المنسق، جودة الأدلة، ضبط النفس في الاستغلال، إخطار الضحايا | هل تمت حماية التفاصيل بينما تم إعطاء المشغلين المتأثرين والبائع معلومات كافية لتقليل التعرض؟ يشير سجل DIVD إلى تنسيق نشط وإخطار بعد الهجوم. |
| الحكومة وإنفاذ القانون | التحذير، تنسيق الحوادث، دعم الضحايا، الاستخبارات، التعطيل، المقاضاة، التوجيه الأساسي | هل سرع التدخل العام الاحتواء وفرض توقعات دائمة دون نقل واجبات المنتج الخاصة والاستمرارية إلى الدولة؟ |
تتحمل Kaseya الحصة الأكبر من المساءلة على مستوى المنتج. لقد صممت البرنامج وحافظت عليه، وعرفت الثغرات المتبقية، وسيطرت على بيئة SaaS، وأنتجت الإصلاحات، وفهمت مدى وصول المنتج النهائي أفضل من عميل صغير. الوصف الإيجابي من DIVD لتعاون الشركة هو مادي ويجب أن يمنع صورة كاريكاتورية من التقاعس الكامل. لكنه لا يجيب عما إذا كانت أهداف المعالجة والضمانات المؤقتة لـ Kaseya كافية للمخاطرة.
يتحمل مزودو الخدمات المُدارة مسؤولية كبيرة في النشر والاستمرارية. التشغيل المحلي أعطاهم السيطرة على التعرض للشبكة والتوقيت، على الرغم من أنه تركهم معتمدين على Kaseya لمعالجة التعليمات البرمجية. لوحة تحكم إدارية مفتوحة على نطاق واسع للإنترنت لها ملف مخاطر مختلف عن تلك المقيدة بشبكة إدارة مخصصة أو VPN. المصادقة متعددة العوامل مهمة، لكن هذا الهجوم أظهر أن ثغرات المنتج يمكنها تجاوز افتراضات تسجيل الدخول التي تعتمد عليها MFA. الكشف المستقل لنقطة النهاية، وضوابط التطبيق، وتجزئة الشبكة، وطريقة لسحب أو احتواء سلطة RMM تظل ضرورية.
مسؤولية SME أضيق ولكنها ليست صفرية. الاستعانة بمصادر خارجية لتكنولوجيا المعلومات ليس مثل الاستعانة بمصادر خارجية لواجب الشركة في الاستمرار في خدمة العملاء ودفع الرواتب وحماية السجلات والتواصل أثناء الانقطاع. ومع ذلك، من غير الواقعي أن نطلب من عميل صغير إجراء هندسة عكسية لسلسلة أدوات MSP الخاص به. واجبه العملي هو تحديد وظائف الأعمال الحرجة، وطلب الإفصاح عن المقاولين الرئيسيين من الباطن والأدوات المميزة، وطلب أهداف الاسترداد، والحفاظ على حلول بديلة غير رقمية حيثما كان ذلك متناسبًا، واختبار ما إذا كان انقطاع MSP يترك له أي طريق للتشغيل.
مسؤولية الحكومة تمكينية وإجبارية وليست تشغيلية. وزعت CISA و FBI التخفيفات، وتنسقا مع Kaseya، وشجعا على الإبلاغ. أنتج التحقيق الدولي في النهاية اعتقالات ومقاضاة. يمكن لهذه الإجراءات تقليل حرية المهاجمين ومساعدة الضحايا، لكن لا يمكن لأي وكالة عامة مراقبة كل قائمة انتظار تصحيحات بائع أو استعادة كل ماكينة تسجيل محلية. دور الدولة الدائم هو إنشاء قنوات الإبلاغ، وتحسين تبادل الاستخبارات، ووضع توقعات المشتريات، وملاحقة المجرمين، وتحديد الحد الأدنى من الواجبات حيث تفشل حوافز السوق.
يجب أن يكشف العقد عن البنية الخفية
لم يخلق الحادث مفهوم المسؤولية المشتركة، لكنه أظهر كم يمكن أن تصبح هذه العبارة فارغة عندما تكون البنية الأساسية غير مرئية. يجب أن يحول عقد MSP المفيد التبعية التقنية إلى معلومات وسلطة والتزامات استرداد قابلة للقياس.
كحد أدنى، يجب أن يعرف العميل أدوات الإدارة عن بُعد والأمن التي لها وصول مميز؛ وما إذا كانت مستضافة من قبل البائع أو يديرها MSP؛ وما هي الواجهات الإدارية التي يمكن الوصول إليها عبر الإنترنت؛ وأين يتم الاحتفاظ بسجلات التدقيق؛ وما إذا كان المزود يمكنه عزل عميل عن الباقي؛ وكيف سيواصل المزود الدعم الأساسي إذا كانت منصة RMM الرئيسية غير متوفرة. هذا لا يتطلب الكشف عن تفاصيل قابلة للاستغلال لكل عميل. يتطلب ما يكفي من الهندسة للعميل لفهم المخاطر المترابطة.
يجب أن تميز شروط الإخطار بين ثلاثة أحداث: الاشتباه في اختراق المزود أو الأداة، الوصول المؤكد إلى بيئة العميل، والتعليق التشغيلي كإجراء احترازي. لم يتم الإبلاغ عن اختراق عملاء SaaS لـ Kaseya، ولكن تم تعليق خدمتهم. العقد الذي يطلق الإخطار فقط بعد تأكيد اختراق بيانات العميل يفوت حدث استمرارية رئيسي.
تحتاج التزامات الاسترداد أيضًا إلى ساعات متعددة. الوقت للاعتراف بالحادث ليس الوقت لاحتوائه. الوقت لإصدار تصحيح ليس الوقت لـ MSP لتثبيته. الوقت لفك تشفير البيانات ليس الوقت لاستئناف عملية الأعمال. يجب أن تحدد اتفاقية الخدمة الهادفة أهدافًا لإخطار المزود، وعزل مستوى الإدارة، واستعادة الدعم عن بُعد الحرج، وفرز نقطة النهاية، وإعادة البناء النظيف، وتصفية الأعمال المتراكمة. يجب أن تحدد من يزود الفنيين عندما يفشل الاسترداد عن بُعد.
الاستشارة متعددة الجنسيات لعام 2022 حولحماية مزودي الخدمات المُدارة وعملائهمتجعل هذا التخصيص صريحًا. توصي بأن يضمن العملاء أن الترتيبات التعاقدية تغطي ضوابط مثل الوصول الآمن عن بُعد، والمراقبة والتسجيل، وخطط الاستجابة للحوادث والاسترداد، والمصادقة، وإدارة مخاطر سلسلة التوريد. التوجيه لاحق لحدث Kaseya وليس دليلاً على واجب ملزم في عام 2021. إنه بيان مفيد لما يجب أن تبدو عليه المسؤولية المشتركة الناضجة الآن.
تحتاج المشتريات أيضًا إلى السؤال عن التركيز. قد يستخدم المزود نفس RMM ومنصة النسخ الاحتياطي وموفر الهوية ووكيل الأمان لكل عميل. هذا التوحيد جزء من الكفاءة التي يتم شراؤها. يجب أن يعرف العميل ما إذا كان فشل مستوى تحكم واحد يمكن أن يعطل كل من الإدارة والنسخ الاحتياطي، وما إذا كان الوصول الطارئ يستخدم نفس نظام الهوية، وما إذا كانت الأدوات البديلة مستقلة حقًا أو مجرد وحدة أخرى في نفس المجموعة.
ضغط الأسعار يعقد الإجابة. تختار الشركات الصغيرة الخدمات المُدارة جزئيًا لأن التكرار مكلف. مطالبة كل MSP بالحفاظ على منصات مكررة وموظفين على مدار الساعة يمكن أن يرفع التكاليف إلى ما يتجاوز ما يمكن لبعض العملاء تحمله. لذلك يجب أن تكون المساءلة متناسبة، وليست مسرحية. لا يحتاج المزود إلى نسخة ثانية من كل أداة لإثبات المرونة. يحتاج إلى بديل موثق للوظائف الحرجة، ونسخ احتياطية مختبرة خارج حدود الثقة لـ RMM، وجهات اتصال حالية للعملاء، وخطة ذات مصداقية للعمالة الطارئة.
الضوابط التي يمكن اختبارها، وليس مجرد الوعد بها
أفضل سؤال بعد الحادث ليس ما إذا كان البائع أو MSP يقول إن الأمن مهم. هو ما إذا كان يمكن للمقيم ملاحظة سيطرة متغيرة وتحديها. يقترح حدث Kaseya مجموعة عملية من الاختبارات.
تقليل تعرض مستوى الإدارة.عد كل خادم RMM وواجهة إدارية. أظهر أي العناوين يمكنها الوصول إليه، ولماذا يوجد كل طريق، ومتى تمت مراجعة القاعدة آخر مرة. يجب أن يكون الوصول عبر الإنترنت بالكامل استثناءً بملكية صريحة. وضع VPN وحده لا يكفي إذا كانت هوية VPN لديها امتياز دائم واسع، لكنه يزيل فئة كاملة من الوصول العام غير المصادق عليه.
جعل الإجراء الجماعي واضحًا.يجب أن تميز منصة الإدارة عن بُعد العمل العادي عن أمر يمس مئات العملاء أو نقاط النهاية. تحتاج الإجراءات عالية النشر إلى تفويض قوي، وأصل واضح، وحدود للمعدل حيثما أمكن تشغيليًا، وتنبيهات يتم تسليمها من خلال قناة مستقلة عن المنصة المستخدمة. لا ينبغي للجلسة المسروقة أن ترث بصمت المدى الكامل للخادم.
فصل مستوى الإدارة عن أدلته.قم بتصدير سجلات المصادقة وإنشاء الإجراءات ونشر البرامج وحذف الحسابات وتغييرات التكوين إلى تخزين لا يمكن للمهاجم المسيطر على VSA مسحه. لاحظت Huntress سلوكًا يهدف إلى إزالة الأدلة المحلية. إذا كان مسار التدقيق الوحيد يجاور التطبيق المميز، يمكن للاختراق تدمير كل من النظام والشرح.
التصحيح وفقًا للسلطة والتعرض.درجات الشدة هي مدخلات، وليست جداول زمنية. خلل مصادقة قابل للاستغلال عن بُعد في منصة تتحكم في آلاف الأجهزة يستحق دورة قرار أقصر من نفس الدرجة في أداة معزولة. الاختبار هو ما إذا كان البائع يمكنه إظهار تصعيد موثق، وسيطرة مؤقتة، ومالك، وتاريخ مستهدف، وخريطة تعرض العملاء، وقبول تنفيذي لأي تأخير.
التحقق من التحذير الخاص.أثناء الإفصاح المنسق، يجب أن يكون البائع قادرًا على إثبات أي من العملاء المكشوفين المحددين تلقوا تخفيفًا، ومتى تم التسليم بنجاح، وما إذا تم تنفيذ السيطرة. قد يظل المحتوى سريًا. يجب أن يكون وجود الحملة واكتمالها قابلين للتدقيق بعد أن يصبح التصحيح علنيًا.
تقييد الانتشار من عميل إلى عميل.يجب أن يظهر MSP أن اختراق RMM الخاص به لا يمنح تلقائيًا حركة شبكة غير مقيدة داخل كل عميل. امتيازات الوكيل، وتجزئة الشبكة، وضوابط التطبيق، وفصل بيانات الاعتماد، والحدود الإدارية لكل عميل يجب أن تجعل الأداة المشروعة مفيدة دون جعلها كلي القدرة.
الاسترداد بدون المنصة.قم بتشغيل تمرين يكون فيه VSA أو RMM مكافئ غير متاح لمدة أسبوع. هل يمكن لـ MSP تحديد كل أصل مُدار، والاتصال بكل عميل، وإلغاء بيانات الاعتماد، وتوزيع تصحيح حاسم، واسترداد نسخ احتياطية نظيفة، وتحديد أولويات الزيارات الميدانية؟ هل يمكن لـ SME قبول المدفوعات، والتواصل مع العملاء، وجدولة العمل، أو معالجة الطلبات العاجلة؟ الخطة التي تتطلب لوحة التحكم الفاشلة لفتحها ليست خطة مستقلة.
قياس الاستعادة عند وظيفة الأعمال.نقطة النهاية التي تم فك تشفيرها بنجاح هي نتيجة وسيطة. يجب أن يكون معيار الإكمال ماكينة تسجيل قابلة للاستخدام، أو سير عمل جدولة يمكن الوصول إليه، أو دفتر أستاذ متسق، أو خدمة محددة أخرى. هذا التغيير في القياس يمنع فرق التقنية من إعلان النصر بينما يظل العميل مغلقًا تشغيليًا.
تتوافق هذه الضوابط مع الانضباط الأوسع لسلسلة التوريد فيNIST SP 800-161 Rev. 1، الذي يضع مخاطر الموردين داخل حوكمة المؤسسة والاقتناء والتقييم والمراقبة المستمرة بدلاً من معاملتها كاستبيان أمني لمرة واحدة. المراجعة النهائية أحدث من الحادث، على الرغم من أن برنامج سلسلة التوريد الأساسي لـ NIST ونسخة سابقة كانا موجودين بالفعل. يجب استخدامه كإطار تحكم مستقبلي، وليس كحكم بأثر رجعي.
ما تثبته الضمانات اللاحقة، وما لا تثبته
تضمن تقرير SOC 3 لـ Kaseya للفترة المنتهية في 31 مايو 2022 حادث يوليو كإفصاح. قال إن 57 عميلًا محليًا تأثروا، وتم تفعيل عملية الاستجابة، وتم إشراك محققين خارجيين، وتم إيقاف SaaS كإجراء احترازي، وتم تحذير العملاء المحليين، وبدأ إصدار 11 يوليو الاستعادة. كما وصف التقرير سياسات لإدارة التغيير، والاستجابة للحوادث، والنسخ الاحتياطي، وإدارة الأمن، والمراقبة.
هذا دليل مفيد على عملية ضمان وبيئة تحكم لاحقة. إنه ليس تدقيقًا جنائيًا عامًا لكل قرار قبل الحادث. التقرير نفسه يلاحظ حدودًا متأصلة في الضوابط الداخلية ويشرح أن وصف النظام العام قد يحذف جوانب مهمة لمستخدم معين. لا يكشف عن نتائج مراجعة التعليمات البرمجية المصدر، أو مستويات خدمة معالجة الثغرات، أو القياس عن بُعد الدقيق الذي كان موجودًا قبل 2 يوليو، أو أدلة الاختبار التي تظهر أنه لم يعد بإمكان تجاوز المصادقة إنتاج تنفيذ جماعي.
هذا التمييز مهم لأن الشهادات غالبًا ما تستخدم كبدائل لأسئلة المشتريات الصعبة. يمكن أن يدعم رأي الضمان النظيف الثقة في مجموعة محددة من المعايير على مدى فترة محددة. لا يمكن أن يثبت عدم وجود ثغرة شديدة، أو أن كل إعداد افتراضي للمنتج آمن، أو أن بنية استرداد العميل كافية. يجب على MSP و SME قراءة النطاق والفترة والاستثناءات وضوابط المستخدم التكميلية ومعالجة الخدمة الفرعية بدلاً من معاملة التقرير كضمان أمني.
ستكون المساءلة العامة أقوى مع تقرير ما بعد الإجراء مخصص يربط كل نمط فشل بتصحيح تم اختباره. نشرت Kaseya مؤشرات فنية، وتسلسلًا زمنيًا، وأدلة تقوية، ومواد ضمان لاحقة، لكنها لم تنشر مراجعة سببية مستقلة كاملة مماثلة لأكثر تقارير ما بعد الحادث تفصيلاً الصادرة الآن بعد أعطال السحابة أو البرامج الكبرى. الأثر المفقود ليس اعتذارًا. إنه دليل على أنه تم تحديد مسار التكرار، وتعيينه، ومعالجته، وتحديه.
الادعاءات التي يجب أن تبقى محدودة
تذهب العديد من التفسيرات الشائعة إلى ما وراء الأدلة.
لم يثبت أن Kaseya تركت عن علم خللاً قابلاً للإصلاح بسهولة مفتوحًا دون اتخاذ إجراء. يقول DIVD العكس عن المشاركة ويؤكد أن إصلاحات متعددة تم شحنها خلال نافذة الإفصاح. النقد العادل يتعلق بتحديد الأولويات، والضمانات المؤقتة، والتعرض المحلي، والتي السجل الداخلي لها غير عام.
لم يثبت أن جميع عملاء Kaseya أو مليون جهاز تم اختراقهم. تقدير Kaseya الناضج كان أقل من 60 عميلاً مباشرًا وأقل من 1500 شركة نهاية. أعداد المستجيبين الأخرى تعكس رؤيتهم الخاصة ووقت القياس. إجماليات الأجهزة ومدفوعات الفدية والخسائر الاقتصادية الكاملة لا تزال غير معروفة.
لم يثبت اختراق SaaS VSA. قالت Kaseya باستمرار إنها لم تجد دليلاً على اختراق عملاء SaaS. تم إيقاف SaaS بشكل وقائي، ويشير الجدول الزمني لـ DIVD إلى أن الإصلاحات ذات الصلة قد وصلت إلى تلك البيئة قبل 2 يوليو. يجب عدم تسمية انقطاع الخدمة الذي عانى منه عملاء SaaS بشكل خاطئ على أنه تشفير نقطة النهاية.
لم يثبت أن تحديث Kaseya العادي تم تسميمه في المصدر. أفضل حساب عام هو استغلال خوادم VSA التي يديرها العملاء يتبعه إساءة استخدام وظائف النشر القياسية. تسمية الحدث بهجوم سلسلة التوريد دفاعية لأن الاختراق سافر عبر علاقات الموردين، لكنه لا ينبغي أن يعني ضمناً اختراق بناء مختلف واقعيًا.
لم يثبت أن أداة فك التشفير العالمية محت خسائر الضحايا. قالت Kaseya إنها عملت للملفات المشفرة بالكامل وأنه لم يتم دفع فدية للحصول عليها. مصدر المفتاح لم يثبت علنًا من قبل Kaseya، وعمل الاسترداد سبق وصوله وتلاه.
أخيرًا، الإسناد الجنائي لا يحيل المسؤولية المدنية بين البائع و MSP والعميل. أسست مقاضاة فيدرالية عواقب لسلوك أحد شركاء REvil. لم تحكم على كفاية تطوير برامج Kaseya، أو تكوين MSP، أو خطة استمرارية العميل. شروط العقد والقانون الحاكم والسببية الواقعية والتأمين والأضرار ستكون مهمة في أي نزاع محدد.
المعلومات المفقودة لا تزال
سيتضمن سجل المساءلة الكامل أول طابع زمني للاستغلال والكشف؛ الثغرات الدقيقة المتسلسلة في كل VSA مخترق؛ عدد الخوادم التي تم فحصها واختراقها واستخدامها للنشر؛ الشدة الداخلية وأهداف المعالجة المخصصة بعد 6 أبريل؛ والضوابط المؤقتة المقدمة قبل 2 يوليو. كما سيظهر عدد المضيفين المكشوفين في قائمة DIVD لشهر يونيو الذين تم إخطارهم بشكل خاص وكم منهم قلل التعرض.
للتأثير، البيانات المفقودة تشمل إجماليات نقاط النهاية المشفرة، توزيع الضحايا حسب البلد والقطاع، أوقات الاسترداد المتوسطة والذيلية، مدفوعات الفدية من قبل الضحايا النهائيين، نجاح النسخ الاحتياطي، انقطاع الأعمال، عمالة MSP، استرداد التأمين، وتعويض العملاء. العدد العام للمؤسسات مفيد، لكنه لا يقيس شدة أو مدة الضرر.
للمعالجة الدائمة، يحتاج القراء إلى أدلة مستقلة حول تغييرات التطوير الآمن، وحدود المصادقة والجلسة، وتفويض النشر الجماعي، والتسجيل المقاوم للعبث، وكشف الشذوذ، وأهداف التصحيح الطارئ، والاسترداد على مراحل، والاختبارات المستمرة للمنتج المحلي. دليل التقوية وتقرير الضمان لـ Kaseya هما إشارات، لكنهما لا يوفران تلك السلسلة الكاملة.
لسوق MSP، المقام المفقود هيكلي. لا يوجد جرد عام كامل لأي SMEs تعتمد على أي منصات RMM، أو عدد العملاء الذين يشاركون كل مستوى تحكم، أو عدد المرات التي يختبر فيها المزودون التشغيل بدونها. هذا الغموض يجعل من الصعب تسعير التركيز النظامي قبل وقوع الحادث.
جلسة استماع في الكونغرس الأمريكي لعام 2022 حولبرامج الفدية والشركات الصغيرةوضعت حدث Kaseya داخل مشكلة سياسة أوسع: تواجه الشركات الصغيرة تعرضًا سيبرانيًا خطيرًا ولكن لديها موارد أقل لمنعه وامتصاصه. سجل الجلسة ليس مصدرًا جنائيًا للاستغلال، وبعض مواد الحادث التي يعيد إنتاجها جاءت من تقارير صحفية. أهميتها السياسية هي عدم التطابق بين الاعتماد الاجتماعي على المؤسسات الصغيرة وقدرتها المحدودة على تدقيق الموردين المعقدين.
الدرس الدائم يدور حول السلطة المفوضة
منع استجابة Kaseya في 2 يوليو نتيجة أسوأ. أوقفت الشركة SaaS على الرغم من عدم وجود دليل على اختراق العملاء المستضافين، وحذرت المشغلين المحليين، وأشركت المحققين والحكومة، وبنات أدوات الكشف والاسترداد، وقدمت في النهاية تصحيحًا ودعم فك التشفير. سجل DIVD يظهر أن Kaseya لم تتجاهل أبحاث الثغرات الأساسية. هذه الحقائق تنتمي إلى أي حساب عادل.
نفس السجل يظهر لماذا لا يمكن أن تنتهي العدالة بالثناء على الاستجابة. ثغرة معروفة بشكل خاص في أبريل كانت مرتبطة بالاستغلال قبل أن يحصل العملاء المحليون على الإصدار ذي الصلة. مجموعة صغيرة من مثيلات VSA المخترقة وصلت إلى العديد من الشركات النهائية. عطلت الاستجابة الأكثر أمانًا خدمة إدارة أساسية للمستخدمين غير المتأثرين. انتقلت الاستعادة من أداة مركزية إلى عمل يدوي وعمليات بديلة ونسخ احتياطية وزيارات. الأدلة العامة لا تزال ضئيلة جدًا لاختبار ما إذا كانت أعمق الضوابط الوقائية قد تغيرت.
الأهمية الدائمة للحادث ليست أن الاستعانة بمصادر خارجية فشلت. الخدمة المُدارة لا تزال ضرورية اقتصاديًا للعديد من SMEs ويمكن أن ترفع مستوى الأمان الأساسي لديهم. الدرس هو أن السلطة التقنية المفوضة تخلق واجبًا لكشف وإدارة التبعية الناتجة. يجب على البائعين التصميم والمعالجة وفقًا لمدى وصول أدواتهم. يجب على مزودي الخدمات المُدارة معاملة الإدارة عن بُعد كنظام إنتاج عالي العواقب والاستعداد للعمل بدونه. يحتاج العملاء إلى عقود وخطط استمرارية تكشف المقاولين الرئيسيين من الباطن وتحدد الاسترداد بشروط الأعمال.
يجب على الحكومات جعل الإبلاغ والتوجيه الأساسي والتحقيق والإنفاذ عبر الحدود أكثر فعالية مع مقاومة الخيال القائل بأن كل شركة صغيرة يمكنها تدقيق سلسلة توريد برامج بمفردها.
الإدارة عن بُعد تعمل من خلال جعل المسؤول البعيد قويًا محليًا. في يوليو 2021، عبرت تلك القوة حدود الثقة في الاتجاه الخاطئ. المساءلة تعني ضمان أن لوحة التحكم المخترقة التالية تواجه حدودًا، وأدلة مستقلة، وإلغاء سريعًا، ومسار استرداد قبل أن تواجه كل عميل.

