Summary
- 2021年7月の Kaseya VSA インシデントは、影響を受けた多くの企業が VSA を直接運用していないにもかかわらず MSP の通知と復旧に依存していたため、ベンダーとマネージドサービスプロバイダーの問題を下流の説明責任問題に変えた。
- 公開証拠は、Kaseya が攻撃前に DIVD と協調開示を通じて既に連携しており、複数の脆弱性が修正されていた一方で、2021年7月2日に REvil の攻撃者が VSA を悪用した時点で、脆弱なオンプレミスシステムが依然として存在していたことを示している。
- Kaseya のアラート後の対応(ホスト型 VSA の停止、オンプレミス顧客への停止助言、対応要員の招集、政府パートナーへの連絡、検出ツールのリリース)は重要だった。それらは、エクスプロイト前の露出削減や、下流クライアントが実用的なガイダンスを受け取るまでの速度に関するすべての疑問に答えるものではない。
- 被害の分母は階層化されている。Kaseya は後に、直接影響を受けた顧客は60未満でその多くは MSP であり、下流の企業は1,500未満と説明した。これらの数字は依存ツリー内の異なる位置を示しており、1つの数字にまとめるべきではない。
- 修復基準は可観測性である。マネージドサービスエコシステムは、誰が露出したか、誰が警告を受けたか、誰が停止したか、誰が暗号化されたか、誰が復旧指示を受け取ったか、VSA を直接制御できない顧客が継続性を守るためにリスクを適時に認識できたかを示せなければならない。
検出遅延はサービスチェーンを伝播した
Kaseya インシデントはしばしばサプライチェーンランサムウェア攻撃と説明される。それは概ね正しいが、その表現は特定の説明責任の経路を覆い隠す可能性がある。公的な記録は、攻撃者が Kaseya のソフトウェアビルドを改変したり、悪意のあるベンダーアップデートを配信したことを示していない。Kaseya のインシデント概要と技術的詳細によれば、攻撃者はオンプレミス VSA のゼロデイ脆弱性を悪用し、認証をバイパスし、コマンド実行を達成し、標準的な VSA 機能を使用して管理対象エンドポイントにランサムウェアを展開した。信頼の経路は管理権限を通じており、汚染されたベンダーパッケージではなかった。
この区別は検出と開示にとって重要である。VSA はリモート監視・管理ソフトウェアである。マネージドサービスプロバイダーは、このようなツールを使用して、デバイスのインベントリ作成、メンテナンスの実行、ソフトウェアの展開、そして自前の技術スタッフを十分に持たない顧客のサポートを行う。攻撃者が VSA サーバーを制御すると、その悪意ある行動は、振る舞い、タイミング、ペイロード、または顧客からの報告が明らかになるまで、管理操作のように見える可能性がある。最初の明確な警告は、MSP、下流のクライアント、セキュリティベンダー、ソフトウェア会社、政府パートナーのいずれかで現れるかもしれない。それらのどの立場も、チェーン全体を見渡すことはできない。
Kaseya の2021年7月5日のプレスリリースによると、社内外の情報源から7月2日午後2時(米東部時間)頃に潜在的な攻撃について警告を受け、同社は1時間以内にホスト型 VSA 環境を停止し、オンプレミス顧客にサーバーを停止するよう助言した。このアラート後の対応は結果的に重要だった。それはさらなる拡散を制限した可能性が高い。しかし、下流の説明責任分析はより長い疑問を投げかける:各層でリスクが認識可能になったのはいつか、そして警告は最初に気づいた層からシステムを失う企業へどれほどの速さで伝わったのか。
影響を受けたパートナーから早期の報告を受けた Huntress は、一連の出来事と教訓の要約を公開した。その記述は、MSP からの報告が短期間に集中したこと、共通の VSA リンク、ペイロードのステージング、クリーンアップ操作、管理機能を通じた配信について説明している。Sophos はエンドポイントとレスポンスの側面から同技術的なレポートを公表した。これらのレスポンダーのナラティブは世界的な被害者数を示すものではないが、このケースで検出遅延が分散していた理由を示している。暗号化に最初に気づいた企業が、必ずしも VSA を修正する権限を持つ当事者ではなかったのだ。
FBI のKaseya 攻撃に関する公開声明は、停止指示を強化し、報告を促した。CISA と FBI は後にこの共同アドバイザリ(PDF)を通じて、検出ツール、多要素認証、リモート管理通信の制限、管理インターフェース用の VPN またはファイアウォール保護、保護されたバックアップ、最小権限の原則を推奨した。これらは強力な事後対策である。未解決の問題は、犯罪者の猶予が尽きる前にどれだけの露出を減らせたかである。
したがって、検出遅延は Kaseya 内部だけで測定することはできない。それは、MSP が異常な VSA の振る舞いを認識できた地点、下流企業が自社のプロバイダーのツールが経路であると認識できた地点、公的機関がインシデント報告をより広範な警告に転換できた地点で測定されなければならない。このインシデントは、集中管理プラットフォームをリレー問題に変えた。
協調開示は犯罪者の期限に直面した
エクスプロイト前の記録は、簡単な非難も簡単な免罪も許さないため、極めて重要である。DIVD の限定開示によると、この非営利研究グループは2021年4月に VSA の調査を開始し、4月6日に Kaseya に通知した。DIVD は、Kaseya の対応がタイムリーで積極的だったこと、そして同社が研究者と協力して修正に取り組んでいたと述べている。これは重要である。公開証拠は、ベンダーが責任ある報告を無視したという単純な主張を支持しない。
DIVD が維持しているケース記録は、タイムラインのもう一方の側面を示している。このケースには複数の脆弱性が含まれていた。一部は7月までに修正されていた。Kaseya のホスト型環境には、攻撃前に関連する修正が適用されていた。ランサムウェアイベントが始まった時点では、オンプレミスの VSA サーバーはまだ対応が必要だった。DIVD は後に CVE-2021-30116 を含む脆弱性の全詳細を公開し、NVD のCVE-2021-30116 エントリは現在、この問題が野生下で悪用されたと記録している。
この一連の流れは、厳しい説明責任基準を生み出す。研究者と誠実に協力するベンダーであっても、修復、露出削減、顧客への警告が敵対者による再発見を上回らなければ、下流で失敗に直面しうる。協調開示は、公的な詳細が開示される前に修正を可能にすることで被害を減らすように設計されている。同時に、限られた人々だけが重要な製品に脆弱性があることを知り、多くの運用者が行動を変えるのに十分な情報を持たない期間を生み出す。製品の権限が高いほど、その期間は短くあるべきだ。
VSA の役割は緊急性を増幅させた。リモート管理製品は、通常のコンテンツサイトではない。それは顧客のマシンに対するコントロールプレーンである。インターネットに面した VSA サーバーに重大な認証または認可の弱点が存在すれば、想定される結果は1台のサーバーの侵害にとどまらず、そのサーバーを信頼するすべてのエンドポイントに対する悪意ある操作である。つまり、暫定的な制御は開示プロセスの一部として扱われるべきであり、パッチ後のオプションの強化ではない。
公開記録は、攻撃前のいくつかの疑問を未解決のまま残している。どの露出した事業者に対して Kaseya は7月2日より前に非公開で連絡したのか?正確にどのような暫定制限が要求または推奨されたのか?管理インターフェースは VPN や専用ファイアウォールルールの背後に移されたか?高リスクのオンプレミス顧客はパッチが提供されるまで停止を求められたか?既知の露出システムの状態が変化したことを Kaseya はどのように検証したか?疑わしいプロシージャ作成を通常のリモート管理作業から区別するテレメトリが存在したか?これらの質問は過失を前提としていない。攻撃前の警告が VSA の爆風半径に見合っていたかを評価するために必要な証拠を特定している。
Kaseya は後に2021年8月4日の重要なお知らせや追加の復旧資料を公開し、侵害検出ツールのページも提供した。これらの文書はインシデント後の管理記録の一部である。それ自体では、2021年6月に何が可能だったかを再構築することはできない。永続的な教訓は、特権的な管理ソフトウェアの協調開示には、公の見出しのはるか前から観測可能な露出削減が含まれるべきだということである。
停止助言がオンプレミスの分断を露呈した
Kaseya は自社が運営する環境を停止できた。しかし、顧客が運用するすべての VSA サーバーを直接停止することはできなかった。この区別は、検出-開示問題の核心である。ホスト型製品は、危機時にベンダーに運用管理権限を与える。オンプレミス製品は、ベンダーに知識とコードの権限を与えるが、実行中のサービスは顧客または MSP の管理下にある。Kaseya の事案では、それは停止メッセージが各オンプレミス事業者に届き、休日週末の金曜日に実行されなければならないことを意味した。
これは単なる不便ではない。攻撃者が信頼された管理機能を使用していたため、リレーのあらゆる分が重要だった。Kaseya のメッセージは MSP のリーダーまたは管理者に届き、その人物は「VSA を停止する」ことが顧客管理を無効にする通常のコストを上回ると理解しなければならず、MSP は悪意あるプロシージャが既にキューに追加されたり実行されたりしていないことを確認する必要があった。その後、下流のクライアントは、自社のシステムが安全なのか、暗号化されたのか、切断されたのか、復旧待ちなのかを知る必要があった。このリレーには、技術的、ビジネス的、顧客コミュニケーション上のステップが含まれていた。
CISA-FBI の共同ガイダンスは、答えが単に「パッチを適用する」ことではないと認識していた。それは VSA サーバーの停止、検出ツールの実行、バックアップの保全、リモート管理通信の制限、最小権限の使用を強調した。このガイダンスはオンプレミスの現実に即していた:最初の公的通知後であっても、悪意ある状態を消去したり露出を引き締めたりせずに事業者が再起動した場合、侵害された管理サーバーは依然として危険でありうる。
Kaseya の後のSOC 3レポートは、57のオンプレミス顧客が影響を受けたと述べている。このレポートは企業が提供する保証の文脈として有用だが、すべての下流企業にとって完全に独立したインシデントの説明ではない。Investing.com が伝えた Reuters の報道によると、最高経営責任者は800から1,500の企業が影響を受けたと推定した。これらの数字は互換性がない。一方はある層の直接顧客を数えている。他方は別の層の下流組織を数えている。
この階層化された分母は、通知の質に影響する。Kaseya の直接顧客はベンダーのガイダンスを受け取るかもしれない。MSP にサービスを提供される中小企業は、電子メール、電話、ポータル通知を受け取るか、あるいはシステムが利用できなくなるまで明確な説明を得られない可能性がある。食料品店、歯科医院、地方自治体、小売店は VSA という用語すら知らないかもしれない。しかし、その事業継続性は VSA の状態と MSP の対応にかかっていた。停止の結果を被る当事者が、連鎖の中で最も情報に乏しい当事者になりうるのだ。
だからこそ、マネージドサービス契約は、緊急事態が起こる前に緊急通知義務を定義すべきである。クライアントは、どのリモート管理ツールが特権的な権限を持つのか、誰がそれらを停止できるのか、停止中の監視や保守はどうなるのか、クライアントシステムがどのように隔離されるのか、復旧がどのように優先順位付けされるのか、そして証拠がどのように共有されるのかを知っておくべきである。これらの条件がなければ、最初の明確な説明責任の会話は暗号化の後に行われ、すべての当事者がプレッシャーの中にあり、事実が不完全なままになる可能性がある。
下流の分母が被害を変えた
Kaseya の直接の被害者数は総顧客基盤に比べて小さく、Kaseya がすべての顧客が影響を受けたわけではないと正しく強調した。その事実は保持されるべきである。それは、インシデントの運用的な形状を矮小化するために用いられるべきではない。一部の影響を受けた直接顧客がマネージドサービスプロバイダーだったからこそ、このインシデントは重要だった。1つの MSP が、侵害された1つのコントロールプレーンを数十から数百の企業に接続しうる。
スウェーデンの小売業 Coop は、下流の事業継続性喪失の公的な象徴となった。Investing.com が配信した Reuters の報道によると、米国の IT プロバイダーに対するサイバー攻撃により、スウェーデンのチェーンは800店舗を閉鎖せざるを得なかった。その後の報道では、影響を受けた企業が復旧に数週間かかる可能性が指摘された。これらの話を完全な被害者リストとして扱うべきではない。これらは、リモート管理の侵害が、消費者が閉店、利用できない支払い、中断された地域運営として経験する公共向けサービスにまで到達しうることを示している。
中小企業にとって、マネージドサービスは合理的である。それは、多くの小規模組織が単独では構築できない専門的な労働力、監視、バックアップ管理、パッチ適用、サポートへのアクセスを提供する。その同じ集中が、相関した障害を生み出す。地理的にも業種的にも別々に見える一連の企業が、1つの MSP、1つのリモートツール、1つのバックアップパターン、1つの復旧スタッフを共有しているかもしれない。その層でのランサムウェアイベントは、独立していると思われていた多くの事業継続計画を一度に機能不全に陥らせうる。
公共部門の継続性も同様に影響を受けうる。地方自治体、学校、公益事業、公共向け機関は、しばしば MSP または同様の外部委託サポートに依存している。ダウンタイムの影響を受ける市民は、ツールが政府機関の職員、請負業者、再販業者、ソフトウェアベンダーのいずれによって運用されていたかに関心を持たない。彼らはサービスが復旧されることを必要としている。しかし、説明責任の経路はそれらの技術的な関係を通っており、あらゆる引き継ぎで遅延が生じうる。
ここで、検出と開示は経済的な問題になる。早期に知った中小企業は、システムを切断し、バックアップを保全し、従業員に警告し、支払処理を切り替え、作業を延期し、または顧客に連絡することができる。暗号化の後でのみ知った企業は、選択肢が少ない。それは売上の喪失、給与支払いの混乱、顧客の不満、規制報告の不確実性、保険関連の事務処理に直面しうる。同じ技術的なエクスプロイトでも、下流の当事者が使用可能な情報を受け取る時期によって、生じる損害は異なる。
CISA、NSA、FBI、そして国際的なパートナーは後に、マネージドサービスプロバイダーと顧客の関係を保護するためのより広範なガイダンスを発行し、CISA がこのアドバイザリ通知で発表した。このガイダンスは体系的なポイントを反映している:MSP のセキュリティは、単に MSP の私的な問題ではない。それは、その信頼を引き継ぐ顧客にとって共有された継続性の問題である。
法執行措置は修復証拠の代わりにはならなかった
Kaseya インシデントはまた、法執行機関の記録も生み出した。司法省は2021年、ランサムウェア攻撃に関連してウクライナ国籍の個人が逮捕・起訴されたと発表した。Europol は、Sodinokibi/REvil に関係する5人のアフィリエイトが摘発されたと発表した。司法省はその後、Sodinokibi/REvil のアフィリエイトがより広範なランサムウェアの役割で刑を宣告されたと発表した。これらの記録は、攻撃者の説明責任にとって重要である。
それらは運用的な疑問には答えない。刑事訴訟と判決は、被疑者または有罪判決を受けた行為者を特定し、インフラを破壊し、証拠を回収し、将来のキャンペーンを抑止できる。しかし、どの MSP の顧客が適切なバックアップを持っていたか、どのクライアントが間に合うように通知されたか、どの VSA サーバーが7月2日より前に露出していたか、あるいはすべての下流組織が安全に再構築されたかどうかを証明することはできない。攻撃者の説明責任とサービスの説明責任は、異なる制御に関わるため、共存する。
同じ区別が議会の注目にも当てはまる。GovInfoで入手可能な下院公聴会の記録は、ランサムウェア、重要サービス、民間部門の準備態勢に関する公的懸念を捉えている。監視はパターンを浮き彫りにし、政策ニーズを明らかにできる。それでも、検出のタイミング、通知内容、停止実行、復旧品質に関するエンティティレベルの証拠の代わりにはならない。
NIST のSP 800-161 Rev. 1は、より広範なサプライチェーンリスクの語彙を提供する。それはサプライヤー、製品、サービス、ライフサイクル管理をサイバーセキュリティガバナンスの一部として扱う。Kaseya のインシデントは、その語彙にマネージドサービスの運用的証拠を含めなければならない理由を示している。調達チームは、MSP がリモート管理プラットフォームを使用しているかどうかを単に尋ねることはできない。そのプラットフォームがどのように露出しているか、どのように監視されているか、誰がそれを無効にできるか、クライアントのセグメンテーションがどのように機能するか、バックアップがどのように隔離されているか、インシデントがどのように報告されるか、そして証拠がどのように共有されるかを尋ねるべきである。
したがって、Kaseya 後の修復証拠は階層化されるべきである。Kaseya は、製品セキュリティの修復、脆弱性受付の成熟度、顧客警告チャネル、高リスク展開に対するデフォルトセキュアの期待を示すべきである。MSP は、制限された管理アクセス、多要素認証の強制、セグメンテーション、最小権限、保護されたバックアップ、クライアント通知プレイブック、ツール侵害を含む机上訓練を示すべきである。下流の顧客は、どのプロバイダーツールが自分のシステムを管理できるか、そしてそれらのツールを停止しなければならない場合にどのような継続性の代替策が存在するかを知っていることを示すべきである。
いかなる法執行の成功も、これらの記録の必要性を取り除くことはない。ランサムウェアのアフィリエイトは逮捕されても、企業が依然として回復可能なバックアップを欠いているかもしれない。ベンダーはパッチをリリースしても、MSP がすべてのクライアントに連絡できていないかもしれない。政府のアドバイザリは正しくても、最も小さな影響を受けた企業が依然として何が起きたのか理解していないかもしれない。説明責任は、損害が着地する層に到達しなければならない。
可観測性が修復基準である
Kaseya に対する第二の視点からの問いは、マネージドサービスが悪いかどうかではない。マネージドサービスは、さもなければほとんどサポートを受けられない組織のセキュリティを向上させることができる。問題は、集中管理によって生み出されるリスクが、それに依存する当事者によって観測可能かどうかである。隠れたコントロールプレーンは、隠れた説明責任を生み出す。
可観測性は資産の知識から始まる。各クライアントは、どのリモートツールがコマンドを実行し、ソフトウェアを展開し、認証情報をリセットし、または機密システムにアクセスできるかを知るべきである。MSP は、どのサーバーとテナントがその権限を持つかを知るべきである。ベンダーは、ライセンス供与やテレメトリがそれを可能にする場合、どの顧客が露出した高リスクバージョンを運用しているかを知るべきである。公的機関は、MSP のインシデントがコミュニティサービスを脅かすときに、重要なサービスプロバイダーにどのように連絡を取るべきかを知るべきである。
可観測性はイベントのタイミングに続く。有用なインシデント記録は、最初の既知のエクスプロイト、最初の内部アラート、最初の顧客レポート、最初のベンダー停止指示、最初の MSP からクライアントへの通知、最初の下流の暗号化、最初の検出ツールの結果、および各影響を受けた当事者が安定した復旧に達した時刻を特定するだろう。それらのタイムスタンプがなければ、リーダーはある時点以降の迅速な行動を賞賛しつつ、別の時点以前の遅延を見逃す可能性がある。
可観測性はまた、分母の規律を必要とする。60未満の直接顧客、57のオンプレミス顧客、最大1,500の下流企業、そして無数の管理対象エンドポイントは、異なる数である。それらは異なる説明責任の単位を記述する。直接顧客の数はベンダーの露出度を語る。下流企業の数は継続性への損害を語る。エンドポイントの数は技術的な作業負荷を語る。それらを混同することは、修復が成功したか失敗したかを不明瞭にする。
最後に、可観測性は顧客向けの言葉を必要とする。中小企業は最初の1時間ですべてのエクスプロイトの詳細を必要としない。しかし、自社のプロバイダーのリモート管理ツールが関与しているかどうか、自社のシステムを切断すべきかどうか、バックアップは安全か、ファイルは暗号化されているか、支払いは継続できるか、従業員は特定のデバイスの使用を停止すべきか、次のアップデートはいつ到着するか、を知る必要はある。MSP の通知品質は、ベンダーの製品が MSP のリーチを可能にしたため、ベンダーインシデントの損害プロファイルの一部である。
Kaseya の事案は、リモート管理プラットフォームが効率性と脆弱性の両方を集中させうることを示した。2021年以降の説明責任の課題は、効率性を維持しつつ、脆弱性を可視化することである。それは、公的開示がリスクを高める場合のより迅速な非公開警告、より強力なデフォルトの露出制限、リモート管理の依存関係を明記する顧客契約、MSP が好むツール自体が利用不能または敵対的になりうることを前提とした復旧計画を意味する。
通知チェーンには独自のサービスレベル目標が必要である
このインシデントは、マネージドサービスセキュリティになぜ通知サービスレベル目標が必要であり、修復目標だけでは不十分なのかを示している。通常のソフトウェア脆弱性では、ベンダーアドバイザリを受け取る運用者は、システムが露出したままの場合に損害を被るのと同じ組織であることが多い。マネージドサービスでは、運用者とリスクを負う顧客が異なる場合がある。MSP はベンダーの警告を受け取るかもしれないが、中小企業は結果だけを受け取るかもしれない。そのギャップには測定可能な基準が必要である。
通知目標は分類から始めるべきである。リモート管理ツールがクライアント環境全体でコマンドの実行、ソフトウェアの展開、セキュリティ設定の変更、バックアップへの接触を行える場合、そのツールの深刻な脆弱性は日常的なチケットではない。それはクライアントリスクイベントである。MSP は、すべての技術的詳細が判明する前であっても、クライアントコミュニケーションをトリガーする「プロバイダーコントロールプレーンインシデント」用の事前作成カテゴリを持つべきである。メッセージは限定的かつ慎重でありうるが、クライアントで暗号化が可視化されるまで待つべきではない。
最初の通知は、攻撃者を利するエクスプロイトの詳細を暴露する必要はない。それはクライアントに対し、運用上重要なことを伝えるべきである:特権的な管理プラットフォームが緊急レビュー下にあること、プロバイダーのアクセスが制限される可能性があること、特定の保守タスクが一時停止するかもしれないこと、クライアントはバックアップを保全し、指示なしに影響を受けたマシンを再起動しないこと、緊急連絡先と次回更新のタイミングが利用可能であること。侵害が確認された場合、その通知はどのシステムが影響を受けたか、プロバイダーが何をしているか、クライアントが何をすべきか、どの証拠を保全すべきかを述べるべきである。
2番目の通知は依存関係をマッピングすべきである。多くのクライアントは、マネージドサービスの背後にある製品名を知らない。「弊社の IT プロバイダーがパッチ適用を処理している」と理解している企業はあっても、「VSA がすべてのワークステーションでコマンドを実行できる」とは理解していないかもしれない。インシデント中、その無知は継続性の問題になる。MSP が関与するコントロールプレーンを名指ししない場合、クライアントはその出来事を自社の従業員、保険会社、顧客、規制当局、取締役会に説明できない。契約書は、緊急時に製品の素性をいつクライアントに開示できるか、またどの程度の詳細を共有しなければならないかを明記すべきである。
3番目の通知はビジネスオペレーションに言及すべきである。MSP が VSA を停止した場合、日常的な監視、ソフトウェア展開、リモートサポート、一部のセキュリティ対応機能が損なわれる可能性がある。クライアントは、どのようなサポートが引き続き利用可能かを知る必要がある。代替電話番号、チケットチャネル、緊急アクセスルール、予想される遅延が必要である。セキュリティを保護する停止指示でも、誰もサービスの結果を説明しなければ、継続性を損なう可能性がある。
4番目の通知は証拠と復旧を文書化すべきである。クライアントは、自社のデバイスが暗号化されたかどうか、不審なプロシージャが実行されたかどうか、バックアップが触られたかどうか、認証情報がローテーションされたかどうか、法執行機関や CISA ガイダンスが関連するかどうか、プロバイダーが Kaseya の検出ツールや他のレスポンダー証拠を使用したかどうかを知るべきである。「対応中です」という情報しか受け取らないクライアントは、自らの法的、保険、顧客判断を下すことができない。
この通知チェーンはタイミングを計るべきである。MSP は、確認されたプロバイダーコントロールプレーンイベントから設定された分数以内に最初のクライアント通知を行うこと、定義された間隔ごとにフォローアップすること、復旧後に書面による完了記録を残すことを約束してもよい。タイムラインはクライアントと重大度によって異なるが、原則は揺るがない。マネージドサービスのリスクは委任されるが、説明責任は委任できない。
事前承認された停止はガバナンス管理策である
Kaseya によるオンプレミス VSA サーバーの停止指示は、厄介な真実を露呈した:セキュリティ上安全な行動が、ビジネスを混乱させる行動になりうる。リモート管理プラットフォームを停止することは攻撃者の手の届く範囲を減らすが、MSP がクライアントをサポートする主要な手段を奪う可能性もある。MSP が誰がその決定を下せるかを事前承認していなければ、最悪のタイミングで対応が停滞しうる。
事前承認は、誰がどの証拠閾値のもとでツールを無効にできるか、そしてクライアントにどのように伝えるかを明記すべきである。また、停止後にどの機能が引き続き利用可能かも明記すべきである。技術者は引き続き電話でクライアントをサポートできるか?代替のリモートアクセスを使用できるか?代替アクセスはより安全か、それともより不安全か?どのクライアント環境が緊急リモートツールにとって機密性が高すぎるか?どのクライアントがプロバイダーエージェントの再接続に書面による承認を必要とするか?これらの詳細は、金曜午後の攻撃がそれらを緊急にするまでは、退屈に感じられる。
同じ論理がベンダーにも当てはまる。VSA のような製品では、ベンダーによるホスト型環境の停止は企業の直接の管理下にあるが、オンプレミス事業者は明確な閾値を必要とする。ベンダーはサポート条件で停止を推奨または要求できるが、実行は顧客に委ねられている。ベンダーが、特定のインターネットに面したオンプレミス展開がパッチの準備前に高リスクであると知っている場合、非公開のエスカレーションモデルが必要である:直接のアウトリーチ、高重大度の通知、サポート案件の追跡、可能な限りの検証。目標は顧客を辱めることではない。犯罪者が行動を起こす前に、露出したコントロールプレーンの数を減らすことである。
停止権限はバックアップとも相互作用する。ランサムウェア対応は、取得可能で保護されたバックアップに依存するが、多くの MSP は日常的なサービスを支えるのと同じ管理エコシステムを通じてバックアップを管理している。コントロールプレーンが疑わしい場合、レスポンダーはバックアップコンソール、認証情報、ストレージ、リストア手順が独立しているかどうかを知らなければならない。CISA-FBI ガイダンスは、エアギャップまたはその他の方法で保護されたバックアップを強調した。なぜなら、管理の侵害は本番環境だけでなく復旧も脅かす可能性があるからだ。
クライアントは、MSP のバックアップ計画が侵害されたツールに依存していることをインシデント中に発見しなければならないようなことがあってはならない。マネージドサービス契約は、バックアップが論理的および管理的に分離されているかどうか、リストアテストがどの程度の頻度で行われるか、誰がリストアを承認できるか、そして MSP の管理環境がオフラインになった場合に何が起こるかを記述すべきである。中小企業にとって、その契約文言は回復力に対して彼らが持つ唯一の実用的な可視性かもしれない。
事前承認された停止は保険会社や規制当局にも役立つ。プロバイダーが文書化された停止および通知プレイブックに従ったことを示せるクライアントは、散在するメールから決定を再構築するクライアントとは異なる立場にある。事前承認された行動の証拠は損害をなくすものではないが、ガバナンスを示す。それはまた、事後のベンダー、MSP、クライアント、保険会社、法執行機関の間の争いを減らすことができる。
Kaseya の記録は、アラート後の迅速な行動が価値を持つことを示している。次の基準は、決定をより早期に行い、爆風半径が明確な場合により自動的なものにすべきである。リモート管理コントロールプレーンは、縮退モードで動作するための既知の経路を持ち、フェールクローズドに設計されるべきである。停止するたびに都度の議論が必要なら、そのビジネスモデルはツールが果たすセキュリティ上の役割を十分に織り込んでいない。
下流の証拠は製品記録の一部である
ソフトウェアベンダーは当然ながら直接顧客に焦点を当てるが、マネージドサービス製品の結果は、それらの顧客の顧客基盤を通じて拡大する。つまり、下流の証拠は製品記録に属する。ベンダーは MSP がサービスを提供するすべてのエンドポイントやすべての企業を知ることはできないかもしれないが、合理的に可能な限り依存連鎖を保存するようにインシデント報告を設計すべきである。
証拠の第一の問題は、影響を受けた連鎖の特定である。影響を受けた VSA インスタンスを運用していた Kaseya 顧客はどこか?その顧客は MSP だったか?その VSA インスタンスはどのクライアント環境を管理していたか?露出ウィンドウ中にどのエージェントがチェックインしたか?どのプロシージャが実行されたか?どのエンドポイントがペイロードを受け取ったか?どのエンドポイントがオフラインで、後で再接続時にリスクにさらされたか?この連鎖がなければ、数は曖昧になり、復旧は不均一になる。
第二の問題は時間である。下流企業は、ベンダーがインシデントを発見した時刻だけでなく、自分のシステムがいつ侵害されたかを知る必要がある。もし悪意あるプロシージャが特定の時刻に実行されたなら、そのタイムスタンプはエンドポイント調査、バックアップ選択、給与決定、顧客通知の基準点となる。MSP がタイミングを提供できなければ、クライアントはより広い期間を疑わしいものとして扱わざるを得ず、コストが増大する。
第三の問題は証拠の保管である。ログは VSA サーバー、MSP、エンドポイント、セキュリティツール、ベンダーに存在する可能性がある。ランサムウェアイベント中、一部の証拠は削除、暗号化、上書き、または切断される可能性がある。成熟した製品は、重大な管理アクションを、管理サーバーが侵害されてもレスポンダーが何が起きたかを再構築できるように十分に永続的なものにすべきである。それは機密のテレメトリを世界中に公開することを要求しない。インシデント再構築のために設計することを要求する。
第四の問題はクライアント向けの表現である。下流企業は、規制当局、教育委員会、市長、オーナー、保険会社、または顧客に報告する必要があるかもしれない。その速報が自分の環境が影響を受けたかどうかを述べていない場合、技術的なベンダーの速報を単に転送することはできない。MSP はベンダーの証拠をクライアント固有の声明に変換すべきである:範囲内、範囲外、暗号化、非暗号化、証拠不足のため不明、バックアップから復旧、認証情報ローテーション済み、または調査中。「不明」はそれが事実であれば受け入れられる;知っているふりは受け入れられない。
第五の問題は公正な配分である。ベンダー、MSP、クライアントがすべて最終的なリスクに寄与している場合、証拠記録はその配分を可能にすべきである。ベンダーの脆弱性が侵入口を作るかもしれない。MSP のインターネット露出やセグメンテーションが被害を拡大するかもしれない。クライアントの脆弱なバックアップが復旧を長引かせるかもしれない。逆に、ベンダーの警告、MSP の停止、クライアントの継続計画がすべて被害を軽減するかもしれない。説明責任は、適切な管理策を称賛し、非難できる程度に細かくなければならない。
下流の証拠が製品記録の一部である理由はここにある。製品の経済的役割がより多くの組織を管理することであるなら、ベンダーが何人の直接顧客が影響を受けたかを知るだけでは十分ではない。製品ガバナンスは依存ツリーを予測すべきである。インシデントテンプレート、テレメトリ、サポートエスカレーション、公開声明は、層別の分母を保持すべきである:直接顧客、MSP、下流組織、エンドポイント、サービス。Kaseya 事案が画期的となったのは、これらの層すべてが同時に重要だったからである。
契約は隠れたコントロールプレーンを暴露すべきである
多くのマネージドサービスの顧客は Kaseya VSA を直接購入しない。彼らは成果を購入する:パッチ適用済みのラップトップ、稼働中のメール、接続可能なプリンター、監視対象サーバー、ヘルプデスクサポート、障害後の復旧。リモート管理製品はサービスの約束の背後に隠れている。その隠蔽性は平常時には効率的かもしれないが、ランサムウェアインシデントの際には顧客を地図なしの状態に置き去りにする。顧客は、どの外部システムが自社の環境を管理できるかを知らなければ、継続性リスクを判断できない。
したがって、契約は機密設定をすべて公開しないとしても、特権的プロバイダーツールのカテゴリを明記すべきである。クライアントは、MSP がリモート監視・管理ソフトウェア、エンドポイント検知・対応、バックアップコンソール、リモートデスクトップブローカー、スクリプトエンジン、ID 管理、クラウド管理ポータルのいずれを使用しているかを知るべきである。各カテゴリについて、クライアントはそのツールがソフトウェアの展開、コマンドの実行、アカウントのリセット、バックアップへのアクセス、またはセキュリティ制御の変更を行えるかどうかを知るべきである。これは好奇心ではない。依存関係の記録簿である。
契約はまた、ツールの侵害がどのように処理されるかについても述べるべきである。特権的プロバイダーツールが活発に悪用されている場合、MSP はクライアントに通知するか?プロバイダーエージェントの切断を誰が決定するか?クライアントは影響を受けたエンドポイントのリストを受け取るか?MSP は保険および法的レビューのために書面の事実をどの程度迅速に提供するか?どの証拠が保持されるか?ツールが無効になった場合、どのようなサポートが残るか?これらの条件は、曖昧な信頼関係を説明責任のある運用モデルに変える。
中小企業はすべての条項を交渉する交渉力を持たないかもしれない。だからこそ、業界標準、公的ガイダンス、保険会社、調達テンプレートが重要になる。多くのクライアントが同じ質問をすれば、MSP は再現可能な回答を構築できる。どのクライアントも尋ねなければ、インシデントがそれを暴露するまで、コントロールプレーンは見えないままである。Kaseya 事案は、不可視の管理を売りづらくするはずだ。
これは、すべての MSP が機密の内部詳細をすべてのクライアントに開示しなければならないという意味ではない。セキュリティアーキテクチャは適切なレベルで記述できる:権限、依存関係、通知、証拠、復旧。クライアントはエクスプロイトコードや管理者パスワードを必要としない。プロバイダーのツールが侵害された場合に自社のビジネスに何が起こり得るか、そしてプロバイダーが次に何をする義務があるかを知る必要がある。
タイポグラフィに関する注記
タイポグラフィとは、書き言葉を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する芸術および技法である。それには、書体、ポイントサイズ、行長、行間、字間の選択が含まれる。
- タイポグラフィは、15世紀にヨハネス・グーテンベルクが活字を発明したことに端を発する。
- 主要な要素には、フォントの選択、カーニング、トラッキング、レディングが含まれる。
- 優れたタイポグラフィは可読性を高め、デザインにおいてムードやトーンを伝える。
残された不明点
公開記録は、すべてのエクスプロイトリクエスト、影響を受けたすべての MSP、すべての下流企業への影響、すべてのクライアント通知タイムスタンプを確立しているわけではない。それは攻撃者が協調開示プロセスから脆弱性を知ったことを証明するものではない。並行的な発見もあり得ることであり、裏付けのない非難に転換すべきではない。それは7月2日より前のすべての暫定管理策や、連絡を受けたすべての事業者を開示しているわけではない。後の Kaseya や MSP の管理策の有効性を独自に検証しているわけではない。
これらの限界は、インシデントを不可知にするものではない。それらは、強固なマネージドサービスの説明責任のために依然として必要な証拠を定義している。最も強力な既知の事実は十分である:研究者が VSA の深刻な弱点を非公開で報告していたこと、修正は進行中であったこと、ホスト型サービスには関連する修正があったこと、オンプレミスシステムは露出したままであったこと、攻撃者は VSA の権限を使用してランサムウェアを配布したこと、Kaseya とパートナーは緊急の停止および復旧ガイダンスを発行したこと、そして下流企業は、しばしば自らが直接運用していないツールに端を発する損害を被ったこと。
したがって、説明責任上の問いは実践的である。マネージドサービスのコントロールプレーンが危険にさらされているとき、結果を引き受けることになるすべての当事者は、行動を起こすのに十分な情報を、十分に早く見ることができるか?2021年7月の答えは不均衡だった。一部のアクターは、攻撃が判明すると迅速に行動した。多くの下流組織は依然として、他者の検出、他者の停止決定、他者の説明に依存していた。それが、Kaseya が可視化した下流の説明責任問題である。
Typography
タイポグラフィとは、書き言葉を読みやすく、判読しやすく、視覚的に魅力的にするために文字を配置する芸術および技法である。それには、書体、ポイントサイズ、行長、行間、字間の選択が含まれる。
- タイポグラフィは、15世紀にヨハネス・グーテンベルクが活字を発明したことに端を発する。
- 主要な要素には、フォントの選択、カーニング、トラッキング、レディングが含まれる。
- 優れたタイポグラフィは可読性を高め、デザインにおいてムードやトーンを伝える。

