摘要
- 2021 年 7 月的 Kaseya VSA 事件将供应商和托管服务提供商的问题转变为下游问责问题,因为许多受影响的企业依赖于 MSP 的通知和恢复,即使它们并未直接操作 VSA。
- 公开证据显示,Kaseya 在攻击前已通过协同披露与 DIVD 合作,多个漏洞已被修复,但在 2021 年 7 月 2 日 REvil 攻击者利用 VSA 时,仍存在易受攻击的本地系统。
- Kaseya 在警报后的行动,包括关闭托管 VSA、建议本地客户关闭、召集响应人员、联系政府合作伙伴以及发布检测工具,都很重要。但它们并未回答所有关于漏洞利用前风险暴露如何降低,或下游客户多快才收到可用指导的问题。
- 受害者分母是分层的。Kaseya 后来描述受直接影响客户不到 60 个,其中许多是 MSP,以及不到 1,500 家下游企业。这些数字描述了依赖树中不同的位置,不应被合并成一个数字。
- 修复标准是可观测性:托管服务生态系统应能够显示谁受到了影响,谁收到了警告,谁关闭了系统,谁的数据被加密,谁收到了恢复说明,以及无法直接控制 VSA 的客户能否及时看到风险以保护业务连续性。
检测延迟通过服务链传播
Kaseya 事件常被描述为一次供应链勒索软件攻击。这大体上是正确的,但这句话可能掩盖了具体的问责路径。公开记录并未显示攻击者篡改了 Kaseya 的软件构建或分发了恶意供应商更新。Kaseya 的事件概要与技术细节说明,攻击者利用了本地 VSA 中的零日漏洞,绕过身份验证,实现命令执行,并利用标准 VSA 功能向受管端点部署勒索软件。信任路径贯穿了管理权限,而不是有毒的供应商包。
这种区别对于检测和披露至关重要。VSA 是一种远程监控和管理软件。托管服务提供商使用此类工具来清点设备、运行维护、部署软件,并为通常没有全职技术人员的客户提供支持。当攻击者控制了 VSA 服务器时,恶意行为可能看起来像是管理操作,直到行为、时机、载荷或客户报告揭示异常。最初的明确警告可能出现在 MSP、下游客户、安全供应商、软件公司或政府合作伙伴处。这些位置中没有一个能看到整个链条。
Kaseya 在2021 年 7 月 5 日的新闻稿中称,内部和外部消息源在美东时间 7 月 2 日下午 2 点左右向公司发出了潜在攻击的警报,公司在一小时内采取行动,关闭了其托管的 VSA 环境,并建议本地客户关闭其服务器。这种警报后行动是有后果的。它很可能限制了进一步的传播。但下游问责分析提出了一个更长远的问题:风险在哪一层变得可知,警告从知道的那一层传到将失去系统的企业有多快?
Huntress 收到了受影响合作伙伴的早期报告,发表了事件回顾和经验教训。其叙述描述了几乎同时到达的 MSP 报告、共同的 VSA 联系、载荷暂存、清理操作以及通过管理功能交付。Sophos 发表了当代技术说明,从端点和响应方面描述。这些响应者的叙述并非全球受害者统计,但它们说明了为什么此案中的检测延迟是分布式的。首先注意到加密的企业不一定是负责修复 VSA 的一方。
FBI 就 Kaseya 攻击发表的公开声明强化了关闭指令并呼吁报告。CISA 和 FBI 随后通过这份咨询 PDF发布了联合指南,建议使用检测工具、多因素认证、限制远程管理通信、为管理接口提供 VPN 或防火墙保护、备份保护以及最小权限原则。这些都是有力的发现后措施。未解决的问题是,在犯罪时钟耗尽之前,有多少风险暴露本可以降低。
因此,检测延迟不能只在 Kaseya 内部衡量。它必须在 MSP 能看到异常 VSA 行为的节点、下游公司能认识到其供应商的工具是传播路径的节点,以及公共机构能将事件报告转化为更广泛警告的节点进行衡量。该事件将集中的管理平台变成了一个中继问题。
协同披露遭遇犯罪截止日期
漏洞利用前的记录格外重要,因为它既抵制简单的谴责,也抵制简单的开脱。DIVD 的有限披露表示,这家非营利研究组织从 2021 年 4 月开始检查 VSA,并于 4 月 6 日通知了 Kaseya。DIVD 称 Kaseya 的回应及时且积极,公司正在与研究人员合作修复。这一点很重要。公开证据不支持供应商无视负责任报告的简单说法。
DIVD 维护的案例记录展示了时间线的另一面。该案例涉及多个漏洞。一些在 7 月前已修复。Kaseya 的托管环境在攻击前已获得相关修复。在勒索软件事件开始时,本地 VSA 服务器仍需采取行动。DIVD 后来公布了完整漏洞细节,包括 CVE-2021-30116,而 NVD 的CVE-2021-30116 条目现在记录该问题已在野外被利用。
这一系列事件制造了严格的问责标准。一个与研究人员诚信合作的供应商,如果修复、风险暴露降低和客户警告未能跑赢攻击者的再次发现,仍可能面临下游故障。协同披露旨在通过公开细节前允许修复来减少伤害。它也制造了一个时期,在此期间少数人知道高风险产品存在漏洞,而许多操作者知道得不够多,无法改变行为。产品的权限越高,这个时期就应该越短。
VSA 的角色放大了紧迫性。远程管理产品不是普通的内容站点。它是客户机器的控制平面。如果面向互联网的 VSA 服务器存在严重的身份验证或授权缺陷,那么合理的后果不仅是一台服务器被攻破。而是在信任该服务器的每个端点上进行恶意操作。这意味着临时控制措施应被视为披露过程的一部分,而不是补丁后的可选加固。
公开记录留下了几个攻击前问题未解。Kaseya 在 7 月 2 日前私下联系了哪些暴露的操作者?确切建议或要求了哪些临时限制?管理接口是否被推到 VPN 或专用防火墙规则之后?高风险本地客户是否被要求关闭直到补丁完成?Kaseya 如何验证已知的暴露系统改变了状态?存在哪些遥测数据(如有)来区分可疑的流程创建与普通的远程管理工作?这些问题不假定存在疏忽。它们确定了评估漏洞利用前警告是否匹配 VSA 的爆炸半径所需的证据。
Kaseya 后来发布了多个通知,如2021 年 8 月 4 日重要通知和更多恢复材料,同时提供了一个妥协检测工具页面。这些文档是事件后控制记录的一部分。它们本身并不能重建 2021 年 6 月可能做的事情。持久的教训是,对高权限管理软件的协同披露应在公开头条之前很久就包括可观测的风险暴露降低。
关闭建议暴露了本地部署的分歧
Kaseya 可以关闭自己运营的环境。它不能直接关闭每个客户运营的 VSA 服务器。这种区别是检测-披露问题的核心。托管产品在危机期间赋予供应商运营控制权。本地产品赋予供应商知识和代码权威,而运行中的服务仍由客户或 MSP 控制。在 Kaseya 事件中,这意味着关闭信息必须到达每个本地运营商,然后在一个假日周末的周五付诸行动。
这不仅仅是麻烦。中继中的每一分钟都很重要,因为攻击者正在利用可信的管理功能。Kaseya 的信息必须到达 MSP 的领导者或管理员,此人必须明白“关闭 VSA” 的重要性超过了禁用客户管理的正常成本,并且 MSP 必须确认恶意流程尚未排队或执行。下游客户然后需要知道自己的系统是安全的、已加密的、已断开的,还是等待恢复。该中继包含技术、业务和客户沟通步骤。
联合CISA-FBI 指南认识到答案不仅仅是“应用补丁”。它强调关闭 VSA 服务器、运行检测工具、保护备份、限制远程管理通信以及使用最小权限。该指南承认了本地部署的现实:在首次公开通知后,如果运营商在不清理恶意状态或收紧暴露的情况下重新启动,一个已妥协的管理服务器可能仍然危险。
Kaseya 后来的SOC 3 报告指出 57 家本地客户受到影响。该报告作为公司提供的保证上下文是有用的,但它并非针对每个下游企业的完整独立事件叙述。路透社(由 Investing.com 转载)报道了首席执行官的估计,称800 至 1,500 家企业受到了影响。这些数字不可互换。一个统计的是一层的直接客户。另一个统计的是另一层的下游组织。
这种分层分母影响通知质量。直接客户可能收到供应商指南。由 MSP 服务的小企业可能收到一封邮件、一个电话、一个门户通知,或者在系统不可用前没有明确的说明。一家杂货店、牙科诊所、地方政府办公室或零售商可能根本不知道 VSA 这个术语。然而其连续性却取决于 VSA 的状态和 MSP 的响应。承担停运后果的一方可能是链条中最不知情的一方。
这就是为什么托管服务合同应在紧急情况前定义紧急通知义务。客户应知道哪些远程管理工具具有高权限、谁能关闭它们、关闭期间监控和维护会发生什么、客户系统如何隔离、恢复如何确定优先级,以及证据如何共享。没有这些条款,第一次明确的问责对话可能发生在加密之后,此时每一方都承受压力,且事实不完整。
下游分母改变了危害
Kaseya 的直接受害者数量相对于其总客户基数较小,Kaseya 正确地强调并非所有客户都受影响。这个事实应予以保留。它不应该被用来最小化该事件的运营形态。该事件之所以重要,是因为一些受影响的直接客户是托管服务提供商。一个单一的 MSP 可以将一个已妥协的控制平面连接到数十或数百家企业。
瑞典零售商 Coop 成为下游连续性损失的公开象征。Investing.com 转载了路透社的报道,称针对美国 IT 提供商的网络攻击迫使瑞典连锁店关闭 800 家门店。后来的报道描述受影响公司面临的恢复可能需要数周时间。这些叙述不应被视为完整的受害者名单。它们展示了远程管理妥协如何触及面向公众的服务,消费者感受到的是关上的大门、无法使用的支付或中断的本地运营。
对于中小型企业,托管服务是理性的。它使它们能获得专业劳动力、监控、备份管理、补丁和支持,而许多小型组织无法自行建立。同样的集中化也创造了相关故障。一组看似在地理和行业上分离的企业可能共享一个 MSP、一个远程工具、一个备份模式和一个恢复人员。在这一层的勒索软件事件可能使许多理应独立的连续性计划同时失效。
公共部门的连续性可能以同样方式受影响。地方政府、学校、公用事业和面向公众的机构往往依赖于 MSP 或类似的外包支持。受到停机影响的公民并不关心该工具是由机构雇员、承包商、经销商还是软件供应商操作。他们需要恢复服务。然而,问责路径穿过这些技术关系,延迟可能出现在每一次交接中。
这就是检测和披露变得经济化的地方。一个小企业如果能够快速了解情况,就可以断开系统、保护备份、警告员工、切换支付处理、推迟工作或致电客户。一个只在加密后才了解情况的企业选择更少。它可能面临销售额损失、工资中断、客户沮丧、监管报告不确定性和保险文书工作。同样的技术漏洞根据下游方收到可用信息的时间产生不同的危害。
CISA、NSA、FBI 和国际合作伙伴后来发布了更广泛的指南以保护托管服务提供商和客户关系,由 CISA 在此咨询通知中宣布。该指南反映了一个系统性观点:MSP 安全不仅仅是 MSP 的私人问题。对于继承其信任的客户而言,这是一个共同的连续性问题。
执法行动没有取代修复证据
Kaseya 事件也产生了执法记录。司法部在 2021 年宣布,一名乌克兰国民因涉嫌此次勒索软件攻击而被逮捕和起诉。欧洲刑警组织宣布,与 Sodinokibi/REvil 相关的五名附属成员已被拔除。司法部后来宣布,一名 Sodinokibi/REvil 附属成员因在更大范围的勒索软件活动中的角色被判处徒刑。这些记录对攻击者的问责很重要。
它们没有回答运营问题。刑事指控和判决可以识别被指控或定罪的行动者、破坏基础设施、恢复证据并威慑未来的活动。它们不能证明哪个 MSP 客户有足够的备份,哪个客户及时获得了通知,哪些 VSA 服务器在 7 月 2 日前暴露,或者每个下游组织是否安全重建。攻击者问责和服务问责共存,因为它们涉及不同的控制。
同样的区别适用于国会关注。通过GovInfo可获得的众议院听证记录,反映了公众对勒索软件、关键服务和私营部门准备的担忧。监督可以提升模式并揭示政策需求。它仍然无法替代有关检测时钟、通知内容、关闭执行和恢复质量的实体级证据。
NIST 的SP 800-161 Rev. 1提供了一个更广泛的供应链风险词汇。它将供应商、产品、服务和生命周期控制视为网络安全治理的一部分。Kaseya 的事件显示了为什么该词汇必须包含托管服务运营证据。采购团队不能简单地问 MSP 是否使用远程管理平台。它应该问该平台如何暴露、如何监控、谁能禁用它、客户分段如何工作、备份如何隔离、事件如何报告,以及证据如何共享。
因此,Kaseya 事件后的修复证据应是分层的。Kaseya 应展示产品安全修复、漏洞接收成熟度、客户警告渠道以及高风险部署的默认安全期望。MSP 应展示受限的管理访问、强制多因素认证、分段、最小权限、受保护的备份、客户通知手册以及包括工具妥协在内的桌面推演。下游客户应展示他们知道哪些供应商工具可以管理其系统,以及如果这些工具必须被关闭,存在哪些连续性替代方案。
任何执法上的成功都不能消除对这些记录的需要。一名勒索软件附属成员可能被捕,而一家企业仍然缺乏可恢复的备份。一家供应商可以发布补丁,而一家 MSP 尚未联系到每个客户。一份政府咨询可能是正确的,而受影响最小的公司仍不理解发生了什么。问责必须到达危害落地的那一层。
可观测性是修复标准
对于 Kaseya 的第二视角问题不是托管服务是否不好。托管服务可以改善那些原本得不到多少支持的组织的安全。问题是,依赖于它的各方是否能够观测到集中管理所产生的风险。一个隐藏的控制平面会产生隐藏的问责。
可观测性始于资产知识。每个客户应该知道哪些远程工具可以运行命令、部署软件、重置凭据或访问敏感系统。MSP 应知道哪些服务器和租户具有该权限。在许可证和遥测可能的情况下,供应商应知道哪些客户操作着暴露的、高风险的版本。公共机构应知道当一个 MSP 事件威胁到社区服务时,如何联系关键服务提供商。
可观测性继续于事件时间。一份有用的事件记录将标明第一次已知的漏洞利用、第一次内部警报、第一次客户报告、第一次供应商关闭指令、第一条 MSP 发给客户的通知、第一次下游加密、第一次检测工具结果,以及每个受影响方达到稳定恢复的时间。没有这些时间戳,领导者可以在一个节点之后称赞快速行动,却错过了另一个节点之前的延迟。
可观测性还需要分母纪律。不到 60 个直接客户、57 个本地客户、多达 1,500 家下游企业以及无数的受管端点是不同的计数。它们描述了不同的问责单元。直接客户计数反映了供应商的风险暴露。下游企业计数反映了连续性危害。端点计数反映了技术工作量。将它们混为一谈会掩盖修复在哪里成功或失败。
最后,可观测性需要面向客户的语言。一个小企业不需要在第一小时就知道每个漏洞利用细节。它确实需要知道其提供商的远程管理工具是否被卷入,其系统是否应断开,备份是否安全,文件是否加密,支付能否继续,员工是否应停止使用某些设备,以及下次更新何时到来。MSP 的通知质量是供应商事件危害概况的一部分,因为供应商的产品使 MSP 具有了触及范围。
Kaseya 事件表明,远程管理平台可以同时集中效率和脆弱性。2021 年后的问责任务是保持效率,同时使脆弱性可见。这意味着在公开披露会增加风险的地方加快私下警告,更强的默认暴露限制,明确远程管理依赖的客户合同,以及假定 MSP 最喜欢的工具本身可能变得不可用或有害的恢复计划。
通知链需要自己的服务级别目标
该事件显示了为什么托管服务安全需要一个通知服务级别目标,而不仅仅是修复目标。在普通软件漏洞中,收到供应商建议的运营商通常是将因系统继续暴露而受害的同一组织。在托管服务中,运营商和承担风险的客户可能是不同的。MSP 可能收到供应商警告;小企业可能只收到后果。这个差距需要一个可度量的标准。
通知目标应从分类开始。如果远程管理工具可以跨客户环境执行命令、部署软件、更改安全设置或触及备份,那么该工具中的一个严重漏洞就不是一个常规工单。它是一个客户风险事件。MSP 应有一个预先编写的“提供商控制平面事件”类别,即便每个技术细节尚未明确,也能触发客户沟通。信息可以是有界限且谨慎的,但不应等到客户处可见加密时才沟通。
第一个通知不需要暴露会帮助攻击者的漏洞利用细节。它应告诉客户运营上紧要的事情:一个高权限管理平台正在接受紧急审查;提供商访问可能受限;某些维护任务可能暂停;客户应保护备份并避免在没有指令的情况下重启受影响的机器;紧急联系方式和下次更新时机已可获取。如果确认了妥协,通知应说明哪些系统受影响、提供商正在做什么、客户应该做什么,以及应保存哪些证据。
第二个通知应绘制依赖关系图。许多客户不知道托管服务背后的产品名称。一家公司可能知道“我们的 IT 提供商处理补丁”,但不知道“VSA 可以在每台工作站上运行命令”。在事件期间,这种无知变成了连续性问题。如果 MSP 不愿说出涉及的控制平面,客户就无法向其员工、保险公司、客户、监管机构或董事会解释该事件。合同应明确规定在紧急情况下何时可以向客户披露产品标识,以及必须共享多少细节。
第三个通知应涉及业务运营。如果 MSP 关闭了 VSA,常规监控、软件部署、远程支持和某些安全响应功能可能受损。客户需要知道还有哪些支持可用。他们需要替代电话号码、工单渠道、紧急访问规则和预期延迟。一个保护安全的关闭指令,如果没有人解释服务后果,仍可能损害连续性。
第四个通知应记录证据和恢复。客户应知道其设备是否被加密,是否执行了可疑流程,备份是否被触及,凭据是否被轮换,执法机构或 CISA 指南是否相关,以及提供商是否使用了 Kaseya 的检测工具或其他响应者证据。一个只收到“我们正在处理”的客户无法做出自己的法律、保险和客户决策。
这个通知链应进行定时。MSP 可能承诺在确认提供商控制平面事件后的设定分钟数内进行初始客户通知,每隔一定间隔更新一次,并在恢复后提供书面关闭记录。时间表会因客户和严重程度而异,但原则不应改变。托管服务风险是委托的;问责不能是。
预授权关闭是一项治理控制
Kaseya 关于关闭本地 VSA 服务器的指示暴露了一个尴尬的事实:一个安全安全的行动可能是一个业务中断的举动。关闭一个远程管理平台可以减少攻击者的触及范围,但也可能移除 MSP 支持客户的主要途径。如果 MSP 没有预先授权谁可以做出这个决定,响应可能在最糟糕的时刻停滞。
预授权应指定谁可以根据什么证据标准禁用该工具,以及如何告知客户。它还应指定关闭后哪些功能仍然可用。技术人员还能通过电话支持客户吗?他们能使用替代远程访问吗?替代访问是否更安全或更不安全?哪些客户环境对于应急远程工具而言过于敏感?哪些客户需要书面批准才能让提供商代理重新连接?这些细节在周五下午的攻击使其变得紧迫之前,感觉是繁琐的。
同样的逻辑适用于供应商。对于像 VSA 这样的产品,供应商的托管关闭是在公司直接控制之下,但本地运营商需要明确的界限。供应商可以建议或要求在支持条款中关闭,但执行属于客户。如果供应商知道某些面向互联网的本地部署在补丁准备就绪前面临高风险,就需要一个私下升级模型:直接联系、高严重性通知、支持案例跟踪,以及尽可能验证。目标不是羞辱客户。是在犯罪分子行动前减少暴露的控制平面数量。
关闭权限也与备份相互作用。勒索软件响应依赖于可恢复、受保护的备份,但许多 MSP 通过支持常规服务的同一管理生态系统来管理备份。如果控制平面可疑,响应者必须知道备份控制台、凭据、存储和恢复流程是否独立。CISA-FBI 指南强调使用气隙或其他方式保护的备份,因为管理妥协可能同时威胁恢复和生产。
客户不应在事件期间才发现 MSP 的备份计划依赖于已妥协的工具。托管服务合同应描述备份是否在逻辑上和管理上分离,恢复测试的频率,谁可以授权恢复,以及如果 MSP 的管理环境离线会发生什么。对于小企业来说,这些合同语言可能是他们拥有的唯一关于弹性的实际可见性。
预授权关闭也有助于保险公司和监管机构。一个能够显示提供商遵循了文档化的关闭和通知手册的客户,与一个从散乱的邮件中重构决策的客户,处境不同。预授权行动的证据不会消除伤害,但它显示了治理。它还可以减少事件后供应商、MSP、客户、保险公司和执法机构之间的争议。
Kaseya 记录显示,警报后的快速行动是有价值的。下一个标准应将决策提前,并在爆炸半径明确时使其更自动化。远程管理控制平面应被设计为故障关闭,并有已知的路径在缩减模式下运行。如果每次关闭它都需要定制化辩论,那么商业模式就没有完全定价该工具所扮演的安全角色。
下游证据是产品记录的一部分
软件供应商自然关注直接客户,但托管服务产品的后果延伸到这些客户的客户群。这意味着下游证据属于产品记录。供应商可能不知道每个端点或 MSP 服务的每个企业,但它应设计事件报告,以尽可能合理地保留依赖链。
第一个证据问题是受影响链条的身份。哪个 Kaseya 客户操作了受影响的 VSA 实例?该客户是 MSP 吗?该 VSA 实例管理了哪些客户环境?哪些代理在暴露窗口期间签入?哪些流程运行了?哪些端点收到了载荷?哪些端点离线并在重新连接后面临风险?没有这个链条,计数就变得模糊,恢复变得不均衡。
第二个问题是时间。下游企业需要知道其系统何时被触及,而不仅仅是供应商何时发现了事件。如果恶意流程在特定时间运行,该时间戳锚定了端点调查、备份选择、工资决策和客户通知。如果 MSP 无法提供时间,客户可能不得不将更长的时段视为可疑,从而增加成本。
第三个问题是证据保管。日志可能存在 VSA 服务器、MSP、端点、安全工具和供应商等处。在勒索软件事件中,一些证据可能被删除、加密、覆盖或断开。一个成熟的产品应使高后果的管理行动足够持久,以便响应者能够重建发生了什么,即使管理服务器已妥协。这不需要向世界发布敏感的遥测数据。它需要为事件重构而设计。
第四个问题是客户就绪的语言。下游企业可能需要向监管机构、学校董事会、市长、所有者、保险公司或客户报告。如果公报没有说明其自身环境是否受影响,它不能简单地转发一份技术供应商公告。MSP 应将供应商证据转化为客户特定的声明:在范围内、不在范围内、已加密、未加密、因缺少证据而未知、从备份中恢复、凭据已轮换或仍在调查中。“未知”在情况确实如此时可以接受;假装知道则不行。
第五个问题是公平分配。如果供应商、MSP 和客户都对最终风险有贡献,证据记录应允许这一分配。供应商漏洞可能制造了入口。MSP 的互联网暴露或分段可能放大了危害。客户薄弱的备份可能延长了恢复。反之,供应商警告、MSP 关闭和客户连续性计划都可能减少危害。问责应是足够细粒度的,以归功和指责正确的控制措施。
这就是为什么下游证据是产品记录的一部分。仅知道多少直接客户受影响对供应商来说是不够的,如果该产品的经济角色是管理更多的组织。产品治理应预见依赖树。事件模板、遥测、支持升级和公开声明应按层保留分母:直接客户、MSP、下游组织、端点和关键服务。Kaseya 事件之所以成为一个标志性事件,是因为所有这些层同时发挥了作用。
合同应暴露隐藏的控制平面
许多托管服务客户并不直接购买 Kaseya VSA。他们购买成果:已打补丁的笔记本电脑、正常工作的邮件、可访问的打印机、受监控的服务器、帮助台支持和故障后的恢复。远程管理产品隐藏在服务承诺之后。这种隐藏性在正常时期可能是高效的,但在勒索软件事件期间,它让客户没有地图。如果客户不知道哪些外部系统可以管理其环境,就无法判断连续性风险。
因此,合同应命名高权限提供商工具类别,即使不发布每个敏感配置。客户应知道 MSP 是否使用远程监控和管理软件、端点检测与响应、备份控制台、远程桌面代理、脚本引擎、身份管理或云管理门户。对于每个类别,客户应知道该工具是否可以部署软件、运行命令、重置账户、访问备份或更改安全控制。这不是好奇心。这是一份依赖登记册。
合同还应说明如何处理工具妥协。如果高权限提供商工具正在被利用,MSP 是否会通知客户?谁决定断开提供商代理?客户是否会收到受影响端点的列表?MSP 多快会为保险和法律审查提供书面事实?将保留哪些证据?如果该工具被禁用,还有哪些支持可用?这些条款将模糊的信任关系转变为可问责的运营模式。
一个小企业可能没有筹码就每个条款进行谈判。这就是为什么行业标准、公开指南、保险公司和采购模板很重要。如果许多客户问同样的问题,MSP 可以构建可重复的答案。如果没有客户问,控制平面就保持不可见,直到一次事件将其暴露。Kaseya 事件应使不可见的管理更难销售。
这并不意味着每个 MSP 必须向每个客户披露敏感的内部细节。安全架构可以在适当的级别描述:权限、依赖、通知、证据和恢复。客户不需要漏洞利用代码或管理密码。它需要知道如果其提供商的工具被妥协,其业务会发生什么,以及提供商接下来有义务做什么。
排版说明
排版是一种安排字体的艺术与技术,旨在使书面语言清晰、可读且具有视觉吸引力。它涉及字体选择、字号、行长、行距和字间距等要素。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷术。
- 关键要素包括字体选择、字距调整、字符间距和行距。
- 优良的排印能增强可读性,并传达设计中的情绪或基调。
剩余未知因素
公开记录未确定每一次漏洞利用请求、每一个受影响的 MSP、每一下游企业影响或每一下游客户通知时间戳。它不能证明攻击者从协同披露过程中得知了这些漏洞。平行发现是合理的,不应被转化为无依据的指控。它未披露每一个攻击前的临时控制或 7 月 2 日前联系的每一个运营商。它未独立验证 Kaseya 或 MSP 后来每一个控制措施的有效性。
这些限制不会使事件不可知。它们定义了强大托管服务问责制仍需要的证据。最有力的事实已经足够:研究人员私下报告了 VSA 的严重弱点;修复工作正在进行中;托管服务已获得相关修复;本地系统仍然暴露;攻击者利用 VSA 权限分发勒索软件;Kaseya 和合作伙伴发布了紧急关闭和恢复指南;下游企业承受了通常源于他们并不直接操作的工具的伤害。
因此,问责问题是务实的。当托管服务控制平面面临风险时,将承受后果的每一方能否足够早地看到足够多的信息以采取行动?在 2021 年 7 月,答案是不均衡的。一些行动者在攻击已知后迅速行动。许多下游组织仍然依赖于他人的检测、他人的关闭决策和他人的解释。这就是 Kaseya 彰显的下游问责问题。
排版
排版是一种安排字体的艺术与技术,旨在使书面语言清晰、可读且具有视觉吸引力。它涉及字体选择、字号、行长、行距和字间距等要素。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷术。
- 关键要素包括字体选择、字距调整、字符间距和行距。
- 优良的排印能增强可读性,并传达设计中的情绪或基调。

