摘要

  • 攻击者于 2021 年 7 月 2 日利用暴露在互联网上的本地部署 KASEYA VSA 服务器,绕过身份验证,并使用合法的远程管理功能分发 REvil 勒索软件。公开记录未显示 KASEYA 的软件构建或代码仓库被篡改。
  • KASEYA 当时正在处理一项涉及七个 VSA 漏洞的协同披露。它已修复了若干问题,并已将相关修复部署到其 SaaS 环境,但攻击开始时,脆弱的本地部署系统仍处于暴露状态。尚未解决的问责问题不在于 KASEYA 是否忽略了研究人员;研究人员表示它并未忽略。问题在于修复速度、临时控制措施、私下客户警告以及暴露缩减是否与该产品的非凡权限相匹配。
  • 直接受害者数量(根据 KASEYA 后来的说法,约 50 至 60 家 KASEYA 客户)低估了该运营事件。许多客户是托管服务提供商,因此根据 KASEYA 的估计,勒索软件波及了 800 至 1,500 家下游企业。一个远程管理平台将一个受攻击的控制平面转化为众多本地业务连续性故障。
  • 责任是多层次的。KASEYA 掌控产品安全、披露处理、补丁交付及危机沟通。MSP 掌控互联网暴露面、分段、备份设计、监控及客户恢复。小企业客户保留业务连续性和采购职责,但往往缺乏对底层工具有意义的了解。政府机构提供了预警、响应协调、调查和起诉,但这并未消除加强私营控制的必要性。

此次事件是一次信任路径攻击

“供应链攻击”这一说法在此处是有用的,但前提是它描述的是权限传递路径,而非假定的构建系统被攻破。KASEYA 的事件概述称,攻击者利用了本地部署 VSA 产品中的零日漏洞,绕过身份验证,实现任意命令执行,然后利用 VSA 的标准功能向受管理端点部署勒索软件。它还表示没有证据表明 VSA 代码库本身被恶意篡改。

这种区别对于问责至关重要。攻击者无需说服每家牙科诊所、会计师事务所、餐厅、零售商或本地服务公司运行一个未知程序。他们也不需要在 KASEYA 的开发流程中植入恶意包并等待签名的供应商发布。他们攻破了选定的一些已被信任来管理客户机器的 VSA 服务器。恶意操作以日常 IT 管理的实际权限形式到来。

VSA 是一种远程监控与管理软件。MSP 可利用它清点设备、部署软件、执行脚本、自动化维护,并在众多客户环境中解决故障。这些能力降低了 IT 支持的单位成本。它们使一个技术团队能够为那些自身无力经济地雇佣同等专家的企业维护系统。同样的设计也创建了一个特权分发渠道。如果威胁行为者控制了 VSA 服务器,规模优势便会转向对方。

从受影响 MSP 合作伙伴处获得早期报告的 Huntress,将观察到的攻击链归纳为身份验证绕过、任意文件上传和代码执行。其调查人员报告称,攻击者上传了一个编码的有效载荷以及另一个文件,该文件有助于清除日志和管理员账户,然后利用数据库程序将交付任务安排到端点。KASEYA 自身的指标列出了agent.crt、其解码后的可执行文件、REvil 有效载荷,以及针对受损 VSA 服务器的一系列 web 请求。

Sophos 从终端侧独立观察到了后果。其同期技术报告将暴露在互联网上的 VSA 服务器描述为初始目标,并将该产品的正常软件部署权限描述为进入客户环境的途径。早期响应者统计的数量各不相同,因为不同的安全公司看到了不同的群体,且受损 VSA 客户、MSP、MSP 客户以及被加密机器之间的区别并未始终如一地维持。技术上的趋同比任何单一的早期总数更重要:特权远程管理被转变为扇出机制。

这就是为什么不应将此事件简化为一次出了问题的“更新”。一些端点遥测数据和媒体报道将此次勒索软件描述为恶意更新,因为它通过用于推送更改的软件到来。在操作上,这种描述对受害者来说是有道理的。然而,对于控制分析而言,这条路径更具揭示性。KASEYA 并未授权一个包含 REvil 的常规供应商更新。攻击者获得了客户运营的 VSA 实例的控制权,并让这些实例执行了一个看似合法的管理任务。受损的对象是委托信任关系。

协同披露遇上犯罪截止日期

事件前的时间线并不符合一个简单的疏忽故事。荷兰漏洞披露研究所(DIVD)于 2021 年 4 月 1 日开始研究 VSA,从 4 月 2 日起扫描暴露在互联网上的安装实例,并于 4 月 6 日通知了 KASEYA。其有限披露称 KASEYA 的响应及时且积极。KASEYA 倾听了意见,发布了补丁,并允许研究人员验证正在开发中的修复程序。DIVD 明确地将这种响应与它与其他一些供应商打交道的经历进行了有利的对比。

此次披露涉及七个漏洞,而非一个未分的缺陷。DIVD 记录了一个在 4 月修复的未授权文件上传问题,三个在 5 月修复的进一步问题,以及仍在处理中的凭证泄露与业务逻辑缺陷、跨站脚本和双因素身份验证绕过。其维护的案例记录称,版本 9.5.7 于 6 月 26 日抵达 KASEYA 的 SaaS 环境,并包含对 CVE-2021-30116 和 CVE-2021-30119 的修复。它还记录道,所有本地部署的 VSA 版本仍受到案例建议的约束,并且这些系统应保持离线,直至 KASEYA 在攻击后提供补丁和重启说明。

DIVD 随后发布了完整漏洞描述。与事件相关的最重要条目是 CVE-2021-30116,涉及对 VSA 客户端下载流程所关联凭证的未授权访问,以及将这些凭证转化为会话的能力。美国国家漏洞数据库条目现记录该问题已在野利用,在 9.5.7 版本之前得到纠正,并随后被纳入 CISA 的已知已利用漏洞目录。

因此,公开记录支持四个发现,但并非支持通常附于其上的所有结论。

第一,KASEYA 在 7 月 2 日之前知晓 VSA 存在严重弱点。第二,该公司已修复数个报告的弱点,并积极与研究人员合作。第三,攻击中利用的至少一个漏洞属于私下披露的范围。第四,在犯罪利用开始前,同等的本地部署修复措施通常尚未交付至客户手中。

同样重要的是记录未显示的内容。没有公开的逐问题内部风险登记册、工程估算、高管升级记录或决策日志,说明 KASEYA 如何对剩余缺陷进行定级。在补丁可用之前,没有公开的对本地部署客户私下要求的临时控制措施清单。DIVD 在 6 月 4 日交给了 KASEYA 一份已识别 VSA 主机列表,但公开记录并未确证联系了哪些运营商、告知了什么内容、他们何时回应,或者 KASEYA 能否核实危险接口已被限制。也没有证据表明 KASEYA 将漏洞细节泄露给了攻击者。并行发现是完全可能的,且攻击源头仍未公开证实。

这造成了困难但必要的问责标准。不能仅仅因为犯罪分子在一次善意的协同披露期间利用了一个缺陷就谴责供应商。软件缺陷和对抗性重新发现无法根除。然而,产品的权限和下游波及范围应影响修复的紧迫性。对于一台能够跨众多客户网络执行命令的面向互联网的远程管理服务器,一个关键的身份验证绕过也是一个集中风险紧急事件。围绕普通应用程序严重性设计的补丁队列对于具有如此影响范围的控制平面来说可能太慢了。

披露的困境是真实的。公开命名一个未修补的身份验证路由可能加速利用。缺乏足够细节的广泛客户警告仍可能将攻击者引向狭窄的目标类别,同时让运营商不确定该改变什么。DIVD 正是出于这个原因捍卫有限披露。但保密不等于无所作为。供应商可以私下联系可识别的暴露客户,要求管理访问通过 VPN 进行,提供临时过滤规则,增加遥测,缩小服务器功能,并设定紧急迁移或关闭阈值。未回答的问题是,这些措施在 7 月 2 日之前发生了多少,而不是是否应发布公开的概念验证。

7 月 2 日:检测、关闭与不完全的遏制

KASEYA 的7 月 5 日企业声明称,内部和外部来源在美国东部时间 7 月 2 日下午 2 点左右向其发出潜在攻击警报,并在一小时内采取了行动。该公司关闭了其 VSA SaaS 基础设施,并开始告知本地部署客户关闭他们的服务器。Sophos 记录到在 UTC 时间 18:00 意识到该活动,处于同一大致时间段。Huntress 描述了三份 MSP 报告在半小时内相继到达,随后共同的 VSA 关联才变得清晰。

关闭决策值得赞誉。KASEYA 没有证据表明 SaaS 客户遭到入侵,但作为预防措施,它将托管服务从运营中移除。它还召集了 Mandiant,联系了 FBI 和 CISA,分发了指标,并于 7 月 3 日发布了一个入侵检测工具。FBI 的公开声明强化了关闭 VSA 服务器并报告入侵的指令。联合CISA-FBI 事件指南增加了即时措施:使用检测工具,强制执行多因素验证,将 RMM 通信限制在已知 IP 对,将管理界面置于 VPN 或专用防火墙网络之后,保留可恢复的离线备份,并应用最小权限。

这些行动限制了进一步损害,但“一小时内”不应被误认为是完全遏制。KASEYA 可以关闭自己的 SaaS 服务。它无法直接关闭每台客户运营的服务器。在 MSP 收到消息、信任消息、在假期周末的周五联系到合适的人并完成关闭之前,本地部署的 VSA 实例仍然危险。任何已经预备执行的恶意程序也必须在重启前被识别和清除。集中化的能力实现了快速部署;遏制则依赖于分散的人工中继。

公开的时间线也从警报时刻开始,而非首次利用时刻。KASEYA 尚未公布受影响服务器集上首次恶意请求的时间、首次内部遥测异常、首次客户加密事件或这些信号之间的间隔。它也未披露其自身监控是否能够区分经授权的大规模操作与通过被盗或伪造会话创建的操作。没有这些时间戳,人们只能评判报告的在确认之后的高管响应,而无法评判预防性检测的灵敏度。

KASEYA 所说的“关闭软件访问”也比运营现实更宽泛。托管 VSA 因 KASEYA 的行动而不可用。本地部署 VSA 属于客户环境,需要客户采取行动。这一区别不仅仅是措辞问题。它揭示了自托管企业软件的分裂式问责:供应商控制代码和修复知识;运营商控制运行实例;下游客户可能不知道任何一方的产品正在管理他们的机器。

乘数效应位于供应商与小企业之间

KASEYA 最初强调其直接客户群中只有很小一部分受到影响。其 7 月 5 日的声明称 35,000 多家客户中约有 50 家受影响。后来的事件页面称直接客户不到 60 家,下游企业不到 1,500 家。随后的一份SOC 3 报告指明 57 家本地部署客户。路透社另行报道了首席执行官估计的800 至 1,500 家受影响企业,同时指出 KASEYA 发现难以确定精确总数,因为受影响企业是其客户的客户。

所有这些数字在其定义范围内都可能成立。它们描述了依赖树的不同层级。一个直接的 KASEYA 客户可能作为 MSP 运营一台 VSA 服务器。该 MSP 可能管理数十家独立公司。每家公司可能拥有许多端点。统计 57 个受攻击的客户实例,对于丢失计算机、销售点能力、文件或员工时间的组织数量说明不了什么。反之,与受影响 MSP 关联的下游企业也不一定每台设备都被加密。负责任的报道必须说明基数。

更重要的经济事实是,VSA 有助于汇集专家劳动力。小公司购买托管服务,因为内部 IT 人员成本高昂、时断时续且难以招聘。MSP 将工程师、监控工具、自动化和购买力分散到整个业务组合中。这种安排可以提高安全性。一个有能力的提供商在打补丁、监控和恢复方面,可能比一家五人的企业独自做到的速度更快、时间更长且更可靠。

汇集也使运营风险相关联。一百家小公司从行业和地理上看可能显得多元化,但如果一家 MSP 通过一个管理平台管理所有这些公司,它们的技术故障模式就会重叠。该业务组合存在隐藏的共同暴露面。平台层的漏洞可以打破本地企业独立失效的假设。

这种关联性在普通服务合同中很少能看出来。小客户可能知道其 MSP 的名称,但不知道远程管理产品、托管模式、管理界面暴露、分包商、备份架构或特权访问设计。即使产品被点名,客户也不太可能具备审计它的专业知识或议价能力。因此,承担业务中断的一方可能与做出软件安全决策的一方相隔两层关系。

这便是托管服务内部的问责差距。委托将技术工作转移给专家,但它不会自动转移每一项损失、法律责任、客户投诉、工资义务或变质库存。当系统停止时,中小企业仍然要面对其员工和客户。MSP 面临恢复工作和合同服务承诺。软件供应商面临产品补救和声誉问题。除非合同和恢复设计刻意分配这些后果,否则运营上最暴露的一方也可能是最不知情的一方。

瑞典使依赖关系显现

最清晰的公开例子不是 KASEYA 的办公室或 MSP 的网络运营中心。它是一个超市收银台。路透社报道,瑞典连锁超市 Coop 于 7 月 3 日关闭了其全部 800 家门店,原因是受影响的支付系统无法运行。该连锁店表示,一个远程更新的结账工具遭到攻击。后来的报道描述了一个分层的供应商路径:Coop 依赖 Visma Esscom 管理的支付系统,而后者又使用了 KASEYA。

这并非物理意义上的食品供应失败。货架、建筑、员工和产品仍然存在。处理支付的能力丧失,将一次 IT 管理入侵转化为零售连续性事件。一些门店后来使用了一款替代的扫码支付应用程序,但技术人员也不得不上门,并从备份中恢复支付机器。路透社的恢复报告捕捉到了这种运营不对称性:事件发生前,远程管理已高效扩展,而恢复则可能需要在多个地点进行物理工作。

Coop 是一个庞大且可见的下游组织。对于选择更少的小公司而言,同样的机制更为严酷。一家会计师事务所可以推迟部分工作,但可能错过发薪或报税截止日期。一家牙科诊所可能保留临床医生和设备,但失去排班、影像访问或计费工作流。一家餐厅可能有食物和员工,却无法接受正常支付。一家本地制造商可能失去派单、标签或机器支持系统。这些例子并非证明每一起都在本次事件中发生;它们表明,为什么在中小企业组合中,端点加密的经济意义与设备数量所暗示的不同。

收入影响立即开始,而技术恢复成本则叠加其上。员工闲置期间仍可能获得薪酬。企业主可能不得不在没有可靠联系数据的情况下与客户沟通。MSP 技术人员延长工作时间,通常按安全性、收入和备份状况对客户进行分类。保险通知、取证保全、法律咨询和更换硬件都会增加费用。解密器可以恢复文件,但无法挽回已损失的销售额、已耗费的员工时间或已受损的信任。

因此,此次事件暴露了服务连续性的外部性。KASEYA 的产品价格和 MSP 的服务费是在上游协商确定的。一部分下行影响出现在未选择 VSA 架构、且可能从未见过 KASEYA 名字的下游公司身上。当最终风险承担者无法观察到相关的控制措施,也没有实际途径为其定价时,市场约束力就很弱。

安全关闭本身成了一次中断

预防性 SaaS 关闭阻止了一条可能的传播途径,但它也从 KASEYA 声称未受影响的客户那里移除了管理服务。在高度不确定的情况下,这是正确的权衡。这仍然是一次中断,并且持续时间远长于最初响应的一小时。

KASEYA 保存的事件更新时间线记录了不断变化的恢复目标。一次计划中的 SaaS 部署在 7 月 6 日遇到一个阻塞性基础设施问题。时间线在 7 月 7 日重新设定。该公司最终于 7 月 11 日开始恢复 SaaS 并发布了本地部署补丁;它报告称所有 SaaS 客户在 7 月 12 日凌晨前恢复上线。这意味着未受影响的托管客户失去了 VSA 可用性大约九天,因为该服务尚不能被宣布为安全。

这一过程不应被嘲笑为仅仅是延迟。在遭遇活跃利用后重新启动一个特权控制平面,需要的不仅仅是更改一行代码。KASEYA 必须调查访问路径,创建并验证安全版本,扫描入侵,与政府和事件响应专家协调,加固基础设施,准备运营商,并避免重新激活恶意程序。其更新显示,它在初始恢复中移除了一些低使用率功能,增加了检查,并根据客户反馈揭示的实际问题修订了运行手册。

与此同时,延长的关闭是关于可恢复性的证据。一个平台可以通过变得不可用来快速遏制漏洞,但仍然使客户缺乏关键管理。高可用性和安全恢复是不同的属性。如果紧急加固、干净状态验证或分阶段重启无法快速执行,客户就需要一个不依赖控制平面的可行模式。

本地部署的重启负担是沉重的。KASEYA 的时间线要求运营商隔离服务器,运行检测工具,修补操作系统,审查 IIS 配置,部署端点安全代理,清除挂起程序,安装 VSA 安全版本,并遵循一份最终检查清单。其事后加固指南要求限制入站访问、更强的身份验证及其他环境更改。这些是合理的控制措施。它们的紧急引入也表明,安全的产品运营依赖于应用程序外部的配置,以及 MSP 在压力下执行复杂运行手册的能力。

对于一家成熟的 MSP 而言,九天没有惯用的 RMM 平台可能意味着转向其他远程工具、手动打补丁、电话协调、脚本编写和现场访问。对于一家不太成熟的提供商来说,该平台可能已经成为了运营模式本身。如果资产清单、凭证、程序、客户联系方式和恢复说明最容易通过不可用的系统获取,那么工具的丢失也会削弱对其丢失的响应能力。

解密是帮助,而非恢复

KASEYA 于 7 月 22 日宣布,它从一个第三方获得了一个通用解密器,并正与 Emsisoft 合作帮助受害者。它随后表示,该工具对完全加密的文件有效,并声明未支付或协商赎金以获取它。这些陈述出现在同一事件时间线中,而公开记录并未确定密钥的原始来源。

解密器很有价值。它可以为那些系统仍被加密且未完成其他恢复途径的组织减少永久性数据损失。它也在攻击发生近三周后才可用。到那时,一些企业已经从备份中恢复、重建了设备、更换了系统,或者以其他方式吸收了恢复的艰难部分。Huntress 的回顾指出了复杂的反应:对某些受害者而言,密钥是突破;对另一些受害者而言,它在手动恢复或其他决策已做出后才到来。

解密并不等同于可信的服务恢复。恢复的文件可能完好无损,但产生入侵的环境仍需清理和修补。凭证和管理关系可能需要重置。日志可能因攻击者试图删除而不完整。恢复的端点在重新连接前必须进行检查。积压工作、客户来电、财务对账和延迟的工作在加密事件后依然存在。

这种区别对于供应商如何描述补救措施很重要。通用密钥是事件响应资产,而非业务中断的退款。备份是一种数据可用性控制,并不证明使用数据的流程能在其业务截止日期前恢复。安装的补丁关闭了已知的技术路径,而非弥补允许一项特权服务成为共同故障点的治理缺口。

问责属于控制措施,而非口号

攻击者应对罪行负责。公共当局后来使这一归因更加具体。美国司法部2021 年 11 月的起诉声明指控 Yaroslav Vasinskyi 通过 KASEYA 产品功能将 REvil 代码部署到客户端点。欧洲刑警组织的GoldDust 行动说明同样将一名嫌疑人与 KASEYA 攻击及高达 1,500 家下游企业的数字联系起来。2024 年,在对一项包含 11 项罪名的起诉认罪后,一家联邦法院因其更广泛的 REvil 活动判处 Vasinskyi 13 年 7 个月监禁,据司法部称。

刑事责任并不解决运营问责问题。安全治理提出一个不同的问题:哪一方控制了一项本可合理预防、检测、限制或缩短损害的安全措施?基于此,问责是分散的,但并非模糊不清。

当事方受该当事方影响的控制措施事件引发的问责问题
KASEYA安全设计、漏洞接收、修复优先级、补丁交付、遥测、产品默认值、客户警告、SaaS 运营、恢复工具紧迫性和临时控制措施集是否反映了暴露的 VSA 服务器的下游权限?该公司能否证明后续控制措施降低了同一类风险?
MSP 或本地部署运营商互联网暴露面、防火墙及 VPN 策略、服务器补丁管理、VSA 配置、权限分离、端点监控、备份、客户恢复管理平面是否被当作高价值生产系统对待,具备独立监控、受限范围、清洁备份及经过测试的手动回退?
中小企业客户提供商选择、业务影响分析、离线程序、备份要求、保险、支付与通信替代方案企业是否理解哪些功能可能随其 MSP 而停止?其合同是否提供了足够的信息和恢复承诺以应对该依赖关系?
安全研究人员协同披露、证据质量、利用克制、受害者通知在向受影响运营商和供应商提供足够信息以减少暴露面的同时,细节是否得到了保护?DIVD 的记录表明存在积极的协调和攻击后通知。
政府与执法部门警告、事件协调、受害者支持、情报、干扰、起诉、基线指导公共干预是否加速了遏制并施加了持久的期望,同时没有将私营产品和连续性责任转移给国家?

KASEYA 承担最大份额的产品级问责。它设计并维护了该软件,知晓剩余漏洞,控制了 SaaS 环境,制作了修复程序,并且比小客户更了解产品的下游波及范围。DIVD 对该公司合作的积极描述是实质性的,应当避免将其讽刺为完全无所作为。但这未能回答 KASEYA 的修复目标和临时保护措施是否足以应对风险。

MSP 承担大量的部署和连续性问责。本地部署运营使它们能够控制网络暴露面和时机,尽管这使它们在代码修复方面依赖 KASEYA。一个广泛开放于互联网的管理控制台,与一个限制在专用管理网络或 VPN 内的控制台,具有不同的风险状况。多因素认证很重要,但这次攻击表明,产品漏洞可以绕过 MFA 所依赖的登录假设。独立的端点检测、应用程序控制、网络分段,以及撤销或限制 RMM 权限的方法,仍然必要。

中小企业的责任较窄,但并非为零。外包 IT 并不等同于将企业继续服务客户、支付员工、保护记录以及中断期间沟通的职责外包出去。然而,要求小客户逆向工程其 MSP 的工具链是不现实的。其实际职责是识别关键业务功能,要求披露重要分包商和特权工具,询问恢复目标,在相称的情况下保持非数字化变通方案,并测试 MSP 中断后是否留有任何运营途径。

政府的责任是赋能性和强制性的,而非运营性。CISA 和 FBI 分发了缓解措施,与 KASEYA 进行了协调,并鼓励报告。国际调查最终促成了逮捕和起诉。这些行动可以减少攻击者的自由度并帮助受害者,但没有公共机构能够监控每个供应商的补丁队列或恢复每个本地收银机。国家的持久角色是建立报告渠道,改善情报交换,设定采购期望,追捕罪犯,并在市场激励失效之处定义最低义务。

合同应当暴露隐藏的架构

此次事件并未创造共享责任的概念,但它显示了当底层架构不可见时,这一说法会变得多么空洞。一份有用的 MSP 合同应将技术依赖转化为信息、权限和可衡量的恢复义务。

至少,客户应知道哪些远程管理和安全工具拥有特权访问;它们是由供应商托管还是由 MSP 运营;哪些管理界面可以互联网访问;审计日志保留在何处;提供商能否将一个客户与其他客户隔离;以及在其主 RMM 平台不可用时,提供商将如何继续提供基本支持。这并不要求向每位客户披露可被利用的细节。它要求足够的架构信息,以便客户理解相关风险。

通知条款应区分三类事件:疑似提供商或工具被入侵、确认访问客户环境,以及作为预防措施采取的运营暂停。KASEYA 的 SaaS 客户未被报告遭到入侵,但其服务被暂停。仅在确认客户数据遭入侵后才触发通知的合同,会错过一个重大的连续性事件。

恢复承诺也需要多个时钟。确认事件的时间不等于遏制它的时间。发布补丁的时间不等于 MSP 安装它的时间。解密数据的时间不等于恢复业务流程的时间。一份有意义的服务协议应定义提供商通知、管理平面隔离、关键远程支持恢复、端点分诊、干净重建和积压清除的目标。它应说明当远程恢复失败时,由哪一方提供技术人员。

2022 年关于保护 MSP 及其客户的多国建议明确了这种分配。它建议客户确保合同安排涵盖诸如安全远程访问、监控与日志记录、事件响应与恢复计划、身份验证及供应链风险管理等控制措施。该指导晚于 KASEYA 事件,并非 2021 年具有约束力义务的证据。它是关于成熟的共享责任现在应如何呈现的有益陈述。

采购也需要询问集中度问题。一个提供商可能为每个客户使用相同的 RMM、备份平台、身份提供商和安全代理。这种标准化是所购效率的一部分。客户应知道,一次控制平面故障是否会同时禁用管理与备份,紧急访问是否使用相同的身份系统,以及替代工具是真正独立的还是仅仅同一堆栈中的另一个模块。

价格压力使答案复杂化。小公司选择托管服务,部分原因在于冗余成本高昂。要求每家 MSP 维护重复的平台和全天候员工,可能使成本超出部分客户可承受的范围。因此,问责应是相称的,而非作秀。提供商不需要每种工具都有第二份副本来证明韧性。它确实需要为关键功能提供书面回退方案、在 RMM 信任边界之外的经测试备份、最新的客户联系方式,以及应对激增劳动力的可靠计划。

可被测试的控制措施,而不仅仅是承诺

事件后最好的问题不是供应商或 MSP 是否说安全很重要。而是评估者能否观察到已改变的控制措施并对其质疑。KASEYA 事件提出了一套实用的测试。

减少管理平面暴露面。列举每台 RMM 服务器和管理界面。展示哪些地址可以访问它,每条路由为何存在,以及规则上次审查的时间。全互联网访问应为例外,并有明确的所有者。仅靠 VPN 放置本身是不够的,如果 VPN 身份拥有广泛的常设权限,但它消除了整类未经身份验证的公开访问。

使大规模操作显眼。远程管理平台应将普通工作与触及数百客户或端点的命令区分开来。高扇出操作需要强授权、清晰来源、在操作可行的情况下的速率限制,以及通过与所用平台无关的渠道传递的警报。被盗会话不应静默继承服务器的全部权限。

将管理平面与其证据分离。将身份验证、程序创建、软件部署、账户删除和配置更改日志导出到攻击者即便控制 VSA 也无法擦除的存储中。Huntress 观察到了旨在移除本地证据的行为。如果唯一的审计追踪就在特权应用程序旁,一次入侵就可能同时毁掉系统和解释。

根据权限和暴露面打补丁。严重性评分是输入,而非时间表。在一个控制数千台机器的平台上,一个可远程利用的身份验证缺陷,比在一个孤立工具中得到相同评分,需要更短的决策周期。测试的标准是供应商能否展示记录在案的升级、临时控制、负责人、目标日期、客户暴露面图以及管理层对任何延迟的认可。

核实私下警告。在协同披露期间,供应商应能够证明哪些可识别的暴露客户收到了缓解措施、交付何时成功以及该控制措施是否被实施。内容可以保密。但在补丁公开后,该行动的存在和完成情况应当是可审计的。

限制客户间传播。MSP 应证明其 RMM 被入侵不会自动授予在每个客户内部无限制的网络横向移动能力。代理权限、网络分段、应用程序控制、凭证隔离,以及按客户划分的管理边界,应使合法工具既有用又不至于全能。

在没有平台的情况下恢复。进行一次演练,假使 VSA 或等效 RMM 一周不可用。MSP 能否定位每项受管理资产、联系每位客户、撤销凭证、分发关键补丁、检索清洁备份,并优先安排现场访问?中小企业能否接受支付、与客户沟通、安排工作或处理紧急订单?一个需要打开故障控制台才能执行的计划不是一个独立的计划。

从业务功能角度衡量恢复。成功解密的端点是一个中间结果。完成标准应当是可用的收银机、可访问的排班工作流、已对账的账目或其他已定义的服务。衡量方式的这一改变可以防止技术团队在客户仍处于运营关闭状态时宣告胜利。

这些控制措施与NIST SP 800-161 Rev. 1中更广泛的供应链规程一致,该规程将供应商风险置于企业治理、采购、评估和持续监控之中,而非将其视为一次性的安全问卷。最终修订版晚于事件发生,尽管相关的 NIST 供应链项目及更早版本已经存在。它应被用作前瞻性的控制框架,而非追溯性的裁决。

后续保证证明了什么,以及未证明什么

KASEYA 截至 2022 年 5 月 31 日的 SOC 3 报告将 7 月事件作为一项披露纳入。它称 57 家本地部署客户受到影响,响应流程被启动,聘请了第三方调查人员,SaaS 作为预防措施被关闭,向本地部署客户发出了警告,且 7 月 11 日的发布启动了恢复。该报告还描述了变更管理、事件响应、备份、安全管理和监控等策略。

这是关于保证流程和后期控制环境的有用证据。它并非对每一项事件前决策的公共取证审计。报告本身指出了内部控制的固有限制,并解释称,通用系统描述可能省略对特定用户重要的方面。它未披露源代码审查结果、漏洞修复服务水平、7 月 2 日前存在的确切遥测数据,或显示身份验证绕过无法再导致大规模执行的测试证据。

这种区别很重要,因为认证常被用作艰难采购问题的替代品。一份干净的保证意见可以支持对特定时段内一组既定标准的信任。它不能证明不存在严重漏洞、每个产品默认设置都是安全的,或客户的恢复架构足够充分。MSP 和中小企业应当阅读范围、期间、排除项、补充用户控件以及子服务处理,而不是将报告视为一种安全保证。

如果有专门的行动后报告,将每种故障模式与经过测试的纠正措施联系起来,公共问责将会更强。KASEYA 发布了技术指标、时间线、加固指南和后期保证材料,但它并未发布一份可媲美当下重大云或软件故障后最详细事件后报告的完整独立因果审查。缺失的产物不是道歉。而是证据,证明一条复发路径已被识别、指派、修复和质疑。

应保持界限的主张

若干流行解读超出了证据范围。

未证明 KASEYA 明知一个易于修复的缺陷却听之任之、无所作为。DIVD 在参与度方面说法相反,并确认在披露窗口期内发布了多个修复程序。合理的批评涉及优先级、临时安全措施以及本地部署暴露面,相关内部记录尚未公开。

未证明所有 KASEYA 客户或一百万台机器遭到入侵。KASEYA 的成熟估计是不到 60 家直接客户和不到 1,500 家下游企业。其他响应者的统计反映了他们自身的可见度和测量时间。机器总数、赎金支付及完全经济损失仍未知。

未证明 SaaS VSA 遭到入侵。KASEYA 始终表示未发现 SaaS 客户遭入侵的证据。SaaS 作为预防措施被关闭,且 DIVD 的时间线表明相关修复已在 7 月 2 日前到达该环境。SaaS 客户经历的服务中断不应被错误标记为端点加密。

未证明一次普通的 KASEYA 软件更新在源头上被投毒。最佳公开描述是客户运营的 VSA 服务器被利用,随后滥用标准部署功能。将此事件称为供应链攻击是合理的,因为入侵经由供应商关系传播,但不应暗示事实上不同的构建过程被入侵。

未证明通用解密器抹除了受害者损失。KASEYA 表示它对完全加密的文件有效,且未支付赎金获取它。KASEYA 未公开确定密钥来源,恢复工作在其到来前后均有进行。

最后,刑事归因并不在供应商、MSP 和客户之间分配民事责任。一项联邦起诉为一名 REvil 附属者的行为确立了后果。它并未裁定 KASEYA 的软件开发、MSP 的配置或客户的连续性计划是否充分。在任何具体争议中,合同条款、管辖法律、事实因果关系、保险和损害赔偿都将至关重要。

仍然缺失的信息

一份完整的问责记录将包括首次利用和检测的时间戳;每台受损 VSA 中链式利用的确切漏洞;被探测、进入并用于部署的服务器数量;4 月 6 日后分配的内部严重性和修复目标;以及 7 月 2 日前提供的临时控制措施。它还将显示 DIVD 6 月列表中的暴露主机有多少被私下通知,又有多少减少了暴露面。

在影响方面,缺失的数据包括加密端点总数、受害者按国家和行业的分布、中位和尾部恢复时间、下游受害者的赎金支付、备份成功率、业务中断、MSP 劳动力、保险恢复及客户赔偿。公开的组织数量是有用的,但它不能衡量损害的强度或持续时间。

对于持久修复,读者需要关于安全开发变更、身份验证与会话边界、大规模部署授权、防篡改日志记录、异常检测、紧急补丁目标、分阶段恢复以及本地部署产品持续测试的独立证据。KASEYA 的加固指南和保证报告是信号,但它们未能提供完整的链条。

对 MSP 市场而言,缺失的分母是结构性的。没有完整的公开清单显示哪些中小企业依赖哪些 RMM 平台、每个控制平面有多少客户共享,或提供商在没有这些平台的情况下测试运营的频率。这种不透明性使得系统性集中难以在事件前被定价。

2022 年美国国会关于勒索软件与小企业的一场听证会将 KASEYA 事件置于一个更广泛的政策问题中:小企业面临严重的网络暴露,但用于预防和吸收的资源较少。听证会记录并非关于该利用的取证来源,且它复现的某些事件材料来自新闻报道。其政策相关性在于,社会对小企业的依赖与其审计复杂供应商的有限能力之间存在错配。

持久的教训关乎委托权力

KASEYA 7 月 2 日的响应防止了更糟的结果。该公司关闭了 SaaS,尽管没有证据表明托管客户遭入侵;向本地部署运营商发出了警告;聘请了调查人员和政府;构建了检测和恢复工具;并最终提供了补丁和解密器支持。DIVD 的记录表明 KASEYA 并未忽视基础漏洞研究。这些事实应存在于任何公正的叙述中。

同样的记录也表明,公平不能止步于对响应的赞扬。一个 4 月就已私下知晓的漏洞,在本地部署客户获得相关版本之前,与利用关联了起来。一小撮受损的 VSA 实例触及了多出许多的下游企业。最安全的响应使一项关键管理服务对未受影响的用户停用。恢复则从集中化工具转向人工劳动、替代流程、备份和现场访问。公开证据仍然过于薄弱,无法检验最深层的预防控制措施是否已改变。

此次事件的持久意义不在于外包的失败。托管服务对许多中小企业而言在经济上仍然是必要的,并能提高其安全基线。教训在于,委托技术权力产生了暴露并治理由此产生的依赖关系的义务。供应商必须根据其工具的影响范围进行设计和修复。MSP 必须将远程管理视为高后果生产系统,并做好在没有它的情况下运营的准备。客户需要合同和连续性计划,以揭示关键分包商,并用业务术语定义恢复。政府应使报告、基线指导、调查和跨境执法更加有效,同时抵制每家小企业都能独自审计软件供应链的虚构。

远程管理通过使远端管理员在本地变得强大而发挥作用。2021 年 7 月,这种权力以错误的方向越过了信任边界。问责意味着确保下一个受损的控制台在触及每位客户之前,遇到限制、独立证据、快速撤销和恢复路径。