美国政府在六月对卡巴斯基的客户实施了新的限制措施,指控其12位高管,并禁止其软件和服务的进一步销售,这些法规加强了几年前开始对美国联邦机构使用其软件的现有禁令,并已扩展到立陶宛和荷兰等地的类似禁令。
这些行动是由商务部和财政部基于对潜在与俄罗斯情报机构合作的国家安全风险的协调努力。
财政部指控的12名高管中不包括公司的创始人兼首席执行官尤金·卡巴斯基,也未涉及整个公司实体或其任何子公司。被起诉的包括人力资源主管、各副总裁和CTO。
自2017年开始的第一批禁令促使卡巴斯基将其主要的公司数据中心从莫斯科迁至瑞士。自那时起,他们在全球开设了12个所谓的“透明中心”,与合作伙伴、政府机构和客户共享源代码和威胁检测方法的审查。部分数据处理仍在莫斯科进行,这也是令美国监管机构感到不安并促使六月限制措施出台的原因之一。“当联邦政府首次禁止自己使用卡巴斯基时,这引发了一波客户转向其竞争对手,”作为多家企业虚拟CISO的Greg Schaffer说,“我认为最新的禁令是审慎的,尽管我没有看到任何潜在漏洞的证据。”
卡巴斯基对最新的美国禁令的回应
卡巴斯基对财政部的起诉提出了反驳,称这些指控“没有根据且不公正”,该公司还表示,商务部的新规定不适用于那些与国家安全问题无关的运营部分,应该被豁免于禁令,如其广泛的威胁情报、事件响应和数字取证培训课程。
卡巴斯基声称任何威胁情报产品都应被豁免,尽管该功能是其许多产品的一部分,并且很难从托管检测或端点检测工具中隔离出来,这可能意味着未来将就哪些产品和服务属于商务部禁令范围内进行诉讼。
CISO现在该做什么
卡巴斯基声称拥有270000名企业客户,虽然这包括全球所有客户。虽然许多前客户已经迁移到其他安全产品,但在美国仍在使用其软件的客户现在需要制定计划。“不要等到十月,最后一刻才切换,因为那时会成为业务连续性问题。现在是评估风险并确定基础设施中哪些部分可能受到影响或需要更换的时间。”Schaffer说。
研究和咨询公司Avoa的创始人Tim Crawford也主张立即采取行动。“你必须迅速行动,不要等待或冒险接近十月的截止日期,因为那些未更新的系统将变得完全脆弱,黑客正在等待机会攻击你。”他告诉记者。
问题的一部分源于反恶意软件产品在操作系统和网络基础设施中的深度嵌入。“更换这些类型的产品需要大量的时间和精力,”Mercury Risk and Compliance的CISO Matthew Rosenquist说,“找出受影响的API,哪些遥测数据被发送以及与其他安全工具的兼容性,如SIEM和其他托管威胁源,所有这些都需要时间来进行适当的测试。”
麻省理工学院斯隆管理学院研究联盟CAMS的执行主任Keri Pearlson说,一种策略是将从卡巴斯基的迁移视为“只是另一种形式的事件响应”,“但这次不是由漏洞引发的事件,而是由新规则引发的事件。具有韧性思维的CISO会认识到这是另一次考验组织韧性的练习。由于这些新指令禁止使用特定供应商的技术,CISO们现在必须找出如何过渡到新技术的方法。技术似乎工作正常,但新规则使得必须停止使用它。”
Pearlson说,这应该成为从韧性角度思考技术栈的一部分。“CISO们必须做出响应。他们必须快速、高效地做出响应。虽然从新供应商过渡到新技术可能需要时间,但必须完成。”她补充说,韧性还应包括更换之前信任的供应商,“坦率地说,今天任何可能妨碍运营的破坏性事件都是必须应对的。”
有些人认为这只是冰山一角,情况必定会变得更糟。“我们需要更加重视网络安全,”Cronin说,“俄罗斯是主要的网络攻击来源之一,也是主要的数据收集者之一,俄罗斯将继续操纵公司以谋取利益。即使产品今天是完全安全的,它也可能瞬间发生变化,”Rosenquist说,“我们不希望我们的对手拥有任何优势。”
GigaOm分析师Howard Holton认为,有时国家事务会凌驾于商业事务之上,而现在正是这样的时刻。“作为一种具有重大风险的安全工具,因为它们可以在基础层级访问资产,这是一个明确的供应链安全问题。这是美国第一次采取这一步骤,全世界应该倾听。威胁是真实的,禁令不是轻易发布的。”
对经销商的影响
这次的新情况是,禁令的范围扩大到包括卡巴斯基的合作伙伴和经销商,如果他们继续销售该公司的产品和服务,包括十月开始的软件更新销售,他们可能会受到贸易制裁和刑事起诉。卡巴斯基的大部分B2B销售是通过这些合作伙伴进行的。“这将对其客户施加一些压力,其中许多客户运营着大型关键基础设施,例如大众汽车。”Rosenquist说。
L3 Networks是一家卡巴斯基的托管服务提供商,告诉记者他们在几年前就停止销售卡巴斯基的产品。“我们仍被列为经销商,因为你永远不知道未来会怎样,我们希望保持多供应商关系,并在需要时有替代供应商,”联合创始人Steve Griffin说。L3提供全方位的托管SOC和NOC服务,并利用位于亚美尼亚的数据中心。“我们必须能够转向其他供应商,我们不想对某个特定供应商过于依赖,必须保护自己并保持其他选择。”
卡巴斯基成为目标的三个主要原因
这不是第一次禁止来自非美国来源的计算机产品。专家们对禁止中国的华为和TikTok持有不同的看法。“在这些情况下,很难判断政策是基于真实威胁还是因为某些人不喜欢俄罗斯人或中国人。”长期IT顾问John Cronin说。
但在卡巴斯基的情况下,不同之处在于这涉及到安全软件本身。Schaffer提到对卡巴斯基采取行动的三个动机问题之一。“部分问题在于,所有反恶意软件都会向总部发送请求以检查最新的病毒特征和行为模式,因此存在双向通信和攻击的潜在风险。”
Larry Dietz,一位经验丰富的网络安全顾问和讲师,告诉记者,这使得基于中国或俄罗斯的供应商更容易受到怀疑,无论他们实际上是否在做任何事情。具有讽刺意味的是,卡巴斯基曾试图通过识别源自俄罗斯的攻击来消除其俄罗斯背景,但显然在华盛顿没有得到响应。
另一个问题是反恶意软件必须与底层的Windows或MacOS操作系统密切合作,这使得如果它是任何活跃恶意软件利用的一部分,就更难跟踪其操作。安全顾问David Goodman告诉记者:“这些工具本质上深入你的操作系统。”
第三个问题是任何现代安全软件都必须面对的一个问题:它需要不断的更新和维护,而这是商务部制裁法规明确禁止的。任何未更新的安全产品都会迅速成为攻击者的目标,正如我们在多次针对旧版本的漏洞利用中所看到的那样。
