美國(guó)政府在六月對(duì)卡巴斯基的客戶(hù)實(shí)施了新的限制措施，指控其12位高管，并禁止其軟件和服務(wù)的進(jìn)一步銷(xiāo)售，這些法規(guī)加強(qiáng)了幾年前開(kāi)始對(duì)美國(guó)聯(lián)邦機(jī)構(gòu)使用其軟件的現(xiàn)有禁令，并已擴(kuò)展到立陶宛和荷蘭等地的類(lèi)似禁令。

這些行動(dòng)是由商務(wù)部和財(cái)政部基于對(duì)潛在與俄羅斯情報(bào)機(jī)構(gòu)合作的國(guó)家安全風(fēng)險(xiǎn)的協(xié)調(diào)努力。

財(cái)政部指控的12名高管中不包括公司的創(chuàng)始人兼首席執(zhí)行官尤金·卡巴斯基，也未涉及整個(gè)公司實(shí)體或其任何子公司。被起訴的包括人力資源主管、各副總裁和CTO。

自2017年開(kāi)始的第一批禁令促使卡巴斯基將其主要的公司數(shù)據(jù)中心從莫斯科遷至瑞士。自那時(shí)起，他們?cè)谌蜷_(kāi)設(shè)了12個(gè)所謂的“透明中心”，與合作伙伴、政府機(jī)構(gòu)和客戶(hù)共享源代碼和威脅檢測(cè)方法的審查。部分?jǐn)?shù)據(jù)處理仍在莫斯科進(jìn)行，這也是令美國(guó)監(jiān)管機(jī)構(gòu)感到不安并促使六月限制措施出臺(tái)的原因之一?！爱?dāng)聯(lián)邦政府首次禁止自己使用卡巴斯基時(shí)，這引發(fā)了一波客戶(hù)轉(zhuǎn)向其競(jìng)爭(zhēng)對(duì)手，”作為多家企業(yè)虛擬CISO的Greg Schaffer說(shuō)，“我認(rèn)為最新的禁令是審慎的，盡管我沒(méi)有看到任何潛在漏洞的證據(jù)?！?/p>

卡巴斯基對(duì)最新的美國(guó)禁令的回應(yīng)

卡巴斯基對(duì)財(cái)政部的起訴提出了反駁，稱(chēng)這些指控“沒(méi)有根據(jù)且不公正”，該公司還表示，商務(wù)部的新規(guī)定不適用于那些與國(guó)家安全問(wèn)題無(wú)關(guān)的運(yùn)營(yíng)部分，應(yīng)該被豁免于禁令，如其廣泛的威脅情報(bào)、事件響應(yīng)和數(shù)字取證培訓(xùn)課程。

卡巴斯基聲稱(chēng)任何威脅情報(bào)產(chǎn)品都應(yīng)被豁免，盡管該功能是其許多產(chǎn)品的一部分，并且很難從托管檢測(cè)或端點(diǎn)檢測(cè)工具中隔離出來(lái)，這可能意味著未來(lái)將就哪些產(chǎn)品和服務(wù)屬于商務(wù)部禁令范圍內(nèi)進(jìn)行訴訟。

CISO現(xiàn)在該做什么

卡巴斯基聲稱(chēng)擁有270000名企業(yè)客戶(hù)，雖然這包括全球所有客戶(hù)。雖然許多前客戶(hù)已經(jīng)遷移到其他安全產(chǎn)品，但在美國(guó)仍在使用其軟件的客戶(hù)現(xiàn)在需要制定計(jì)劃?！安灰鹊绞?，最后一刻才切換，因?yàn)槟菚r(shí)會(huì)成為業(yè)務(wù)連續(xù)性問(wèn)題。現(xiàn)在是評(píng)估風(fēng)險(xiǎn)并確定基礎(chǔ)設(shè)施中哪些部分可能受到影響或需要更換的時(shí)間。”Schaffer說(shuō)。

研究和咨詢(xún)公司Avoa的創(chuàng)始人Tim Crawford也主張立即采取行動(dòng)?！澳惚仨氀杆傩袆?dòng)，不要等待或冒險(xiǎn)接近十月的截止日期，因?yàn)槟切┪锤碌南到y(tǒng)將變得完全脆弱，黑客正在等待機(jī)會(huì)攻擊你?！彼嬖V記者。

問(wèn)題的一部分源于反惡意軟件產(chǎn)品在操作系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的深度嵌入。“更換這些類(lèi)型的產(chǎn)品需要大量的時(shí)間和精力，”Mercury Risk and Compliance的CISO Matthew Rosenquist說(shuō)，“找出受影響的API，哪些遙測(cè)數(shù)據(jù)被發(fā)送以及與其他安全工具的兼容性，如SIEM和其他托管威脅源，所有這些都需要時(shí)間來(lái)進(jìn)行適當(dāng)?shù)臏y(cè)試?！?/p>

麻省理工學(xué)院斯隆管理學(xué)院研究聯(lián)盟CAMS的執(zhí)行主任Keri Pearlson說(shuō)，一種策略是將從卡巴斯基的遷移視為“只是另一種形式的事件響應(yīng)”，“但這次不是由漏洞引發(fā)的事件，而是由新規(guī)則引發(fā)的事件。具有韌性思維的CISO會(huì)認(rèn)識(shí)到這是另一次考驗(yàn)組織韌性的練習(xí)。由于這些新指令禁止使用特定供應(yīng)商的技術(shù)，CISO們現(xiàn)在必須找出如何過(guò)渡到新技術(shù)的方法。技術(shù)似乎工作正常，但新規(guī)則使得必須停止使用它。”

Pearlson說(shuō)，這應(yīng)該成為從韌性角度思考技術(shù)棧的一部分?！癈ISO們必須做出響應(yīng)。他們必須快速、高效地做出響應(yīng)。雖然從新供應(yīng)商過(guò)渡到新技術(shù)可能需要時(shí)間，但必須完成。”她補(bǔ)充說(shuō)，韌性還應(yīng)包括更換之前信任的供應(yīng)商，“坦率地說(shuō)，今天任何可能妨礙運(yùn)營(yíng)的破壞性事件都是必須應(yīng)對(duì)的。”

有些人認(rèn)為這只是冰山一角，情況必定會(huì)變得更糟。“我們需要更加重視網(wǎng)絡(luò)安全，”Cronin說(shuō)，“俄羅斯是主要的網(wǎng)絡(luò)攻擊來(lái)源之一，也是主要的數(shù)據(jù)收集者之一，俄羅斯將繼續(xù)操縱公司以謀取利益。即使產(chǎn)品今天是完全安全的，它也可能瞬間發(fā)生變化，”Rosenquist說(shuō)，“我們不希望我們的對(duì)手擁有任何優(yōu)勢(shì)。”

GigaOm分析師Howard Holton認(rèn)為，有時(shí)國(guó)家事務(wù)會(huì)凌駕于商業(yè)事務(wù)之上，而現(xiàn)在正是這樣的時(shí)刻?！白鳛橐环N具有重大風(fēng)險(xiǎn)的安全工具，因?yàn)樗鼈兛梢栽诨A(chǔ)層級(jí)訪(fǎng)問(wèn)資產(chǎn)，這是一個(gè)明確的供應(yīng)鏈安全問(wèn)題。這是美國(guó)第一次采取這一步驟，全世界應(yīng)該傾聽(tīng)。威脅是真實(shí)的，禁令不是輕易發(fā)布的。”

對(duì)經(jīng)銷(xiāo)商的影響

這次的新情況是，禁令的范圍擴(kuò)大到包括卡巴斯基的合作伙伴和經(jīng)銷(xiāo)商，如果他們繼續(xù)銷(xiāo)售該公司的產(chǎn)品和服務(wù)，包括十月開(kāi)始的軟件更新銷(xiāo)售，他們可能會(huì)受到貿(mào)易制裁和刑事起訴?？ò退够拇蟛糠諦2B銷(xiāo)售是通過(guò)這些合作伙伴進(jìn)行的。“這將對(duì)其客戶(hù)施加一些壓力，其中許多客戶(hù)運(yùn)營(yíng)著大型關(guān)鍵基礎(chǔ)設(shè)施，例如大眾汽車(chē)?！盧osenquist說(shuō)。

L3 Networks是一家卡巴斯基的托管服務(wù)提供商，告訴記者他們?cè)趲啄昵熬屯Ｖ逛N(xiāo)售卡巴斯基的產(chǎn)品?！拔覀?nèi)员涣袨榻?jīng)銷(xiāo)商，因?yàn)槟阌肋h(yuǎn)不知道未來(lái)會(huì)怎樣，我們希望保持多供應(yīng)商關(guān)系，并在需要時(shí)有替代供應(yīng)商，”聯(lián)合創(chuàng)始人Steve Griffin說(shuō)。L3提供全方位的托管SOC和NOC服務(wù)，并利用位于亞美尼亞的數(shù)據(jù)中心?！拔覀儽仨毮軌蜣D(zhuǎn)向其他供應(yīng)商，我們不想對(duì)某個(gè)特定供應(yīng)商過(guò)于依賴(lài)，必須保護(hù)自己并保持其他選擇?！?/p>

卡巴斯基成為目標(biāo)的三個(gè)主要原因

這不是第一次禁止來(lái)自非美國(guó)來(lái)源的計(jì)算機(jī)產(chǎn)品。專(zhuān)家們對(duì)禁止中國(guó)的華為和TikTok持有不同的看法。“在這些情況下，很難判斷政策是基于真實(shí)威脅還是因?yàn)槟承┤瞬幌矚g俄羅斯人或中國(guó)人?！遍L(zhǎng)期IT顧問(wèn)John Cronin說(shuō)。

但在卡巴斯基的情況下，不同之處在于這涉及到安全軟件本身。Schaffer提到對(duì)卡巴斯基采取行動(dòng)的三個(gè)動(dòng)機(jī)問(wèn)題之一?！安糠謫?wèn)題在于，所有反惡意軟件都會(huì)向總部發(fā)送請(qǐng)求以檢查最新的病毒特征和行為模式，因此存在雙向通信和攻擊的潛在風(fēng)險(xiǎn)?！?/p>

Larry Dietz，一位經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全顧問(wèn)和講師，告訴記者，這使得基于中國(guó)或俄羅斯的供應(yīng)商更容易受到懷疑，無(wú)論他們實(shí)際上是否在做任何事情。具有諷刺意味的是，卡巴斯基曾試圖通過(guò)識(shí)別源自俄羅斯的攻擊來(lái)消除其俄羅斯背景，但顯然在華盛頓沒(méi)有得到響應(yīng)。

另一個(gè)問(wèn)題是反惡意軟件必須與底層的Windows或MacOS操作系統(tǒng)密切合作，這使得如果它是任何活躍惡意軟件利用的一部分，就更難跟蹤其操作。安全顧問(wèn)David Goodman告訴記者：“這些工具本質(zhì)上深入你的操作系統(tǒng)?！?/p>

第三個(gè)問(wèn)題是任何現(xiàn)代安全軟件都必須面對(duì)的一個(gè)問(wèn)題：它需要不斷的更新和維護(hù)，而這是商務(wù)部制裁法規(guī)明確禁止的。任何未更新的安全產(chǎn)品都會(huì)迅速成為攻擊者的目標(biāo)，正如我們?cè)诙啻吾槍?duì)舊版本的漏洞利用中所看到的那樣。