Tim Culpan在彭博社发表文章,最近黑客界的领军人物Revil攻击了一家管理服务提供商,造成了严重后果,致使集中式软件管理模式的安全性遭到质疑,作者指出,虽然集中管理模式依然免不了因为漏洞而被黑客攻击,但是集中管理模式下的软件在升级漏洞布丁方面,其实比个人管理的电脑要好得多,因此,实际上,这种集中管理模式能够提高公司软件的安全性。
在黑客利用一家供应商的漏洞,使数百家公司成为受害者之后,集中式软件管理模式再次成为人们关注的焦点。然而,正是这种庞大队伍的管理形式,很可能防止了更多的攻击,并使全球网络总体上更加安全。
在短短24小时内,卡西亚(Kaseya)有限公司从向客户提供防止潜在攻击的建议,到确认自己受到了一次复杂的网络攻击。荷兰漏洞研究所发现了一个关键缺陷并通知了该公司,尽管这家位于迈阿密的软件供应商“尽一切努力去应对攻击”,但“我们在最后冲刺阶段还是被REvil击败了”。
注:卡西亚(Kaseya)有限公司是一家美国软件公司,开发管理网络、系统和信息技术基础设施的软件。
REvil是一个私人勒索软件即服务(RaaS)操作,公司在遭到REvil攻击后,REvil会勒索赎金,否则就将公司机密信息发布在他们的“快乐博客”页面上。在一起关注度很高的案件中,REvil攻击了科技巨头苹果公司的一个供应商,并窃取了他们即将推出的产品的机密图纸。
REvil有很长的犯罪记录。它被认为是5月对巴西肉类加工厂JBS SA攻击的罪魁祸首,之前还被指责从苹果这个科技巨头的一家供应商那里窃取苹果公司的产品原型图。
这一次,这个据可靠消息表明位于俄罗斯的组织,被指控渗入了约30个管理服务提供商,这些服务商与多大1000多家的企业合作。黑客随后加密了数百台电脑,并索要赎金,其中一个帖子称要价为7000万美元,才能解锁所有受害者的电脑。
卡西亚公司生产一种特殊的软件,可以让客户远程管理和监控整个组织的设备,这种被称为卡西亚VSA的产品的买家,通常是管理服务提供商,他们处理客户的服务器、计算机和打印机机群的外包分包商。通过自动化任务,该软件使管理服务提供商能够以相对较少的技术人员控制成千上万的设备。在卡西亚VSA的任务中,“自动化软件补丁管理和漏洞管理,确保所有系统都是最新的。”
这就是为什么卡西亚和整个网络安全界都在与同样发现该漏洞的匪徒们进行时间赛跑,先下手为强,通过引入新的补丁来关闭漏洞,这扇门就可以关上了。
但这次卡西亚没能堵上漏洞,而REvil抓住了这个机会。通过了解卡西亚VSA软件的现有弱点(其中至少有一个弱点荷兰团队是发出提醒信号的),黑客们能够欺骗运行该产品的服务器,将恶意代码分发到个人电脑上。其结果是一次大面积的攻击,主要袭击了中小型企业,但也包括瑞典连锁超市Coop和100多家新西兰的幼儿园。
管理服务提供商之所以成为理想的攻击目标,是因为他们以高效和自动化的方法管理着数百台计算机。侵入这些控制服务器中的一个,你就很有可能进入其整个网络。由于攻击者随后自动在全球范围内下黑手,REvil甚至可能都不知道谁会是它的受害者。
然而,需要注意的是,目前的事件并不是仅仅源于一个小小的缺陷。事实上,黑客们已经开发了一套复杂的武器,伺机而动。这一事实加强了而不是削弱了远程管理更安全的论点。
有许多故事并不为人所知,集中化的软件管理确保了正确的补丁在邪恶的玩家利用它们之前被安装。微软公司,世界上最普遍的操作系统的制造商,有专门的团队来发现缺陷和发布更新。
但是,除非使用其产品,包括Windows、Office和Exchange Server的数以百万计的计算机必须更新软件才能补上这些漏洞,否则这种发现和修复的方法就不会奏效。
根据一份报告显示,2020年被利用最多的漏洞在几年前就被发现了,但由于用户一直没有应用补丁,黑客们一直在利用它。管理服务提供商,采用卡西亚VSA等工具,确保自动安装修复程序。
可以用飞机自动化来做个比喻,最近发生的致命空难与用于控制现代飞机的复杂系统的问题直接相关。然而,在过去的几十年里,航空业变得更加安全,部分原因是这种在线援助。现在的问题在于,计算机与它们应该帮助的人分享信息和控制权的冲突。当机器被置于主导地位,而不是主要用于协助时,人类飞行员一直处于劣势,并发生坠机事件。
这同样适用于高度集中的远程软件管理。有了这种自动化,全球网络可以说是更安全了,但我们不能忘记人类所扮演的角色。一群人创造了原始软件,意外地留下了漏洞,而其他人发现了这些漏洞并试图利用它们。然而,也是人在计算机的帮助下,在黑客的机器攻击漏洞之前,修复了这些故障。
当调查人员回顾这次黑客事件时,无疑会有很多人把矛头指向集中式软件供应链所带来的自动化和集中式风险。然而,这种管理模式的应用,对最大限度地减少攻击也是至关重要的。