美國政府在六月對卡巴斯基的客戶實施了新的限制措施，指控其12位高管，并禁止其軟件和服務的進一步銷售，這些法規(guī)加強了幾年前開始對美國聯(lián)邦機構使用其軟件的現(xiàn)有禁令，并已擴展到立陶宛和荷蘭等地的類似禁令。

這些行動是由商務部和財政部基于對潛在與俄羅斯情報機構合作的國家安全風險的協(xié)調(diào)努力。

財政部指控的12名高管中不包括公司的創(chuàng)始人兼首席執(zhí)行官尤金·卡巴斯基，也未涉及整個公司實體或其任何子公司。被起訴的包括人力資源主管、各副總裁和CTO。

自2017年開始的第一批禁令促使卡巴斯基將其主要的公司數(shù)據(jù)中心從莫斯科遷至瑞士。自那時起，他們在全球開設了12個所謂的“透明中心”，與合作伙伴、政府機構和客戶共享源代碼和威脅檢測方法的審查。部分數(shù)據(jù)處理仍在莫斯科進行，這也是令美國監(jiān)管機構感到不安并促使六月限制措施出臺的原因之一。“當聯(lián)邦政府首次禁止自己使用卡巴斯基時，這引發(fā)了一波客戶轉(zhuǎn)向其競爭對手，”作為多家企業(yè)虛擬CISO的Greg Schaffer說，“我認為最新的禁令是審慎的，盡管我沒有看到任何潛在漏洞的證據(jù)。”

卡巴斯基對最新的美國禁令的回應

卡巴斯基對財政部的起訴提出了反駁，稱這些指控“沒有根據(jù)且不公正”，該公司還表示，商務部的新規(guī)定不適用于那些與國家安全問題無關的運營部分，應該被豁免于禁令，如其廣泛的威脅情報、事件響應和數(shù)字取證培訓課程。

卡巴斯基聲稱任何威脅情報產(chǎn)品都應被豁免，盡管該功能是其許多產(chǎn)品的一部分，并且很難從托管檢測或端點檢測工具中隔離出來，這可能意味著未來將就哪些產(chǎn)品和服務屬于商務部禁令范圍內(nèi)進行訴訟。

CISO現(xiàn)在該做什么

卡巴斯基聲稱擁有270000名企業(yè)客戶，雖然這包括全球所有客戶。雖然許多前客戶已經(jīng)遷移到其他安全產(chǎn)品，但在美國仍在使用其軟件的客戶現(xiàn)在需要制定計劃。“不要等到十月，最后一刻才切換，因為那時會成為業(yè)務連續(xù)性問題。現(xiàn)在是評估風險并確定基礎設施中哪些部分可能受到影響或需要更換的時間。”Schaffer說。

研究和咨詢公司Avoa的創(chuàng)始人Tim Crawford也主張立即采取行動。“你必須迅速行動，不要等待或冒險接近十月的截止日期，因為那些未更新的系統(tǒng)將變得完全脆弱，黑客正在等待機會攻擊你。”他告訴記者。

問題的一部分源于反惡意軟件產(chǎn)品在操作系統(tǒng)和網(wǎng)絡基礎設施中的深度嵌入。“更換這些類型的產(chǎn)品需要大量的時間和精力，”Mercury Risk and Compliance的CISO Matthew Rosenquist說，“找出受影響的API，哪些遙測數(shù)據(jù)被發(fā)送以及與其他安全工具的兼容性，如SIEM和其他托管威脅源，所有這些都需要時間來進行適當?shù)臏y試。”

麻省理工學院斯隆管理學院研究聯(lián)盟CAMS的執(zhí)行主任Keri Pearlson說，一種策略是將從卡巴斯基的遷移視為“只是另一種形式的事件響應”，“但這次不是由漏洞引發(fā)的事件，而是由新規(guī)則引發(fā)的事件。具有韌性思維的CISO會認識到這是另一次考驗組織韌性的練習。由于這些新指令禁止使用特定供應商的技術，CISO們現(xiàn)在必須找出如何過渡到新技術的方法。技術似乎工作正常，但新規(guī)則使得必須停止使用它。”

Pearlson說，這應該成為從韌性角度思考技術棧的一部分。“CISO們必須做出響應。他們必須快速、高效地做出響應。雖然從新供應商過渡到新技術可能需要時間，但必須完成。”她補充說，韌性還應包括更換之前信任的供應商，“坦率地說，今天任何可能妨礙運營的破壞性事件都是必須應對的。”

有些人認為這只是冰山一角，情況必定會變得更糟。“我們需要更加重視網(wǎng)絡安全，”Cronin說，“俄羅斯是主要的網(wǎng)絡攻擊來源之一，也是主要的數(shù)據(jù)收集者之一，俄羅斯將繼續(xù)操縱公司以謀取利益。即使產(chǎn)品今天是完全安全的，它也可能瞬間發(fā)生變化，”Rosenquist說，“我們不希望我們的對手擁有任何優(yōu)勢。”

GigaOm分析師Howard Holton認為，有時國家事務會凌駕于商業(yè)事務之上，而現(xiàn)在正是這樣的時刻。“作為一種具有重大風險的安全工具，因為它們可以在基礎層級訪問資產(chǎn)，這是一個明確的供應鏈安全問題。這是美國第一次采取這一步驟，全世界應該傾聽。威脅是真實的，禁令不是輕易發(fā)布的。”

對經(jīng)銷商的影響

這次的新情況是，禁令的范圍擴大到包括卡巴斯基的合作伙伴和經(jīng)銷商，如果他們繼續(xù)銷售該公司的產(chǎn)品和服務，包括十月開始的軟件更新銷售，他們可能會受到貿(mào)易制裁和刑事起訴。卡巴斯基的大部分B2B銷售是通過這些合作伙伴進行的。“這將對其客戶施加一些壓力，其中許多客戶運營著大型關鍵基礎設施，例如大眾汽車。”Rosenquist說。

L3 Networks是一家卡巴斯基的托管服務提供商，告訴記者他們在幾年前就停止銷售卡巴斯基的產(chǎn)品。“我們?nèi)员涣袨榻?jīng)銷商，因為你永遠不知道未來會怎樣，我們希望保持多供應商關系，并在需要時有替代供應商，”聯(lián)合創(chuàng)始人Steve Griffin說。L3提供全方位的托管SOC和NOC服務，并利用位于亞美尼亞的數(shù)據(jù)中心。“我們必須能夠轉(zhuǎn)向其他供應商，我們不想對某個特定供應商過于依賴，必須保護自己并保持其他選擇。”

卡巴斯基成為目標的三個主要原因

這不是第一次禁止來自非美國來源的計算機產(chǎn)品。專家們對禁止中國的華為和TikTok持有不同的看法。“在這些情況下，很難判斷政策是基于真實威脅還是因為某些人不喜歡俄羅斯人或中國人。”長期IT顧問John Cronin說。

但在卡巴斯基的情況下，不同之處在于這涉及到安全軟件本身。Schaffer提到對卡巴斯基采取行動的三個動機問題之一。“部分問題在于，所有反惡意軟件都會向總部發(fā)送請求以檢查最新的病毒特征和行為模式，因此存在雙向通信和攻擊的潛在風險。”

Larry Dietz，一位經(jīng)驗豐富的網(wǎng)絡安全顧問和講師，告訴記者，這使得基于中國或俄羅斯的供應商更容易受到懷疑，無論他們實際上是否在做任何事情。具有諷刺意味的是，卡巴斯基曾試圖通過識別源自俄羅斯的攻擊來消除其俄羅斯背景，但顯然在華盛頓沒有得到響應。

另一個問題是反惡意軟件必須與底層的Windows或MacOS操作系統(tǒng)密切合作，這使得如果它是任何活躍惡意軟件利用的一部分，就更難跟蹤其操作。安全顧問David Goodman告訴記者：“這些工具本質(zhì)上深入你的操作系統(tǒng)。”

第三個問題是任何現(xiàn)代安全軟件都必須面對的一個問題：它需要不斷的更新和維護，而這是商務部制裁法規(guī)明確禁止的。任何未更新的安全產(chǎn)品都會迅速成為攻擊者的目標，正如我們在多次針對舊版本的漏洞利用中所看到的那樣。