Правительство США ввело новые ограничения для клиентов Лаборатории Касперского (ЛК), предъявив обвинения 12 ее руководителям и запретив дальнейшие продажи ее программного обеспечения и услуг в июне 2024 г. Эти правила усиливают существующие запреты на использование ее программного обеспечения федеральными агентствами США, которые начались несколько лет назад и распространились на аналогичные запреты федеральных агентств в таких странах, как Литва и Нидерланды.
Действия правительства США стали результатом координации усилий Министерства торговли и Министерства финансов с учетом рисков для национальной безопасности, связанных с возможным сотрудничеством ЛК с российскими разведчиками.
В число 12 руководителей, упомянутых Казначейством, не входит сам Евгений Касперский, основатель и генеральный директор компании и ее наиболее заметный представитель, и не упоминается вся корпоративная структура или какие-либо ее дочерние компании. Обвинения включают руководителя отдела кадров, различных вице-президентов и технического директора.
Первые запреты, начавшиеся в 2017 году, побудили перенести главный корпоративный центр обработки данных ЛК из Москвы в Швейцарию. С тех пор они открыли 12 так называемых «центров прозрачности» по всему миру, где обзоры исходного кода и методов обнаружения угроз предоставляются партнерам, государственным учреждениям и клиентам. Часть обработки данных по-прежнему находится в Москве, что отчасти заставило американских регуляторов нервничать и помогло ввести июньские ограничения. «Когда федералы впервые запретили Kaspersky для собственного использования, это вызвало волну перехода клиентов к его конкурентам», — говорит Грег Шаффер, который является виртуальным CISO для множества компаний. «Я думаю, что этот последний запрет благоразумен, хотя я не видел доказательств каких-либо потенциальных эксплойтов».
Оглавление
Лаборатория Касперского отреагировала на последний запрет США
ЛК отвергла обвинения Министерства финансов, заявив, что они необоснованны. Компания также заявила, что новые правила Министерства торговли не распространяются на те части ее операций, которые не имеют отношения к вопросам национальной безопасности и должны быть исключены из запрета, например, на ее обширный список учебных курсов по разведке угроз, реагированию на инциденты и цифровой криминалистике.
ЛК утверждает, что любые продукты разведки угроз должны быть освобождены от запрета, хотя эта функция является частью многих их продуктов и нелегко изолируется от управляемого обнаружения или инструментов обнаружения конечных точек. Это потенциально означает будущие судебные разбирательства по поводу того, что является и не является частью запрещенных продуктов и услуг, которые подпадают под указы Министерства торговли.
Что CISO должны делать сейчас
ЛК заявляет о 270 000 корпоративных клиентов, хотя, если быть точным, это касается каждого клиента в мире. Хотя многие из ее предыдущих клиентов уже перешли на другие продукты безопасности, тем в США, кто все еще использует их программное обеспечение, нужно строить планы уже сейчас. «Не ждите октября, последней минуты для перехода, потому что тогда это станет проблемой непрерывности бизнеса. Сейчас самое время оценить свой риск и выяснить, какие части вашей инфраструктуры могут быть скомпрометированы или нуждаются в замене», — говорит Шаффер.
Тим Кроуфорд, основатель исследовательской и консалтинговой фирмы Avoa, также призывает к немедленным действиям. «Вам нужно действовать быстро, не ждите и не рискуйте, чтобы приблизиться к октябрьскому дедлайну, потому что эти необновленные системы станут полностью уязвимыми, и хакеры поджидают вас».
Часть проблемы связана с тем, насколько глубоко антивирусные продукты зарыты в ОС и сетевой инфраструктуре. «На замену этих типов продуктов уходит много времени и усилий», — говорит Мэтью Розенквист, директор по информационной безопасности Mercury Risk and Compliance. «Выяснение затронутых API, какая телеметрия отправляется и совместимость с другими инструментами безопасности, такими как SIEM и другие управляемые каналы угроз, — все это потребует времени для надлежащего тестирования».
Одна из тактик — рассматривать переход от Kaspersky как «просто еще одну форму реагирования на инциденты», говорит Кери Перлсон, исполнительный директор исследовательского консорциума CAMS в MIT Sloan School. «Но на этот раз вместо инцидента, вызванного нарушением, этот инцидент вызван новыми правилами. CISO воспримут это как еще одно упражнение, показывающее, насколько устойчивы их организации. С этими новыми директивами, запрещающими использование технологий от определенного поставщика, CISO теперь должны выяснить, как перейти на что-то новое. Технология, кажется, работает нормально, но новые правила требуют прекратить ее использование».
Это должно быть частью размышлений о технологическом стеке с точки зрения устойчивости, говорит Перлсон. «CISO должны реагировать. Они должны реагировать быстро, эффективно и действенно. Хотя переход на новую технологию от нового поставщика может занять время, это необходимо сделать». Она добавляет, что устойчивость должна также включать замену ранее доверенного поставщика, «и, честно говоря, любой другой разрушительный инцидент, который может помешать операциям, является сегодня императивом».
Некоторые считают, что это только вершина айсберга, и ситуация обязательно ухудшится. «Нам нужно гораздо серьезнее относиться к кибербезопасности», — говорит Джон Кронин, опытный IT-консультант. «Россия — один из главных источников кибератак и один из главных игроков по сбору данных. Россия продолжит манипулировать компаниями в своих интересах. Даже если сегодня продукт совершенно безопасен, он может измениться в мгновение ока», — говорит Розенквист. «Мы не хотим, чтобы у наших противников было какое-либо преимущество».
Время от времени государственные вопросы перевешивают вопросы коммерции, и сейчас как раз такое время, считает аналитик GigaOm Говард Холтон. «Как инструмент безопасности, который представляет значительный риск, поскольку имеет доступ к активам на фундаментальном уровне, это явная проблема безопасности цепочки поставок. Это первый раз, когда США пошли на такой шаг, и миру было бы разумно прислушаться. Угроза реальна, и запрет не был введен легкомысленно».
Влияние на реселлеров
Новым на этот раз является то, что сфера запрета расширилась и теперь распространяется на партнеров и реселлеров ЛК, которые могут подвергнуться торговым санкциям и уголовному преследованию, если продолжат продавать продукты и услуги компании, включая продажу обновлений программного обеспечения в октябре. ЛК осуществляет большую часть своих B2B-продаж через этих партнеров. «Это окажет определенное давление на ее клиентов, многие из которых управляют крупными критически важными инфраструктурами, например, Volkswagen», — говорит Розенквист.
L3 Networks — поставщик управляемых услуг ЛК, который рассказал CSO, что несколько лет назад отказался от продажи их продуктов. «Мы по-прежнему числимся реселлером, потому что никогда не знаешь, что будет в будущем, и нам нравится поддерживать отношения с несколькими поставщиками и иметь альтернативных поставщиков на случай, если нам придется сменить поставщика», — говорит соучредитель Стив Гриффин. L3 предоставляет полный спектр управляемых услуг SOC и NOC из своих офисов в Калифорнии и Армении. «Мы должны иметь возможность переключаться на других поставщиков. Мы не хотим лить слишком много бетона и влюбляться в конкретного поставщика, а должны защищать себя и свои интересы».
Три основные причины, по которым «Лаборатория Касперского» стала целью санкций
Это не первая попытка США запретить компьютерную продукцию из неамериканских источников. Эксперты испытывают смешанные чувства по поводу запретов Huawei и TikTok, оба из которых базируются в Китае. «В таких ситуациях трудно сказать, основана ли политика на реальных угрозах или на том, что кому-то не нравятся русские или китайцы», — говорит Кронин.
Но что отличается в ситуации с ЛК, так это то, что это касается самого программного обеспечения безопасности. Шаффер упоминает одну из трех мотивационных проблем, стоящих за этими действиями против ЛК. «Часть проблемы заключается в том, что все антивирусное программное обеспечение «звонит домой», чтобы проверить последние вирусные сигнатуры и модели поведения, поэтому существует потенциал для двунаправленных коммуникаций и атак».
Ларри Диц, опытный консультант и инструктор по кибербезопасности, говорит, что это делает поставщиков из Китая или России более подозрительными, независимо от того, делают ли они что-либо на самом деле. И по иронии судьбы, ЛК пытался развеять свое российское наследие в прошлом, выявляя атаки российского происхождения, которые, по-видимому, не были услышаны в Вашингтоне.
Другая проблема заключается в том, что антивирусное ПО должно тесно взаимодействовать с базовыми операционными системами Windows или MacOS, и это затрудняет отслеживание его работы, если оно является частью какой-либо активной вредоносной программы. «Эти инструменты по своей природе глубоко внедряются в вашу ОС», — говорит консультант по безопасности Дэвид Гудман CSO.
Третья проблема связана с необходимостью для любого современного программного обеспечения безопасности: оно нуждается в постоянной поддержке и обновлении, которые явным образом запрещены в правилах санкций. Любой продукт безопасности, который не обновляется, быстро становится целью для злоумышленников, как это было много раз замечено с эксплойтами, которые специально ищут старые версии.
Дэвид Стром
Источник: https://www.csoonline.com/article/2513383/what-the-kaspersky-ban-means-for-cisos.html
Импортозамещение — процесс взаимный.