硬核观察 #330 SolarWinds 和 Kaseya 攻击动摇了对 SaaS 模式的信心

2021-07-12
2分钟阅读时长

SolarWinds 和 Kaseya 攻击动摇了对 SaaS 模式的信心

先是 SolarWinds,现在是 Kaseya。管理服务提供商(MSP)大量使用的 SaaS 软件现在已经成为两次成功的网络攻击的目标。大约 1500 家“下游”企业在他们自己的“上游”供应商被入侵后,现在 MSP 正在重新评估他们管理 IT 的方法。

许多 MSP 特别纠结的决定是,他们应该在多大程度上继续依赖可能被恶意软件破坏的 IT 服务管理平台,而不是建立和保护自己的定制平台。后一种方法对恶意软件没有免疫力,但由于网络犯罪分子越来越多地把精力集中在能够对下游造成更大破坏的平台上,因此可能不太容易成为目标。

这就和大规模云计算的副作用一样,这种成规模的云服务一旦出问题就是大问题。

针对 Kaseya 的巨大勒索软件攻击可能是完全可以避免的

据报道,Kaseya 公司的软件在 2018 年至 2019 年期间至少有两次被用来启动勒索软件,而它并没有对其安全策略进行重大反思。

前 Kaseya 员工在接受采访时称,他们在 2017 年至 2020 年期间多次警告高管 Kaseya 产品的严重安全缺陷,但该公司并没有真正解决这些问题。该公司使用的是旧代码,实施的是差劲的加密,甚至没有对软件进行常规修补。甚至一名员工声称,他在向高管发送了一份长达 40 页的安全问题简报两周后被解雇。

如果因此发生的勒索可以向软件供应商索赔,那我想他们可能就会重视了。

Tor 项目希望用 Rust 取代 C 代码

ZOMG 周二宣布,它将向注重隐私的 Tor 项目提供 67 万美元的资助,以继续开发 Arti,这是一个 Tor 客户端的 Rust 语言实现,它将更可靠、更安全,并且更容易被其他软件使用。Tor 项目联合创始人,“根据我们的非正式审计,自 2016 年以来,Tor 大约有一半的安全问题在 Rust 中是不可能出现的,其他许多问题的可能性也会小很多。”

我们已经看到很多传统的 C 语言开发的项目和软件正在或已经迁移到 Rust 了。