Während Kaseya daran arbeitet, SaaS-Server online zu bringen, loben Experten Vorsichtsmaßnahmen als “Gegenteil von Selbstgefälligkeit

  • Ein Besucher fotografiert ein Symbol einer Wolke am Stand der Deutschen Telekom am Tag vor der Technologiemesse CeBIT. Kaseya begann mit den technischen Arbeiten für die Bereitstellung der Server des Unternehmens, die das Software-as-a-Service-Produkt VSA unterstützen, nachdem die SaaS-Server nach einem Ransomware-Angriff auf On-Prem-Installationen vorsorglich offline genommen wurden.(Sean Gallup/Getty Images)

    Kaseya begann mit den technischen Arbeiten für die Bereitstellung der Server des Unternehmens, die das Software-as-a-Service-Produkt VSA unterstützen, und konfigurierte eine zusätzliche Sicherheitsebene für die SaaS-Infrastruktur.

    Die zusätzliche Sicherheitsebene ändert die zugrundeliegende IP-Adresse der VSA-Server, was für fast alle Kunden transparent ist, aber ein Update jeder IP-Whitelist für Firewalls erfordert, die den Kaseya VSA-Server enthalten, so das letzte Update auf der Kaseya Website. Die neuen IP-Adressen sind hier zu finden.

    Klicken Sie hier, um die neuesten Updates zum Kaseya Cyberangriff zu erhalten.

    Um 19:30 Uhr ET waren die SaaS VSA-Dienste noch nicht wiederhergestellt; die verbesserten Sicherheitsmaßnahmen “werden derzeit implementiert und auf ihren ordnungsgemäßen Betrieb überprüft”, heißt es in dem Update. “Sobald sie in Betrieb sind, werden wir den Zeitplan für die VSA-Verfügbarkeit veröffentlichen.” Das Unternehmen wird die Support-Webseite stündlich aktualisieren.

    Die Entscheidung, SaaS-Server als Vorsichtsmaßnahme herunterzufahren, während das Unternehmen die volle Natur der Ransomware-Angriffe bewertet, wird von vielen Sicherheitsforschern als verantwortungsvolles Manöver gelobt, auch wenn es für ein Segment von Kunden und Partnern unbequem ist.

    “Im Nachhinein betrachtet hat der Angriff vielleicht der lokalen Hardware den Vorrang gegeben, aber mitten in der Notlage, als die Schadensmeldungen noch eintrafen, hätte ich auch die SaaS-Server offline genommen”, sagte Sheth. “Wir zahlen einen hohen Preis für das selbstgefällige Übervertrauen in die Endpunktverteidigung. Lassen Sie uns nicht einen entscheidenden Schritt zum Schutz der Kaseya Kunden in Frage stellen, der das Gegenteil von Selbstgefälligkeit war.”

    Ein Patch für On-Premises-Kunden des Kaseya VSA-Produkts, das am vergangenen Freitag die Quelle eines weit verbreiteten Ransomware-Angriffs war, wird nun 24 Stunden (oder weniger) nach der Wiederherstellung der SaaS-Dienste erwartet.

    “Wir konzentrieren uns darauf, diesen Zeitrahmen so kurz wie möglich zu halten – aber wenn beim Spin-up von SaaS Probleme auftreten, wollen wir diese beheben, bevor wir unsere On-Premises-Kunden wieder in Betrieb nehmen”, so das Unternehmen.

    Die Entscheidung, SaaS-Server abzuschalten, auch wenn dies nur vorübergehend geschieht, kann für die Kundengemeinschaft störend sein. Kaseya machte keine genauen Angaben zur Kommunikation mit Partnern und Kunden über diese Entscheidung, wies aber auf Pläne hin, eine “kundenfertige Erklärung” für Partner bereitzustellen, die diese nach der Wiederherstellung der SaaS-Server verteilen können.

    “Dass Kaseya seine SaaS VSA-Server offline genommen hat, war eine kluge Entscheidung”, sagte Rick Holland, Vice President Strategy und CISO bei Digital Shadows. Holland sagte, dass es in den frühen Phasen der Reaktion auf einen Vorfall einen natürlichen “Nebel des Krieges” gibt, wenn das Sicherheitsteam kein vollständiges Bild des Eindringens hat.

    “Es ist besser, sicher zu sein, als etwas zu bedauern, und zu diesem Zeitpunkt müssen die Risiken eines potenziell umfassenderen Eindringens die Auswirkungen überwogen haben, den Dienst für ein paar Tage offline zu nehmen”, fügte Holland hinzu.

    Oliver Tavakoli, Chief Technology Officer bei Vectra, sagte, dass Kaseya offenbar einen kohärenten Plan zur Reaktion auf den Vorfall verfolgt hat, um die gesamte VSA-Infrastruktur wieder zum Laufen zu bringen. Die Kaskade von Updates macht Sinn: Software-Updates fließen von Kaseya SaaS zu den VSA-Servern vor Ort zu den Agenten, die dann an die betroffenen MSP-Kunden weitergegeben werden.

    “Sobald eine gehärtete Version des SaaS-Dienstes in Betrieb ist, werden die On-Prem-VSA-Server mit zusätzlichen Schutzmaßnahmen (24×7 SOC-Abdeckung und eine vom CDN bereitgestellte WAF) ausgestattet”, so Tavakoli. “Dann beginnt der Prozess der Öffnung von nicht kompromittierten VSA-Servern für Patches von Kaseyas SaaS, während kompromittierte VSA-Server neu installiert werden müssen und Abonnentendaten aus Backups wiederhergestellt werden müssen, bevor die Patches fließen können.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com