前言:今天微软蓝屏事件上了热搜,根据最新披露可能跟安装了 CrowdStrike安全软件有关。本人初步怀疑是微软或者CrowdStrike安全软件其中一方自动更新导致驱动不兼容从而诱发蓝屏。
这次国外出现批量蓝屏而我国没事,一方面是因为微软在操作系统市场占有率较高。另一方面我国对国外安全厂商实施了一定的禁入。
个人认为这次事件还有另一个原因,就是CrowdStrike安全软件是SaaS部署的,这边我们先来了解什么是SaaS服务。
1.什么是SaaS服务
SaaS(软件即服务)是一种基于云计算的软件交付模式,其中软件应用程序通过互联网提供给用户使用。
不同于传统的CS(clinet-server)架构,SaaS服务的服务端(server端)并不部署在本地,而是部署在云上。我们可以直观地在下面两张图看出区别。
传统CS架构
SaaS服务架构
2.安全SaaS服务
首先纠正一点,这里指的SaaS安全服务是Server端在厂商手上,不受自己控制的那种。而非Server端在自己搭建的IDC或者商业云上且Server端对自己完全透明的情况。
近几年各种安全SaaS服务发展迅速,几乎覆盖了所有传统安全服务。就以终端为例,杀毒,防泄漏,终端管控,流量管控的SaaS 服务层次不穷。
当SaaS服务在安全市场出现的时候,作者已经在关注了。一直以为SaaS服务和安全结合是一个伪命题。其最多在传统行业或者没有安全团队的公司出现,不曾想国内一些大厂也在用。
SaaS安全服务在小型公司或者初创公司出现并不意外,由于成本的原因,可以买现成的服务而且还能少雇人何乐而不为。但是作为有几十号上百号人的安全团队,你再用SaaS服务就有点耐人寻味了。
3.安全SaaS服务可能导致的问题
安全SaaS服务虽然有着部署简单,出事甩锅容易的特点。但是卧榻之下,岂容他人酣睡,安全SaaS服务也给我们带来了不小的风险。
3.1服务端不透明
商业安全SaaS服务的服务端一般都在安全厂商手上,这是一件非常可怕的事情。
举个例子:你全公司的电脑安装了某厂商的SaaS安全服务,服务端在公网上,并且销售拍着胸脯说没问题,很安全。 安全服务不同于其他服务,往往安全软件权限都是最高权限。 这场景大家是不是很熟:拥有最高权限,公网控制,不知道服务端做了啥。(细思极恐)
3.2加密传输,数据泄露风险
SaaS服务因为其特殊性,一定是需要跟公网的服务端进行数据交互的。虽然厂商一再保证传输的数据是非涉敏数据。但是都加密了,鬼知道厂商拿走了什么数据?指望通过道德来约束厂商,明显是不靠谱的。一个SaaS安全服务项目总金额200W。竞争对手出2000W甚至2亿买数据,你猜安全厂商会心动不?
3.3供应链攻击风险
别的不说,就说一点。黑客攻击了安全厂商,拿到控制端的最高权限。安全厂商扪心自问,是否有能力能够第一时间发现?黑客通过SaaS服务批量下发勒索软件,大家又该如何应对
3.4更新风险
这也是这次微软蓝屏事件的罪魁祸首,安全软件上线前兼容性测试。厂商会做,甲方也会做。但是上线后系统突然更新,或者SaaS服务的终端需要功能迭代更新。是否会有足够多的兼容性测试?
写在最后:SaaS服务一定意义上可以让安全从业人员/企业更加省心,但是SaaS服务的不透明和不确定性始终是不容忽视的风险。
安全事件从来就是0和1的概念,我们不能把希望寄托于我们无法掌控的设备/服务上。
另外本人正在找年薪百万的工作,有兴趣的可以后台私聊。。。
:.゚ヽ(。◕‿◕。)ノ゚.:。+゚防盗专用。:.゚ヽ(。◕‿◕。)ノ゚.:。+゚
^_^文章来源:微信公众号(边界骇客) ^_^ ^_^
原文始发于微信公众号(边界骇客):微软蓝屏死机(BSoD)事件引发SaaS服务的担忧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论