Cisco и другие вендоры и организации называют похожие цифры. Вот здесь (AUPDNS is Australia’s protective domain name system which employs RPZ (Response Policy Zones) to dynamically filter out malicious and suspicious domains, which according to a US National Security Agency cybersecurity study foils 92% of malware attacks), речь про 92%.
У нас в Ideco статистика конечно с меньшей выборкой, но все же по ощущениям очень похожи на правду эти цифры.
У них довольно большая выручка, много клиентов и по их словам она резолвят 180 млрд запросов/день, на основе этого (в т.ч. разбора инцидентов у клиентов) скорее всего могут сделать выводы. Возможно чуть тенденциозные, но все-таки.
Про DNS мы сделали акцент, т.к. часто это "слепая зона" для наложенных средств защиты. Не по статистике, а по опыту пилотных испытаний в сетях - скрытые DNS-туннели мы обнаруживаем в большинстве случаев.
DNS это 7-ой уровень модели OSI. TCP/IP же практически базовый - транспортный, поэтому более очевидно, что его используют (и пожалуй 100%).
Если нет прописанных DNS в ОС, потенциальной малваре это может не помешать попробовать резолвить самой через публичные DNS. Но в целом мы про корпоративные сети, где DNS используется практически всегда.
Дело не в "левых" серверах, а в "легитимном" резолвинге через цепочку DNS сервер AD - публичный резолвер - корневой DNS-резолвер. Где в итоге запросы проходят и переносят нужную хакерам информацию. Если не использовать фильтрацию DNS-трафика.
Резолвит тогда уж не только ОС (сейчас все сложно - браузер может сам резолвить и т.д.), но и цепочка DNS-серверов. За счет нее, часто из "закрытых" от Интернета сегментов вредоносное ПО и осуществляет связь с командными центрами. Но в PDNS-сервисах этот сервис и встраивается в эту цепочку резолвингов для защиты.
Буквально одним предложением объяснили. В статье про NGFW, первый вопрос был что такое NGFW, поэтому так сделали. Иначе с магазином компьютерной техники часто путают.
Разумеется если в Ideco NGFW используется модуль DNS Security, то "утечки" DNS через другие каналы (как 53UDP, так и публичные DoH/DoT-сервера, блокируются и все заворачивается на NGFW). Это обязательная архитектурная особенность конечно.
Использует, это подтверждается в том числе реальными кейсами. И да, резолвинг домена - тоже использование, но также часто встречается и DGA и DNS-туннелирование (как один из инструментов, если остальные варианты туннелей не работают изначально, хакеры используют очень многофункциональные инструменты на потоке).
Да, это так. Но именно поэтому аналогия работает глубже, чем кажется на первый взгляд.
Да, биология — это набор компромиссов, рудиментов и костылей. Аппендикс, икота, зубы мудрости.
Но вот парадокс: эта «кривая» система работает непрерывно 4 миллиарда лет, переживая катастрофы, от которых любой data-центр давно бы лёг. Пять массовых вымираний, каждое из которых уничтожало 75-96% видов - и система восстанавливалась. Попробуйте положить 96% узлов в вашей сети и посмотреть, восстановится ли она (сама!). Да банально вам не нужно думать что делать, чтобы порез зажил. Как-то все само...
Суть статьи не в том, чтобы скопировать биологию со всеми её багами (аппендикс в NGFW - не самая полезная фича, хотя легаси у всех хватает. И даже сперва показалось что вы пишите имея ввиду конкретного производителя NGFW). Суть - в том, чтобы взять архитектурные принципы, которые обеспечивают эту невероятную живучесть:
Не «центральный контроллер решает всё», а «каждый узел автономен и знает свой desired state»
Не «доверяем всему внутри периметра», а «каждый элемент постоянно подтверждает принадлежность»
Не «упал — лежи, жди админа», а «система сама стремится вернуться к целевому состоянию» - вот это челлендж для архитектуры продукта.
Кстати, Левин как раз об этом и говорит: организм устойчив не вопреки компромиссам и сбоям, а благодаря архитектуре, которая их переживает. Файервол с идеальным кодом, но без self-healing — менее надёжен, чем «костыльная» система, которая умеет восстанавливаться после сбоев.
Так что мы не предлагаем добавлять в NGFW аппендикс. Мы предлагаем добавить иммунную систему.
Это "баг" у людей. Мы же можем брать из биологии другие примеры: акулы, слоны (у них зубы меняются 6-9 раз за жизнь), грызуны (когда зубы постоянно растут). Багов, конечно, всегда хватает везде, тем не менее офигенных архитектурных решений очень много.
Хорошие независимые сравнения делают Инфосистемы Джет. Единственное что довольно долго, но скоро Ideco NGFW Novum тоже поучаствуют (ранее они тестировали 18-ую версию, она сильно устарела). Как вендор мы рады представить всем партнерам и отраслевым лидерам для объективного тестирования наше решение, сами же столь подробно этим заниматься не будем. В плане публичных обзоров сложно будет остаться объективными.
Илон Маск как-то справляется и с ролью CEO и с ролью визионера. Как и Стив Джобс, Сатья Наделла, Сундар Пичаи, Тим Кук, Марк Цукерберг, Джек Ма, Дмитрий Хомутов...
CPO как правило не обладает достаточным влиянием и всей полнотой власти чтобы двигать визионерские идеи. А CEO не надо путать с "операционным директором", он за все, а не только за операционную эффективность. И прежде всего за стратегическое видение.
В данном обзоре не было цели какого-то сравнения решений. Просто в контексте новости про Solar NGFW захотелось посмотреть кто еще "жив" и развивает решения на рынке NGFW в России. Более глубокая аналитика для данного вопроса избыточна кажется. Открытых кейсов на рынке, кстати, очень мало.
Тут статья больше с точки зрения бизнеса аналитика и решений в сфере ИБ.
Про типы атак через DNS подробнее писали ранее:
https://habr.com/ru/companies/ideco/articles/1010618/
Cisco и другие вендоры и организации называют похожие цифры. Вот здесь (AUPDNS is Australia’s protective domain name system which employs RPZ (Response Policy Zones) to dynamically filter out malicious and suspicious domains, which according to a US National Security Agency cybersecurity study foils 92% of malware attacks), речь про 92%.
У нас в Ideco статистика конечно с меньшей выборкой, но все же по ощущениям очень похожи на правду эти цифры.
У них довольно большая выручка, много клиентов и по их словам она резолвят 180 млрд запросов/день, на основе этого (в т.ч. разбора инцидентов у клиентов) скорее всего могут сделать выводы. Возможно чуть тенденциозные, но все-таки.
Про DNS мы сделали акцент, т.к. часто это "слепая зона" для наложенных средств защиты.
Не по статистике, а по опыту пилотных испытаний в сетях - скрытые DNS-туннели мы обнаруживаем в большинстве случаев.
DNS это 7-ой уровень модели OSI. TCP/IP же практически базовый - транспортный, поэтому более очевидно, что его используют (и пожалуй 100%).
Если нет прописанных DNS в ОС, потенциальной малваре это может не помешать попробовать резолвить самой через публичные DNS.
Но в целом мы про корпоративные сети, где DNS используется практически всегда.
Браузер резолвит?
в моей "телефонной книге" есть не только телефон, а множество полей: и место работы, и заметка о человеке и можно добавлять произвольные.
Дело не в "левых" серверах, а в "легитимном" резолвинге через цепочку DNS сервер AD - публичный резолвер - корневой DNS-резолвер.
Где в итоге запросы проходят и переносят нужную хакерам информацию. Если не использовать фильтрацию DNS-трафика.
Резолвит тогда уж не только ОС (сейчас все сложно - браузер может сам резолвить и т.д.), но и цепочка DNS-серверов. За счет нее, часто из "закрытых" от Интернета сегментов вредоносное ПО и осуществляет связь с командными центрами.
Но в PDNS-сервисах этот сервис и встраивается в эту цепочку резолвингов для защиты.
Буквально одним предложением объяснили. В статье про NGFW, первый вопрос был что такое NGFW, поэтому так сделали. Иначе с магазином компьютерной техники часто путают.
Разумеется если в Ideco NGFW используется модуль DNS Security, то "утечки" DNS через другие каналы (как 53UDP, так и публичные DoH/DoT-сервера, блокируются и все заворачивается на NGFW). Это обязательная архитектурная особенность конечно.
Использует, это подтверждается в том числе реальными кейсами. И да, резолвинг домена - тоже использование, но также часто встречается и DGA и DNS-туннелирование (как один из инструментов, если остальные варианты туннелей не работают изначально, хакеры используют очень многофункциональные инструменты на потоке).
Да, это так. Но именно поэтому аналогия работает глубже, чем кажется на первый взгляд.
Да, биология — это набор компромиссов, рудиментов и костылей. Аппендикс, икота, зубы мудрости.
Но вот парадокс: эта «кривая» система работает непрерывно 4 миллиарда лет, переживая катастрофы, от которых любой data-центр давно бы лёг. Пять массовых вымираний, каждое из которых уничтожало 75-96% видов - и система восстанавливалась. Попробуйте положить 96% узлов в вашей сети и посмотреть, восстановится ли она (сама!). Да банально вам не нужно думать что делать, чтобы порез зажил. Как-то все само...
Суть статьи не в том, чтобы скопировать биологию со всеми её багами (аппендикс в NGFW - не самая полезная фича, хотя легаси у всех хватает. И даже сперва показалось что вы пишите имея ввиду конкретного производителя NGFW). Суть - в том, чтобы взять архитектурные принципы, которые обеспечивают эту невероятную живучесть:
Не «центральный контроллер решает всё», а «каждый узел автономен и знает свой desired state»
Не «доверяем всему внутри периметра», а «каждый элемент постоянно подтверждает принадлежность»
Не «упал — лежи, жди админа», а «система сама стремится вернуться к целевому состоянию» - вот это челлендж для архитектуры продукта.
Кстати, Левин как раз об этом и говорит: организм устойчив не вопреки компромиссам и сбоям, а благодаря архитектуре, которая их переживает. Файервол с идеальным кодом, но без self-healing — менее надёжен, чем «костыльная» система, которая умеет восстанавливаться после сбоев.
Так что мы не предлагаем добавлять в NGFW аппендикс. Мы предлагаем добавить иммунную систему.
Это "баг" у людей. Мы же можем брать из биологии другие примеры: акулы, слоны (у них зубы меняются 6-9 раз за жизнь), грызуны (когда зубы постоянно растут).
Багов, конечно, всегда хватает везде, тем не менее офигенных архитектурных решений очень много.
Ну Solar NGFW сертификацию как раз прошли. Дело не только в ней, она не самое сложное в NGFW точно, гораздо больше технических челленджей.
Ну собственно и сверили. О ком ничего неизвестно (а ранее заявляли амбиции про NGFW) так и написали, отсутствие информации тоже информация.
Если где-то ошиблись или не нашли - будем рады комментарию.
Его, да и других, мы упомянули в статье в том числе.
Хорошие независимые сравнения делают Инфосистемы Джет. Единственное что довольно долго, но скоро Ideco NGFW Novum тоже поучаствуют (ранее они тестировали 18-ую версию, она сильно устарела).
Как вендор мы рады представить всем партнерам и отраслевым лидерам для объективного тестирования наше решение, сами же столь подробно этим заниматься не будем. В плане публичных обзоров сложно будет остаться объективными.
Илон Маск как-то справляется и с ролью CEO и с ролью визионера. Как и Стив Джобс, Сатья Наделла, Сундар Пичаи, Тим Кук, Марк Цукерберг, Джек Ма, Дмитрий Хомутов...
CPO как правило не обладает достаточным влиянием и всей полнотой власти чтобы двигать визионерские идеи. А CEO не надо путать с "операционным директором", он за все, а не только за операционную эффективность. И прежде всего за стратегическое видение.
В данном обзоре не было цели какого-то сравнения решений. Просто в контексте новости про Solar NGFW захотелось посмотреть кто еще "жив" и развивает решения на рынке NGFW в России. Более глубокая аналитика для данного вопроса избыточна кажется. Открытых кейсов на рынке, кстати, очень мало.