Если злоумышленник использовал уязвимость А для проникновения и закрепления, то в случае микросигментации и использования ZTNA-подхода в NGFW и сетевой архитектуре - он либо не сможет осуществить боковое перемещение, либо будет заблокирован на этом этапе (т.к. попытается использовать уязвимость Б, против которой у нас уже может быть противодействие). Далее на этапе "управления и контроля" NGFW также попробует заблокировать каналы связи и передаст информацию в SIEM/SOC для реагирования.
Принципиально же изменилась стоимость написания эксплойта для злоумышленников и время от обнаружения и исправления CVE до установки патчей в проде. Раньше было "окно" в месяц-два на это, а сейчас могут быть часы - принципиальная разница для защищающейся стороны.
Opensource окажется под давлением. Доступ к Mythos-инструментам для защиты получают только 40+ избранных организаций, а атакующие, у которых окажется аналогичный инструмент, будут применять его против всего open-source стека сразу. Микро-гранты которые Антропик обещает OpenSource проектам явно не спасут всех, к сожалению.
Тенденции такие вполне есть и относятся к ним очень серьезно, особенно в финансовом секторе, этого уже нельзя отрицать. Дальше - очевидно больше. Пик развития LLM еще не достигнут.
Добрый день! Да злоумышленник будет делать всякое. Наша задача "поймать" его на каком-то этапе, заблокировать что смогли и сделать алерт специалистам по ИБ (а в будущем думаю передать для выполнения автоматизированному плейбуку AI-агента). Чтобы изолировать зараженные сервисы/серверы и лечить их.
Домены "с историей" действительно используются злоумышленниками для обхода фильтрации, но нашу PassiveDNS-модель будет сложно обмануть (т.к. переход домена с парковки или изменения владельца тоже будет триггером для нее).
Но нужно понимать, что нет "серебрянной пули" и универсального средства защиты. Только комплексный подход: микросегментация, ZTNA, EDR, NGFW может существенно усложнить (но опять же не сделать невозможной) взлом сети.
Сам по себе Ideco NGFW ничего не блокирует и т.п., это инструмент, которые далее используют администраторы. И DoH/DoT блокируется чтобы сделать "эксклюзивный" резолвинг на NGFW для фильтрации в целях повышения информационной безопасности.
Cisco и другие вендоры и организации называют похожие цифры. Вот здесь (AUPDNS is Australia’s protective domain name system which employs RPZ (Response Policy Zones) to dynamically filter out malicious and suspicious domains, which according to a US National Security Agency cybersecurity study foils 92% of malware attacks), речь про 92%.
У нас в Ideco статистика конечно с меньшей выборкой, но все же по ощущениям очень похожи на правду эти цифры.
У них довольно большая выручка, много клиентов и по их словам она резолвят 180 млрд запросов/день, на основе этого (в т.ч. разбора инцидентов у клиентов) скорее всего могут сделать выводы. Возможно чуть тенденциозные, но все-таки.
Про DNS мы сделали акцент, т.к. часто это "слепая зона" для наложенных средств защиты. Не по статистике, а по опыту пилотных испытаний в сетях - скрытые DNS-туннели мы обнаруживаем в большинстве случаев.
DNS это 7-ой уровень модели OSI. TCP/IP же практически базовый - транспортный, поэтому более очевидно, что его используют (и пожалуй 100%).
Если нет прописанных DNS в ОС, потенциальной малваре это может не помешать попробовать резолвить самой через публичные DNS. Но в целом мы про корпоративные сети, где DNS используется практически всегда.
Дело не в "левых" серверах, а в "легитимном" резолвинге через цепочку DNS сервер AD - публичный резолвер - корневой DNS-резолвер. Где в итоге запросы проходят и переносят нужную хакерам информацию. Если не использовать фильтрацию DNS-трафика.
Если злоумышленник использовал уязвимость А для проникновения и закрепления, то в случае микросигментации и использования ZTNA-подхода в NGFW и сетевой архитектуре - он либо не сможет осуществить боковое перемещение, либо будет заблокирован на этом этапе (т.к. попытается использовать уязвимость Б, против которой у нас уже может быть противодействие).
Далее на этапе "управления и контроля" NGFW также попробует заблокировать каналы связи и передаст информацию в SIEM/SOC для реагирования.
Принципиально же изменилась стоимость написания эксплойта для злоумышленников и время от обнаружения и исправления CVE до установки патчей в проде. Раньше было "окно" в месяц-два на это, а сейчас могут быть часы - принципиальная разница для защищающейся стороны.
Opensource окажется под давлением.
Доступ к Mythos-инструментам для защиты получают только 40+ избранных организаций, а атакующие, у которых окажется аналогичный инструмент, будут применять его против всего open-source стека сразу. Микро-гранты которые Антропик обещает OpenSource проектам явно не спасут всех, к сожалению.
Вот пример как Opus нашел уязвимость и сделал эксплойт: https://blog.calif.io/p/mad-bugs-claude-wrote-a-full-freebsd
Госуслуги может и не взломают, но CISO конкретной компании, инфраструктуру которой, например, зашифруют - от этого не будет легче.
Тенденции такие вполне есть и относятся к ним очень серьезно, особенно в финансовом секторе, этого уже нельзя отрицать. Дальше - очевидно больше. Пик развития LLM еще не достигнут.
"Заранее выключить питание" - как раз выглядит как некоторый плейбук, который можно автоматизировать.
Добрый день! Да злоумышленник будет делать всякое. Наша задача "поймать" его на каком-то этапе, заблокировать что смогли и сделать алерт специалистам по ИБ (а в будущем думаю передать для выполнения автоматизированному плейбуку AI-агента). Чтобы изолировать зараженные сервисы/серверы и лечить их.
Домены "с историей" действительно используются злоумышленниками для обхода фильтрации, но нашу PassiveDNS-модель будет сложно обмануть (т.к. переход домена с парковки или изменения владельца тоже будет триггером для нее).
Но нужно понимать, что нет "серебрянной пули" и универсального средства защиты. Только комплексный подход: микросегментация, ZTNA, EDR, NGFW может существенно усложнить (но опять же не сделать невозможной) взлом сети.
Сам по себе Ideco NGFW ничего не блокирует и т.п., это инструмент, которые далее используют администраторы. И DoH/DoT блокируется чтобы сделать "эксклюзивный" резолвинг на NGFW для фильтрации в целях повышения информационной безопасности.
РКН использует похожий нож, но в других целях.
Многих проблем безопасности действительно не будет...
А если еще доступными будут всего пару сайтов, то в целом и IP не сложно запомнить.
Да мы за последние годы на своей шкуре прочувствовали "уровни энтерпрайзности" продукта и сложность стоящих задач.
Но рынок отреагировал очень сильно, жалкой такую попытку точно не назовешь в любом случае. Даже если это прогрев перед IPO.
Пузырь доткомов был, но мы живём в мире где "все через интернет". Только игроки рынка другие в основном, многие сдулись.
Здесь может быть похожим образом. При этом судя по анонсу новой модели технологический пик LLM ещё не достигнут.
Тут статья больше с точки зрения бизнеса аналитика и решений в сфере ИБ.
Про типы атак через DNS подробнее писали ранее:
https://habr.com/ru/companies/ideco/articles/1010618/
Cisco и другие вендоры и организации называют похожие цифры. Вот здесь (AUPDNS is Australia’s protective domain name system which employs RPZ (Response Policy Zones) to dynamically filter out malicious and suspicious domains, which according to a US National Security Agency cybersecurity study foils 92% of malware attacks), речь про 92%.
У нас в Ideco статистика конечно с меньшей выборкой, но все же по ощущениям очень похожи на правду эти цифры.
У них довольно большая выручка, много клиентов и по их словам она резолвят 180 млрд запросов/день, на основе этого (в т.ч. разбора инцидентов у клиентов) скорее всего могут сделать выводы. Возможно чуть тенденциозные, но все-таки.
Про DNS мы сделали акцент, т.к. часто это "слепая зона" для наложенных средств защиты.
Не по статистике, а по опыту пилотных испытаний в сетях - скрытые DNS-туннели мы обнаруживаем в большинстве случаев.
DNS это 7-ой уровень модели OSI. TCP/IP же практически базовый - транспортный, поэтому более очевидно, что его используют (и пожалуй 100%).
Если нет прописанных DNS в ОС, потенциальной малваре это может не помешать попробовать резолвить самой через публичные DNS.
Но в целом мы про корпоративные сети, где DNS используется практически всегда.
Браузер резолвит?
в моей "телефонной книге" есть не только телефон, а множество полей: и место работы, и заметка о человеке и можно добавлять произвольные.
Дело не в "левых" серверах, а в "легитимном" резолвинге через цепочку DNS сервер AD - публичный резолвер - корневой DNS-резолвер.
Где в итоге запросы проходят и переносят нужную хакерам информацию. Если не использовать фильтрацию DNS-трафика.