Абсолютная безопасность конечно не возможна в принципе. "Тогда это уже не замена одной упрощённой модели доверия другой, а эшелонированная система защиты информации." - да, но в ее центре именно идентификация, а не просто "правила файрвола", например.
Спасибо за обратную связь. Действительно taint tracking / information flow control подход более строгий, чем identity first, но и гораздо более дорогой в реализации. Он требует переписывания значительного числа и СЗИ и прикладного и системного софта, который не рассчитан на работу с окрашенными данными - возможно пока это утопия (впрочем, если агентское программирование выстрелит совсем круто, стоимость такого переписывания уменьшится на порядки и станет возможным).
Identity first же компромис на существующих технологиях, но способный существенно поднять уровень защиты. Решение первого кейса - не разовая, а непрерывная аутентификация (контроль сессии, с привязкой ее к нужным IP, физическому устройству, программной среде и т.п. дополнительным факторам). И это не теория, многое в Ideco Client у нас как раз реализовано, и "украсть" его сессию (при правильной настройке) не получится - необходимо корпоративное устройство (а скоро будет возможность привязки и к криптотокенам, причем не разовое, а постоянная проверка его наличия и валидности), нужная программная среда (HIP-профиль по многим факторам), многофакторная аутентификация и т.д.
Если аутентификация будет не разовая, а "непрерывная", то решит. "Украсть" сессию будет мало (особенно если она привязана к корпоративным устройствам, времени, IP и т.п. факторам.
Это решено в Ideco NGFW Novum, до 100 000 правил все работает (в высокоскоростном контексте). Тесты новой версии от Инфосистемы Джет скоро будут готовы.
Изначально эксплуатацию уязвимости обнаружили уже внутри контура, но горизонтальному продвижению она видимо очень сильно помогла. Поэтому вполне важна, да.
Если злоумышленник использовал уязвимость А для проникновения и закрепления, то в случае микросигментации и использования ZTNA-подхода в NGFW и сетевой архитектуре - он либо не сможет осуществить боковое перемещение, либо будет заблокирован на этом этапе (т.к. попытается использовать уязвимость Б, против которой у нас уже может быть противодействие). Далее на этапе "управления и контроля" NGFW также попробует заблокировать каналы связи и передаст информацию в SIEM/SOC для реагирования.
Принципиально же изменилась стоимость написания эксплойта для злоумышленников и время от обнаружения и исправления CVE до установки патчей в проде. Раньше было "окно" в месяц-два на это, а сейчас могут быть часы - принципиальная разница для защищающейся стороны.
Opensource окажется под давлением. Доступ к Mythos-инструментам для защиты получают только 40+ избранных организаций, а атакующие, у которых окажется аналогичный инструмент, будут применять его против всего open-source стека сразу. Микро-гранты которые Антропик обещает OpenSource проектам явно не спасут всех, к сожалению.
Тенденции такие вполне есть и относятся к ним очень серьезно, особенно в финансовом секторе, этого уже нельзя отрицать. Дальше - очевидно больше. Пик развития LLM еще не достигнут.
Добрый день! Да злоумышленник будет делать всякое. Наша задача "поймать" его на каком-то этапе, заблокировать что смогли и сделать алерт специалистам по ИБ (а в будущем думаю передать для выполнения автоматизированному плейбуку AI-агента). Чтобы изолировать зараженные сервисы/серверы и лечить их.
Домены "с историей" действительно используются злоумышленниками для обхода фильтрации, но нашу PassiveDNS-модель будет сложно обмануть (т.к. переход домена с парковки или изменения владельца тоже будет триггером для нее).
Но нужно понимать, что нет "серебрянной пули" и универсального средства защиты. Только комплексный подход: микросегментация, ZTNA, EDR, NGFW может существенно усложнить (но опять же не сделать невозможной) взлом сети.
Сам по себе Ideco NGFW ничего не блокирует и т.п., это инструмент, которые далее используют администраторы. И DoH/DoT блокируется чтобы сделать "эксклюзивный" резолвинг на NGFW для фильтрации в целях повышения информационной безопасности.
Уязвимостям присвоены CVE:
CVE-2026-43284, CVE-2026-43500
спасибо, поправили, ошибка при копировании и вставке в редактор хабра
Абсолютная безопасность конечно не возможна в принципе.
"Тогда это уже не замена одной упрощённой модели доверия другой, а эшелонированная система защиты информации." - да, но в ее центре именно идентификация, а не просто "правила файрвола", например.
Спасибо за обратную связь. Действительно taint tracking / information flow control подход более строгий, чем identity first, но и гораздо более дорогой в реализации. Он требует переписывания значительного числа и СЗИ и прикладного и системного софта, который не рассчитан на работу с окрашенными данными - возможно пока это утопия (впрочем, если агентское программирование выстрелит совсем круто, стоимость такого переписывания уменьшится на порядки и станет возможным).
Identity first же компромис на существующих технологиях, но способный существенно поднять уровень защиты. Решение первого кейса - не разовая, а непрерывная аутентификация (контроль сессии, с привязкой ее к нужным IP, физическому устройству, программной среде и т.п. дополнительным факторам). И это не теория, многое в Ideco Client у нас как раз реализовано, и "украсть" его сессию (при правильной настройке) не получится - необходимо корпоративное устройство (а скоро будет возможность привязки и к криптотокенам, причем не разовое, а постоянная проверка его наличия и валидности), нужная программная среда (HIP-профиль по многим факторам), многофакторная аутентификация и т.д.
Если аутентификация будет не разовая, а "непрерывная", то решит. "Украсть" сессию будет мало (особенно если она привязана к корпоративным устройствам, времени, IP и т.п. факторам.
Это решено в Ideco NGFW Novum, до 100 000 правил все работает (в высокоскоростном контексте). Тесты новой версии от Инфосистемы Джет скоро будут готовы.
Изначально эксплуатацию уязвимости обнаружили уже внутри контура, но горизонтальному продвижению она видимо очень сильно помогла. Поэтому вполне важна, да.
К сожалению всегда много легаси систем, ну и ошибки в коде возможны. Поэтому наложенные средства безопасности пока нужны.
Спасибо вам, да, будем следить - решения нужны рынку.
Если злоумышленник использовал уязвимость А для проникновения и закрепления, то в случае микросигментации и использования ZTNA-подхода в NGFW и сетевой архитектуре - он либо не сможет осуществить боковое перемещение, либо будет заблокирован на этом этапе (т.к. попытается использовать уязвимость Б, против которой у нас уже может быть противодействие).
Далее на этапе "управления и контроля" NGFW также попробует заблокировать каналы связи и передаст информацию в SIEM/SOC для реагирования.
Принципиально же изменилась стоимость написания эксплойта для злоумышленников и время от обнаружения и исправления CVE до установки патчей в проде. Раньше было "окно" в месяц-два на это, а сейчас могут быть часы - принципиальная разница для защищающейся стороны.
Opensource окажется под давлением.
Доступ к Mythos-инструментам для защиты получают только 40+ избранных организаций, а атакующие, у которых окажется аналогичный инструмент, будут применять его против всего open-source стека сразу. Микро-гранты которые Антропик обещает OpenSource проектам явно не спасут всех, к сожалению.
Вот пример как Opus нашел уязвимость и сделал эксплойт: https://blog.calif.io/p/mad-bugs-claude-wrote-a-full-freebsd
Госуслуги может и не взломают, но CISO конкретной компании, инфраструктуру которой, например, зашифруют - от этого не будет легче.
Тенденции такие вполне есть и относятся к ним очень серьезно, особенно в финансовом секторе, этого уже нельзя отрицать. Дальше - очевидно больше. Пик развития LLM еще не достигнут.
"Заранее выключить питание" - как раз выглядит как некоторый плейбук, который можно автоматизировать.
Добрый день! Да злоумышленник будет делать всякое. Наша задача "поймать" его на каком-то этапе, заблокировать что смогли и сделать алерт специалистам по ИБ (а в будущем думаю передать для выполнения автоматизированному плейбуку AI-агента). Чтобы изолировать зараженные сервисы/серверы и лечить их.
Домены "с историей" действительно используются злоумышленниками для обхода фильтрации, но нашу PassiveDNS-модель будет сложно обмануть (т.к. переход домена с парковки или изменения владельца тоже будет триггером для нее).
Но нужно понимать, что нет "серебрянной пули" и универсального средства защиты. Только комплексный подход: микросегментация, ZTNA, EDR, NGFW может существенно усложнить (но опять же не сделать невозможной) взлом сети.
Сам по себе Ideco NGFW ничего не блокирует и т.п., это инструмент, которые далее используют администраторы. И DoH/DoT блокируется чтобы сделать "эксклюзивный" резолвинг на NGFW для фильтрации в целях повышения информационной безопасности.
РКН использует похожий нож, но в других целях.
Многих проблем безопасности действительно не будет...
А если еще доступными будут всего пару сайтов, то в целом и IP не сложно запомнить.
Да мы за последние годы на своей шкуре прочувствовали "уровни энтерпрайзности" продукта и сложность стоящих задач.
Но рынок отреагировал очень сильно, жалкой такую попытку точно не назовешь в любом случае. Даже если это прогрев перед IPO.