Компрометация ИБ вендора облачного продукта с агентами в контексте инцидента с CrowdStrike. Продолжаю размышлять о преимуществах онпрема.
🔹 Взлом вендора облачного ИБ продукта с агентами - джекпот для злоумышленника. 🎰 Доступ в инфру всех клиентов в реальном времени. 😱 BSODStrike продемонстрировал насколько быстро может быть нанесён ущерб и насколько массово (8.5 млн. Windows хостов по оценке Microsoft). Это не будет просто BSOD и блокировка загрузки, тривиально исправляемые. В лучшем случае там будет слив данных и wipe/шифровальщик, а скорее будет развитие атаки и компрометация всей инфраструктуры клиентов.
🔹 Если же вендора онпрем-продукта сломают, то это только начало квеста по незаметному внедрению НДВ в обновление продукта, которое клиент должен ещё установить. И тогда злодей попробует скомпрометировать некоторых клиентов пока это всё не вскроется. Возможно ли это? Конечно. Но это будет гораздо дольше, сложнее (дороже), точечнее, а вероятность успеха будет ниже. 🤷♂️
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.
Уведомление: Какие меры предлагает CrowdStrike, чтобы BSODStrike не повторился? | Александр В. Леонов
Уведомление: Неограниченный прямой доступ вендора к инфраструктуре клиентов это плохо | Александр В. Леонов