Компрометация ИБ вендора облачного продукта с агентами в контексте инцидента с CrowdStrike. Продолжаю размышлять о преимуществах онпрема.

🔹 Взлом вендора облачного ИБ продукта с агентами - джекпот для злоумышленника. 🎰 Доступ в инфру всех клиентов в реальном времени. 😱 BSODStrike продемонстрировал насколько быстро может быть нанесён ущерб и насколько массово (8.5 млн. Windows хостов по оценке Microsoft). Это не будет просто BSOD и блокировка загрузки, тривиально исправляемые. В лучшем случае там будет слив данных и wipe/шифровальщик, а скорее будет развитие атаки и компрометация всей инфраструктуры клиентов.

🔹 Если же вендора онпрем-продукта сломают, то это только начало квеста по незаметному внедрению НДВ в обновление продукта, которое клиент должен ещё установить. И тогда злодей попробует скомпрометировать некоторых клиентов пока это всё не вскроется. Возможно ли это? Конечно. Но это будет гораздо дольше, сложнее (дороже), точечнее, а вероятность успеха будет ниже. 🤷‍♂️