Компрометация ИБ вендора облачного продукта с агентами в контексте инцидента с CrowdStrike. Продолжаю размышлять о преимуществах онпрема.

🔹 Взлом вендора облачного ИБ продукта с агентами - джекпот для злоумышленника. 🎰 Доступ в инфру всех клиентов в реальном времени. 😱 BSODStrike продемонстрировал насколько быстро может быть нанесён ущерб и насколько массово (8.5 млн. Windows хостов по оценке Microsoft). Это не будет просто BSOD и блокировка загрузки, тривиально исправляемые. В лучшем случае там будет слив данных и wipe/шифровальщик, а скорее будет развитие атаки и компрометация всей инфраструктуры клиентов.

🔹 Если же вендора онпрем-продукта сломают, то это только начало квеста по незаметному внедрению НДВ в обновление продукта, которое клиент должен ещё установить. И тогда злодей попробует скомпрометировать некоторых клиентов пока это всё не вскроется. Возможно ли это? Конечно. Но это будет гораздо дольше, сложнее (дороже), точечнее, а вероятность успеха будет ниже. 🤷‍♂️

Контроль над обновлением on-prem продуктов в контексте инцидента с CrowdStrike. В комментах к посту про переосмысление облачных агентов Алексей Лукацкий спрашивает: "а причем тут облачные агенты? У онпрем такого не может случиться?"

Я вижу 2 момента. Начнём с контроля над обновлением.

Если решение о функциональном обновлении компонентов продукта (включая агенты) принимает клиент и у него есть возможность протестировать новую версию, то в случае проблемы с агентом а-ля BSODStrike:

🔹 Её можно было бы обнаружить во время раскатки агентов на тестовой группе активов. 👷‍♂️

🔹 Её можно было бы переждать, если не обновляться сразу, а посмотреть недельку не всплывёт ли что-нибудь в других компаниях. 😏

Но это только если контроль над обновлением продукта со стороны клиента предусмотрен и выполняется. Если же в настройках продукта стоит галка "устанавливать все обновления автоматически" и "обновлять все агенты автоматически", то тогда здесь преимуществ онпрема не будет. 🤷‍♂️

Далее