Архив метки: onprem

No Boot - No Hacker!

No Boot - No Hacker! Обновлённый трек. Кажется кейс с инцидентом CrowdStrike BSODStrike подходит к логическому завершению. По причинам уже всё более-менее понятно. Остались только долгие судебные тяжбы клиентов с вендором. Поэтому закрываю для себя эту тему обновлённым треком, сделанным в Suno.

Добавил свою позицию, что дело не столько в проблемах конкретной компании, сколько в проблемах облачных ИБ сервисов с агентами, архитектура которых уязвима, и которым клиенты слишком доверяют. 🤷‍♂️ Замалчивать это мне не кажется правильным, нужно пытаться хоть как-то это компенсировать. Следует понимать, что сейчас был всего лишь небольшой и относительно безобидный сбой, но когда-нибудь мы увидим кейс с полномасштабной атакой злоумышленников через облачного вендора. И, как мне кажется, в настоящий момент онпрем решения имеют свои преимущества.

CrowdStrike - это успех!
Поверь мне, это так.
Защищает он лучше всех
От любых кибератак.
Проактивный подход,
Секретное оружие:
Не справится хакер,
Если ОСь не загружена!

Припев:
Синий экран отражает атаки!
No boot - No Hacker!
No boot - No Hacker!

CrowdStrike работает по лучшей из схем,
С которой не может быть никаких проблем!
На ваших хостах Falcon сенсоры. Их привилегии максимальны.
А CrowdStrike управляют ими из своих облаков. И это нормально!
(Якобы…)
Команда CrowdStrike даже ночью не спит,
Автоматом заливает вам Rapid Response Content "at operational speed".
(Когда захочет…)

И если вам кажется, что всё это как-то страшновато,
Не переживайте: CrowdStrike пропускает контент через валидатор!
(Великий ВАЛИДАТОР!)

Не работает биржа, не летают самолёты - это всё детали…
Всего лишь маленький баг в апдейтах, злодеи через вендора вас не атаковали
(Пока что…)
За полтора часа сломать 8.5 миллионов хостов - задача нелегка…
С таким не справится устаревший онпрем, для такого нужны облака…

А если серьёзно… В 22-ом CrowdStrike из России ушёл…
И, как по мне, это очень, очень, ну просто ооочень хорошо!

MP3 файл

Компрометация ИБ вендора облачного продукта с агентами в контексте инцидента с CrowdStrike

Компрометация ИБ вендора облачного продукта с агентами в контексте инцидента с CrowdStrike

Компрометация ИБ вендора облачного продукта с агентами в контексте инцидента с CrowdStrike. Продолжаю размышлять о преимуществах онпрема.

🔹 Взлом вендора облачного ИБ продукта с агентами - джекпот для злоумышленника. 🎰 Доступ в инфру всех клиентов в реальном времени. 😱 BSODStrike продемонстрировал насколько быстро может быть нанесён ущерб и насколько массово (8.5 млн. Windows хостов по оценке Microsoft). Это не будет просто BSOD и блокировка загрузки, тривиально исправляемые. В лучшем случае там будет слив данных и wipe/шифровальщик, а скорее будет развитие атаки и компрометация всей инфраструктуры клиентов.

🔹 Если же вендора онпрем-продукта сломают, то это только начало квеста по незаметному внедрению НДВ в обновление продукта, которое клиент должен ещё установить. И тогда злодей попробует скомпрометировать некоторых клиентов пока это всё не вскроется. Возможно ли это? Конечно. Но это будет гораздо дольше, сложнее (дороже), точечнее, а вероятность успеха будет ниже. 🤷‍♂️

Контроль над обновлением on-prem продуктов в контексте инцидента с CrowdStrike

Контроль над обновлением on-prem продуктов в контексте инцидента с CrowdStrike

Контроль над обновлением on-prem продуктов в контексте инцидента с CrowdStrike. В комментах к посту про переосмысление облачных агентов Алексей Лукацкий спрашивает: "а причем тут облачные агенты? У онпрем такого не может случиться?"

Я вижу 2 момента. Начнём с контроля над обновлением.

Если решение о функциональном обновлении компонентов продукта (включая агенты) принимает клиент и у него есть возможность протестировать новую версию, то в случае проблемы с агентом а-ля BSODStrike:

🔹 Её можно было бы обнаружить во время раскатки агентов на тестовой группе активов. 👷‍♂️

🔹 Её можно было бы переждать, если не обновляться сразу, а посмотреть недельку не всплывёт ли что-нибудь в других компаниях. 😏

Но это только если контроль над обновлением продукта со стороны клиента предусмотрен и выполняется. Если же в настройках продукта стоит галка "устанавливать все обновления автоматически" и "обновлять все агенты автоматически", то тогда здесь преимуществ онпрема не будет. 🤷‍♂️

Далее