#zero_trust — Public Fediverse posts

Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов. Сценарий, с которого начинается типичный взлом в 2026 году Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent. Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов. Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

https://habr.com/ru/companies/ideco/articles/1032156/

#информационная_безопасность #IAM #zero_trust #ciso #identity_security #ai_security #ZTNA #mcp

mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

https://habr.com/ru/articles/1025856/

#mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

https://habr.com/ru/companies/ideco/articles/1017428/

#NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

https://habr.com/ru/companies/ideco/articles/1017428/

#NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

https://habr.com/ru/companies/ideco/articles/1017428/

#NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

https://habr.com/ru/companies/ideco/articles/1017428/

#NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

Zero Trust для российских компаний: как защитить удалённый доступ с помощью ZTNA

ZTNA (Zero Trust Network Access) — это модель управления доступом (не только удаленным!), которая проверяет каждого пользователя и устройство (включая установленное и работающее на нем ПО) и даёт доступ не к сети в целом, а к конкретным приложениям и ресурсам. Преимуществом реализации концепции ZTNA в NGFW-решении являются прежде всего возможности файрвола следующего поколения по фильтрации трафика и публикации ресурсов. При этом администратором удобно управлять доступом в одном решении, не прибегая к многочисленным интеграциям наложенных средств защиты. Особенно важно управлять доступом в современных условиях, когда значительная часть успешных взломов российских компаний в 2025 году происходило с помощью атаки на удаленных сотрудников или подрядчиков (supply chain attack). Специалисты по безопасности испытывают особенную “боль” в контроле подрядчиков - не имея доступ к их ИТ-инфраструктуре и возможностей по мониторингу безопасности, применения политик, настроек и средств защиты. В Ideco NGFW работа с моделью ZTNA реализована через NAC‑клиент (Network Access Control - контроль доступа к сети на уровне подключения устройства.) и тесную интеграцию с межсетевым экраном, что позволяет существенно безопаснее и гибче управлять доступом сотрудников и подрядчиков по сравнению с классическими VPN и периметровой защитой.

https://habr.com/ru/companies/ideco/articles/1004442/

#информационная_безопасность #zero_trust #ztna #ngfw #удаленный_доступ

Не DLP единым: как DCAP закрывает слепую зону контроля доступа к данным

Авторы: Асреев Артём, Архитектор ИБ Королев Евгений, Аналитик ИБ В 2025 году концепция «периметр защищён — данные в безопасности» окончательно умерла. Конфиденциальные данные, за которыми охотятся злоумышленники, теперь повсюду: в облаках, в мессенджерах, в руках подрядчиков и внутри нейросетей. Если вы не контролируете, кто, как и зачем обращается к вашим файлам внутри инфраструктуры, вы не просто рискуете – вы уже в очереди на пополнение печальной статистики. Отчёт Verizon DBIR 2025 показывает, что атака начинается не с обхода периметровых средств защиты, а с использования уже выданных прав доступа. На практике конфиденциальные данные хранятся в различных форматах и в самых неожиданных местах, от фотографии паспорта на файловой шаре до yaml-конфигов средств защиты на общедоступной странице корпоративной базы знаний.

https://habr.com/ru/companies/innostage/articles/1003920/

#dlp #dcap #защита_данных #контроль_доступа #zero_trust #ИБаналитика #утечки_персональных_данных #iam #pam #неструктурированные_данные

Почему SASE не заменяет NGFW: взгляд инженера по ИБ

Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт. SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

https://habr.com/ru/companies/innostage/articles/990012/

#NGFW #межсетевой_экран #SASE #Zero_Trust #информационная_безопасность #сетевая_безопасность #архитектура_безопасности #ЦОД #L7 #ZTNA

DPI-First: почему анализ трафика становится сердцем сети

Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

https://habr.com/ru/articles/965070/

#dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

Zero Trust: почему «не доверяй никому» перестало быть паранойей и стало нормой

Когда‑то безопасность строилась вокруг простого правила: если ты внутри сети, значит «свой». Ставим фаервол, заворачиваем трафик в VPN, прикручиваем IDS — и вроде всё под контролем. Сегодня этот подход разваливается. Удалёнка, подрядчики, BYOD, фишинг — периметр размазан. Атакующему не нужно ломать фаервол: достаточно украсть логин и пароль через поддельную форму входа. И вот он уже «свой». Истории из ИБ‑практики:

https://habr.com/ru/articles/938550/

#zero_trust #критическая_инфраструктура #информационная_безопасность #ztna #mfa #siem #edr #xdr #принцип_наименьших_привилегий

Как искусственный интеллект трансформирует SASE и Нулевое доверие в современной корпоративной инфраструктуре

Привет, Хабр! Я - инженер-исследователь и владелец продукта, который уже больше десятка лет копается в тонкостях сетевой безопасности. Люблю разбирать новые подходы (ZTNA, SASE, SDP), смотреть, как их переворачивает искусственный интеллект, а потом переводить весь этот «айтишный» шум на человеческий язык. И сегодня я хотел бы немного поделиться мыслями о всем надоевшей технологии - технологии нулевого доверия и почему я считаю, что данная концепция должна стать единым стандартом в построении корпоративных инфраструктур. Переходим, собственно, к самим размышлениям.

https://habr.com/ru/articles/914496/

#ZTNA #Zero_Trust #SASE #IoT #беспилотные_автомобили

«Интегрируй, доверяй»: почему появилась концепция zero trust, и как мы объединили три ее компонента в едином продукте

Привет, Хабр! Меня зовут Виталий Даровских, я менеджер продукта в компании UserGate. Мы разрабатываем программные решения и микроэлектронику в сфере информационной безопасности, а также предоставляем ИБ-услуги. Сегодня расскажу о том, как зародилась концепция zero trust, а также поделюсь нашим опытом разработки продукта UserGate Client . Это — решение для контроля безопасного доступа в инфраструктуре предприятия.

https://habr.com/ru/companies/usergate/articles/865284/

#ztna #zero_trust_network_access #zero_trust #zero_trust_network #usergate #usergate_summa #usergate_client #nac #edr