home.social

#zero_trust — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #zero_trust, aggregated by home.social.

  1. Habr @[email protected] ·

    mTLS на практике: от модели угроз до реальных атак на сервер

    Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.

    habr.com/ru/companies/ruvds/ar

    #сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи

    #ruvds_статьи #защита_от_ботов #защита_от_ddos #защита_сайта #сети #zero_trust
  2. Habr @[email protected] ·

    mTLS на практике: от модели угроз до реальных атак на сервер

    Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.

    habr.com/ru/companies/ruvds/ar

    #сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи

    #ruvds_статьи #защита_от_ботов #защита_от_ddos #защита_сайта #сети #zero_trust
  3. Habr @[email protected] ·

    mTLS на практике: от модели угроз до реальных атак на сервер

    Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.

    habr.com/ru/companies/ruvds/ar

    #сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи

    #ruvds_статьи #защита_от_ботов #защита_от_ddos #защита_сайта #сети #zero_trust
  4. Habr @[email protected] ·

    mTLS на практике: от модели угроз до реальных атак на сервер

    Это вторая часть цикла про mTLS. В первой разобрали теорию: как работает рукопожатие, от каких атак защищает и где принципиально бессилен. Здесь — практика. Разберём реальный сценарий: homelab на одном сервере с Traefik и Dokploy. Пройдём путь от модели угроз до конкретных попыток атаковать собственный сервер — с командами и объяснениями, что происходит. Если первую часть не читали — не страшно. Ниже есть краткий раздел с основными понятиями, достаточный, чтобы двигаться дальше.

    habr.com/ru/companies/ruvds/ar

    #сервер #homelab #управление_проектами #mtls #zero_trust #сети #защита_сайта #защита_от_ddos #защита_от_ботов #ruvds_статьи

    #сервер #homelab #управление_проектами #mtls #zero_trust #сети
  5. Habr @[email protected] ·

    Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

    Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов. Сценарий, с которого начинается типичный взлом в 2026 году Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent. Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов. Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

    habr.com/ru/companies/ideco/ar

    #информационная_безопасность #IAM #zero_trust #ciso #identity_security #ai_security #ZTNA #mcp

    #mcp #ztna #ai_security #identity_security #ciso #zero_trust
  6. Habr @[email protected] ·

    Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

    Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов. Сценарий, с которого начинается типичный взлом в 2026 году Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent. Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов. Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

    habr.com/ru/companies/ideco/ar

    #информационная_безопасность #IAM #zero_trust #ciso #identity_security #ai_security #ZTNA #mcp

    #mcp #ztna #ai_security #identity_security #ciso #zero_trust
  7. Habr @[email protected] ·

    Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

    Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов. Сценарий, с которого начинается типичный взлом в 2026 году Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent. Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов. Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

    habr.com/ru/companies/ideco/ar

    #информационная_безопасность #IAM #zero_trust #ciso #identity_security #ai_security #ZTNA #mcp

    #mcp #ztna #ai_security #identity_security #ciso #zero_trust
  8. Habr @[email protected] ·

    Identity-First Security: почему периметр умер окончательно и что приходит ему на смену

    Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов. Сценарий, с которого начинается типичный взлом в 2026 году Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent. Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов. Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.

    habr.com/ru/companies/ideco/ar

    #информационная_безопасность #IAM #zero_trust #ciso #identity_security #ai_security #ZTNA #mcp

    #информационная_безопасность #iam #zero_trust #ciso #identity_security #ai_security
  9. Habr @[email protected] ·

    Как мы написали свой forward-proxy на Go и отказались от VPN для доступа к админкам

    Если коротко: После дефейса сайта нашего знакомого из-за утекшего пароля от админки мы поняли, что управлять доступами нетехнической команды (редакторы, SEO, подрядчики) через VPN или статические IP - это боль. Существующие proxy требовали рестартов и рулились конфигами. В итоге мы написали свой forward-proxy на Go, где доступ выдается токеном через расширение браузера, а правила (TTL, лимиты трафика, доступные домены) применяются на лету без разрыва соединений.

    habr.com/ru/articles/1019098/

    #Zero_Trust #управление_доступом #vpn #proxy #tls #браузерные_расширения #zero_trust_network_access

    #zero_trust_network_access #браузерные_расширения #tls #proxy #vpn #управление_доступом
  10. Habr @[email protected] ·

    mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

    Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

    habr.com/ru/articles/1025856/

    #mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

    #кибербезопасность #защита_сайта #защита_от_ddos #защита_информации #защита_данных #сети
  11. Habr @[email protected] ·

    mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

    Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

    habr.com/ru/articles/1025856/

    #mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

    #кибербезопасность #защита_сайта #защита_от_ddos #защита_информации #защита_данных #сети
  12. Habr @[email protected] ·

    mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

    Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

    habr.com/ru/articles/1025856/

    #mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

    #кибербезопасность #защита_сайта #защита_от_ddos #защита_информации #защита_данных #сети
  13. Habr @[email protected] ·

    mTLS: полное руководство — от теории к практике с управлением сертификатами и защиты сервисов

    Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру хорошо работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS. В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh , bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik. Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует. Читать

    habr.com/ru/articles/1025856/

    #mtls #zero_trust #traefik #devsecops #сети #защита_данных #защита_информации #защита_от_ddos #защита_сайта #кибербезопасность

    #mtls #zero_trust #traefik #devsecops #сети #защита_данных
  14. Habr @[email protected] ·

    Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

    Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

    habr.com/ru/companies/ideco/ar

    #NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

    #облачные_сервисы #dns #кии #vpn #sse #sdwan
  15. Habr @[email protected] ·

    Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

    Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

    habr.com/ru/companies/ideco/ar

    #NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

    #облачные_сервисы #dns #кии #vpn #sse #sdwan
  16. Habr @[email protected] ·

    Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

    Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

    habr.com/ru/companies/ideco/ar

    #NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

    #облачные_сервисы #dns #кии #vpn #sse #sdwan
  17. Habr @[email protected] ·

    Конвергенция NGFW и SASE: гибридная модель защиты для распределённых команКогда периметр теряет смысл

    Классическая архитектура сетевой безопасности строилась вокруг одной предпосылки: существует чёткая граница между «внутри» и «снаружи». Межсетевой экран нового поколения (NGFW) стоит на этой границе и инспектирует трафик. Модель работала, пока сотрудники сидели в офисе, приложения - в корпоративном ДЦ, а удалённый доступ оставался исключением из правил. Сегодня, особенно в эпоху «после ковида» и во времена рассвета облаков, это уже не так. Мы в Айдеко сами живем «гибридной» реальности с 2021-го года: работая полностью распределенной по всей России командой 300+ сотрудников в гибридной цифровой среде (где множество сервисов в облаках, но есть и локальные устройства и серверы связанные с необходимостью работы с «железом» ПАК-ми, стендами для нагрузочного тестирования NGFW и т.п.). Наша цель – предоставить корпорациям решение для организации безопасной работы с современной ИТ-инфраструктурой где бы не находились сотрудники: на удаленке, в командировке, в офисе или других странах. Классический NGFW в таких условиях остается необходимым - но его одного уже недостаточно. Ответом индустрии стала архитектура SASE (Secure Access Service Edge), предложенная Gartner в 2019 году. SASE объединяет сетевые и security-функции в единую облачную платформу. Глобальные вендоры уже перестроили свои продуктовые линейки: Palo Alto Networks развивает Prisma SASE, Fortinet - FortiSASE, Zscaler выстраивает cloud-native SSE-платформу. По данным Gartner, к 2028 году 50% SASE-развёртываний будут базироваться на решении одного вендора - с 30% в 2025 году. Консолидация ускоряется.

    habr.com/ru/companies/ideco/ar

    #NGFW #SASE #ZTNA #Zero_Trust #SDWAN #SSE #vpn #кии #DNS #облачные_сервисы

    #ngfw #sase #ztna #zero_trust #sdwan #sse
  18. Habr @[email protected] ·

    Zero Trust для российских компаний: как защитить удалённый доступ с помощью ZTNA

    ZTNA (Zero Trust Network Access) — это модель управления доступом (не только удаленным!), которая проверяет каждого пользователя и устройство (включая установленное и работающее на нем ПО) и даёт доступ не к сети в целом, а к конкретным приложениям и ресурсам. Преимуществом реализации концепции ZTNA в NGFW-решении являются прежде всего возможности файрвола следующего поколения по фильтрации трафика и публикации ресурсов. При этом администратором удобно управлять доступом в одном решении, не прибегая к многочисленным интеграциям наложенных средств защиты. Особенно важно управлять доступом в современных условиях, когда значительная часть успешных взломов российских компаний в 2025 году происходило с помощью атаки на удаленных сотрудников или подрядчиков (supply chain attack). Специалисты по безопасности испытывают особенную “боль” в контроле подрядчиков - не имея доступ к их ИТ-инфраструктуре и возможностей по мониторингу безопасности, применения политик, настроек и средств защиты. В Ideco NGFW работа с моделью ZTNA реализована через NAC‑клиент (Network Access Control - контроль доступа к сети на уровне подключения устройства.) и тесную интеграцию с межсетевым экраном, что позволяет существенно безопаснее и гибче управлять доступом сотрудников и подрядчиков по сравнению с классическими VPN и периметровой защитой.

    habr.com/ru/companies/ideco/ar

    #информационная_безопасность #zero_trust #ztna #ngfw #удаленный_доступ

    #удаленный_доступ #ngfw #ztna #zero_trust #информационная_безопасность
  19. Habr @[email protected] ·

    «Агенты Хаоса»: ИИ стирает сервера, или почему нельзя давать языковым моделям права root

    В последнее время ИТ-сообщество активно обсуждает интеграцию автономных ИИ-агентов в реальные рабочие процессы. Свежий препринт под интригующим названием «Агенты Хаоса» подливает масла в огонь: исследователи устроили масштабный red teaming, подключив LLM-агентов к электронной почте, Discord и файловой системе, чтобы посмотреть, насколько легко их взломать. Группа из двадцати специалистов потратила две недели, атакуя ИИ методами социальной инженерии и инъекциями промптов. Результаты, изложенные в одиннадцати задокументированных кейсах, описывают агентов, которые удаляют системные файлы, сливают пароли и попадают в бесконечные циклы потребления ресурсов.

    habr.com/ru/articles/1005104/

    #llm #ииагенты #prompt_injection #информационная_безопасность #redteam #уязвимости #zero_trust #нейросети #chatgpt #архитектура_по

    #архитектура_по #chatgpt #нейросети #zero_trust #уязвимости #redteam
  20. Habr @[email protected] ·

    Не DLP единым: как DCAP закрывает слепую зону контроля доступа к данным

    Авторы: Асреев Артём, Архитектор ИБ Королев Евгений, Аналитик ИБ В 2025 году концепция «периметр защищён — данные в безопасности» окончательно умерла. Конфиденциальные данные, за которыми охотятся злоумышленники, теперь повсюду: в облаках, в мессенджерах, в руках подрядчиков и внутри нейросетей. Если вы не контролируете, кто, как и зачем обращается к вашим файлам внутри инфраструктуры, вы не просто рискуете – вы уже в очереди на пополнение печальной статистики. Отчёт Verizon DBIR 2025 показывает, что атака начинается не с обхода периметровых средств защиты, а с использования уже выданных прав доступа. На практике конфиденциальные данные хранятся в различных форматах и в самых неожиданных местах, от фотографии паспорта на файловой шаре до yaml-конфигов средств защиты на общедоступной странице корпоративной базы знаний.

    habr.com/ru/companies/innostag

    #dlp #dcap #защита_данных #контроль_доступа #zero_trust #ИБаналитика #утечки_персональных_данных #iam #pam #неструктурированные_данные

    #неструктурированные_данные #pam #iam #утечки_персональных_данных #ибаналитика #zero_trust
  21. Habr @[email protected] ·

    Не DLP единым: как DCAP закрывает слепую зону контроля доступа к данным

    Авторы: Асреев Артём, Архитектор ИБ Королев Евгений, Аналитик ИБ В 2025 году концепция «периметр защищён — данные в безопасности» окончательно умерла. Конфиденциальные данные, за которыми охотятся злоумышленники, теперь повсюду: в облаках, в мессенджерах, в руках подрядчиков и внутри нейросетей. Если вы не контролируете, кто, как и зачем обращается к вашим файлам внутри инфраструктуры, вы не просто рискуете – вы уже в очереди на пополнение печальной статистики. Отчёт Verizon DBIR 2025 показывает, что атака начинается не с обхода периметровых средств защиты, а с использования уже выданных прав доступа. На практике конфиденциальные данные хранятся в различных форматах и в самых неожиданных местах, от фотографии паспорта на файловой шаре до yaml-конфигов средств защиты на общедоступной странице корпоративной базы знаний.

    habr.com/ru/companies/innostag

    #dlp #dcap #защита_данных #контроль_доступа #zero_trust #ИБаналитика #утечки_персональных_данных #iam #pam #неструктурированные_данные

    #неструктурированные_данные #pam #iam #утечки_персональных_данных #ибаналитика #zero_trust
  22. Habr @[email protected] ·

    Не DLP единым: как DCAP закрывает слепую зону контроля доступа к данным

    Авторы: Асреев Артём, Архитектор ИБ Королев Евгений, Аналитик ИБ В 2025 году концепция «периметр защищён — данные в безопасности» окончательно умерла. Конфиденциальные данные, за которыми охотятся злоумышленники, теперь повсюду: в облаках, в мессенджерах, в руках подрядчиков и внутри нейросетей. Если вы не контролируете, кто, как и зачем обращается к вашим файлам внутри инфраструктуры, вы не просто рискуете – вы уже в очереди на пополнение печальной статистики. Отчёт Verizon DBIR 2025 показывает, что атака начинается не с обхода периметровых средств защиты, а с использования уже выданных прав доступа. На практике конфиденциальные данные хранятся в различных форматах и в самых неожиданных местах, от фотографии паспорта на файловой шаре до yaml-конфигов средств защиты на общедоступной странице корпоративной базы знаний.

    habr.com/ru/companies/innostag

    #dlp #dcap #защита_данных #контроль_доступа #zero_trust #ИБаналитика #утечки_персональных_данных #iam #pam #неструктурированные_данные

    #неструктурированные_данные #pam #iam #утечки_персональных_данных #ибаналитика #zero_trust
  23. Habr @[email protected] ·

    Не DLP единым: как DCAP закрывает слепую зону контроля доступа к данным

    Авторы: Асреев Артём, Архитектор ИБ Королев Евгений, Аналитик ИБ В 2025 году концепция «периметр защищён — данные в безопасности» окончательно умерла. Конфиденциальные данные, за которыми охотятся злоумышленники, теперь повсюду: в облаках, в мессенджерах, в руках подрядчиков и внутри нейросетей. Если вы не контролируете, кто, как и зачем обращается к вашим файлам внутри инфраструктуры, вы не просто рискуете – вы уже в очереди на пополнение печальной статистики. Отчёт Verizon DBIR 2025 показывает, что атака начинается не с обхода периметровых средств защиты, а с использования уже выданных прав доступа. На практике конфиденциальные данные хранятся в различных форматах и в самых неожиданных местах, от фотографии паспорта на файловой шаре до yaml-конфигов средств защиты на общедоступной странице корпоративной базы знаний.

    habr.com/ru/companies/innostag

    #dlp #dcap #защита_данных #контроль_доступа #zero_trust #ИБаналитика #утечки_персональных_данных #iam #pam #неструктурированные_данные

    #dlp #dcap #защита_данных #контроль_доступа #zero_trust #ибаналитика
  24. Habr @[email protected] ·

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель «безопасного периметра» бессильна, потому что она не видит угроз изнутри. Поэтому организации начинают переходить к архитектуре нулевого доверия – Zero Trust – и внедряют PAM-системы. О том, как устроена эта связка и почему без PAM Zero Trust остаётся лишь теорией, рассказывает Антон Залесский, бизнес-архитектор группы развития продуктов по управлению доступом ГК «Солар».

    habr.com/ru/companies/solarsec

    #солар #информационная_безопасность #zero_trust #solar_safeinspect

    #solar_safeinspect #zero_trust #информационная_безопасность #солар
  25. Habr @[email protected] ·

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель «безопасного периметра» бессильна, потому что она не видит угроз изнутри. Поэтому организации начинают переходить к архитектуре нулевого доверия – Zero Trust – и внедряют PAM-системы. О том, как устроена эта связка и почему без PAM Zero Trust остаётся лишь теорией, рассказывает Антон Залесский, бизнес-архитектор группы развития продуктов по управлению доступом ГК «Солар».

    habr.com/ru/companies/solarsec

    #солар #информационная_безопасность #zero_trust #solar_safeinspect

    #solar_safeinspect #zero_trust #информационная_безопасность #солар
  26. Habr @[email protected] ·

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель «безопасного периметра» бессильна, потому что она не видит угроз изнутри. Поэтому организации начинают переходить к архитектуре нулевого доверия – Zero Trust – и внедряют PAM-системы. О том, как устроена эта связка и почему без PAM Zero Trust остаётся лишь теорией, рассказывает Антон Залесский, бизнес-архитектор группы развития продуктов по управлению доступом ГК «Солар».

    habr.com/ru/companies/solarsec

    #солар #информационная_безопасность #zero_trust #solar_safeinspect

    #solar_safeinspect #zero_trust #информационная_безопасность #солар
  27. Habr @[email protected] ·

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust

    Не доверяй и проверяй: как PAM-системы работают в архитектуре Zero Trust По данным «Солара», в 2026 году продолжится рост кибератак на привилегированные учетные записи. Скомпрометировав их, злоумышленники действуют внутри сети как легитимные администраторы. В таком случае традиционная модель «безопасного периметра» бессильна, потому что она не видит угроз изнутри. Поэтому организации начинают переходить к архитектуре нулевого доверия – Zero Trust – и внедряют PAM-системы. О том, как устроена эта связка и почему без PAM Zero Trust остаётся лишь теорией, рассказывает Антон Залесский, бизнес-архитектор группы развития продуктов по управлению доступом ГК «Солар».

    habr.com/ru/companies/solarsec

    #солар #информационная_безопасность #zero_trust #solar_safeinspect

    #солар #информационная_безопасность #zero_trust #solar_safeinspect
  28. Habr @[email protected] ·

    Zero Trust и LLM в корпорации, что это и зачем надо

    Дорогие мои дорогой Хабр! В 2026‑м почти в каждой крупной компании появился свой ИИ: чат‑бот для сотрудников, ассистент в CRM, помощник в DevOps, «умный поиск» по документации. На слайдах это выглядело как «повышаем эффективность и разгружаем людей». На практике быстро выяснилось, что один такой сервис иногда видит больше, чем любой живой сотрудник: обращения в поддержку, инциденты ИБ, договоры, переписку с ключевыми клиентами — всё это летит через один API. Проблема в том, что защищаем мы эти штуки по старой памяти — как обычный внутренний сервис «за VPN‑ом». Логика такая: раз доступ только из корпоративной сети, значит, всё ок. Но LLM может крутиться в облаке, ходить в сторонние сервисы, дергать внутренние API и послушно выполнять любые запросы, если их правильно сформулировать. Отсюда вылезают знакомые уже истории: prompt‑injection, утечки через промпты и ответы, «внезапно» найденные в логах следы несанкционированных выгрузок. На этом фоне Zero Trust перестаёт быть красивой теорией для CISO‑митапов. Если продолжать относиться к модели как к «чёрному ящику, который что‑то там отвечает», мы по сути открываем новый периметр атак — и для внешних злоумышленников, и для своих же людей с лишними правами. Модели и AI‑агенты становятся отдельными участниками инфраструктуры: у них есть доступы, они инициируют действия, они могут накосячить. Значит, им нужны свои роли, ограничения и прозрачный аудит. В этой статье я разберу, как смотреть на LLM через призму Zero Trust: какие у такой системы реальные угрозы, как может выглядеть референс‑архитектура «доверенной» среды и с чего начать внедрение в живой компании. Цель простая: превратить AI‑сервисы из непонятной магии с доступом «ко всему сразу» в нормальных, управляемых жителей корпоративной ИТ‑архитектуры.

    habr.com/ru/articles/994746/

    #llm #llmмодели #llmагент #llmархитектура #llmагенты #llmattack #zero_trust #zero_security_a #zero

    #zero #zero_security_a #zero_trust #llmattack #llmагенты #llmархитектура
  29. Habr @[email protected] ·

    Zero Trust и LLM в корпорации, что это и зачем надо

    Дорогие мои дорогой Хабр! В 2026‑м почти в каждой крупной компании появился свой ИИ: чат‑бот для сотрудников, ассистент в CRM, помощник в DevOps, «умный поиск» по документации. На слайдах это выглядело как «повышаем эффективность и разгружаем людей». На практике быстро выяснилось, что один такой сервис иногда видит больше, чем любой живой сотрудник: обращения в поддержку, инциденты ИБ, договоры, переписку с ключевыми клиентами — всё это летит через один API. Проблема в том, что защищаем мы эти штуки по старой памяти — как обычный внутренний сервис «за VPN‑ом». Логика такая: раз доступ только из корпоративной сети, значит, всё ок. Но LLM может крутиться в облаке, ходить в сторонние сервисы, дергать внутренние API и послушно выполнять любые запросы, если их правильно сформулировать. Отсюда вылезают знакомые уже истории: prompt‑injection, утечки через промпты и ответы, «внезапно» найденные в логах следы несанкционированных выгрузок. На этом фоне Zero Trust перестаёт быть красивой теорией для CISO‑митапов. Если продолжать относиться к модели как к «чёрному ящику, который что‑то там отвечает», мы по сути открываем новый периметр атак — и для внешних злоумышленников, и для своих же людей с лишними правами. Модели и AI‑агенты становятся отдельными участниками инфраструктуры: у них есть доступы, они инициируют действия, они могут накосячить. Значит, им нужны свои роли, ограничения и прозрачный аудит. В этой статье я разберу, как смотреть на LLM через призму Zero Trust: какие у такой системы реальные угрозы, как может выглядеть референс‑архитектура «доверенной» среды и с чего начать внедрение в живой компании. Цель простая: превратить AI‑сервисы из непонятной магии с доступом «ко всему сразу» в нормальных, управляемых жителей корпоративной ИТ‑архитектуры.

    habr.com/ru/articles/994746/

    #llm #llmмодели #llmагент #llmархитектура #llmагенты #llmattack #zero_trust #zero_security_a #zero

    #zero #zero_security_a #zero_trust #llmattack #llmагенты #llmархитектура
  30. Habr @[email protected] ·

    Zero Trust и LLM в корпорации, что это и зачем надо

    Дорогие мои дорогой Хабр! В 2026‑м почти в каждой крупной компании появился свой ИИ: чат‑бот для сотрудников, ассистент в CRM, помощник в DevOps, «умный поиск» по документации. На слайдах это выглядело как «повышаем эффективность и разгружаем людей». На практике быстро выяснилось, что один такой сервис иногда видит больше, чем любой живой сотрудник: обращения в поддержку, инциденты ИБ, договоры, переписку с ключевыми клиентами — всё это летит через один API. Проблема в том, что защищаем мы эти штуки по старой памяти — как обычный внутренний сервис «за VPN‑ом». Логика такая: раз доступ только из корпоративной сети, значит, всё ок. Но LLM может крутиться в облаке, ходить в сторонние сервисы, дергать внутренние API и послушно выполнять любые запросы, если их правильно сформулировать. Отсюда вылезают знакомые уже истории: prompt‑injection, утечки через промпты и ответы, «внезапно» найденные в логах следы несанкционированных выгрузок. На этом фоне Zero Trust перестаёт быть красивой теорией для CISO‑митапов. Если продолжать относиться к модели как к «чёрному ящику, который что‑то там отвечает», мы по сути открываем новый периметр атак — и для внешних злоумышленников, и для своих же людей с лишними правами. Модели и AI‑агенты становятся отдельными участниками инфраструктуры: у них есть доступы, они инициируют действия, они могут накосячить. Значит, им нужны свои роли, ограничения и прозрачный аудит. В этой статье я разберу, как смотреть на LLM через призму Zero Trust: какие у такой системы реальные угрозы, как может выглядеть референс‑архитектура «доверенной» среды и с чего начать внедрение в живой компании. Цель простая: превратить AI‑сервисы из непонятной магии с доступом «ко всему сразу» в нормальных, управляемых жителей корпоративной ИТ‑архитектуры.

    habr.com/ru/articles/994746/

    #llm #llmмодели #llmагент #llmархитектура #llmагенты #llmattack #zero_trust #zero_security_a #zero

    #zero #zero_security_a #zero_trust #llmattack #llmагенты #llmархитектура
  31. Habr @[email protected] ·

    Zero Trust и LLM в корпорации, что это и зачем надо

    Дорогие мои дорогой Хабр! В 2026‑м почти в каждой крупной компании появился свой ИИ: чат‑бот для сотрудников, ассистент в CRM, помощник в DevOps, «умный поиск» по документации. На слайдах это выглядело как «повышаем эффективность и разгружаем людей». На практике быстро выяснилось, что один такой сервис иногда видит больше, чем любой живой сотрудник: обращения в поддержку, инциденты ИБ, договоры, переписку с ключевыми клиентами — всё это летит через один API. Проблема в том, что защищаем мы эти штуки по старой памяти — как обычный внутренний сервис «за VPN‑ом». Логика такая: раз доступ только из корпоративной сети, значит, всё ок. Но LLM может крутиться в облаке, ходить в сторонние сервисы, дергать внутренние API и послушно выполнять любые запросы, если их правильно сформулировать. Отсюда вылезают знакомые уже истории: prompt‑injection, утечки через промпты и ответы, «внезапно» найденные в логах следы несанкционированных выгрузок. На этом фоне Zero Trust перестаёт быть красивой теорией для CISO‑митапов. Если продолжать относиться к модели как к «чёрному ящику, который что‑то там отвечает», мы по сути открываем новый периметр атак — и для внешних злоумышленников, и для своих же людей с лишними правами. Модели и AI‑агенты становятся отдельными участниками инфраструктуры: у них есть доступы, они инициируют действия, они могут накосячить. Значит, им нужны свои роли, ограничения и прозрачный аудит. В этой статье я разберу, как смотреть на LLM через призму Zero Trust: какие у такой системы реальные угрозы, как может выглядеть референс‑архитектура «доверенной» среды и с чего начать внедрение в живой компании. Цель простая: превратить AI‑сервисы из непонятной магии с доступом «ко всему сразу» в нормальных, управляемых жителей корпоративной ИТ‑архитектуры.

    habr.com/ru/articles/994746/

    #llm #llmмодели #llmагент #llmархитектура #llmагенты #llmattack #zero_trust #zero_security_a #zero

    #llm #llmмодели #llmагент #llmархитектура #llmагенты #llmattack
  32. Habr @[email protected] ·

    5 ключевых IT-трендов 2026 года: от ИИ-агентов и Zero Trust до суверенных облаков

    В 2026 году российский IT-рынок продолжит рост и может приблизиться к 4,5 трлн ₽. При этом компании меняют подход к инвестициям: выбирают решения с быстрым и измеримым эффектом. Например,

    habr.com/ru/companies/selectel

    #selectel #nocode #lowcode #zero_trust #информационная_безопасность #облако #xaas #ииагенты #искуственный_интеллект #тренды

    #тренды #искуственный_интеллект #ииагенты #xaas #облако #информационная_безопасность
  33. Habr @[email protected] ·

    Почему SASE не заменяет NGFW: взгляд инженера по ИБ

    Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт. SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

    habr.com/ru/companies/innostag

    #NGFW #межсетевой_экран #SASE #Zero_Trust #информационная_безопасность #сетевая_безопасность #архитектура_безопасности #ЦОД #L7 #ZTNA

    #ztna #l7 #цод #архитектура_безопасности #сетевая_безопасность #информационная_безопасность
  34. Habr @[email protected] ·

    Почему SASE не заменяет NGFW: взгляд инженера по ИБ

    Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт. SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

    habr.com/ru/companies/innostag

    #NGFW #межсетевой_экран #SASE #Zero_Trust #информационная_безопасность #сетевая_безопасность #архитектура_безопасности #ЦОД #L7 #ZTNA

    #ztna #l7 #цод #архитектура_безопасности #сетевая_безопасность #информационная_безопасность
  35. Habr @[email protected] ·

    Почему SASE не заменяет NGFW: взгляд инженера по ИБ

    Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт. SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

    habr.com/ru/companies/innostag

    #NGFW #межсетевой_экран #SASE #Zero_Trust #информационная_безопасность #сетевая_безопасность #архитектура_безопасности #ЦОД #L7 #ZTNA

    #ztna #l7 #цод #архитектура_безопасности #сетевая_безопасность #информационная_безопасность
  36. Habr @[email protected] ·

    Почему SASE не заменяет NGFW: взгляд инженера по ИБ

    Привет, Хабр! Сейчас вокруг SASE в индустрии идут активные обсуждения, и может показаться, будто все традиционные решения безопасности вот-вот отправятся на свалку истории. На этом фоне всё чаще звучат вопросы о роли NGFW в современной архитектуре. Меня зовут Дмитрий Квашнин, я ведущий инженер-эксперт в компании Innostage. И в этой статье я хотел бы поделиться собственным взглядом на этот счёт. SASE и NGFW не конкуренты. Это скорее эволюционные ступени одной большой архитектуры. NGFW никуда не уходит. Он просто передает часть своих полномочий, превращаясь в ключевой элемент гибридной модели Zero Trust для защиты самого ценного. А SASE в это время решает задачи новой эпохи, где все распределено: удаленные сотрудники, филиалы и облачные сервисы.

    habr.com/ru/companies/innostag

    #NGFW #межсетевой_экран #SASE #Zero_Trust #информационная_безопасность #сетевая_безопасность #архитектура_безопасности #ЦОД #L7 #ZTNA

    #ngfw #межсетевой_экран #sase #zero_trust #информационная_безопасность #сетевая_безопасность
  37. Habr @[email protected] ·

    Экстренный патч или как не получить «RCE по утрам»

    Внимание, внимание, внимание! Вышли экстренные патчи безопасности в релизах Axiom JDK 25.0.1, 21.0.9, 17.0.17, 11.0.29 и 8u472. Мы устранили четыре критические уязвимости в OpenJFX, уровень опасности которых — высокий и средний. Если вы используете JavaFX, весьма популярный в России инструмент для создания графических интерфейсов, обновляйтесь, чтобы ваши приложения не стали любимым местом хакеров.

    habr.com/ru/companies/axiomjdk

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve #rce #zero_trust #sbom #цепочки_поставок

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve
  38. Habr @[email protected] ·

    Экстренный патч или как не получить «RCE по утрам»

    Внимание, внимание, внимание! Вышли экстренные патчи безопасности в релизах Axiom JDK 25.0.1, 21.0.9, 17.0.17, 11.0.29 и 8u472. Мы устранили четыре критические уязвимости в OpenJFX, уровень опасности которых — высокий и средний. Если вы используете JavaFX, весьма популярный в России инструмент для создания графических интерфейсов, обновляйтесь, чтобы ваши приложения не стали любимым местом хакеров.

    habr.com/ru/companies/axiomjdk

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve #rce #zero_trust #sbom #цепочки_поставок

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve
  39. Habr @[email protected] ·

    Экстренный патч или как не получить «RCE по утрам»

    Внимание, внимание, внимание! Вышли экстренные патчи безопасности в релизах Axiom JDK 25.0.1, 21.0.9, 17.0.17, 11.0.29 и 8u472. Мы устранили четыре критические уязвимости в OpenJFX, уровень опасности которых — высокий и средний. Если вы используете JavaFX, весьма популярный в России инструмент для создания графических интерфейсов, обновляйтесь, чтобы ваши приложения не стали любимым местом хакеров.

    habr.com/ru/companies/axiomjdk

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve #rce #zero_trust #sbom #цепочки_поставок

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve
  40. Habr @[email protected] ·

    Экстренный патч или как не получить «RCE по утрам»

    Внимание, внимание, внимание! Вышли экстренные патчи безопасности в релизах Axiom JDK 25.0.1, 21.0.9, 17.0.17, 11.0.29 и 8u472. Мы устранили четыре критические уязвимости в OpenJFX, уровень опасности которых — высокий и средний. Если вы используете JavaFX, весьма популярный в России инструмент для создания графических интерфейсов, обновляйтесь, чтобы ваши приложения не стали любимым местом хакеров.

    habr.com/ru/companies/axiomjdk

    #axiomjdk #axiom_jdk #javafx #патч #обновление #cve #rce #zero_trust #sbom #цепочки_поставок

    #цепочки_поставок #sbom #zero_trust #rce #cve #обновление
  41. Habr @[email protected] ·

    Практическое руководство по обеспечению цифровой и операционной безопасности: Принципы Zero Trust

    Современный цифровой мир — это враждебная среда, где приватность стала товаром, а тотальная слежка — нормой. Это практическое руководство, основанное на принципе Zero Trust, научит вас выстраивать многоуровневую защиту: от выбора и настройки ОС до обхода DPI с помощью VLESS + Reality и соблюдения правил операционной безопасности (OPSEC). Разберем сильные и слабые стороны Tor и I2P и научимся противостоять деанонимизации. Цель — не стать невидимым, а сделать стоимость вашей деанонимизации нецелесообразной. Полное руководство

    habr.com/ru/articles/967012/

    #приватность #анонимность #zero_trust #opsec #vpn #tor #i2p #xray #vless #цифровая_гигиена

    #цифровая_гигиена #vless #xray #i2p #tor #vpn
  42. Habr @[email protected] ·

    Практическое руководство по обеспечению цифровой и операционной безопасности: Принципы Zero Trust

    Современный цифровой мир — это враждебная среда, где приватность стала товаром, а тотальная слежка — нормой. Это практическое руководство, основанное на принципе Zero Trust, научит вас выстраивать многоуровневую защиту: от выбора и настройки ОС до обхода DPI с помощью VLESS + Reality и соблюдения правил операционной безопасности (OPSEC). Разберем сильные и слабые стороны Tor и I2P и научимся противостоять деанонимизации. Цель — не стать невидимым, а сделать стоимость вашей деанонимизации нецелесообразной. Полное руководство

    habr.com/ru/articles/967012/

    #приватность #анонимность #zero_trust #opsec #vpn #tor #i2p #xray #vless #цифровая_гигиена

    #цифровая_гигиена #vless #xray #i2p #tor #vpn
  43. Habr @[email protected] ·

    Практическое руководство по обеспечению цифровой и операционной безопасности: Принципы Zero Trust

    Современный цифровой мир — это враждебная среда, где приватность стала товаром, а тотальная слежка — нормой. Это практическое руководство, основанное на принципе Zero Trust, научит вас выстраивать многоуровневую защиту: от выбора и настройки ОС до обхода DPI с помощью VLESS + Reality и соблюдения правил операционной безопасности (OPSEC). Разберем сильные и слабые стороны Tor и I2P и научимся противостоять деанонимизации. Цель — не стать невидимым, а сделать стоимость вашей деанонимизации нецелесообразной. Полное руководство

    habr.com/ru/articles/967012/

    #приватность #анонимность #zero_trust #opsec #vpn #tor #i2p #xray #vless #цифровая_гигиена

    #цифровая_гигиена #vless #xray #i2p #tor #vpn
  44. Habr @[email protected] ·

    Практическое руководство по обеспечению цифровой и операционной безопасности: Принципы Zero Trust

    Современный цифровой мир — это враждебная среда, где приватность стала товаром, а тотальная слежка — нормой. Это практическое руководство, основанное на принципе Zero Trust, научит вас выстраивать многоуровневую защиту: от выбора и настройки ОС до обхода DPI с помощью VLESS + Reality и соблюдения правил операционной безопасности (OPSEC). Разберем сильные и слабые стороны Tor и I2P и научимся противостоять деанонимизации. Цель — не стать невидимым, а сделать стоимость вашей деанонимизации нецелесообразной. Полное руководство

    habr.com/ru/articles/967012/

    #приватность #анонимность #zero_trust #opsec #vpn #tor #i2p #xray #vless #цифровая_гигиена

    #приватность #анонимность #zero_trust #opsec #vpn #tor
  45. Habr @[email protected] ·

    DPI-First: почему анализ трафика становится сердцем сети

    Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

    habr.com/ru/articles/965070/

    #dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

    #кибербезопасность #распределенные_сети #сетевой_трафик #архитектура_безопасности #zero_trust #поведенческий_анализ
  46. Habr @[email protected] ·

    DPI-First: почему анализ трафика становится сердцем сети

    Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

    habr.com/ru/articles/965070/

    #dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

    #кибербезопасность #распределенные_сети #сетевой_трафик #архитектура_безопасности #zero_trust #поведенческий_анализ
  47. Habr @[email protected] ·

    DPI-First: почему анализ трафика становится сердцем сети

    Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

    habr.com/ru/articles/965070/

    #dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

    #кибербезопасность #распределенные_сети #сетевой_трафик #архитектура_безопасности #zero_trust #поведенческий_анализ
  48. Habr @[email protected] ·

    DPI-First: почему анализ трафика становится сердцем сети

    Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

    habr.com/ru/articles/965070/

    #dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

    #dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust
  49. Habr @[email protected] ·

    JEA + PowerShell Remoting: Принцип минимальных привилегий в проде без боли (Windows Server 2019/2022)

    Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS. Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры. Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее. Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину. Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами. Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.

    habr.com/ru/articles/948088/

    #JEA #Just_Enough_Administration #PowerShell_Remoting #Windows_Server #принцип_минимальных_привилегий #powershell #безопасность #системное_администрирование #PoLP #zero_trust

    #jea #just_enough_administration #powershell_remoting #windows_server #принцип_минимальных_привилегий #powershell
  50. Habr @[email protected] ·

    JEA + PowerShell Remoting: Принцип минимальных привилегий в проде без боли (Windows Server 2019/2022)

    Привет, Хабр! Сегодня мы поговорим о боли. О той самой боли, которая возникает в 3 часа ночи, когда звонит дежурный инженер и говорит, что «всё лежит». Веб-приложение не отвечает, а единственный способ что-то сделать — это дать ему RDP-доступ на сервер с правами локального, а то и доменного администратора. И всё это ради одной единственной задачи: перезапустить пул приложений в IIS. Знакомая ситуация? Мы даем избыточные права, потому что это быстро и просто. Мы даем «ключ от всего города», чтобы человек мог открыть одну дверь. В этот момент мы открываем ящик Пандоры: случайная ошибка, запущенный по незнанию скрипт, а в худшем случае — скомпрометированная учетная запись, которая становится для злоумышленника плацдармом для захвата всей инфраструктуры. Проблема в том, что традиционный подход к администрированию Windows-систем часто ставит нас перед ложным выбором: либо безопасность, либо операционная эффективность. Либо мы закручиваем гайки так, что никто не может работать, либо раздаем админские права направо и налево, надеясь на лучшее. Но что, если я скажу вам, что этот выбор — ложный? Что существует технология, встроенная в Windows Server, которая позволяет нам совместить гранулярную безопасность, полный аудит и удобство автоматизации? Технология, которая превращает администрирование из «искусства» в точную инженерную дисциплину. Имя ей — Just Enough Administration (JEA), и в связке с PowerShell Remoting она способна кардинально изменить ваш подход к управлению серверами. Эта статья — не просто теоретический обзор. Это пошаговое, выстраданное на практике руководство по внедрению JEA в реальной продакшен-среде на Windows Server 2019/2022. Мы пройдем весь путь: от понимания фундаментальных принципов до создания, развертывания и использования защищенных конечных точек (endpoints), решая по пути реальные проблемы.

    habr.com/ru/articles/948088/

    #JEA #Just_Enough_Administration #PowerShell_Remoting #Windows_Server #принцип_минимальных_привилегий #powershell #безопасность #системное_администрирование #PoLP #zero_trust

    #jea #just_enough_administration #powershell_remoting #windows_server #принцип_минимальных_привилегий #powershell