Сеть, в которой живут агенты: кто нажал Enter и как это проверить

К 2028 году в корпоративных средах будет работать 1,3 млрд AI-агентов, а классическая модель identity по-прежнему исходит из допущения «один деятель – один человек». Разбираем, что ломается в аутентификации, почему service account и OAuth-токен больше не закрывают задачу, и как мы в Ideco смотрим на ближайшее развитие средств защиты: непрерывная биометрия для людей и делегированные токены для агентов. Цифры, которые ломают ИБ-ландшафт На RSAC 2026 Microsoft, опираясь на прогноз IDC, заявила о 1,3 млрд AI-агентов в корпоративных средах к 2028 году ( Windows Forum, RSAC 2026 , Lantern Studios ). Это не «копилоты, которые помогают писать письма» или «чатики» – это автономные исполнители, у которых есть права, токены и доступ к продуктовым системам. Мы сами уже видим лавинообразное «нашествие агентов» как в собственной, так и в чужих корпоративных сетях. Атакующая сторона тоже меняется. В отчёте о кампании GTG-1002 Anthropic зафиксировала первую массовую AI-оркестрированную операцию: взломанная версия Claude, подключённая к набору MCP-серверов, выполнила 80–90% тактических операций самостоятельно – разведку, поиск уязвимостей, эксплуатацию, сбор учётных данных, латеральное движение ( Anthropic, Disrupting the first reported AI-orchestrated cyber espionage campaign , Paul, Weiss разбор ). Человек был нужен на 4–6 точках принятия решений за всю кампанию. И последняя цифра, без которой картина неполная. По 2025 Identity Security Landscape от CyberArk (опрос 2 600 ЛПР-ов в сфере ИБ), на каждую человеческую идентичность в средней организации приходится 82 машинных; 42% этих NHI имеют привилегированный доступ или доступ к чувствительным данным, при этом 88% респондентов всё ещё относят определение «привилегированный пользователь» исключительно к людям. 87% компаний за последние 12 месяцев пережили минимум два успешных identity-центричных инцидента.

https://habr.com/ru/companies/ideco/articles/1029140/

#информационная_безопасность #ngfw #pam #аутентификация #аутентификация_пользователей #аутентификация_и_авторизация

Опыт настройки МСЭ и кибербезопасности на промышленных объектах

Привет, Хабр! Меня зовут Артём Чуйков, я инженер компании Innostage — первого кибериспытанного интегратора сервисов и решений в области цифровой безопасности. Я занимаюсь внедрением межсетевых экранов на промышленных предприятиях, и сегодня хочу поделиться практическим опытом. Ни для кого не секрет, что злоумышленники постоянно пытаются атаковать наши киберрубежи. Успешная атака на офисную сеть приводит к утечкам данных, зашифрованным дискам, потерянным деньги и репутации. Как правило, такой ущербе можно компенсировать: восстановить данные, вернуть инфраструктуру в рабочее состояние, извиниться перед клиентами и контрагентами. Однако успешная атака на автоматизированные системы управления технологическими процессами — это уже совсем другая история. Это обесточенные города, остановленные производства, потенциальные техногенные катастрофы. Представьте, к примеру, атомную электростанцию, управлять которой могут злоумышленники, получившие нелегитимный доступ. Именно поэтому внедрение систем обеспечения информационной безопасности позволяет эффективно противостоять подобным угрозам. Для объектов критической информационной инфраструктуры внедрение СОИБ является не просто рекомендацией, а требованием регуляторов — ФСТЭК, ФСБ, а также стандартов, таких как ГОСТ Р ИСО/МЭК 27001 и других.

https://habr.com/ru/companies/innostage/articles/1028890/

#мсэ #файервол #асу_тп #соиб #сетевая_безопасность #промышленная_безопасность #харденинг #сетевые_протоколы #ngfw #dmz

ML IPS в Ideco NGFW: бессигнатурная защита от атак нулевого дня

В 2020-ом году отправившись на рекомендованную всем «удаленку» мы в Айдеко перекроили весь роадмап продукта и быстро выпустили Ideco UTM VPN Edition – версию с расширенными возможностями по организации, защите и контролю доступа удаленных сотрудников. Делать что-то другое в IT-продукте в это время казалось несвоевременным. Примерно, как сейчас – не использовать AI-инструменты в работе и AI-функциональность в продукте для защиты. В то время, когда злоумышленники вовсю используют AI-инструменты. И атаки становятся все изощреннее и быстрее . В 2025 году зафиксировано 90 zero-day эксплойтов в дикой природе. 44% атак нулевого дня нацелены на корпоративные сетевые устройства - NGFW и VPN-шлюзы. Среднее время от публикации CVE до первой эксплуатации в реальных атаках сократилось до 5 дней и еще более сократится . Ни одна сигнатурная база не успевает за этим темпом. Рассказываем, как мы работаем над ML-модулем обнаружения вторжений в Ideco NGFW, что показал натурный эксперимент с ИСП РАН на 73 миллионах сессий и какие ограничения у этого подхода. Почему сигнатуры перестают справляться Сигнатурный IPS работает принципиально так же, как антивирус в 1990-х: есть база известных угроз, есть входящий трафик, есть сравнение. IPS - при всей мощи, работает с заранее описанными паттернами. Проблема не в самом подходе - проблема в скорости появления угроз. По данным Google Threat Intelligence Group , в 2025 году в дикой природе было зафиксировано 90 zero-day эксплойтов. По данным RAND Corporation, среднее время жизни zero-day атаки до её обнаружения составляет 312 дней. За это время сигнатура не появится: её невозможно написать на то, что ещё не обнаружено.

https://habr.com/ru/companies/ideco/articles/1024442/

#IPS #NGFW #ml #suricata #машинное_обучение

SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого

Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение - и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum. Две команды, одна сеть, ноль координации В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа - команда ИБ. Инструменты разные, консоли разные, приоритеты разные. На бумаге это выглядит как разумное разделение ответственности. На практике - как разрыв, который стоит больших денег на решения и времени на администрирование.

https://habr.com/ru/companies/ideco/articles/1025410/

#ngfw #sdwan #vpn #vpnсервер #информационная_архитектура #информационная_безопасность

I'm excited to announce I'll be taking the stage at @bsidesmelbourne 16-17 May 2026 at SEEK HQ in Cremorne.

I'll be presenting Panning for Gold: A Hacker's Guide to Next Generation Firewalls, covering how attackers can exploit the features and weaknesses of firewalls to increase the impact of a compromise.

If you're working in network security, red team, or just want to know what your NGFW is really exposing, come find out.

Tickets are on sale now at https://www.bsidesmelbourne.com/.

See you in Melbourne!

#BSidesMelbourne #PanningForGold #NGFW #OffensiveSecurity #InfoSec

Обновление Ideco NGFW Novum: что изменилось в архитектуре и почему это важно

В апреле 2026 года мы выпускаем обновление Ideco NGFW Novum. Это плановый релиз, в котором развиваются пять направлений: централизованное управление, защита DNS, управление удалённым доступом, SD-WAN и кластеризация. Ниже разбираем, что именно изменилось и какие задачи это решает.

https://habr.com/ru/companies/ideco/articles/1024272/

#кластеризация #sdwan #ngfw #dnssec #dns #ztna #vpn #ips #waf

Kaspersky NGFW в проекте «ТУЧА»: развёртывание и первые настройки [часть 2]

В первой части статьи про KNGFW мы разобрали, как собрать контур управления, связать компоненты и получить рабочую основу. Но на этом этапе NGFW всё ещё остаётся «правильно собранным железом». Оно готово к работе, но само по себе ещё ничего не защищает. В это статье начинается самое интересное: момент, когда устройство начинает «оживать». Появляются реальные правила, через него идёт трафик уже не в тестовом, а в рабочем режиме, а сама система из набора компонентов превращается в полноценный элемент инфраструктуры. Дальше материал будет максимально прикладным. Сначала собирем базовую конфигурацию: сеть, доступы, NAT, логирование, интеграции. Всё, на чём держится повседневная работа. А затем переходим к модулям безопасности и той задаче, ради которой NGFW в принципе и внедряется.

https://habr.com/ru/companies/nubes/articles/1024128/

#кибербезопасность #облачные_сервисы #ngfw #информационная_безопасность #кии #публичные_облака

Kaspersky NGFW в проекте «ТУЧА»: развёртывание и первые настройки [часть 1]

Привет! Меня зовут Кирилл, я инженер команды киберзащиты облачного провайдера Nubes . В зоне моей ответственности решения сетевой защиты. В рамках запуска облака КИИ «ТУЧА» мне досталась задача развернуть и настроить NGFW для защищённого контура. В этой статье хочу поделиться практическим опытом первого внедрения Kaspersky NGFW без лишнего маркетинга, а с акцентом на те моменты, которые действительно важны при первом знакомстве с продуктом.

https://habr.com/ru/companies/nubes/articles/1021304/

#кии #облачные_сервисы #кибербезопасность #ngfw

LLM Firewall: устарел, не успев родиться? Почему защита чатов не работает в мире AI-агентов

История про сумасшедшую скорость изменений. Пока мы в Ideco создавали задачи в Jira, исследовали технологии и возможность реализации модуля «LLM Firewall» в Ideco NGFW – ландшафт угроз использования AI принципиально изменился и все приходится переделывать заново. Первое поколение LLM Firewall проектировалось для защиты чат-интерфейсов: пользователь отправил запрос – модель ответила – файрвол отфильтровал. Похоже на известную нам работу прокси-сервера или DLP-решения. Но за 2025–2026 годы индустрия резко перескочила от «чатов» к автономным агентам, которые вызывают инструменты, ходят в базы данных, принимают решения и общаются с другими агентами. Концепция LLM Firewall переродилась раньше, чем полностью оформилась –в Agent Runtime Security. Но назвать сегодняшние stateless-фильтры промптов «решением проблемы безопасности агентов» – значит обманывать всех и продавать «воздух». Два года назад разговор об LLM-безопасности сводился к простой формуле: не дать пользователю сломать чатбот (если конечно отбросить «драконовские» и не выполнимые в современных компаниях требования – ЗАПРЕТИТЬ). Prompt injection, jailbreak, утечка персональных данных – вот и весь threat model. Ответ рынка был логичен: поставить прокси между пользователем и моделью, отфильтровать вредоносный или содержащий чувствительные данные промпт на входе, проверить ответ на выходе. Но тут уже можно было столкнуться со сложностью – «фильтрующей» модели нужно было поддерживать контекст в водовороте вопросов и ответов в чате, что не просто и требует большой мощности.

https://habr.com/ru/companies/ideco/articles/1021292/

#NGFW #llmмодели #llmагент #llm_firewall #информационная_безопасность #стартапы #рынок #архитектура

Почему NGFW перестаёт быть центром архитектуры безопасности

За последние годы NGFW не исчез и не стал второстепенным элементом защиты, но его архитектурная роль заметно изменилась. Безопасность всё меньше строится вокруг единственного сетевого периметра и всё больше — вокруг облаков, идентичностей, распределённого доступа, AI и аналитических контуров. Ниже рассматривается, почему это происходит и какие пять направлений сильнее всего меняют место NGFW в современной архитектуре безопасности.

https://habr.com/ru/articles/1020904/

#NGFW #межсетевой_экран #сетевая_безопасность #архитектура_безопасности #SASE #ZTNA #identity_security #cloud_security #AI_security #data_security_analytics