Месяцы, а не годы: как Ideco готовится к ИИ-угрозам, о которых предупредили Five Eyes

22 июня 2026 года киберагентства альянса Five Eyes заявили: передовые ИИ-модели изменят наступательные возможности в киберпространстве «не за годы, а за месяцы». Рассказываем что именно меняется – и как мы в Ideco отвечаем на эти вызовы: скоростью патчинга, новейшими NGFW-модулями ML IPS и DNS Security на базе ИИ, ZTNA и микросегментацией на производительной архитектуре. О чём предупредили Five Eyes 22 июня 2026 года агентства по кибербезопасности альянса Five Eyes – США, Великобритании, Канады, Австралии и Новой Зеландии – выпустили совместное заявление «The AI shift in cyber risk: why leaders must act now» ( ASD’s ACSC , UK NCSC ). Главный тезис: «Ожидается, что передовые модели ИИ превзойдут текущие ожидания отрасли и фундаментально трансформируют как наступательные, так и оборонительные кибервозможности. Горизонт – не годы, а месяцы». Суть не в новых типах угроз, а в скорости : ИИ снижает барьеры для атакующих и сжимает окно между обнаружением уязвимости и её эксплуатацией. Предположения о киберрисках теперь устаревают за месяцы, а не за годы. Новые модели обладают мощными наступательными кибервозможностями. По данным The Economist, сенатор Марк Уорнер сообщил, что модель Mythos 5 от Anthropic получила доступ почти ко всем засекреченным системам АНБ США «не за недели, а за часы» ( The Moscow Times / The Economist ). Заголовок, конечно чуть отдает желтизной: единственный источник, официальных подтверждений этому нет. Но факт – Mythos и Fable исключили из свободного доступа. Класс новых инструментов для быстрого создания эксплойтов – уже не гипотеза. Это меняет требования к защите. И мы подготовились.

https://habr.com/ru/companies/ideco/articles/1050916/

#ngfw #ML_IPS #llm #информационная_безопасность #Ideco #ideco_ngfw_novum

Как разделить корпоративную сеть на изолированные зоны с помощью одного NGFW

Когда в сети нет сегментации, компрометация любого узла открывает атакующему прямой путь ко всему остальному. Бухгалтерский сервер, производственная АСУ ТП, веб-приложение и рабочая станция стажёра существуют в одном пространстве — с точки зрения сетевой связности между ними нет разницы. Сегментация решает эту проблему архитектурно: каждая зона изолирована, трафик между зонами проходит только через точку фильтрации, компрометация одного сегмента не даёт автоматического доступа к другим. В этой статье разбираем, как это реализовано в

https://habr.com/ru/companies/ideco/articles/1049514/

#vpp #zbf #ngfw

Искусство Инфобеза, часть 2: NGFW, базовый минимум

Забрел ты сюда просто потому, что тебе интересна защита информации или читал нашу предыдущую статью не важно, главное знай: мы – команда Инфобеза Inline Telecom Solutions и мы точно знаем, сколько пунктов 117 приказа ФСТЭК закрывает одна нода NGFW, ведь мы разобрались. Теперь поможем тебе, поехали.

https://habr.com/ru/companies/its/articles/1048310/

#информационная_безопасность #ngfw #инфобез #искусство_инфобеза #сзи

GigaChat vs Opus в агентском аудите файрвола: попытка сравнения

Взяли один агент, один навык и одну выгрузку правил Ideco NGFW – и прогнали её через GigaChat Max и Claude Opus 4.8. Рассказываем, что из этого получилось, почему «настоящего» агентского теста не вышло и сколько всё это стоило в токенах и рублях. Зачем мы это затеяли В прошлой статье – «Пещера Аладдина для безопасника» – мы показывали, как автономный агент Hermes с открытой библиотекой Agent Skills разбирает IPS-логи и проводит аудит правил межсетевого экрана Ideco NGFW. Тогда мы сравнивали бесплатную фронтир-модель и платную Claude Opus и сделали осторожный вывод: для первичного triage хватает дешёвой модели, а для глубокого расследования лучше брать сильную. Тот эксперимент оставил открытым один очевидный вопрос. Все «сильные» модели в нём были западными. А что покажет российская LLM на той же задаче? Вопрос не праздный. Если вы – банк, госкомпания или объект КИИ, отправлять выгрузку правил вашего боевого файрвола в облако Anthropic – это в лучшем случае разговор с юристами, в худшем – прямое нарушение. GigaChat от Сбера работает в российском контуре, и если он справляется с аудитом конфигураций на приемлемом уровне, это меняет картину для целого класса заказчиков. Поэтому мы взяли один и тот же агент (Hermes), один и тот же навык аудита и одинаковые входные данные – и подставили под него две модели: GigaChat Max и Claude Opus 4.8 ( задумку с тестированием Claude Fable 5 для этой же задачи реализовать не удалось, со всеми нашими ИБ-скиллами он работать отказался, даже когда был доступен).

https://habr.com/ru/companies/ideco/articles/1047692/

#ngfw #Ideco #ideco_ngfw_novum #LLm #Opus #gigachat #Firewall

Сканирование локальной сети с помощью агента за 13 долларов

Третья часть серии про security-навыки Hermes Agent. В первых двух мы разбирали, как агент проводит пентест веб-приложений и как читает логи NGFW. Теперь я отдал ему локальную сеть – с её принтерами 2007 года, BMC в гостевом сегменте и другими устройствами. Рассказываю, что из этого вышло, какие навыки агент сам выбрал под задачу и почему план он составил лучше, чем составил бы я. Если пропустили начало серии: · Web-pentest skill в Hermes Agent: как агент проводит пентест веб-приложений · Пещера Аладдина для безопасника: 754 навыка для AI-агента и что будет, если использовать их для своего NGFW Среда, утро Mac Mini бесшумно работает на столе рядом с рабочим ноутбуком. На нём – Hermes Agent и Opus 4.8. Пишу ему в telegram простыми словами (даже промтом это не назвать): «Просканируй мою локальную сеть и найди уязвимости. Авторизую – это моя рабочая сеть». И можно сходить за кофе. Раньше эта фраза означала бы вечер с nmap, блокнотом и матом сквозь зубы. Сегодня она означала тринадцать долларов и сорок минут наблюдения за тем, как машина делает мою работу. Причём аккуратнее, чем сделает ее любой джун-безопасник. Дисклеймер, без которого нельзя. Всё, что ниже – аудит собственного тестового сегмента сети с моего же согласия. Не повторяйте это в чужих сетях, за что можно понести ответственность. Сначала агент не побежал сканировать. Он подумал Вот это меня и зацепило. Я ждал, что Opus сразу выплюнет nmap -sV и начнёт долбить подсеть. Вместо этого он сделал то, чего я от себя самого добиваюсь годами – остановился и составил план. Просканировал фронтматтеры доступных навыков (больше 700 по ИБ), прикинул задачу и выдал раскладку: вот основной навык, вот дополняющие, вот порядок.

https://habr.com/ru/companies/ideco/articles/1043630/

#сканер_уязвимостей #NGFW #hermes_agent #Ideco_NGFW #пентест #pentest

Ransomware: математический аппарат на службе зла. Способы защиты

Всем салют! Это снова Илья Борисов из антивирусной лаборатории Positive Technologies. Защита от киберугроз, в том числе от атак шифровальщиков, начинается с построения безопасной экосистемы. Ее техническую основу составляют взаимосвязанные продукты разных классов: песочницы, антивирусы, системы защиты конечных точек (EDR), NGFW. Каждый из продуктов на разных этапах атаки имеет реальную возможность распознать угрозу типа ransomware, остановить ее или передать сигнал о необходимости начать расследование. Важно! При попытке атаки с помощью ransomware, вывести из строя средства защиты — приоритетная цель для злоумышленника.

https://habr.com/ru/companies/pt/articles/1040922/

#ransomware #анализ_трафика #шифровальщики #средства_защиты_информации #антивирус #антивирусная_лаборатория #песочница #edr #ngfw

Сеть, в которой живут агенты: кто нажал Enter и как это проверить

К 2028 году в корпоративных средах будет работать 1,3 млрд AI-агентов, а классическая модель identity по-прежнему исходит из допущения «один деятель – один человек». Разбираем, что ломается в аутентификации, почему service account и OAuth-токен больше не закрывают задачу, и как мы в Ideco смотрим на ближайшее развитие средств защиты: непрерывная биометрия для людей и делегированные токены для агентов. Цифры, которые ломают ИБ-ландшафт На RSAC 2026 Microsoft, опираясь на прогноз IDC, заявила о 1,3 млрд AI-агентов в корпоративных средах к 2028 году ( Windows Forum, RSAC 2026 , Lantern Studios ). Это не «копилоты, которые помогают писать письма» или «чатики» – это автономные исполнители, у которых есть права, токены и доступ к продуктовым системам. Мы сами уже видим лавинообразное «нашествие агентов» как в собственной, так и в чужих корпоративных сетях. Атакующая сторона тоже меняется. В отчёте о кампании GTG-1002 Anthropic зафиксировала первую массовую AI-оркестрированную операцию: взломанная версия Claude, подключённая к набору MCP-серверов, выполнила 80–90% тактических операций самостоятельно – разведку, поиск уязвимостей, эксплуатацию, сбор учётных данных, латеральное движение ( Anthropic, Disrupting the first reported AI-orchestrated cyber espionage campaign , Paul, Weiss разбор ). Человек был нужен на 4–6 точках принятия решений за всю кампанию. И последняя цифра, без которой картина неполная. По 2025 Identity Security Landscape от CyberArk (опрос 2 600 ЛПР-ов в сфере ИБ), на каждую человеческую идентичность в средней организации приходится 82 машинных; 42% этих NHI имеют привилегированный доступ или доступ к чувствительным данным, при этом 88% респондентов всё ещё относят определение «привилегированный пользователь» исключительно к людям. 87% компаний за последние 12 месяцев пережили минимум два успешных identity-центричных инцидента.

https://habr.com/ru/companies/ideco/articles/1029140/

#информационная_безопасность #ngfw #pam #аутентификация #аутентификация_пользователей #аутентификация_и_авторизация

Опыт настройки МСЭ и кибербезопасности на промышленных объектах

Привет, Хабр! Меня зовут Артём Чуйков, я инженер компании Innostage — первого кибериспытанного интегратора сервисов и решений в области цифровой безопасности. Я занимаюсь внедрением межсетевых экранов на промышленных предприятиях, и сегодня хочу поделиться практическим опытом. Ни для кого не секрет, что злоумышленники постоянно пытаются атаковать наши киберрубежи. Успешная атака на офисную сеть приводит к утечкам данных, зашифрованным дискам, потерянным деньги и репутации. Как правило, такой ущербе можно компенсировать: восстановить данные, вернуть инфраструктуру в рабочее состояние, извиниться перед клиентами и контрагентами. Однако успешная атака на автоматизированные системы управления технологическими процессами — это уже совсем другая история. Это обесточенные города, остановленные производства, потенциальные техногенные катастрофы. Представьте, к примеру, атомную электростанцию, управлять которой могут злоумышленники, получившие нелегитимный доступ. Именно поэтому внедрение систем обеспечения информационной безопасности позволяет эффективно противостоять подобным угрозам. Для объектов критической информационной инфраструктуры внедрение СОИБ является не просто рекомендацией, а требованием регуляторов — ФСТЭК, ФСБ, а также стандартов, таких как ГОСТ Р ИСО/МЭК 27001 и других.

https://habr.com/ru/companies/innostage/articles/1028890/

#мсэ #файервол #асу_тп #соиб #сетевая_безопасность #промышленная_безопасность #харденинг #сетевые_протоколы #ngfw #dmz

ML IPS в Ideco NGFW: бессигнатурная защита от атак нулевого дня

В 2020-ом году отправившись на рекомендованную всем «удаленку» мы в Айдеко перекроили весь роадмап продукта и быстро выпустили Ideco UTM VPN Edition – версию с расширенными возможностями по организации, защите и контролю доступа удаленных сотрудников. Делать что-то другое в IT-продукте в это время казалось несвоевременным. Примерно, как сейчас – не использовать AI-инструменты в работе и AI-функциональность в продукте для защиты. В то время, когда злоумышленники вовсю используют AI-инструменты. И атаки становятся все изощреннее и быстрее . В 2025 году зафиксировано 90 zero-day эксплойтов в дикой природе. 44% атак нулевого дня нацелены на корпоративные сетевые устройства - NGFW и VPN-шлюзы. Среднее время от публикации CVE до первой эксплуатации в реальных атаках сократилось до 5 дней и еще более сократится . Ни одна сигнатурная база не успевает за этим темпом. Рассказываем, как мы работаем над ML-модулем обнаружения вторжений в Ideco NGFW, что показал натурный эксперимент с ИСП РАН на 73 миллионах сессий и какие ограничения у этого подхода. Почему сигнатуры перестают справляться Сигнатурный IPS работает принципиально так же, как антивирус в 1990-х: есть база известных угроз, есть входящий трафик, есть сравнение. IPS - при всей мощи, работает с заранее описанными паттернами. Проблема не в самом подходе - проблема в скорости появления угроз. По данным Google Threat Intelligence Group , в 2025 году в дикой природе было зафиксировано 90 zero-day эксплойтов. По данным RAND Corporation, среднее время жизни zero-day атаки до её обнаружения составляет 312 дней. За это время сигнатура не появится: её невозможно написать на то, что ещё не обнаружено.

https://habr.com/ru/companies/ideco/articles/1024442/

#IPS #NGFW #ml #suricata #машинное_обучение

SD-WAN + NGFW: почему разрыв между сетью и безопасностью обходится дорого

Интеграция SD-WAN и NGFW (Next-Generation Firewall) давно стала нормой у западных вендоров, но в России сетевая и ИБ-команды по-прежнему часто живут в разных консолях. Посмотрим, во сколько обходится этот разрыв, что даёт их объединение - и как мы реализовали SD-WAN с SLA-маршрутизацией в Ideco NGFW 22 Novum. Две команды, одна сеть, ноль координации В типичной российской компании с филиальной сетью за маршрутизацию и каналы связи отвечает сетевая команда, а за межсетевой экран, IPS и политики доступа - команда ИБ. Инструменты разные, консоли разные, приоритеты разные. На бумаге это выглядит как разумное разделение ответственности. На практике - как разрыв, который стоит больших денег на решения и времени на администрирование.

https://habr.com/ru/companies/ideco/articles/1025410/

#ngfw #sdwan #vpn #vpnсервер #информационная_архитектура #информационная_безопасность