Pretinieki no kibernoziedzības bandām līdz nacionālās valsts kiberuzbrukuma komandām ir precīzi noregulējami AI ar mērķi pieveikt jaunus plāksterus 3 vai mazāk dienu laikā.
Jo ātrāks uzbrukums, jo vairāk laika izpētīt upura tīklu, exfiltrate datus, instalēt izpirkuma programmatūru vai uzstādīt izlūkošanu, kas ilgs mēnešus vai gadus. Tradicionālā, manuāla lāpīšana tagad ir atbildība, padarot iebraukšanu organizācijās neaizsargātas pret ieročiem AI uzbrukumiem
"Draudu dalībnieki ir reversās inženierzinātņu ielāpi, un ātrumu, ar kādu viņi to dara, AI ir ievērojami uzlabojusi," Maiks Rīmers, tīkla drošības grupas un lauka CISO SVP plkst Ivanti pastāstīja VentureBeat nesenā intervijā. "Viņi var mainīt plāksteri 72 stundu laikā. Tātad, ja es atbrīvoju plāksteri un klients neizlāpē 72 stundu laikā pēc šīs izlaišanas, viņi ir atvērti to izmantošanai."
Šīs nav teorētiskas spekulācijas. Tā ir smagā realitāte, liekot pārdevējiem pilnībā izveidot viņu drošības infrastruktūru no kodola uz augšu. Pagājušajā nedēļā Ivanti izlaida Join Safe (ICS) versiju 25.x, atzīmējot to, ko sauc Rīmers "taustāmi pierādījumi" par uzņēmuma apņemšanos tikt galā ar šiem draudiem.
Pie Def Con 33 pētnieki no Ambervolfs pierādīja šo draudu reālu, parādot pilnīgu autentifikācijas apvedceļu ZscalerVerdzība Netskopeun pārbaudiet punktu, izmantojot vairākus mēnešus pastāvēšanas ievainojamības, ieskaitot Zscaler nespēju apstiprināt SAML apgalvojumus (CVE-2025-54982), Netskope bez akreditācijas orgkija piekļuves un Examine Level cieti kodētie SFTP atslēgas, kas pakļauj īrnieku žurnālus, bija visi trūkumi, kas atstāti un izmantojami vairāk nekā 16 mēnešus pēc sākotnējās izpaušanas.
Kāpēc kodola drošībai ir nozīme
Kodols ir centrālais orķestris visam, kas notiek skaitļošanas ierīcē, kontrolējot atmiņu, procesus un aparatūru.
Ja uzbrucējs kompromitē kodolu, viņi ir konfiscējuši kopējo ierīces kontroli, kas var mērogot visu tīklu. Jebkurš cits drošības slānis vai lietojumprogramma, platforma vai aizsardzība tiek nekavējoties apieta, un uzbrucēji pārņem kontroli pār kodolu.
Gandrīz visas operētājsistēmas paļaujas uz privilēģiju gredzenu ieviešanas jēdzienu. Lietojumprogrammas darbojas lietotāja režīmā ar ierobežotu piekļuvi. Kodols darbojas kodola režīmā ar pilnīgu vadību. Kad pretinieki pārkāpj šo barjeru, viņi ir ieguvuši piekļuvi tam, ko daudzi drošības pētnieki uzskata par sistēmu svēto Grālu un veselu tīklu ievainojamību.
Jaunā Ivanti izlaidums tieši pievēršas šai realitātei. Pievienojiet drošu 25.x palaišanu uzņēmuma klases Oracle Linux operētājsistēmā ar spēcīgu drošību uzlabotu Linux (SELinux) izpilde, kas var ierobežot draudu dalībnieka spējas sistēmā. Risinājumā ietilpst droša sāknēšanas aizsardzība, diska šifrēšana, atslēgu pārvaldība, droša rūpnīcas atiestatīšana, moderns drošs tīmekļa serveris un tīmekļa lietojumprogrammu ugunsmūris (WAF), visi ir paredzēti, lai nodrošinātu galvenos sistēmas aspektus un ievērojami atturētu no ārējiem draudiem.
"Pagājušajā gadā mēs esam ievērojami attīstījuši savu drošību pēc dizaina stratēģijas, pārveidojot savas saistības reālā rīcībā, izmantojot ievērojamas investīcijas un paplašinātu drošības komandu," Rīmers paskaidroja. "Šis izlaidums ir taustāms pierādījums par mūsu apņemšanos. Mēs klausījāmies klientus, ieguldījām gan tehnoloģijās, gan talantos un modernizējām Ivanti Join drošību, lai nodrošinātu noturību un mieru, ko mūsu klienti sagaida un ir pelnījuši."
No OS gredzeniem līdz izvietošanas gredzeniem: pilnīgāka aizsardzības stratēģija
Kamēr operētājsistēmas gredzeni nosaka privilēģiju līmeni, mūsdienu plākstera pārvaldība ir pieņēmusi savu gredzena stratēģiju, lai apkarotu 72 stundu ekspluatācijas logu.
Gredzenu izvietošana nodrošina pakāpenisku, automatizētu ielāpšanas stratēģiju, kas pakāpeniski ievieš atjauninājumus: testa gredzens kodola IT validācijai, agrīna adoptētāja gredzens saderības pārbaudei un ražošanas gredzens uzņēmuma mēroga ieviešanai.
Šī pieeja tieši pievēršas ātruma krīzei. Gredzena izvietošana sasniedz 99% panākumus plāksterī 24 stundu laikā līdz 100 000 gab., Saskaņā ar Gartner Analysis. Ponemon institūts Pētījumi rāda, ka organizācijas satraucošajā vidējā vērtībā ir 43 dienas, lai noteiktu kiberuzbrukumus pat pēc plākstera izlaišanas.
Džesijs Millers, SVP un tā direktors Southstar Bankuzsvērts: "Spriežot, cik kaut kas var būt ietekmīgs, jums ir jāņem vērā viss, sākot no pašreizējiem notikumiem, nozares, vides un citām vienādojumā." Viņa komanda izmanto gredzenu izvietošanu, lai pēc iespējas ātrāk samazinātu viņu uzbrukuma virsmu.
Uzbrucēji agresīvi izmanto mantotās ievainojamības ar 76% no ievainojamībām, kuras izmantoja izpirkuma programmatūra, tika ziņots laikā no 2010. līdz 2019. gadam. Kad ir apdraudēta kodola piekļuve, katra kavēšanās stunda reizina risku eksponenciāli.
Kodola dilemma koncentrējas uz drošības līdzsvarošanu pret stabilitāti
Crowdstrike Falcon konferencē galvenais tehnoloģiju inovāciju virsnieks Alekss Ionescu izklāstīja problēmu: "Tagad ir skaidrs, ka, ja vēlaties aizsargāt pret sliktiem aktieriem, jums ir jādarbojas kodolā. Wager, lai to izdarītu, jūsu mašīnas uzticamība ir pakļauta riskam."
Nozare reaģē ar fundamentālām maiņām:
-
Pilnvarot vairāku gadu izmaiņas katram Home windows drošības pārdevējam
-
drošākai kodola instrumentiem
-
Apple galapunkta drošības ietvars
Iespējo lietotāja režīma darbību
Autentifikācijas apvedceļš notiek, ja tiek apdraudēti kodoli
Ambervolfs Pētnieki pavadīja septiņus mēnešus, analizējot Ztna produkti. Zscaler neizdevās apstiprināt Saml apgalvojumi (CVE-2024-54982). Netskope Autentifikāciju var apiet, izmantojot nekontrolējamas orgkey vērtības. Pārbaudes punkts bija grūti kodēts SFTP atslēgas (CVE-2025-3831).
Šīs ievainojamības pastāvēja vairākus mēnešus. Daži pārdevēji mierīgi ielāpa bez CVE. Sākot ar 2025. gada augustu, 16 mēnešus pēc informācijas atklāšanas, daudzas organizācijas joprojām izmantoja izmantojamas konfigurācijas.
Gada, kas gūtas, saspiežot 3 gadu kodola apsardzi uz 18 mēnešiem
Kad nacionālās valsts uzbrucēji 2024. gada janvārī izmantoja Ivanti Join Safe, tā apstiprināja Ivanti lēmumu strauji attīstīt savu kodola līmeņa drošības stratēģiju, saspiežot trīs gadu projektu tikai 18 mēnešos. Kā paskaidroja Rīmers, "Pirms uzbrukuma mēs jau bijām pabeiguši pirmās kodola izturības projekta fāzi. Tas ļāva mums ātri pagriezties un paātrināt savu ceļvedi. ”
Galvenie sasniegumi bija:
-
Migrācija uz 64 bitu Oracle Linux:
Ivanti aizstāja novecojušo 32 bitu CentOS OS ar Oracle Linux 9, ievērojami samazinot zināmās ievainojamības, kas saistītas ar mantotajiem atvērtā koda komponentiem.
-
Pielāgota Selinux izpilde:
Sākotnēji ieviešot stingru Selinux politiku, sākotnēji pārkāpa ievērojamu skaitu produktu funkciju, nepieciešama rūpīga reakcijas veidošana, neapdraudot drošības parametrus. Iegūtais risinājums tagad darbojas pastāvīgā izpildes režīmā, skaidroja Rīmers.
-
Course of De-privilēģiju un drošu sāknēšanu ar TPM:
Ivanti izslēdz sakņu privilēģijas no kritiskiem procesiem un integrētām TPM balstītām drošas zābaku un RSA šifrēšanas palīdzību, nodrošinot nepārtrauktas integritātes pārbaudes, saskaņojot ar Amberwolf pētījumu ieteikumiem un atklājumiem.
Bija arī virkne neatkarīgu iespiešanās testēšanas iniciatīvu, un katrs apstiprināja nulles veiksmīgus kompromisus, un draudi dalībnieki parasti trīs dienu laikā atsakās no mēģinājumiem.
Rīmers VentureBeat paskaidroja, ka globālās inteliģences kopienas klienti aktīvi vēroja, kā draudi aktieri pārbauda rūdītās sistēmas. "Viņi izmēģināja veco TTPStiek izmantots tīmekļa servera ekspluatācijā. Viņi diezgan daudz atteicās pēc apmēram trim dienām," Rīmers teica.
Lēmums par Kodola līmeni nebija panikas atbilde. "Mums faktiski bija plāni 2023. gadā, lai to risinātu, pirms mums kādreiz uzbruka," Rīmers teica. Saruna, kas aizzīmogoja lēmumu, notika Vašingtonā, DC. "Es apsēdos ar federālās aģentūras CIO, un es viņam pajautāju: vai ASV valdībai būs vajadzīga L3 VPN risinājums nākotnē?" Rīmers atgādināja. "Viņa atbilde bija tāda, ka vienmēr būs nepieciešama misija pēc L3 VPN uz Prem tipa risinājuma, lai dotu šifrētu komunikāciju piekļuvi karavīram."
Nākotnē ārpus kodola drošības ietilpst EBPF un uzvedības uzraudzība
Gartnera Jaunais tehnoloģiju ietekmes radars: mākoņu drošības ziņojums likmes EBPF kā "augsts" Mise ar 1-3 gadiem līdz agrīnai vairākuma adopcijai. "EBPF izmantošana ļauj uzlabot redzamību un drošību, nepaļaujoties tikai uz kodola līmeņa aģentiem," Gartners piezīmes.
Lielākā daļa kiberdrošības drošības pārdevēju lielā mērā iegulda EBPF. "Šodien gandrīz visa mūsu klientu bāze darbojas Piekūns sensors virsū EBPFVerdzība" Ionescu sacīja, ka viņa galvenā galvenā šī gada fal.con laikā. "Mēs esam bijuši daļa no šī ceļojuma kā EBPF fonds locekļi."
Palo Alto tīkli ir kļuvis arī par galveno spēlētāju EBPF balstītā drošībā, ieguldot viņu tehnoloģijā daudz Garozas xdr un Prisma mākonis platformas. Šī arhitektūras maiņa ļauj Palo Alto tīkli nodrošināt dziļu redzamību sistēmas zvanos, tīkla trafikā un procesa izpildei, saglabājot sistēmas uzticamību.
Konverģence Kravas automašīnaVerdzība Palo Alto tīkliun citi galvenie EBPF tehnoloģijas pārdevēji norāda uz būtisku pārveidi – nodrošinot redzamības drošības komandām, kas nav nepieciešami bez katastrofiskiem neveiksmes riskiem.
Aizsardzības stratēģijas, kas darbojas
Patching bieži tiek novirzīts uz vienu no tiem uzdevumiem, par kuriem tiek atlikts, jo tik daudz drošības komandu ir īsa roka, saskaroties ar hronisku laika trūkumu. Šie ir nosacījumi, kurus pretinieki bankas ir, kad viņi izvēlas upurus.
Tā ir pārliecināta derība, ka, ja uzņēmums par prioritāti nenosaka kiberdrošību, viņi būs mēnešus vai pat gadus atpakaļ uz viņu plāksteri. To meklē pretinieki. Raksti parādās no dažādām upuru nozarēm, un tām ir kopīga īpašība, kas saistīta ar sistēmas uzturēšanu kopumā un drošības modeļos.
Balstoties uz intervijām par pārkāpumiem, kas sākās ar plāksteriem, dažreiz gadu veci, VentureBeat ir redzējis šādus tūlītējus pasākumus, ko viņi veic, lai samazinātu varbūtību, ka tiek atkal trāpīts:
Nekavējoties automatizējiet lāpīšanu. Ikmēneša cikli ir novecojuši. Tonijs Millers, Ivanti Uzņēmējdarbības pakalpojumu viceprezidents, apstiprināta gredzena izvietošana novērš reaktīvo plākstera haosu, kas organizācijām atstāj neaizsargātas kritiskā 72 stundu laikā.
Revīzijas kodola līmeņa drošība. Jautājiet pārdevējiem par EBPF/ESF/Gudrība Migrācijas plāni un termiņi.
Slāņa aizsardzība. Tas ir galda likmes jebkurai kiberdrošības stratēģijai, guess kritiska, lai sakārtotu. "Vai tas bija Selinux profilēšana, saknes privilēģiju izvairīšanās, atjaunināts tīmekļa serveris vai Waf– katrs slānis pārtrauca uzbrukumus," Rīmers teica.
Pieprasīt caurspīdīgumu. "Citam pārdevējam uzbruka 2023. gada novembrī. Šī informācija nebija pieejama līdz 2024. gada augustam," Rīmers atklāja. "Tāpēc tas ir iemesls Ivanti ir bijis tik publisks par caurspīdīgumu."
Apakšējā līnija
Kodola līmeņa transformācija nav obligāta. Tā ir izdzīvošana, kad AI trīs dienu laikā ieročo ievainojamības.
Ivanti Join Safe 25.x apzīmē to, kas ir iespējams, ja pārdevējs pilnībā apņemas ar kodola līmeņa drošību, nevis kā reaktīvu pasākumu, guess gan kā arhitektūras principu. Gartnera Stratēģiskā plānošanas pieņēmums ir prātīgs: "Līdz 2030. gadam vismaz 80% uzņēmuma Logs Galapunkti joprojām paļausies uz hibrīdiem parametru aizsardzības līdzekļiem, palielinot uzbrukuma virsmu un nepieciešama stingra validācija."
Organizācijām ir jāsalina to, ko viņi var tagad, nekavējoties automatizēt un sagatavoties arhitektūras satricinājumiem. Kā Gārtējs uzsver, apvienojot gredzenu izvietošanu ar integrētām kompensējošām kontrolēm, ieskaitot parametru aizsardzības platformasVerdzība daudzfaktoru autentifikācijaun tīkla segmentēšana kā daļa no plašāka nulles uzticības sistēma Nodrošina, ka drošības komandas var samazināt ekspozīcijas logus.
