Rosnąca dostępność dużej mocy obliczeniowej oraz narzędzi opartych na AI drastycznie zmienia układ sił w cyberbezpieczeństwie. Publicznie widoczne systemy dostępu zdalnego, takie jak VPN, firewalle, OWA, Citrix czy RD Gateway, stały się głównym celem zautomatyzowanych ataków. Eksperci z firmy Secfense wskazują, że tradycyjne mechanizmy obronne przestały wystarczać, a organizacje muszą ukrywać swoją infrastrukturę krytyczną jeszcze przed etapem uwierzytelniania.
Analiza ostatnich incydentów, takich jak głośny atak na urządzenia brzegowe znany jako FortiBleed, obnaża fundamentalną słabość dzisiejszej architektury dostępu zdalnego. Publicznie widoczny gateway przestał być wyłącznie ekranem logowania, stając się otwartą mapą wejścia do wewnętrznych sieci organizacji.
Statystyki jasno pokazują lukę w dotychczasowym modelu bezpieczeństwa:
● Aż 70% exploitów jest dostępnych już w dniu ujawnienia podatności (CVE).
● Od momentu publikacji luki do pierwszych prób jej wykorzystania przez zautomatyzowane boty mija często mniej niż godzina.
● Tymczasem organizacje potrzebują średnio 32 dni na przetestowanie i wdrożenie poprawek.
Podczas ataków przestępcy nie musieli przełamywać skomplikowanych zabezpieczeń aplikacji biznesowych. Skanując Internet, zidentyfikowali publicznie dostępne interfejsy, pobrali konfiguracje, a następnie – korzystając z potężnej mocy obliczeniowej 36 wynajętych procesorów graficznych klasy enterprise – błyskawicznie złamali zabezpieczenia offline. W erze AI proces zautomatyzowanego rekonesansu staje się szybszy, tańszy i łatwiejszy do skalowania.
Zanim zabezpieczysz logowanie, musisz ukryć sam system (Pre-auth exposure control)
Zamiast wymuszać na firmach natychmiastową i kosztowną migrację do chmurowych rozwiązań Zero Trust Network Access (ZTNA), branża zwraca się ku nowemu podejściu – fizycznemu odcięciu publicznej widoczności bram dostępowych.
MFA chroni logowanie, a patchowanie zamyka znane podatności. Ale zanim dojdzie do logowania, system często jest już widoczny dla każdego skanera w internecie. To właśnie ten wcześniejszy etap wymaga dziś większej uwagi – mówi Marcin Szary, CEO Secfense.
Fizyczną odpowiedzią na ten rynkowy problem jest technologia Secfense Ghost, działająca jako warstwa kontroli ekspozycji przed uwierzytelnieniem. Mechanizm ten sprawia, że istniejące systemy – takie jak FortiGate, Palo Alto GlobalProtect, Cisco AnyConnect, Citrix Gateway, Microsoft OWA, RD Gateway czy F5 APM – stają się całkowicie niewidoczne z poziomu publicznego Internetu.
Zasoby w prywatnym centrum danych mogą pozostać na swoim miejscu, pozostając nieosiągalnymi dla skanerów i botów. Dostęp do nich zostaje odblokowany dopiero w momencie, w którym zaufany użytkownik zainicjuje potwierdzone połączenie.
Po ostatnich demonstracjach możliwości narzędzi AI stało się jasne, że przewaga atakujących rośnie szybciej niż zdolność organizacji do klasycznej obrony. Ten model zawsze był asymetryczny: obrońca musi wygrać za każdym razem, atakującemu wystarczy jedna luka. Różnica polega na tym, że dziś atakujący dostali narzędzia, które automatyzują rekonesans, przyspieszają analizę podatności i skalują ataki w sposób, którego nie da się równoważyć samym patchowaniem i kolejnymi warstwami kontroli po stronie logowania. Świat się zmienił. Dlatego nie możemy tylko naprawiać modelu, w którym krytyczny system cały czas czeka publicznie w internecie na każdego, kto go zeskanuje. Trzeba przesunąć obronę wcześniej. Jeśli nieuprawnione źródło nie widzi systemu i nie może go dotknąć przed uwierzytelnieniem, odbieramy atakującemu pierwszy i często najważniejszy etap ataku – mówi Marcin Szary, CEO Secfense.
Podstawowym pytaniem, na które muszą dziś odpowiedzieć dyrektorzy IT, nie jest już tylko „kto może się zalogować?”, ale: które z krytycznych systemów dostępowych organizacji są dziś publicznie widoczne z Internetu, mimo że prowadzą bezpośrednio do prywatnej infrastruktury?
