Stonesoft запустила сервис тестирования средств сетевой защиты Anti-Evasion Readiness Test

Stonesoft запустила сервис тестирования средств сетевой защиты Anti-Evasion Readiness Test

Компания Stonesoft объявила о запуске сервиса по тестированию способности систем сетевой безопасности противостоять динамическим техникам обхода — Anti-Evasion Readiness Test. Этот тест, по задумке Stonesoft, позволит наглядно показать, насколько хорошо защищены критически важные активы организаций от динамических техник обхода.



Динамические техники обхода, или AET, являются средством маскировки сетевой атаки, с помощью которого она не детектируется имеющейся системой сетевой защиты и не блокируется ею. На практике AET дают возможность киберпреступникам доставить любой вредоносный контент или эксплойт до уязвимой информационной системы, не оставляя следа, отметили в Stonesoft. Как показали исследования компании, AET могут обойти большинство существующих систем сетевой безопасности, сообщает CNews

Сервис Anti-Evasion Readiness Test был разработан для организаций, которые в своей работе полагаются на такие средства защиты, как межсетевые экраны нового поколения и системы предотвращения вторжений с функционалом глубокой инспекции трафика. Такие устройства обычно защищают критически важные компьютерные сети, конфиденциальные данные, критически важные информационные системы, как, например, CRM, ERP, сети SCADA. Эти объекты также являются наиболее привлекательными для киберпреступников, а динамические техники обхода предоставляют эффективный способ проведения атак на них, подчеркнули в Stonesoft. Для многих организаций безопасность таких объектов имеет важное значение с точки зрения соблюдения законодательства или требований аудита.

«Недавние серьезные инциденты информационной безопасности выдвинули на первый план важность защиты на сетевом уровне. Первый шаг к уменьшению рисков — это повышение информированности о текущем уровне сетевой безопасности в организации. Хуже всего, иметь ложное ощущение безопасности своей информационной системы или полностью полагаться на утверждения вендора о полной безопасности предлагаемой сетевой системы. Сервис Anti-Evasion Readiness Test предоставляет организациям независимый, практический и точный ответ на вопрос, насколько хорошо их система сетевой безопасности защищает от динамических техник обхода», — отметил Клаус Маевски (Klaus Majewski), директор по развитию бизнеса корпорации Stonesoft.

По словам разработчиков, сервис тестирования Anti-Evasion Readiness Test использует ПО StoneGate Evasion Testing, которое было разработано Stonesoft для оценки способности систем сетевой безопасности защитить критически важные активы организаций от АЕТ и создания детальных отчетов. В результате тестирования клиенты получат детальный отчет об использованных техниках обхода и их блокировании средствами защиты на разных уровнях работы протокола. Отчет по результатам испытаний также включает практические рекомендации и советы по снижению рисков. Тест не требует специальных навыков или инвестиций в средства тестирования.

«Этот сервис является значимым компонентом аудита безопасности, процесса оценки средств защиты или управления конфигурациями системы защиты при добавлении защиты от AET. Anti-Evasion Readiness Test поможет организациям оптимизировать свою стратегию безопасности», — добавил Маевски.

Сервис Anti-Evasion Readiness Test будет предоставляться независимыми, квалифицированными провайдерами ИТ-услуг по всему миру. Ожидается, что сервис получит быстрое распространение, поскольку основные поставщики станут предлагать его как часть своего портфеля.

ИИ-браузеры обманули игрой и заставили сливать логины пользователей

Оказывается, современный ИИ можно взломать не только сложным промптом, но и головоломкой. Исследователи из компании LayerX представили технику BioShocking, которая заставляет ИИ-браузеры добровольно воровать данные пользователя. Под удар попали сразу несколько популярных решений, включая ChatGPT Atlas, Perplexity Comet и браузерное расширение Claude от Anthropic.

Суть атаки строится вокруг так называемой косвенной инъекции в промпт. Пользователю достаточно открыть специально подготовленную веб-страницу.

Для человека это обычная игра с абсурдными правилами вроде «2 + 2 = 5». А вот ИИ воспринимает встроенные в страницу инструкции как часть задания и постепенно начинает следовать логике злоумышленника.

Финал игры выглядит так: агенту предлагают получить учётные данные пользователя и передать их атакующему. Во время эксперимента ни один из шести протестированных ИИ не распознал это как опасное действие.

 

В демонстрации LayerX агент самостоятельно открыл рабочий репозиторий GitHub пользователя, получил учётные данные SSH и отправил их злоумышленнику. Исследователи использовали безвредный текстовый файл, однако отмечают, что аналогичным способом можно добраться до открытых вкладок браузера, корпоративных сервисов, внутренних инструментов и других ресурсов.

Самое опасное здесь не сама головоломка, а возможности ИИ в режиме агента. Такие браузеры умеют нажимать кнопки, переходить по ссылкам, читать содержимое сайтов и выполнять действия от имени пользователя. Если агент уже имеет доступ к аккаунтам, вредоносная страница может превратить его в помощника злоумышленника.

 

По данным LayerX, реакция разработчиков оказалась неодинаковой. OpenAI устранила проблему в ChatGPT Atlas. Perplexity, как утверждают исследователи, закрыла отчёт без патча. Anthropic выпустила обновление для расширения Claude, но, по мнению LayerX, оно не решило проблему полностью.

Эксперты считают, что ИИ-браузеры должны запрашивать явное разрешение перед доступом к данным из сервисов. А пользователям советуют не держать агентный режим включённым без необходимости.

RSS: Новости на портале Anti-Malware.ru