В последнее время злоумышленники предпочитают форматы PPT, XLS и DOC, так как они легко проходят все фильтры, передаются через облака, мессенджеры и флеш-накопители. В этой ситуации можно спасти свой бизнес с помощью Next-Generation Firewall (NGFW). Эти устройства становятся критически важным рубежом обороны: они используют песочницы, машинное обучение и глубокий анализ трафика, чтобы обнаружить угрозу до того, как сотрудник откроет документ с вирусом.

Почему офисные документы стали оружием хакеров?

Офисные форматы позволяют внедрять вредоносный код с помощью макросов и VBA-скриптов, которые могут загружать дополнительные компоненты из сети или шифровать данные. Дополнительная опасность — это внедрение OLE-объектов или исполняемых файлов, которые активируются при взаимодействии пользователя. Злоумышленники шифруют и упаковывают свой код, обходя сигнатурные проверки и делая атаку практически невидимой для стандартных средств защиты.

Такие файлы особенно опасны тем, что они выглядят легитимно и активно эксплуатируются пользователями в повседневной работе. Даже опытный сотрудник может случайно запустить заражённый документ, поэтому NGFW с проактивной защитой — один из самых необходимых элементов в любом офисе.

Почему старые методы защиты не работают?

Стандартные антивирусы, почтовые фильтры и даже аппаратные брандмауэры обнаруживают только известные угрозы и проверяют ограниченный набор каналов. Они уязвимы перед атаками нулевого дня, не анализируют поведение файлов и игнорируют источники, такие как мессенджеры или внешние облачные сервисы. Это открывает путь «спящим» вредоносам, которые активируются спустя время.

Кроме того, статические сигнатуры не способны адаптироваться к полиморфным вирусам, которые меняют код при каждом распространении. Зато NGFW с динамическим анализом и песочницей с лёгкостью заполняет этот пробел, выявляя аномалии до того, как вредоносный код сможет нанести ущерб.

Как NGFW и песочница нейтрализуют угрозу

Файерволлы следующего поколения (NGFW) с модулем Advanced Threat Protection перехватывают подозрительные файлы и отправляют их в изолированную среду. Там эмулируются действия пользователя: открытие документа, запуск макросов, работа с OLE-объектами. Одновременно система отслеживает изменения в реестре, файлах и сетевых соединениях. При выявлении аномалий NGFW заблокирует сам файл и источник передачи.

Эта методика позволяет обнаруживать вредоносные цепочки действий, которые статический анализ не способен выявить. Песочница фиксирует поведение каждого элемента документа и выстраивает сигнал тревоги при подозрительной активности, уведомляя IT-отдел.

Роль машинного обучения в защите

Как мы уже писали ранее, ML-алгоритмы (машинное обучение) изучают структуру документа и сравнивают макросы с базой известных угроз. Они выявляют аномалии — от подозрительных API-вызовов до необычного количества встроенных объектов. Такой подход позволяет выявлять полиморфные вирусы, которые меняют свой код при каждом распространении.

Алгоритмы машинного обучения также способны обнаруживать ранее неизвестные угрозы, анализируя корреляции и шаблоны поведения. Это обеспечивает более высокий уровень защиты по сравнению с привычными методами и снижает вероятность ложноположительных срабатываний.

Контроль всех каналов

Вдобавок NGFW сканирует не только почту, но и файлы, передаваемые через облака, мессенджеры и локальные хранилища. С помощью SSL/TLS-инспекции он способен анализировать зашифрованный трафик, не давая вредоносному ПО использовать шифрование как способ скрыться.

Дополнительно NGFW применяет политику сегментации сети, ограничивая распространение подозрительных документов. Это минимизирует риски заражения всей корпоративной инфраструктуры и позволяет изолировать потенциальные угрозы без остановки работы бизнеса.

Примеры из практики

Пожалуй, самый яркий пример — русскоязычная хакерская группировка Fin7, которая внедряла вредоносные макросы в Excel для атак на бизнес (источник: https://xakep.ru/2022/12/30/malware-in-xll/). Другой пример — киберпреступники из APT28 использовали заражённые PPT для шпионажа (источник: https://www.anti-malware.ru/news/2022-09-27-111332/39622?page=2). Эти случаи подтверждают, что офисный документ может быть не только инструментом работы, но и средством атаки.

Подобные инциденты показывают, что даже широко распространённые форматы документов могут стать каналом для высокотехнологичных атак. И самым надёжным решением тут выступает только NGFW с продвинутыми функциями песочницы и анализа поведения, который способен предотвратить такие угрозы до их реализации.

Безопасность с NGFW

С помощью NGFW администраторы могут блокировать макросы во внешних документах, изолировать заражённые сегменты сети, автоматически уведомлять SIEM-систему и выстраивать динамические правила для фильтрации подозрительных файлов.

Более того, благодаря интеграции с SIEM и возможностям динамического управления политиками безопасности, NGFW позволяет оперативно реагировать на новые угрозы и адаптироваться под конкретные сценарии атаки, снижая риск утечки данных и обеспечения безопасности корпоративной сети.

Что в итоге

Как видите, угрозы через офисные документы — это уже не экзотика, а вполне реальная опасность. Остановить её может только NGFW с песочницами, ML-движками и инспекцией зашифрованного трафика. В целом использование файерволла следующего поколения как центра киберзащиты обеспечивает многослойную защиту, объединяя превентивные меры и аналитические инструменты, что делает корпоративную сеть значительно более устойчивой к современным угрозам и снижает любые риски.

Уязвимости нулевого дня (zero-day) становятся реальной угрозой не только из-за их неожиданности, но и из-за времени, необходимого разработчикам для выпуска патча. В этот период даже крупные корпорации могут остаться беззащитными. Единственным щитом может стать NGFW — файервол нового поколения, способный предотвращать подобные угрозы на поведенческом уровне, даже когда сигнатуры эксплойтов ещё не известны.

Уязвимости после обновлений: новая реальность

От багов не застрахована ни одна IT-компания, включая крупнейшие — яркий тому пример Apple, Google, Microsoft. Они регулярно выпускают патчи безопасности для своих устройств, описывая устранённые уязвимости. Получается, что взломать их софт всё-таки можно. В бизнес-сегменте всё немного сложнее — после выхода обновлений в разрешённых сетевых протоколах или популярных корпоративных приложениях часто появляются новые уязвимости.

Это происходит по нескольким причинам:

• Сложность программного кода и невозможность предсказать все сценарии его использования;
• Недостаточное тестирование из-за сжатых сроков релизов;
• Ошибки совместимости с другими компонентами инфраструктуры.

На такие уязвимости моментально реагируют хакеры. По данным Google Cloud, среднее время между появлением уязвимости и первой атакой составляет менее 48 часов. Пока производитель публикует патч, компания остаётся открытой для проникновения.

Реальные кейсы атак после обновлений

MOVEit Transfer

Одним из самых громких случаев стала уязвимость в решении MOVEit Transfer от Progress Software. Уязвимость CVE-2023-34362 позволяла удалённое выполнение кода через SQL-инъекции. Её массово использовала группировка Cl0p для взлома государственных и корпоративных структур по всему миру, включая BBC, Shell, Министерство энергетики США. (Источник: https://cloud.google.com/blog/topics/threat-intelligence/2023-zero-day-trends# и https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a)

Log4Shell (Apache Log4j)

Хотя эта уязвимость и не была напрямую связана с обновлением, она продемонстрировала, как один патч может вызвать лавину новых векторов атаки. Log4Shell позволяла удалённый запуск кода через подстановку логов. Компании по всему миру спешили внедрить обновление, но до его выпуска защититься могли только NGFW и системы обнаружения аномалий. (Источник: https://www.kaspersky.ru/blog/log4shell-still-active-2022/34362/)

FortiOS SSL-VPN

Fortinet признала нулевую уязвимость CVE-2023-27997 в своём SSL. Уязвимость позволяла неаутентифицированному удалённому пользователю выполнять произвольный код. Как следствие, атаки начались задолго до выпуска патча, но многие из них были остановлены именно с помощью NGFW за счёт анализа аномалий в сессиях. (Источник: https://www.fortinet.com/blog/psirt-blogs/analysis-of-cve-2023-27997-and-clarifications-on-volt-typhoon-campaign)

Почему классические файерволы не справляются

Традиционные межсетевые экраны работают на основе правил: разрешить или запретить определённые порты, IP-адреса, протоколы. Проблема в том, что современные атаки не всегда используют подозрительный трафик — они приходят через разрешённые каналы: HTTPS, VPN, DNS и даже SMTP. С точки зрения классического файервола, это обычная активность.

Кроме того, стандартные файерволы не анализируют содержимое трафика, не способны выявить скрытые сигнатуры атак и не обучаются на новых угрозах. Они — лишь барьер, а не активный анализатор.

Что умеет NGFW против эксплойтов и атак нулевого дня

1. Инспекция приложений и SSL-дешифровка

NGFW может расшифровывать HTTPS-трафик и анализировать его содержимое. Это позволяет обнаружить вредоносный код или подозрительную активность даже в зашифрованных соединениях. Благодаря этому блокируются попытки использовать эксплойты, замаскированные под легитимный трафик.

2. Сигнатуры угроз и репутационные базы

NGFW постоянно обновляет свои базы данных угроз, включая сигнатуры новых эксплойтов. Но, в отличие от классических IDS/IPS, файерволы следующего поколения могут использовать репутационные базы IP- и доменов, выявляя подозрительные источники до анализа конкретного пакета.

3. Поведенческий анализ и ML

Если сигнатуры ещё не существуют, NGFW применяет модели машинного обучения и эвристику (совокупность приёмов и методов для упрощения решения определённой задачи), чтобы оценить поведение сессии. Если трафик отклоняется от нормы — например, загружается необычно большой объём данных через нестандартный гаджет — система может заблокировать соединение и уведомить администраторов.

4. Интеграция с песочницами (sandboxing)

Многие NGFW интегрированы с внешними системами песочниц — где потенциально вредоносный код может быть запущен в изолированной среде. Если файл оказывается вредоносным, он блокируется на всех уровнях: от шлюза до конечной точки. Это особенно важно при атаках через обновления, когда эксплойт поставляется вместе с легитимным дистрибутивом.

5. Сегментирование сети

Один из ключевых механизмов NGFW — микросегментация. Даже если атакующий проникает в одну часть сети, он не может автоматически получить доступ к другим узлам. Сегментирование уменьшает радиус поражения и повышает устойчивость инфраструктуры.

NGFW — лучшая защита в ожидании патча

Когда в приложении найдена уязвимость, а патч с исправлением ещё не выпущен, важно блокировать любые попытки её эксплуатации. NGFW может выступать как временный «щит» в таких ситуациях:

Он блокирует аномальный трафик от подозрительных источников;

• Распознаёт поведение, характерное для эксплуатации уязвимостей;
• Ограничивает доступ к уязвимым сервисам по времени, географии или сегментам;
• Обогащает SIEM-систему событиями и метаданными для реагирования.

Дополнительные возможности: Threat Intelligence и Zero Trust

NGFW всё чаще интегрируется с глобальными источниками Threat Intelligence — платформами, собирающими данные об угрозах по всему миру. Это позволяет ещё до массового распространения блокировать трафик, связанный с группировками и ботнетами.

Поддержка концепции Zero Trust также важна. NGFW позволяет внедрять модель, при которой каждое соединение проверяется на доверенность, независимо от его источника. Это важно в контексте эксплуатации доверенных приложений.

Что в итоге

К сожалению, ни одна программа не застрахована от уязвимостей, и чем сложнее инфраструктура, тем выше риск. В условиях, когда атаки на уязвимости нулевого дня начинаются в течение часов после их раскрытия, организациям нужна защита, не зависящая от скорости выхода патчей. И только NGFW предоставляет сегодня такую защиту.

Благодаря сочетанию SSL-инспекции, анализа поведения, репутационных баз и сегментирования, файерволы нового поколения превращаются в активный инструмент реагирования на угрозы. И пока разработчики латают дыры — NGFW держит оборону.

Для бизнеса это уже не мем, а конкретный риск: deepfake может использоваться для социальной инженерии, обхода проверок и запуска вредоносных процессов. Однако NGFW (next-generation firewall) становится одним из немногих инструментов, способных отследить такие атаки на уровне сети. В этом материале разберем, как NGFW может защитить компании от новых угроз, и какие технологии уже работают на периметре.

Эволюция социальной инженерии: от фишинга к deepfake

Традиционные атаки социальной инженерии — это фишинг, спуфинг, подделка писем и подмена телефонов. Но нейросети открыли новый фронт: теперь злоумышленник может клонировать голос директора и позвонить в бухгалтерию с «приказом» перевести деньги, либо создать видео-обращение якобы от CEO и распространить его в закрытых чатах сотрудников. Такие атаки успешно обманывают не только людей, но и внутренние системы, если те полагаются на устные подтверждения.

По данным Gartner, к 2026 году более 30% кибератак с применением социальной инженерии будут включать deepfake-компоненты. В этот прогноз включены голосовые звонки, имитирующие сотрудников компании, и видеофайлы с обращениями, в которых лицо, интонация и движения полностью сгенерированы ИИ.

NGFW в роли щита против новых угроз

NGFW — это не просто расширенная версия классического файервола. Его ключевая задача — глубокая проверка сетевого трафика, включая VoIP и потоковое видео, с применением машинного обучения и поведенческого анализа. Это делает NGFW уникально подходящим для борьбы с deepfake-атаками на уровне инфраструктуры. Давайте рассмотрим всё в деталях.

Анализ VoIP-трафика

Среди технологий, которые NGFW использует для выявления аномалий в голосовых звонках:

• Инспекция SIP-пакетов и проверка соответствия протокольным стандартам;
• Отслеживание нестандартного поведения соединений, включая необычные паттерны RTP-потоков;
• Интеграция с системами анализа голоса в реальном времени для определения искажённых параметров речи.

Например, NGFW может определить, что голосовой трафик идёт не из корпоративного сегмента, а из публичной сети TOR или VPN, а также сравнить поведение соединения с историческими паттернами для конкретного абонента.

Анализ видео

Потоковое видео через Zoom, Teams или корпоративные платформы также проходит через NGFW. Поэтому он может:

• Обнаруживать отклонения в параметрах передачи видео (нестабильный FPS, изменённые метаданные);
• Блокировать нестандартные видеоформаты и передачи из подозрительных источников;
• Обмениваться данными с внешними ML-модулями или SIEM для сопоставления активности с известными паттернами атак.

Поведенческий анализ и корреляция событий

Также NGFW собирает данные о поведении пользователей и устройств. Если сотрудник, который обычно общается с коллегами по Teams, внезапно получает входящее соединение с неизвестного VoIP-сервера, NGFW может инициировать блокировку или запрос дополнительной аутентификации.

Кроме того, возможно выявление ботнет-активности: например, если устройство заражено и начинает принимать входящие команды через голосовой канал, NGFW способен распознать аномальные запросы и инициировать оповещение.

Роль SSL-инспекции

Deepfake-атаки всё чаще распространяются через защищённые каналы связи, включая HTTPS и зашифрованные мессенджеры. NGFW с поддержкой SSL-инспекции способен:

• Расшифровывать трафик для анализа в режиме реального времени;
• Обнаруживать подозрительные вложения, ссылки и VOIP-запросы внутри зашифрованного потока;
• Применять сигнатуры и эвристический анализ для определения известных атакующих шаблонов.

Интеграция с другими системами

Эффективность NGFW усиливается при работе в связке с SIEM-системами, которые агрегируют события и выявляют цепочки атак. Также их можно подключить к системам распознавания речи и биометрии, применяемым для подтверждения подлинности звонков. Отдельного упоминания заслуживают и DLP-платформы, предотвращающие утечку данных при использовании поддельной идентификации.

Почему NGFW — лучший рубеж в эпоху deepfake

Уникальность NGFW заключается в его способности работать на сетевом уровне. Тогда как антивирусы и endpoint-решения часто бессильны перед атакой, которая маскируется под легитимное соединение, NGFW может заблокировать передачу ещё до того, как фейковое видео или голос достигнут цели.

Особенно важно это предусмотреть в распределённых инфраструктурах, где сотрудники работают удалённо, используют VPN, мессенджеры и видеосвязь. Тут только NGFW сможет контролировать весь этот периметр, не нарушая пользовательского опыта.

Что в итоге

Технологии deepfake развиваются быстрее, чем компании успевают выработать защитные механизмы. Но NGFW уже сегодня предлагает инструменты, которые помогают справляться с новыми угрозами. От анализа трафика до поведения пользователей — файервол нового поколения превращается в центральный элемент защиты бизнеса в эпоху цифровых фейков. И если вчера это казалось фантастикой, то сегодня — это уже обязательная мера предосторожности.

Это является важным шагом в укреплении позиций компании на отечественном рынке телекоммуникационного оборудования и подтверждает высокую степень технологической уникальности наших решений.

Аппаратные платформы Mirada 500Х и 900 входят в состав выпускаемых компанией «Кодмастер» высокопроизводительных межсетевых экранов, предназначенных для защиты ЦОДов, магистральных каналов связи, высоконагруженных информационных систем и ключевых сетевых узлов.

Присвоение статуса в отношении указанных аппаратных платформ позволяет нашим клиентам и партнерам использовать продукты линейки Mirada при выполнении требований импортозамещения со стороны регулирующих органов.

В отличие от классических компьютеров, такие устройства редко получают своевременные обновления, из-за чего прошивки становятся уязвимыми, а сетевые политики зачастую их не охватывают. Поэтому IoT становится самой слабой частью корпоративной инфраструктуры. К счастью, NGFW (Next-Generation Firewall) остаётся одним из немногих эффективных инструментов, способных выявлять и изолировать угрозы, идущие через подобные устройства.

Как интернет вещей (IoT) стал ахиллесовой пятой бизнеса

Изначально устройства интернета вещей и умного дома проектировались для удобства, поэтому безопасности уделялось не очень много внимания. Производители ставили на первое место цену, простоту настройки и совместимость, в результате чего конфиденциальность и защита отошли на второй план. По данным исследовательской группы Unit 42 из Palo Alto Networks, более 98% IoT-устройств используют нешифрованные каналы передачи данных, а 57% подвержены уязвимостям критического уровня.

Добавьте к этому тот факт, что такие гаджеты зачастую работают на устаревших прошивках, а обновления либо отсутствуют, либо крайне редко устанавливаются системными администраторами. Некоторые устройства (например, МФУ от известных брендов) поставляются с открытыми портами, жёстко заданными паролями и даже встроенными web-интерфейсами без защиты от XSS.

В результате можно получить компрометацию корпоративной сети через IP-камеру с прошивкой на базе Linux BusyBox, ботнеты Mirai и Mozi, которые использовали уязвимые маршрутизаторы и DVR-системы для атак DDoS. Из этого вывод: любое сетевое устройство, не прошедшее базовый аудит безопасности, может стать точкой входа злоумышленника.

Угроза изнутри: сценарии вторжения

Допустим, сотрудник офиса подключил умный кондиционер Xiaomi через Wi-Fi, используя стандартные настройки и приложение Mi Home. Устройство автоматически получило IP-адрес и вышло в интернет. Однако прошивка содержит критическую уязвимость — CVE-2025-xxxx — позволяющую выполнить удалённый код через команду API.

Злоумышленник, сканируя подсети, находит открытый порт устройства, загружает эксплойт, получает доступ и использует гаджет как точку опоры. Через него он проводит разведку внутренней сети, обнаруживает файловый сервер, а затем начинает перемещаться по всей инфраструктуре.

Другой сценарий: злоумышленник инфицирует сетевой принтер. Через него можно перехватить документы, логины, пароли, а иногда и получить доступ к папкам Active Directory, если принтер неправильно аутентифицирован в домене. Более того, скомпрометированное устройство может использоваться как ретранслятор — тихий бэкдор, работающий годами.

Почему стандартные маршрутизаторы и фаерволы не справляются

Антивирус и системы EDR (Endpoint Detection and Response) не видят IoT. Эти устройства не поддерживают установку защитного ПО, а сетевые сканеры часто не могут корректно проанализировать трафик, особенно если он зашифрован. Более того, большинство решений по безопасности рассчитаны на хосты с полноценными ОС и средствами для ведения логов. У IoT этого попросту нет.

Внутренние межсетевые экраны также не гарантируют защиту. Во многих офисах устройства подключаются в одну и ту же подсеть, что делает изоляцию невозможной. Иногда гаджеты напрямую подключаются к Wi-Fi, в обход корпоративной инфраструктуры, а значит, любой просчёт в настройке — это прямая угроза.

Даже SIEM не всегда помогает, если не происходит корреляции событий с трафиком от IoT. В итоге администратор просто не замечает, что IP-камера «разговаривает» с неизвестным китайским сервером каждую ночь.

NGFW как последняя линия обороны

Next-Generation Firewall работает иначе. Он не просто фильтрует порты и IP-адреса, а анализирует содержимое пакетов, поведение устройств, статистику соединений, структуру DNS-запросов, а также использует сигнатуры и поведенческие модели для выявления подозрительной активности.

Главное преимущество NGFW — глубокая видимость, о чём мы неоднократно рассказывали в наших статьях. Он может идентифицировать устройство по User-Agent, MAC-адресу, сетевому шаблону и даже по специфике поведения в сети. Это позволяет чётко выделить IoT-устройства и применить к ним особые политики.

Дополнительно файерволы нового поколения поддерживают SSL-инспекцию — это ключевой элемент при защите от атак, замаскированных под HTTPS. Именно через такие каналы гаджеты могут скачивать вредоносные прошивки или устанавливать обратные соединения.

Сегментация как спасение

Ещё один весомый аргумент — функциональность NGFW позволяет реализовать микро-сегментацию сети. Например, можно создать отдельные виртуальные зоны (VLAN или VNF) для каждого класса устройств: камеры в одну, принтеры — в другую, кондиционеры и другие сенсоры — в третью. Каждая зона изолирована, а межзонное взаимодействие контролируется политиками на NGFW.

Это значит, что даже при компрометации одного устройства злоумышленник не сможет проникнуть в сегмент с корпоративными компьютерами, рабочими станциями или серверами. При попытке доступа будет задействована система поведенческого анализа и аномалия будет зафиксирована.

Внедрение такого подхода не требует радикального пересмотра всей архитектуры сети. NGFW, в сочетании с виртуальной маршрутизацией, может «вырезать» опасные участки без вмешательства в топологию.

Что в итоге

Как видите, устройства Интернета вещей приносят максимальный комфорт, но и создают серьёзную дыру в безопасности. Пока производители не научились по умолчанию защищать свои устройства, ответственность ложится на плечи компаний. Увы, старые методы защиты здесь не работают.

Решение кроется только в NGFW. Это не просто современный файервол, а платформа сетевой видимости, анализа и контроля, способная адаптироваться к новому классу угроз. Без него гаджеты, вроде очистителя воздуха или принтера, могут стать началом катастрофы. Ну а с ним — всё остаётся под жёстким контролем.

Компаниям уже недостаточно простых решений — старые модели защиты не справляются с новыми вызовами. Поэтому в ход идут квантовая криптография, нейроинтерфейсы, анализ ДНК и даже освещение в офисах. Все эти технологии становятся частью экосистемы кибербезопасности. Ниже рассмотрим 10 таких подходов — от практичных до экспериментальных.

 

Стена Энтропии

 Компания Cloudflare, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS, использует крайне необычный подход к генерации случайных чисел — установку Wall of Entropy, состоящую из десятков лавовых ламп, работающих в режиме реального времени. Видеопоток с этих ламп анализируется, и на основе хаотичных движений внутри колб генерируются случайные значения.

 Эти данные поступают в генератор энтропии, обеспечивая криптографические операции непредсказуемыми, физически обоснованными значениями. Такой подход практически невозможен для подделки или предсказания, в отличие от программных генераторов случайных чисел.

 Система Wall of Entropy — это не просто арт-инсталляция, а демонстрация применения физического хаоса в прикладной криптографии. Она обеспечивает основу безопасности ключевых операций внутри сервисов Cloudflare.

Квантовая криптография

Квантовая криптография использует принципы квантовой механики для передачи ключей шифрования, которые невозможно перехватить без разрушения их состояния. Это делает технологию максимально защищённой от перехвата в случаи попытки атаки.

Протокол BB84, созданный в 1984 году (да-да в том самом, про который писал Оруэлл), лег в основу большинства современных систем QKD (Quantum Key Distribution). Его ключевая особенность — изменение квантового состояния при попытке подслушивания, что позволяет зафиксировать малейший факт вмешательства.

Сегодня квантовая криптография используется в правительственных и банковских сетях в Китае, Европе и США. Однако стоимость оборудования и высокая сложность внедрения пока ограничивают масштабную интеграцию в коммерческом секторе.

 

Нейроморфные чипы для анализа трафика

Нейроморфные процессоры имитируют работу человеческого мозга, используя аналоговую или гибридную архитектуру. Такие чипы эффективны в задачах поведенческого анализа трафика, где нужно распознать сложные аномалии в миллисекундах.

Например, проекты IBM TrueNorth и Intel Loihi уже продемонстрировали значительное ускорение в решении задач с помощью ИИ при значительно меньшем энергопотреблении. Это важно для защиты и оперативной фильтрации трафика в сети.

В будущем компании могут применить нейроморфные чипы для локального обнаружения атак и фишинга, особенно в сценариях с высокой плотностью соединений, например, в индустриальном IoT (интернете вещей).

Биометрическая криптография

 

Со сканерами отпечатков пальцев и Face ID в смартфонах знакомы сегодня все. Вот и в сетевом сегменте всё популярнее для защиты доступа и аутентификации становится использование биометрических данных. Речь идет о тех же отпечатках пальцев, сканировании радужной оболочки или даже ЭЭГ-сигналов.

Эти данные могут применяться не только для входа, но и для генерации криптографических ключей. Исследования показывают, что ЭЭГ и поведенческая биометрия (например, почерк или ритм набора текста) могут стать уникальными идентификаторами в будущем. К слову, в России существует Единая биометрическая система, которую уже можно использовать для авторизации в банках и государственных сервисах.

Единственная проблема такого подхода заключается в хранении биометрических шаблонов и их подделке. Тем не менее, в рамках zero-trust моделей и защищённых систем это может стать новым уровнем аутентификации.

 

Поведенческая аутентификация на базе ИИ

Искусственный интеллект развивается семимильными шагами. Почти как Альтрон в кинокомиксах Marvel. Поэтому уже скоро вместо проверки логина и пароля, система научится оценивать, как пользователь взаимодействует с интерфейсом: скорость набора, движение мыши, ритм кликов. На основе этих значений ИИ начнёт создавать поведенческие профили и сравнивать текущую активность с привычной.

Если пользователь начинает действовать иначе — например, при использовании украденных учётных данных — система мгновенно зафиксирует отклонение и сможет заблокировать доступ. Это будет работать в режиме реального времени и не потребует дополнительных действий от пользователя.

Кстати, такая аутентификация уже используется в банковском секторе и системах удалённого доступа, что существенно снижает риски фишинга и компрометации логинов.

 

Защита с помощью звуковых слепков

Некоторые исследовательские группы используют уникальные акустические сигнатуры для идентификации устройств. Каждое устройство излучает едва уловимый звуковой «шум» — его можно использовать как цифровую подпись.

Этот метод пока не вышел за пределы лабораторий, но может стать частью систем zero-trust, особенно для защиты критической инфраструктуры, где важна точная идентификация физических устройств.

Основное преимущество — невозможность клонирования такого звукового отпечатка, что делает его эффективным для обнаружения подменённых или поддельных устройств.

 

Аутентификация по мозговым волнам (BCI)

Про очередной безбашенный проект Илона Маска Neuralink уже слышали все. Это яркий пример использования Brain-Computer Interface (BCI) — технологии взаимодействия с компьютером напрямую через сигналы мозга. В контексте безопасности BCI может использоваться для сверхнадёжной аутентификации.

Каждый мозговой сигнал уникален, а его комбинации сложно подделать. Даже при визуально одинаковом ответе на стимул, мозговая активность у разных людей будет разной.

Исследования в DARPA и университетах MIT показывают потенциал таких решений, но из-за необходимости специализированного оборудования и тотального чипирования людей они вряд ли получат массовое применение в ближайшем будущем.

 

Применение блокчейна для контроля доступа

По своему определению блокчейн позволяет хранить записи доступа, идентификации и транзакций в неизменяемом и распределённом виде. Это позволяет отслеживать, кто, когда и почему получил доступ к ресурсу. Отчасти этим обусловлен взлет криптовалюты в последние годы. Это прозрачно и максимально безопасно.

Технология уже используется в некоторых корпоративных СКУД-системах (Система Контроля и Управления Доступом на охраняемых объектах) и медицинских базах данных. Она обеспечивает прозрачность и невозможность скрыть действия пользователей.

Однако высокая стоимость и сложности интеграции блокчейна в существующие сети делают его решением преимущественно для чувствительных или регулируемых отраслей.

ДНК-шифрование

Учёные из нескольких исследовательских лабораторий (включая ETH Zurich и Microsoft (источник)) экспериментируют с хранением информации в молекулах ДНК, где данные могут быть закодированы на уровне генетической информации.

Преимущества — высокая плотность хранения и теоретически невозможность перехвата сигнала. Ключи шифрования могут быть встроены в синтетическую цепочку ДНК.

Такие методы пока находятся на стадии фундаментальных исследований, но интерес к ним со стороны военных и исследовательских институтов подчеркивает их долгосрочный потенциал.

 

Идентификация по микровибрациям тела

Каждый человек излучает уникальный набор микровибраций, которые можно измерять с помощью лазеров или радиоволн. Эти вибрации зависят от физиологии и состояния здоровья.

Специальные сенсоры фиксируют мельчайшие движения — дыхание, биение сердца — и создают уникальный профиль. Такой способ можно использовать для постоянной пассивной аутентификации пользователя.

Несмотря на перспективность, технология требует высокой точности и пока не масштабируется для массового использования. Но для защиты в особо чувствительных средах она может быть просто незаменима.

 

Практичный взгляд: где место NGFW

Экзотические технологии впечатляют, но далеки от повседневного применения. Массовый бизнес, особенно в условиях ограниченных бюджетов, не может себе позволить ни квантовую криптографию, ни BCI-чипы. Тем не менее, защищать периметр всё равно нужно.

Здесь на помощь приходит NGFW — Next-Generation Firewall. Он не требует футуристических сенсоров, но способен расшифровывать трафик, анализировать его при помощи ИИ и выявлять вредоносную активность, включая фишинг, скрытые атаки и пробросы в мессенджерах. Это уже доступная, проверенная и зрелая технология.

NGFW можно интегрировать с SIEM, применять для защиты облаков и удалённой работы, управлять политиками доступа в реальном времени. То, что пока не может сделать квантовая криптография или нейроинтерфейсы — NGFW делает каждый день на практике.

В последние годы зашифрованные мессенджеры, такие как Telegram, WhatsApp и Signal, стали неотъемлемой частью деловой и личной коммуникации. Их основное преимущество заключается в технологии сквозного шифрования (end-to-end encryption), которая гарантирует конфиденциальность переписки и передачу данных только между отправителем и получателем. Однако именно эта функция всё чаще используется киберпреступниками: закрытость каналов делает их идеальной средой для фишинга, распространения вредоносных ссылок и атак на корпоративные сети.

Как правило, стандартные средства защиты, включая антивирусы и классические файерволы, оказываются бессильны перед новыми методами маскировки угроз. Они не могут просматривать содержимое зашифрованного трафика и своевременно реагировать на угрозы внутри легитимных сервисов по типу тех же мессенджеров. К счастью, решение приходит в виде NGFW (Next-Generation Firewall) — продвинутых файерволов, способных проводить SSL-инспекцию, применять алгоритмы машинного обучения и учитывать поведенческий контекст для обнаружения атак внутри зашифрованных каналов связи.

Новая угроза: фишинг через зашифрованные мессенджеры

Сквозное шифрование, которое изначально нацелено на защиту прав пользователей, непреднамеренно открыло дорогу новым формам атак. Фишинговые сообщения, распространяемые через Telegram, WhatsApp и другие платформы, становятся всё более изощрёнными, а мошенники и киберпреступники — более хитрыми. Злоумышленники создают поддельные аккаунты, отправляют ссылки на фишинговые сайты и используют социальную инженерию для выманивания данных. Часть атак ориентирована на похищение учётных данных корпоративных систем, другая — на установку вредоносного ПО или криптомайнеров.

Особенно популярен среди злоумышленников и прочих хакеров — Telegram. Всё благодаря возможности создавать ботов, автоматизированные каналы рассылки, и потому, что он не требует привязки к какому-либо государству. Кроме того, Telegram активно используется для торговли украденными данными и доступа к инфицированным хостам. В публикации экспертов по кибербезопасности из Cyble Research за 2022 год упоминается, что Telegram всё чаще заменяет традиционные форумы из дарквеба, представляя собой платформу для сбыта данных и координации фишинговых кампаний.

Почему классические средства защиты не справляются

Антивирусы и обычные базовые файерволы работают на основе сигнатур — заранее известных паттернов поведения вредоносного ПО или фишинговых URL. Однако в условиях зашифрованного трафика, эти сигнатуры становятся бесполезными: они просто не видят, что именно происходит внутри HTTPS-соединения. Даже если злоумышленник рассылает один и тот же фишинговый шаблон, антивирус не может просканировать содержимое, передаваемое в Telegram, поскольку оно идёт в шифрованном виде.

Кроме того, современные фишинговые кампании используют динамические домены и страницы, генерируемые в режиме реального времени, что делает сигнатурный анализ устаревшим. Также стоит учитывать, что Telegram и аналогичные платформы используют свои собственные, закрытые протоколы передачи данных, не совместимые с традиционными инструментами IDS/IPS. Это объясняется защитой безопасности пользовательских данных, но в тот же момент такое решение открывает новые двери перед киберпреступниками.

Как NGFW решает проблему

Разберём по частям, как файерволы следующего поколения выявляют такие схемы и пресекают их до нанесения ущерба корпорации или отдельным сотрудникам.

SSL/TLS-инспекция

Как правило, NGFW поддерживает SSL/TLS-инспекцию — технологию, позволяющую расшифровывать трафик «на лету». Файервол становится промежуточным звеном между клиентом и сервером, расшифровывает трафик, проверяет его содержимое, а затем шифрует заново. Это позволяет системе (только файерволу) видеть весь передаваемый контент, включая вложения, ссылки и команды ботов в мессенджерах.

NGFW с SSL-инспекцией может:

• Анализировать ссылки, рассылаемые через зашифрованные чаты;
• Идентифицировать обращения к подозрительным или недавно зарегистрированным доменам;
• Проверять вложенные файлы и блокировать загрузку потенциально вредоносных объектов.

Машинное обучение и поведенческий анализ

Алгоритмы машинного обучения внутри NGFW позволяют не только реагировать на уже известные угрозы, но и выявлять аномалии в поведении. Например:

• Пользователь внезапно начинает скачивать большое количество файлов с одного и того же домена — возможно, это фишинговая атака. Тут система оповестит администраторов;
• В мессенджер поступает ссылка, которая ведёт на сайт с признаками фишинга: отсутствие HTTPS, недавняя регистрация домена, наличие форм ввода логинов;
• Поведение клиента или сотрудника выходит за рамки привычного паттерна — NGFW сигнализирует о возможном инциденте.

Преимущество такого подхода с использованием искусственного интеллекта заключается в способности выявлять неизвестные угрозы — те, для которых ещё нет сигнатур.

Интеграция с другими системами

Ок, как работает система понятно, а что по интеграции с другими? NGFW может работать в связке с DLP-системами для предотвращения утечек данных, SIEM-платформами (Security Information and Event Management) и EDR-решениями. Это усиливает эффективность защиты, позволяя быстро реагировать на различные происшествия в мессенджерах и социальных сетях.

Кроме того, NGFW обеспечивает ведение подробных логов и журналов активности, что критически важно для расследования инцидентов, связанных с фишингом. За этим очень важно следить, особенно в корпоративном сегменте.

Примеры атак и реальная статистика

По данным Group-IB, в 2022–2023 годах около 30% фишинговых атак в странах СНГ проходили через Telegram. Фишинг применялся для кражи учётных данных банков, сервисов электронной почты и внутренних корпоративных систем. Некоторые кампании маскировались под техподдержку и службы безопасности крупных компаний.

Злоумышленники всё чаще используют Telegram-ботов для рассылки персонализированных фишинговых сообщений — об этом пишет cnews.ru. Один из кейсов — массовая рассылка фальшивых уведомлений о блокировке банковского счёта, где в сообщении был прикреплён QR-код или ссылка, ведущая на поддельную страницу банка.

Без SSL-инспекции и машинного анализа такие атаки проходят мимо: ни антивирус, ни IDS не способны вовремя среагировать. Зато NFGW вполне хорошо справляется с такими ситуациями.

NGFW в корпоративной инфраструктуре для защиты в мессенджерах

Что предлагает NGFW в корпоративной среде, чтобы обезопасить офис от подобных взломов?

1. Защита сотрудников при удалённой работе — особенно в тех случаях, когда используются корпоративные ноутбуки и смартфоны с доступом к Telegram и WhatsApp.

2. Контроль каналов связи в BYOD-среде — если сотрудники подключаются со своих устройств, NGFW позволяет фильтровать трафик и ограничивать риски.

3. Аудит и анализ поведения — NGFW может предоставить полную картину использования мессенджеров в компании, выявить нетипичные взаимодействия и зафиксировать подозрительные инциденты.

4. Блокировка доступа к вредоносным ботам и каналам — если Telegram-бот используется для управления вредоносным ПО или C2-канала, NGFW способен его изолировать.

5. Автоматизация реагирования — NGFW может автоматически закрыть соединение или изменить правила маршрутизации при выявлении угрозы.

Что в итоге

Современные киберугрозы всё чаще прячутся за зашифрованными протоколами и популярными легитимными сервисами. Антивирусы и привычные многим системы безопасности в таких условиях теряют свою эффективность. Но тут на смену приходит NGFW — это критически важный элемент корпоративной защиты. Он способен вскрывать зашифрованный трафик, анализировать поведение и нейтрализовать фишинговые атаки до того, как они достигнут цели.

Для компаний, где используется Telegram, WhatsApp или другие мессенджеры, Next-Generation Firewall — не просто опция, а самая приоритетная необходимость. Без такого уровня контроля организация остаётся уязвимой к самым массовым и опасным атакам нового поколения.

Стандартные межсетевые экраны (файерволы) уже давно не справляются в полной мере с современными киберугрозами. В эпоху продвинутых атак, автоматизированных ботов и эксплойтов на базе искусственного интеллекта простой фильтрации трафика, особенно в крупных компаниях, становится недостаточно. Тут на помощь приходят файерволы нового поколения — NGFW. Со временем именно эта категория девайсов развилась в сложные системы киберзащиты, сочетающие анализ поведения, защиту API, машинное обучение и глубокую аналитику угроз. В этом материале подробно разберёмся, почему NGFW стал не просто барьером между корпоративной сетью и интернетом, а полноценным центром киберзащиты.

NGFW как интеллектуальная система кибербезопасности

Современные файерволы вышли за рамки простого блокирования вредоносного трафика. И это вполне логично, ведь они анализируют сеть на нескольких уровнях, используя следующие подходы и технологии.

• Глубокая инспекция пакетов (DPI) — анализирует не только количество, но и содержимое передаваемых данных, выявляя подозрительную активность.
• Идентификация приложений (App-ID) — позволяет контролировать доступ к программам, обеспечивая более точную фильтрацию.
• Интеграция с системами обнаружения угроз (IDS/IPS) — выявляет и блокирует атаки в режиме реального времени.
• Поведенческий анализ и машинное обучение — обнаруживает аномалии в сети, указывающие на возможные атаки;
• Контроль доступа на основе пользователей и ролей (User-ID) — даёт возможность управлять доступом по идентифицированным учетным записям.

Конечно же, каждый из этих пунктов по отдельности обеспечивает определённый уровень защиты корпоративной сети. Но только комплексная система позволяет NGFW не просто блокировать вредоносный трафик, а адаптироваться к новым угрозам и предотвращать атаки на ранних стадиях. В этом и заключается главное преимущество такого решения — это полноценная смарт-система кибербезопасности.

Гибкость и масштабируемость: защита API и облачных сред

Второй не менее важный пункт — NGFW стали критическими элементами защиты облачных инфраструктур и API-интерфейсов. В связи с ростом числа облачных сервисов и микросервисной архитектуры, предприятия часто стали сталкиваться с новыми уязвимостями. Самые распространённые среди них:

• Атаки на API (API abuse) — использование уязвимостей в API для несанкционированного доступа или утечки/кражи данных;
• Сбои в конфигурациях облачных сервисов — неправильные настройки безопасности приводят к открытию данных для сторонних пользователей и злоумышленников;
• Латеральное перемещение атакующих — использование скомпрометированных учётных записей для распространения атак внутри облака.

Современные NGFW интегрируют технологии Web Application Firewall (WAF) и API Security, анализируя запросы и предотвращая несанкционированный доступ к критически важным данным.

ИИ и машинное обучение в файерволах

Было бы странно, если бы в 2025 году файерволы не использовали искусственный интеллект и нейросети для прогнозирования атак. Именно технологии искусственного интеллекта позволяют NGFW прогнозировать атаки и быстрее реагировать на инциденты. Среди ключевых возможностей:

• Автоматическое выявление угроз — модели машинного обучения анализируют сетевой трафик и моментально выявляют любые аномалии;
• Самообучаемые алгоритмы защиты — файервол самостоятельно адаптируется к новым атакам без вмешательства администратора;
• Корреляция данных из разных источников — NGFW использует данные SIEM-систем и threat intelligence для более точной идентификации угроз.

Применение искусственного интеллекта значительно сокращает время реакции на кибератаки и уменьшает вероятность ложных срабатываний. Разумеется, ИИ также исключает возможность допущения ошибок, свойственных обычным людям (администраторам). Ну а то, что человеческий фактор является одной из серьёзных уязвимостей, мы рассказывали ранее. 

Будущее NGFW: какие технологии появятся?

В ближайшие годы файерволы будут продолжать активно развиваться, адаптируясь к новым угрозам. Уже сегодня можно смело предположить, что в будущих NGFW появятся интеграции:

• квантовой криптографии для защиты от взлома квантовыми компьютерами;
• zero Trust Network Access (ZTNA) — концепция нулевого доверия, где доступ разрешается только после полной аутентификации пользователя и устройства;
• автоматическое реагирование на инциденты (SOAR) с автоматизированными сценариями блокировки атак без участия специалистов;
• интернет-безопасность 5G — файерволы начнут контролировать защиту трафика в сетях 5G и IoT (интернет вещей).

Как видите, файерволы нового поколения стали не просто фильтрами трафика, а комплексными центрами кибербезопасности, обеспечивающими интеллектуальную защиту корпоративных сетей. Интеграция с SIEM-системами, анализ поведения, защита API и облачных сред делает NGFW ключевым инструментом противостояния киберугрозам. По мере усложнения атак NGFW продолжат развиваться, внедряя новые технологии для обеспечения безопасности бизнеса в цифровую эпоху.

Сеть стала быстрее и надежнее, интерфейс — понятнее, а система — стабильнее.

Что нового в версии

Улучшена работа сети, стабильность системы и настройки, а также исправлены мелкие ошибки в интерфейсе.

Главные изменения

1. Объединение сетевых интерфейсов (Link Aggregation)

Теперь можно объединить несколько сетевых подключений в одно, чтобы увеличить скорость и надежность сети.

2. Улучшенный VRRP

Протокол VRRP (который помогает избежать потери связи при сбоях) теперь работает быстрее и стабильнее. Исправлены ошибки в отчётах и настройках.

3. Логирование срабатываний ACL

Другие улучшения

Сеть и настройки

Переделана работа DNS: теперь он надежнее, а настройки понятнее.

Улучшена передача DHCP-запросов (DHCP relay).

Система лучше определяет сетевые устройства и их альтернативные имена.

Повышена стабильность основного сетевого движка.

Можно выбрать протокол (TCP/UDP) для отправки логов на внешние серверы.

Улучшена синхронизация времени

Статистика ACL теперь собирается только при наличии нужного оборудования.

Стабильность и обновления

Улучшена работа внутренней системы обмена сообщениями (bus).

Установка и удаление системы стали стабильнее, включая настройку сети и очистку служб.

Интерфейс (UI)

Добавлено предупреждение, если лицензия скоро закончится.

Улучшено отображение настроек объединения интерфейсов (LAG).

Исправлено отображение портов в разделах VLAN и зеркалирования трафика.

Обновлены переводы и тексты для большей понятности.

Разделы VRRP и PBR теперь показываются только при их настройке.

Улучшена проверка ввода для VLAN (чтобы избежать ошибок).

Исправленные ошибки

Интерфейс

Исправлено отображение статуса VRRP и выбор VLAN.

Теперь правильно показывается предупреждение о лицензии.

Устранены зависания при просмотре событий IDS.

Исправлена ошибка, из-за которой один IP мог быть на нескольких VLAN.

Убраны лишние сообщения об успешном удалении VLAN.

Исправлено отображение сетевых интерфейсов в некоторых случаях.

Улучшена работа полей в настройках DNS.

Исправлены графики статистики портов.

Сеть и серверная часть

Устранены проблемы с работой VRRP.

Исправлено определение MAC-адресов отключенных устройств при установке.

Улучшена очистка сетевых настроек перед установкой.

Исправлены ошибки в DNS-прокси, включая фильтрацию запросов.

Установщик

Пользователи теперь создаются в правильный момент установки.

Исправлена случайная загрузка старых настроек при установке.

Наверняка вы уже не раз задавались вопросом: почему классические брандмауэры уже не справляются с современными атаками? Как правило, типичные межсетевые экраны (брандмауэры) разрабатывались для фильтрации трафика на основе IP-адресов и портов, но с развитием кибератак их эффективность стала снижаться. Современные угрозы включают сложные многоступенчатые атаки, эксплойты нулевого дня, продвинутые персистентные угрозы (APT) и шифрованный вредоносный трафик, который проходит сквозь стандартные фильтры. Такие методы обходят классические брандмауэры, не способные анализировать содержимое трафика на глубоком уровне. Поэтому обычным файерволом сегодня, увы, не обойтись. Как минимум ваш бизнес или компания будет под угрозой взлома, а в случае масштабной кибератаки вы рискуете вовсе потерять все данные.

Один из примеров — атака на сеть финансовых учреждений через эксплойт Log4Shell в 2021 году. Уязвимость позволила злоумышленникам выполнять произвольный код на серверах, а обычные брандмауэры оказались бессильны, поскольку не могли анализировать содержание HTTP-запросов и выявлять вредоносные команды. 

Глубокий анализ трафика и поведенческое обнаружение угроз

Next-Generation Firewall (NGFW) представляет собой значительно более продвинутую систему защиты, интегрирующую традиционные методы фильтрации с расширенным анализом пакетов (DPI) и технологиями обнаружения угроз на основе поведенческих аномалий. В отличие от стандартных брандмауэров, NGFW анализирует не только заголовки пакетов, но и их содержимое, выявляя сигнатуры вредоносных атак, аномальные запросы и шифрованные угрозы.

К примеру, исследование Palo Alto Networks Unit 42 о поверхности атаки за 2023 год выявило, что 85% организаций имели хотя бы один интернет-доступный экземпляр RDP, что делает их уязвимыми для атак. Это подчёркивает важность использования NGFW для обеспечения безопасности удалённого доступа и снижения рисков, связанных с экспозицией поверхности атаки. NGFW используют встроенные SSL-инспекторы и механизмы расшифровки, чтобы анализировать вредоносное содержимое внутри зашифрованных потоков данных.

Технологии, делающие NGFW эффективнее

Искусственный интеллект и машинное обучение

Современные NGFW применяют AI и ML-алгоритмы для прогнозирования угроз и выявления аномального поведения в сети. Это позволяет обнаруживать неизвестные вредоносные активности на основе паттернов атак. Например, недавно компания Check Point внедрила систему блокировки атак на основе ИИ, которая автоматически выявила и нейтрализовала новую волну фишинговых атак на корпоративные сети.

Защита API и облачных сервисов

С ростом облачных технологий хакеры стали активно атаковать API-коммуникации между сервисами. NGFW включает встроенные модули защиты API, анализирующие запросы на предмет аномалий и возможных атак на бизнес-логики сервисов. Свежее исследование Центра мониторинга и противодействия кибератакам «Информзащиты» показывает, что в 2024 году количество атак с помощью API на корпоративные сети выросло на 630%.

При этом наиболее подвержены атакам через API компании в сфере услуг, например, сервисы доставки еды, такси и маркетплейсы. На такие организации приходится порядка 78% от всех атак через API.

Сетевая сегментация и микросегментация

NGFW позволяет ограничивать горизонтальное перемещение вредоносного кода внутри сети с помощью динамической сегментации. Это критически важно для защиты от атак, подобных атаке на SolarWinds, когда вредоносный код распространился по внутренним сегментам сети. Сначала злоумышленники получили доступ к обычной записи пользователя (возможно, с использованием брутфорс-атаки), а затем, уже имея доступ к сети, нашли способ получить более высокие привилегии. 

Автоматизация реагирования на инциденты

Встроенные механизмы автоматического реагирования позволяют NGFW мгновенно блокировать подозрительные соединения и уведомлять специалистов о потенциальных атаках. Это снижает нагрузку на специалистов и ускоряет нейтрализацию угроз.

В чём же главные недостатки обычных файерволов?

Вот основные слабые места классических брандмауэров.

• Они не способны анализировать содержимое пакетов на уровне приложений.
• Плохо справляются с зашифрованным трафиком (более 80% интернет-трафика сегодня идёт через HTTPS, по данным Google Transparency Report.
• Уязвимы перед атаками нулевого дня из-за отсутствия механизмов поведенческого анализа.

Как видите, классические брандмауэры уже не справляются с динамикой современных угроз, так как не могут анализировать сложные атаки, шифрованный трафик и API-взаимодействия. NGFW, напротив, представляет собой комплексное решение с глубоким анализом пакетов, поведенческим мониторингом и ИИ-обнаружением аномалий. Внедрение NGFW — это не просто обновление защиты, а переход на новый уровень кибербезопасности, необходимый для защиты бизнеса в условиях современных атак.

Какими бы крутыми ни были современные технологии, они не защищают от человеческих ошибок. Даже самые передовые системы кибербезопасности не способны гарантировать полную защиту, если сотрудники компании допускают недочёты.

Примечательно, что значительная часть утечек данных, атак и компрометаций происходит не из-за недостатков защитных технологий, а из-за человеческого фактора. Об этом говорится в различных исследованиях в области информационной безопасности. Ошибки могут быть разными: от использования слабых паролей и загрузки подозрительных файлов до предоставления злоумышленникам критически важной информации через социальную инженерию.

Стандартные механизмы защиты, такие как антивирусы, межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), обеспечивают высокий уровень защиты. Однако они бессильны перед ситуациями, когда сотрудник сам добровольно предоставляет доступ злоумышленнику — например, вводит свои данные на фейковом сайте или скачивает заражённый файл под видом важного документа.

Основные угрозы: от социальной инженерии до инсайдерских атак

Социальная инженерия — одна из самых опасных тактик киберпреступников, которая основана на манипулировании людьми с целью получения конфиденциальной информации. Классический пример — фишинговые атаки, когда пользователи получают письма или сообщения, имитирующие официальные уведомления от банков, IT-служб, партнёров или руководства компании. Такие атаки могут быть как массовыми, так и таргетированными (спирфишинг), когда злоумышленники заранее изучают жертву и создают персонализированные письма с высоким уровнем доверия.

​Кейс 1: Атака на сервис-провайдера Twilio

Пару лет назад сотрудники сервиса Twilio стали получать SMS якобы от IT-департамента с просьбой повторно авторизоваться с рабочим аккаунтом. Ссылка вела на фишинговый сайт, который сохранял логины и пароли для злоумышленников. Так они смогли получить доступ к внутренней системе провайдера, а через нее перехватывать одноразовые коды (SMS) клиентов Twilio в других сервисах. Затем последовал взлом около 1900 аккаунтов в мессенджере Signal — хакерам не составило особого труда запросить авторизацию нового устройства и ввести перехваченный код. По мнению специалистов компании Group-IB доверчивость сотрудников Twilio привела к компрометации почти 10 тысяч аккаунтов в 136 организациях.

Но на этом дело хакеров не закончилось. Они вернулись спустя 2 года — в июле 2024. Хакеры нашли дыру в API Authy (приложение двухфакторной авторизации) и слили данные 33 млн пользователей. Из-за уязвимого эндпоинта их номера телефонов оказались в руках злоумышленников, открывая дверь для масштабных фишинговых атак. Самое интересное, что в Twilio знали об уязвимости своего API с 2022 года, но не предприняли никаких мер до очередного взлома — сработала человеческая лень и вера в то, что молния дважды не бьёт в одну точку.

Фишинговые атаки остаются одной из главных причин утечек данных. Вредоносные письма могут содержать ссылки на поддельные сайты, где пользователи вводят свои учетные данные, либо вложенные файлы, содержащие вредоносный код. Даже наличие двухфакторной аутентификации не всегда спасает, если злоумышленники используют методы обхода, такие как перехват одноразовых кодов или использование вредоносных прокси-серверов. Кстати, в последнее время хакеры активно используют и мессенджеры, рассылая через них заражённые файлы под видом фотографий и документов.

Инсайдерские угрозы также представляют серьёзную проблему. В отличие от внешних атак, инсайдерские действия сложнее выявить, поскольку злоумышленник уже находится внутри организации и обладает определённым уровнем доступа. Инсайдерские угрозы могут быть преднамеренными (например, когда сотрудник продаёт данные конкурентам) или случайными (когда из-за ошибки сотрудника конфиденциальная информация становится доступной третьим лицам).

​Кейс 2: Утечка из сервиса доставки еды

Утечка информации из баз данных одного из крупнейших в России сервиса доставки еды затронула данные более 100 000 пользователей. В Сеть попали не только детали их заказов, но и адреса, номера телефонов. Расследование показало, что виноват «недобросовестный сотрудник». Всего один человек принес компании крупные репутационные потери и заставил выплатить штраф за нарушение закона о персональных данных.

Летом 2023 года Tesla обвинила двух бывших сотрудников в массовой утечкеданных, затронувшей более 75 000 человек. Инцидент произошёл в мае того года, а источником информации стало немецкое издание Handelsblatt, получившее 100 ГБ конфиденциальных файлов компании. Среди слитых данных оказались номера социального страхования, а также личная информация Илона Маска.

Расследование показало, что инсайдеры нарушили политику безопасности Tesla, незаконно скопировав данные и передав их журналистам. Компания подала на них в суд и конфисковала их электронные устройства. В результате портал Handelsblatt опубликовал разоблачения о проблемах с системой автономного вождения Tesla, включая 2400 случаев самопроизвольного ускорения и 1500 жалоб на торможение. Оба бывших сотрудника до сих пор находятся под следствием.

Ещё один пример инсайдерской утечки — база данных американского провайдера Verizon с данными 63 000 сотрудников. Один из инженеров просто случайно скопировал её себе на накопитель осенью 2023 года. Но в 2024 году компания заявила, что не смогла доказать, что данные были переданы или использованы третьими лицами.

Самый забавный пример прошлого года — сотрудник автосалона Leaseline Vehicle Management Ltd в Англии решил нажиться на базе данных клиентов. Он продал архив с информацией о 3600 клиентах конкурентам, за что получил штраф в 1200 фунтов стерлингов.

Такое часто наблюдается у партнёров крупных производителей электроники. Например, смартфоны Google Pixel, новые iPhone или программные фичи будущих обновлений зачастую сливают в сеть за месяцы до официального анонса. Информация, разумеется, поступает от инсайдеров.

Как снизить риски: обучение, поведенческий анализ и ИИ-алгоритмы

Одним из наиболее эффективных методов защиты является постоянное обучение сотрудников. Компании должны внедрять программы повышения осведомлённости, проводя тренинги по кибербезопасности, включая моделирование фишинговых атак, разбор реальных кейсов и объяснение базовых принципов безопасности. Чем лучше осведомлены сотрудники, тем ниже вероятность того, что они станут жертвой социальной инженерии.

Технологические решения также помогают минимизировать риски, связанные с человеческим фактором. Например, поведенческий анализ с помощью ИИ позволяет выявлять аномалии в действиях пользователей. Если сотрудник внезапно начинает загружать большой объём данных за пределы сети компании или совершает нетипичные действия (например, входит в систему с нового устройства и сразу же экспортирует данные), система может заблокировать его доступ или отправить оповещение службе безопасности.

ИИ-алгоритмы и машинное обучение также стоит применять для анализа сетевого трафика, выявления подозрительных паттернов поведения и автоматического блокирования угроз. Например, современные решения могут обнаруживать попытки перехвата учетных данных, анализируя поведение пользователей при вводе логинов и паролей. Кроме того, ИИ может использоваться для предсказания потенциальных атак, обнаруживая подозрительные взаимосвязи между событиями в сети.

Что в итоге

Человеческий фактор остаётся одним из самых слабых мест в системе кибербезопасности, несмотря на совершенствование технологий защиты. Ошибки сотрудников, социальная инженерия, фишинговые атаки и инсайдерские угрозы представляют серьёзный риск для корпоративных сетей. Минимизация этих угроз требует комплексного подхода, включающего постоянное обучение персонала, использование поведенческого анализа и внедрение ИИ-алгоритмов. Только сочетание технологических решений и грамотного управления человеческими рисками позволяет добиться высокой степени защиты информации.

Современные межсетевые экраны следующего поколения (NGFW) по сути являются основой корпоративной кибербезопасности. Они объединяют базовые функции фильтрации трафика с расширенными возможностями анализа, определения атак и предотвращения угроз. Однако с развитием технологий киберугрозы становятся всё более сложными и высокоинтеллектуальными. Уже сегодня ИИ, квантовые вычисления и новые методы атак меняют принципы защиты данных. На фоне этого возникают вполне логичные вопросы: насколько NGFW готовы к вызовам будущего? Устареют ли современные системы через 5–10 лет? Какие технологии должны появиться, чтобы защитить бизнес в 2030 году? Есть ли вообще смысл в них инвестировать? Давайте разберёмся в этом подробно.

ИИ и его влияние на киберугрозы

Искусственный интеллект активно применяется как защитными системами, так и злоумышленниками. Если раньше кибератаки требовали участия человека, то теперь нейросети позволяют автоматизировать многие процессы.

Вот основные способы использования ИИ в атаках.

●      Автоматизация фишинговых атак. Нейросети могут генерировать убедительные письма и сообщения, имитируя стиль общения конкретных пользователей. Кроме того, дело дошло уже до фейковых аудио- и видеозаписей, которые очень сложно отличить от настоящих. 

●      Анализ уязвимостей. ИИ-алгоритмы могут самостоятельно сканировать сеть, выявлять слабые места, разрабатывать стратегии взлома.

●      Обход систем обнаружения. Машинное обучение позволяет атакующему не только писать код для вредоносного ПО, но и изменять его в реальном времени, делая неузнаваемым для стандартных защитных механизмов.

Текущие NGFW, основанные на стандартных сигнатурных методах обнаружения угроз, скорее всего, будут неэффективны против таких атак. Будущее за адаптивными системами, которые используют машинное обучение и анализ поведения для предотвращения атак на ранних этапах.

Квантовые вычисления: еще одна угроза криптографии

Обычные шифровальные алгоритмы, такие как RSA и AES, обеспечивают защиту данных за счёт сложности математических операций. Однако с появлением квантовых компьютеров эти методы могут стать бесполезными. Квантовые алгоритмы (например, алгоритм Шора) способны за считанные минуты взломать ключи шифрования, на которые даже суперкомпьютерам потребовалось бы несколько тысяч лет.

Как это повлияет на NGFW? Если коротко, то важно понимать три основных аргумента:

●      Современные файрволы используют шифрование для защиты передаваемых данных. В будущем они должны будут поддерживать квантово-устойчивые алгоритмы.

●      Квантовая криптография предложит новые методы защиты, такие как передача ключей с помощью квантовой запутанности.

●      В ближайшие годы возможен переход на гибридные схемы шифрования, сочетающие классические и квантовые методы.

Новые типы атак и их воздействие на NGFW

Киберугрозы эволюционируют с развитием технологий. Уже сейчас появляются атаки, которые обходят традиционные методы защиты.

Атаки на IoT-устройства

С ростом количества «умных» устройств в наших домах и офисах увеличивается и число уязвимостей. Многие IoT-гаджеты не имеют встроенной защиты или используют слабые пароли, что делает их идеальной мишенью для ботнетов и массовых атак.

Каким должен быть ответ NGFW?

●      Файрволы должны уметь анализировать трафик IoT-устройств и выявлять аномалии;

●      Возможна интеграция с облачными платформами для централизованного мониторинга и реагирования на угрозы.

Дипфейки

Современные нейросети позволяют подделывать голос, видео и текст. Это открывает новые возможности для кибермошенничества.

Каким должен быть ответ NGFW?

●      NGFW должны интегрироваться с системами поведенческого анализа и проверки подлинности данных;

●      Возможны разработки алгоритмов определения фейковых медиафайлов в режиме реального времени.

Как NGFW должны измениться, чтобы выжить в 2030 году?

Будущее файрволов зависит от их способности адаптироваться к новым угрозам. Это не статичный процесс, а бесконечная гонка вооружений между хакерами и специалистами по кибербезопасности. Каждая новая технология защиты рано или поздно сталкивается с угрозами, которые её обходят, а значит, современные NGFW в их нынешнем виде не смогут оставаться эффективными вечно. Уже сегодня появляются атаки, использующие ИИ для обхода привычных сигнатурных методов защиты, квантовые вычисления угрожают взломом существующим системам шифрования, а развитие сетевых протоколов требует новых подходов к фильтрации трафика.

Исследования показывают, что квантовые компьютеры способны угрожать современным криптографическим алгоритмам, таким как RSA и ECC. Например, в отчёте National Institute of Standards and Technology (NIST) отмечается, что традиционные методы шифрования окажутся уязвимыми перед квантовыми атаками, и уже разрабатываются криптографические стандарты нового поколения.

Кроме того, исследование Google Quantum AI показало, что квантовые вычисления могут значительно ускорить решение задач, включая критически важные вопросы кибербезопасности, что потенциально может поставить под угрозу актуальные методы защиты.

Мы предполагаем, что файрволы ближайшего будущего смогут использовать следующие технологии:

Квантово-устойчивая криптография

Переход на новые методы шифрования, устойчивые к взлому квантовыми компьютерами, станет приоритетной задачей для всех производителей киберзащитных решений.

Полная интеграция с ИИ

Файрволы должны использовать искусственный интеллект не только для анализа трафика, но и для:

●      автоматического обнаружения аномального поведения в сети;

●      обучения на новых типах атак без необходимости обновления сигнатур;

●      реального прогнозирования угроз на основе больших данных.

Гибридные облачные файрволы

Стандартные NGFW со временем начнут дополняться облачными технологиями и предложат:

●      мгновенные обновления и защиту от новых угроз;

●      масштабируемость, подходящую для больших корпоративных сетей;

●      интеграцию с облачными SIEM-системами для единого централизованного мониторинга безопасности.

Сетевые архитектуры Zero Trust

Модель Zero Trust предполагает полное недоверие ко всем устройствам и пользователям в сети. NGFW будущего должны обеспечивать:

●      обязательную аутентификацию на каждом этапе доступа к данным;

●      разделение сети на микросегменты для локализации возможных атак;

●      полный контроль трафика с анализом на уровне приложений.

Что в итоге

Файрволы следующего поколения останутся ключевым элементом кибербезопасности, но их роль значительно изменится. В условиях появления квантовых компьютеров, дипфейков и умных атак с применением ИИ, NGFW должны эволюционировать в многоуровневые системы защиты, сочетающие поведенческий анализ, квантово-устойчивую криптографию и облачные технологии. Только в этом случае они смогут оставаться эффективным барьером на пути угроз условного 2030 года.

Межсетевые экраны, или файрволы, с момента своего появления стали одним из ключевых инструментов в обеспечении кибербезопасности. Изначально их основная задача заключалась в фильтрации трафика, но с ростом киберугроз технологии значительно эволюционировали. Рассказываем, как файрволы изменялись, чтобы отвечать на вызовы современного цифрового мира.

Первые шаги: простые фильтры пакетов

На заре эпохи интернета файрволы выполняли функцию простого фильтра пакетов. Они проверяли заголовки сетевых пакетов, чтобы блокировать или разрешать трафик на основе IP-адресов, портов и протоколов.

Увы, без ошибок не обошлось: разработчики не учли полное отсутствие проверки содержимого трафика и уязвимость перед спуфингом или простой подделкой IP-адресов. Поэтому первые файрволы были недостаточно эффективными особенно против сложных атак, таких как вирусы или вредоносные программы.

Впрочем, в этом и был их замысел — девайсы должны были фильтровать пакеты для базовой маршрутизации, а не анализировать данные.

Динамическая проверка: stateful-фильтрация

В 90-х годах файрволы стали «умнее» с появлением технологий stateful inspection. Эти системы отслеживали состояния соединений, анализируя весь контекст трафика. Главные их преимущества заключилась в проверке не только исходных, но и входящих данных. Кроме того, такая технология позволяла блокировать подозрительные или несоответствующие запросы.

Прогресс был очевиден, но даже такие решения всё ещё были ограничены: они не могли анализировать содержимое пакетов или учитывать прикладной уровень. Со временем хакеры научились обходить и эту защиту. Стоит отметить, что stateful-фильтрация ограничена из-за фокуса на соединениях, а не на содержимом трафика, что делает её уязвимой для сложных атак, таких как межсегментные или прикладные угрозы.

Переход к уровню приложений: proxy-файрволы

С развитием веб-приложений появилась необходимость защищать более высокие уровни сетевого взаимодействия. Proxy-файрволы стали ответом на эту задачу. Ключевые особенности такого типа межсетевых экранов — полный анализ данных на уровне приложений и возможность фильтрации запросов на основе содержимого, а не только заголовков.

Само собой, и тут не обошлось без своих нюансов. В недостатки такой технологии можно включить низкую производительность при высоких нагрузках и ограниченную совместимость с некоторыми протоколами. Почему так? Всё связано с необходимостью перенаправления всего трафика через прокси-сервер, что увеличивает задержки и требует больше ресурсов.

Эпоха Unified Threat Management (UTM)

Появление концепции UTM ознаменовало новый этап эволюции. Файрволы объединили несколько функций в одном устройстве:

• Фильтрация трафика;
• Защита от вирусов и спама;
• Встроенные системы предотвращения атак (IPS).

Это шаг имел огромное значение для развития многоуровневой защиты, однако возможности UTM были также ограничены относительно современных угроз, таких как сложные APT-атаки, поэтому сетевым экспертам пришлось проработать и другие варианты. Кроме того, UTM-системы сильно зависят от масштабируемости аппаратной части, и их производительность может страдать при высоких нагрузках.

​NGFW: новая эра файрволов

Next-Generation Firewall (NGFW) появился как ответ на недостатки предыдущих технологий. Они сочетают в себе все плюсы всех предшествующих поколений брандмауэров, но при этом в них исключены основные минусы прошлых решений. Вдобавок они вобрали в себя механизмы Deep Packet Inspection (DPI), что позволило анализировать данные приложений и обнаруживать угрозы.

 Межсетевые экраны нового поколения предложили:  

• Глубокий анализ трафика — NGFW анализируют данные вплоть до уровня приложений, включая их содержимое и поведение;
• Гибкость настроек — устройства поддерживают создание уникальных политик для разных групп пользователей или приложений;
• Интеграцию с системами предотвращения атак (IPS) — что позволяет NGFW обнаруживать и блокировать попытки проникновения в сеть в режиме реального времени;
• Поддержку автоматизации NGFW — автоматическое реагирование на угрозы и регулярные обновления баз данных;
• Расширенную аналитику — отчёты всех систем о подозрительной активности и анализ рисков.

Современные вызовы: искусственный интеллект и облака

Сегодня NGFW продолжают активно развиваться. В борьбе с новыми угрозами активно используются технологии машинного обучения, которые помогают обнаруживать аномалии и адаптироваться к ранее неизвестным атакам.

Кроме того, важным направлением становится интеграция NGFW с облачными инфраструктурами, что позволяет обеспечивать безопасность в гибридных и мультиоблачных средах.

Что в итоге?

Эволюция файрволов — это путь от простых фильтров к многофункциональным NGFW, способным защищать сети от самых сложных угроз. NGFW стали незаменимым инструментом кибербезопасности, и их развитие продолжает задавать стандарты защиты в цифровом мире.

Заключенные в сеть угрозы сегодня представляют собой крупнейшую опасность для обычных пользователей, бизнеса, игровых серверов, онлайн-кинотеатров и даже государственных структур. Особенно выделяются DDoS-атаки (распределенные атаки отказа в обслуживании), которые порождают серьёзные проблемы для деятельности компаний во всех отраслях. Мы рассмотрим различные типы атак, свежую статистику и эффективные способы защиты с учетом специфики отраслей.

Что такое DDoS-атаки и почему они опасны

DDoS (Distributed Denial of Service) — это тип кибератаки, при которой злоумышленники стремятся сделать целевой сервер, сеть или услугу недоступными для пользователей, перегружая их пустыми запросами. Атаки проводятся с использованием ботнетов — сетей из тысяч или даже миллионов зараженных устройств, управляемых удалённо.

Последствия DDoS могут быть ощутимыми: например, интернет-магазин теряет часть выручки или рекламного бюджета (если пользователи с рекламных каналов не могли зайти на ресурс). Например, в 2023 году один из крупных ритейлеров потерял миллионы долларов из-за многодневной недоступности своего интернет-магазина, а финансовая организация оказалась под угрозой из-за утечки данных в результате атаки. Такие случаи демонстрируют, как критично обеспечить надежную защиту от подобных угроз.

Виды атак: разнообразие угроз

Объемные атаки. Такие атаки направлены на перегрузку канала связи жертвы, например, с помощью UDP-флуда или ICMP-флуда. Их цель – исчерпать пропускную способность.

Протокольные атаки. Такие атаки используют уязвимости сетевых протоколов. Примеры: SYN-флуд, Ping of Death, Smurf-атаки.

Атаки на уровне приложений. Эти угрозы нацелены на конкретные приложения: например, HTTP-флуд, который перегружает веб-серверы запросами.

Гибридные атаки. Злоумышленники комбинируют разные типы атак для достижения максимального разрушительного эффекта.

Статистика и тренды кибератак за последние годы

По данным глобальных исследований, число DDoS-атак выросло на 1885% в последнем квартале 2024 года по сравнению с аналогичным периодом предыдущего года. Средняя продолжительность атаки составляет от 5 до 20 минут, однако мощные атаки могут длиться часами. По данным Cloudflare, в 2024 году крупнейшая зафиксированная атака использовала более 13 000 IoT-устройств, а пик нагрузки составил 5,6 Тбит/с.

Сектора, наиболее подверженные атакам:

• Банковский сектор – цель для атак с целью вымогательства.
• Ритейл – страдает от атак во время пиковых распродаж.
• ЦОДы – атакуются ради вывода из строя масштабных инфраструктур.

При этом в число популярных среди хакеров отраслей также оказались операторы связи, интернет-провайдеры, рекламные агентства, онлайн-казино, игровые сервисы и онлайн-телевидение.

Какие риски несут DDoS-атаки?

Банкинг: атаки этой отрасли зачастую имеют финансовую мотивацию — от вымогательства до попыток отвлечь внимание от более сложных кибератак, таких как проникновение в системы хранения данных.

Офисы и малый бизнес: для этих компаний атаки опасны из-за ограниченных ресурсов для восстановления работы.

Производство: прерывание производственных процессов из-за атак может привести к значительным убыткам, особенно в высокотехнологичных и автоматизированных отраслях.

Ритейл: киберугрозы в этой сфере особенно активны в периоды высокого спроса, такие как сезон распродаж. Перегрузка онлайн-магазинов может вызвать падение продаж и снижение доверия клиентов.

ЦОДы (центры обработки данных): масштабные атаки на ЦОДы могут вызывать цепные сбои в работе крупных компаний, зависящих от их услуг. Из-за таких атак пользователи не могут часами заказать такси, доставку продуктов, воспользоваться мессенджерами или другими приложениями.

NGFW — лучшее решение против DDoS и других атак

Мы уже рассказывали про Next-Generation Firewall (NGFW), тут всего лишь напомним. Файрволы следующего поколения — продвинутая версия обычного межсетевого экрана, которая объединяет функции глубокого анализа трафика, IDS/IPS (системы обнаружения и предотвращения вторжений), контроля приложений и фильтрации URL.

NGFW помогает справляться с киберугрозами благодаря своим колоссальным возможностям:

• Интеллектуальная фильтрация трафика: NGFW способен анализировать не только заголовки пакетов, но и содержимое трафика. Это позволяет выявлять аномалии и блокировать вредоносные запросы.
• Автоматическое обнаружение ботнетов: система NGFW использует поведенческий анализ для выявления и блокировки устройств, входящих в ботнеты.
• Защита на уровне приложений: NGFW может предотвращать атаки, направленные на конкретные сервисы — например, веб-серверы.
• Гибкость настройки: политики безопасности можно адаптировать под потребности конкретной отрасли.

Рекомендации по защите от киберугроз

Рассмотрим базовые вещи, которые помогают в защите от DDoS-атак и других видов угроз в сети:

• Обновление инфраструктуры: использование современных решений, таких как NGFW, гарантирует защиту от новых видов угроз.
• Постоянный мониторинг сети: регулярное отслеживание трафика помогает оперативно реагировать на подозрительные активности.
• Создание резервных копий: регулярный бэкап данных минимизирует потери в случае успешной атаки.
• Обучение сотрудников: человеческий фактор — одно из слабых звеньев в защите, поэтому обучению персонала всегда должно уделяться особое внимание.

Для отраслей с высокими рисками, таких как банковский сектор и ЦОДы, рекомендуется внедрение дополнительных мер, включая системы распределенного мониторинга и резервные каналы связи.

Что в итоге?

DDoS-атаки остаются одной из ключевых угроз современного цифрового мира, и в ближайшее время ситуация в лучшую сторону явно не изменится. Защита от них требует комплексного подхода, включающего использование технологий, таких как NGFW, мониторинг трафика, обновление инфраструктуры и обучение сотрудников. Только интегрированная стратегия безопасности может гарантировать защиту бизнеса от киберугроз и минимизацию их последствий.

Не заметить активный рост и бурное развитие искусственного интеллекта в последние несколько лет было попросту невозможно. Эти два слова стали настолько трендовыми, что даже британский словарь Collins сделал огромное исключение, признав искусственный интеллект словом (хотя это сочетание) 2023 года.

Действительно, нейросети становится всё более мощным инструментом, но их используют не только для законных целей. Например, в руках киберпреступников современные нейросети могут выполнять задачи, которые значительно упрощают организацию и реализацию атак. В этой статье мы подробно разберём, как ИИ используется в киберпреступности, и как NGFW (Next-Generation Firewall) помогает бороться с такими угрозами.

ИИ и киберпреступность: инструменты, меняющие правила игры

Современные нейросети обладают широкими возможностями, которые преступники используют для нескольких целей.

Сбор информации — ИИ помогает находить и обрабатывать огромные объёмы данных, упрощая сбор информации о жертвах (организациях). Например, хакер может собрать данные с публичных страниц в соцсетях для персонализации атак, а нейросеть ему поможет мгновенно выявить контакты, предпочтения и рабочие связи нужного человека. В чём опасность? Данные становятся основой для целевых атак, таких как spear-phishing.

Анализ и сжатие данных — ИИ обрабатывает огромные объёмы информации и формирует сжатые отчёты. Такие функции сегодня есть даже в смартфонах. Например, вы можете попросить свой девайс предоставить краткую выжимку из этой статьи, а злоумышленники просят ИИ выявить уязвимости в инфраструктуре компании на основе открытых данных. В чём тут опасность? Это ускоряет подготовку к сложным атакам.

Создания фишинговых писем — генеративные нейросети пишут убедительные фишинговые письма, которые трудно отличить от реальных. Если раньше защита почтового ящика зачастую могла выявить такие письма, то сейчас текст, стилистика и данные не отличаются от того, как пишут люди. Хакеры используют инструменты для генерации текста письма с персонализированными данными, чтобы получить доступ к аккаунту жертвы. Почему это опасно? При определённом подходе и автоматизации один хакер может совершать массовые атаки на миллионы пользователей без особых усилий.

Написания вредоносного кода — ИИ помогает создавать и безопасно тестировать вредоносное ПО, например, вирусы и трояны. Злоумышленник может попросить нейросетей найти эксплойт уязвимостей. В чём опасность? Это снижает барьер для входа в киберпреступность, так как требуется меньше знаний и навыков. Если раньше хакеры изучали тысячи строк кода, чтобы научится хоть что-то делать, сейчас за них код может написать ChatGPT, останется только протестировать его и при необходимости откорректировать. 

Примеры использования ИИ в атаках

Если ещё 5 лет назад сюжет «Чёрного зеркала» нам казался фантастикой, то сегодняшние нейросети могут максимально точно имитировать речь и даже внешний вид человека. В последние годы злоумышленники стали всё чаще подделывать голосовые сообщения или видеоролики, используя технологии deepfake для условной имитации звонка руководителя с просьбой о срочном переводе денежных средств со счёта компании.

Как NGFW борется с ИИ-угрозами

Из других наших материалов вы уже знаете, что межсетевые экраны нового поколения — Next-Generation Firewall — используют передовые технологии для защиты от сложных угроз. Но может ли файрвол противостоять искусственному интеллекту?

Анализ поведения трафика (DPI)

NGFW использует технологии Deep Packet Inspection (глубокий анализ пакетов), чтобы отслеживать аномальное поведение в сети. Это помогает выявлять подозрительные фишинговые письма или вредоносный трафик. Поэтому если нейросеть попробует взломать сеть, создавая аномалии, NGFW сможет это выявить.

Системы предотвращения вторжений (IPS)

Интеграция с IPS позволяет NGFW обнаруживать атаки ещё до их реализации. Например, подозрительная активность, связанная с перебором паролей, будет заблокирована автоматически. Поэтому даже самый умный брутфорс на базе ИИ с этой задачей не справится.

Искусственный интеллект в самом файрволе

Не стоит забывать и такой момент: NGFW использует собственные нейросети для анализа сетевых логов и выявления потенциальных угроз. Это помогает оперативно реагировать на атаки, которые невозможно отследить вручную. Исключаем человеческий фактор — получаем максимальную защиту.

Обновляемые базы данных угроз

По своему определению NGFW регулярно обновляет базы данных, включая списки вредоносных IP-адресов, используемых для рассылки фишинговых писем или запуска вирусов.

Интеграция с SIEM и SOC

Файрволы нового поколения легко интегрируются с системами информационной безопасности, что позволяет централизованно анализировать данные и выявлять сложные угрозы. Но не все файрволы обладают одинаковыми функциями. Например, интеграция с SIEM и использование ИИ доступны только в премиальных решениях.

Профилактика атак с использованием ИИ

• Обучение персонала: сотрудникам нужно постоянно предоставлять наглядные материалы, демонстрирующие как выглядят современные фишинговые письма и чего стоит избегать;
• Усиление политик доступа: регулярное обновление паролей, использование двухфакторной аутентификации;
• Регулярный аудит безопасности: проверка инфраструктуры на наличие уязвимостей;
• Использование современных решений: установка и правильная настройка NGFW и других инструментов для автоматизации защиты.

Заключение

ИИ стал мощным инструментом не только в легальных сферах, но и в руках киберпреступников. Его использование позволяет автоматизировать атаки, находить уязвимости и запускать фишинговые кампании с высокой эффективностью. Однако современные NGFW, интегрированные с ИИ, предоставляют компаниям возможности для борьбы с этими угрозами, делая киберпространство более безопасным.

Аппаратный файрвол выступает своего рода фильтром между внешними источниками и вашей внутренней сетью. Но его эффективность зависит от правильных настроек. Какие ошибки чаще всего допускают при настройке? 

Отсутствие ограничений входящего трафика

Да, это удивительно, но такое бывает. Даже базовый сценарий защиты рабочих станций предполагает блокировку всего входящего трафика кроме тех соединений, что уже открыты (в белом списке). Таким образом доступ к станции извне для злоумышленников будет заблокирован. Оставлять доступными все порты и не фильтровать трафик — главная ошибка. 

Отсутствие типовых прав доступа

Разграничение доступа сотрудников — принципиально важная задача. Конечно, можно давать доступы каждому персонально. Но лучше настроить фильтры так, чтобы была возможность формировать групповые ограничения. Например, для менеджеров по продаже или бухгалтеров. Так меньше шанс ошибиться и предоставить сотруднику больше прав, чем нужно. 

Отсутствие сегментации

Разделять нужно не только пользователей, но и оборудование. Хотя бы с помощью подсетей. Поскольку настройки для рабочих станций и серверов принципиально разные. Причем прописать нужно не только внешние настройки, но и правила взаимодействия сегментов между собой. 

Отсутствие мониторинга

Даже если ваш файрвол отлично выполняет задачи, вы должны понимать, как именно он работает, с какими вызовами ему приходится справляться. Для этого нужно настроить уведомления о подозрительной активности и взять за правило отслеживать логи. Любая аномальная активность должна насторожить, даже если все работает исправно.  

А с каким ошибками приходилось сталкиваться вам?