Pre-access protection for VPNs & gateways
Najpierw odpowiedz na zarzut
Security by obscurity opiera się na sekrecie: ukrytym porcie, niepublicznym adresie URL albo magicznym puknięciu. W chwili, gdy sekret wycieknie, ochrona znika. Ghost nie ma sekretu, który mógłby wyciec.
Każda brama za Ghost egzekwuje domyślną odmowę dostępu na brzegu sieci. Nie ma handshaku, banera ani strony logowania dla nikogo — nawet dla atakującego, który zna dokładny adres. Sama wiedza, gdzie znajduje się brama, nic mu nie daje.
Trasa otwiera się dopiero wtedy, gdy użytkownik udowodni przynależność do organizacji: adresem e-mail w firmowej domenie albo certyfikatem PKI wydanym przez organizację. Następnie Ghost publikuje IP tego użytkownika na allowliście bramy — zakresowo i tymczasowo.
Niewidoczność nie jest mechanizmem bezpieczeństwa. Jest jego skutkiem. To authenticate-before-connect, podstawowa zasada zero trust, zastosowana w warstwie sieciowej.
Najpierw odpowiedz na zarzut
MFA chroni logowanie. Nie chroni powierzchni ataku. Osiągalna brama odpowiada każdemu skanerowi, każdemu exploit kitowi i każdemu zero-day — zanim jakikolwiek użytkownik się uwierzytelni. To właśnie od tej powierzchni zaczynają się włamania do bram.
Ivanti Connect Secure · exploitowane przed uwierzytelnieniem
Citrix NetScaler · CitrixBleed
FortiGate SSL-VPN · powracające RCE
GlobalProtect · CVE-2024-3400
Następny kwartał · ???
Jak to działa
Weryfikacja następuje przed osiągalnością. Zanim pakiet może dotknąć twojej bramy, nadawca już udowodnił swoją tożsamość.
Domyślna odmowa
Użytkownik prosi o dostęp
Weryfikacja organizacyjna
Trasa się otwiera
Dostęp wygasa
Nie rewolucja, a przemyślana ewolucja
Ghost działa przed tym, z czego już korzystasz. Pierwsza brama zwykle jest chroniona w około 2 godziny — nie jako kamień milowy wielokwartalnego programu migracji.
Twój stack zostaje
FortiGate, Cisco ASA, Palo Alto, Ivanti, Citrix i F5 działają dokładnie tak jak dziś. Ghost dodaje warstwę weryfikacji, niczego nie zastępuje.
Twoja infrastruktura
Wdrożone w twoim środowisku — on-prem albo w twojej chmurze. Ruch użytkowników nigdy nie przechodzi przez cudzą chmurę, w tym naszą.
Bez przeprojektowania sieci
Bez nowych tuneli, bez przebudowy routingu, bez masowego wdrażania agentów na flotę. Topologia zostaje taka sama.
Użytkownicy nie uczą się niczego nowego
Jeden lekki krok przed połączeniem: potwierdzenie firmowego e-maila albo certyfikat już obecny na urządzeniu. Znany klient VPN zostaje ten sam.
Ghost kontra SASE/ZTNA
SASE to program transformacji sieci. Ghost to kontrola, którą włączasz. Oba rozwiązania mogą współistnieć; tylko jedno zamyka lukę ekspozycji jeszcze dziś po południu.
Vendor briefs
Po dwie strony: historia ekspozycji twojego produktu, sposób integracji Ghost oraz wyjaśnienie, dlaczego to nie jest security by obscurity. Dla zespołów bezpieczeństwa i sieci.
ghost-for-fortigate.pdf
ghost-for-ivanti-connect-secure.pdf
ghost-for-citrix-netscaler.pdf
ghost-for-globalprotect.pdf
ghost-for-cisco-asa.pdf
ghost-for-f5-bigip.pdf
Regulatory tailwind
SASE to program transformacji sieci. Ghost to kontrola, którą włączasz. Oba rozwiązania mogą współistnieć; tylko jedno zamyka lukę ekspozycji jeszcze dziś po południu.
Czym GHOST nie jest
Nie zastępuje patchowania
Nieosiągalna brama daje czas i usuwa oportunistyczną eksploatację, ale podatne oprogramowanie nadal trzeba patchować. Ghost skraca okno; nie usuwa błędu.
Nie jest pełną platformą ZTNA
Ghost kontroluje, kto może dotrzeć do bramy, a nie mikrosegmentację per aplikacja za nią. Jeśli zmierzasz w stronę ZTNA, Ghost jest krokiem na tej ścieżce, nie całą ścieżką.
Nie jest magią dla każdej sieci
Środowiska za CGNAT albo z mocno współdzielonymi adresami wyjściowymi potrzebują jednego z alternatywnych trybów wdrożenia Ghost. Powiemy ci, który pasuje, zanim zobowiążesz się do czegokolwiek.
Skontaktuj się z nami