Как только появились облака, меня потрясло, с какой скоростью компании кинулись там хранить свои данные. Я никак не мог понять, почему компания, с сильной службой безопасности, которая меня уволит только за то, если я скажу кому-нибудь, почём или у кого мы купили какой-нибудь прибор, выкладывает в облаках, контролируемых людьми из других, явно недружественных к нам стран, договора, поставщиков, цены и прочее. Когда ведут конфиденциальные переговоры через всякие скайпы и сервера, полностью контролируемых Западом. И ни разу не парятся о коммерческой или какой-либо тайне!
И-23: в линии моего опыта у профессионалов ИБ на второй год активной фазы противостояния с благословенным заокраинным не только не вызывает никаких вопросов использование сервиса Zoom (zoom.us), но они и сами ничтоже сумняшеся его используют.
Лет 15 назад я писал диплом. С удивлением узнал, что знаменитый автокад, оказывается безплатен! Только одно условие - нужно ему открыть доступ в интернет, чтобы он отсылал копии тех документов, с которыми вы работаете. Круто, да? То есть любой документ, который я загружаю в Автокад, улетает к врагам! Представляете, сколько студентов на заводах пишут дипломы, сколько они берут документации в электронном виде, в том числе и чертежей, чтобы свои проекты сделать (дипломный проект - это усовершенствование текущего технологического процесса)? И уж определить - из какого города тот или иной чертёж к ним пришёл - вообще не проблема. В Автодеске поди захлебнулись от такой волны чертежей. Которые осталось удобно рассортировать по папочкам - "Чертежи установок изготовления гусениц такого-то тракторного завода в городе таком-то", "Чертежи помещений машинного зала такого-то завода в городе таком-то". Вот вам и "безплатно".
Диплом я написал в "Компасе" - они раздавали годовую лицензию - мне хватило для написания диплома. Дома установлен сторонний файерволл, настроенный вручную, и я очень внимательно отношусь к тому, какие программы и зачем ломятся в интернет - для того его и устанавливал. И я думаю о том, что будет, если я разрешу автодеску таскать у меня чертежи. Снёс их тут же, как только прочитал условия использования. С тех пор больше никогда не устанавливал.
© AnTul
Профессия давно превращена в синекуру. Профессионалы умеют только запускать *товарные* (!!!) сканеры «уязвимостей», не отдавая себе отчёта в свойствах *товарного* ПО и закономерно «теряя» *необходимые* элементы, не втискиваемые в парадигму *продаваемого* сервиса.
Об отношении (личном или толерантности в её исходном смысле к отношению табунов подрядчиков) к [например] функции фильтрации пакетов (или расширению RSBAC) скромно и выразительно промолчим.
Комментарии
Ваше образование и опыт в ИТ/иб?
Здравствуйте!
Скажите пожалуйста, а что в статье Вас насторожило, что вызвало необходимость затребовать такую информацию?
Поправить надо опечатку в слове беЗплатен, а по тексту облака это инструмент, который можно рационально использовать и он может быть как публичным облаком, так и вашим приватным, файлы что вы выгружает могут быть все шифрованными и т.д. то есть все кастомизируется под задачу и проблем в облаках как таковых нет, с учётом, что сейчас все уходит в цифру и ускоряется.
Свечку над ТС не держал, но знаю немало людей, которые приставку "бес" вполне сознательно пишут через з. При этом ни разу не будучи "воцерковлёнными" в классическом православном смысле. И имеют свою модель мира, отличную от примитивно атеистической.
Не в официальной переписке, конечно.
А правило простое. Перед звонкой согласной - 3 (безземельный, безголовый, бездонный), перед глухой -С (бесплатный, бестолковый)
Да?
Скажите пожалуйста: сколько букв в русском алфавите?
Было до и стало после Кирилла и Мефодия...
Мне казалось, что написал достаточно конкретно, но если таки возникли разночтения, то уточню - приставка "бес-" некоторыми моими знакомыми пишется в частной переписке со звонкой "з" не в силу особенностей трактовки правил русской орфографии, а из-за нежелания упоминания слова "бес" как наименования сущности "тёмного" мира.
Чтобы не привлекать этих сущностей, не нужно увлекаться суевериями.
это сектанты, им можно
а вы сколько лет в сфере иб?
я просто аннулирую ваш доступ к облаку и мне не нужно вскрывать ваши шифрованные данные ,
ваши действия?
Но-но…
Позвольте обратить Ваше внимание, на то, что возраст и стаж далеко не всегда корректно репрезентуют квалификацию в предметной области.
так намек же был именно на стаж ,
а так то можно пристально посмотреть на стек tcpip и найти много интересного , что не учитывается в трафике
В этом месте я просто позволю себе напомнить реакцию ряда комментаторов в одной из предыдущих статей.
Много с облаками работали? Ну серьезно?
Критерии «серьёзности»? Тесты…
Ваши знания особенностей документирования и громких в узких кругах скандалов Вы уже продемонстрировали.
Могу предложить ещё один пример. Попробуйте ответить на вопросы. Или хотя бы только на второй вопрос.
1. отсутствие ссылки на источник информации о том что автокад сливает чертежи. с большой долей вероятности автокаду нужен доступ в интернет для проверки лицензии(что не исключает в последствии возможности слить что то еще)
2. отдел ИБ не владелец бизнеса, он действует в рамках которые бизнес ему установил.
если сильно упрощенно то ИБ озвучивает риски и то как эти риски снизить, а решение принимает уже бизнес.
По объему исходящего трафика и что именно идёт было бы давно понятно и весь интернет кричал бы об этом.
Ну нельзя быть настолько деревянным Буратиной.
Умные люди тихо договариваются, глупые люди недолго живут - этому на Западе примеров масса, даже в кино, да и у нас...
Можно было просто напомнить аналогию с известностью технологии секрета успеха на *реальном* рынке.
О да. Конечно.
Помните историю с патчиком OpenSSL в OpenBSD?
Можно ещё напомнить историю одного европейского производителя оборудования для защиты передаваемых по публичным каналам данных.
Или вот ещё прекрасное.
А то Вы не знаете особенностей бытия статичных ссылок в этих Ваших интернетах?..
И описания самых интересных нюансов в официальной документации (помните историю об изменении умолчательных лимитов ада?)…
Да, кстати, для лечения Веры в надлежащее документирование *необходимой* информации (со всеми пикантными нюансами) категорически показана монография тов. Мельникова (посвящённая биографии крейсера «Баян»).
Высказывать вслух критически замечания в отношении нового костюма короля может только уполномоченный действительный член гильдии ткачей?
.
Увы, подтверждаю. Опыт и в ИБ и администрировании MS AD и ()nix систем. Профессионалы редки. Лет 12-15 назад был на повышении квалификации, и лектор сказал откровение, что делать, если идет атака на шлюз - "Выдернуть провода!!!". На мой скромный вопрос, что если DDOS и является целью для подсовывания "своего" шлюза клиентам, он меня просто не понял, о чём я (
…а сколь прекрасные нормативные документы пишутся во обоснование сохранения привязки к технологиям фирмы майкросовт…
Нет.
Не понял.
В облака многие коммерсы ломанулись чтобы люди в масках не могли изъять у них сервера.
в облака ломанулись тупо потому что на начальном этапе требует меньше капитальных вложений.
Только это истина.
Остальное - ложь, последствие охмурения рекламой, модой и отсутствием приемлемых альтернатив - но бесплатно...
ROI - у облака ROI почти всегда стремится к 0 - это сервис который работает здесь и сейчас и мало того это еще и минимизация OPEX которая сводит простой и затраты на него фактический к нулю.
а уже на фоне этого всё остальное пшик + 99% компаний хранят в облаках только Мусорные данные....
Живой пример тому - покойные облачные сервисы Гугла, мегабакса и проч. А также их облачные сервисы, необратимо сменившие API несовместимым образом, некоторые даже несколько раз.
Не следует недооценивать человеческие способности
без спорно вопрос с тем что надо уметь понимать риски и вероятности и готовится к этому. и да не стоит глубоко завязываться на какогj-то одного вендора и всегда стоит иметь возможность спрыгнуть на On-premise.... и всё равно будет выходить дешевле.....
"не завязывание" на одного вендора бессмыслено: тогда тем более надо сразу на он-прем. Впрочем, это именно надо и именно сразу.
Ладно, не всегда. Только в тех случаях, когда есть амбиция не быть пищей для других. Если предприятие изначально позиционирует себя как нелуловимый Джо, готовый облачный сервис от крупного вендора - отличное решение! В конце концов, цель пищи - быть съеденой.
бред, ну не так это делается.... да и кому вы нужны с вашей внутренней перепиской которая в 99,9% случаев ничего кроме мусора не содержит.
и если выдумаете что тем что у вас будет "всЁ свое", что вы от чего-то защищены вы очень наивны - никоим Боком оно не помогает и не защищает, даже серьезно параноидальные меры защиты не работают в полную сил у без драконовских мер физической защиты.... на гражданском предприятии добиться реальной безопасности НЕ ВОЗМОЖНО.
в общем попробуйте обеспечить реальную безопасность продумать большую часть мер, а потом понять/оценить сколько оно стоит и поймете что для бизнеса это смерть....
нет сейчас реального ИБ(в классическом понимании) есть только Вероятности, рикси и Цена потери той или иной информации и только из такой модели получается что-то разумное....
Конечно, конечно. Так что лучше сразу
снять, нагнуться и смазатьсяхранить там, где заинтересованные дяди всё прочитают не отвлекая вас глупыми вопросами.Это не затрагивая вопрос доступности своей информации по своему требованию: в облаке вендора такого свойства вообще говоря нет.
И добавлю свои пять копеек вслед. ИБ начинается с выполнения протокола, основанном на инструкциях и руководствах по системе. Ломают в 95% не код, а социальную часть системы. Пароли сами отдадут при правильном подходе (
Но самым прекрасным тут является упорствование в инварианте парольного механизма аутентификации.
С, в особо «продвинутях» случаях, приложением профанаций с нагибанием внешних систем под непроектное применение.
ЗЫ: Вы ведь помните историю. В которой категорически рекомендуется использование различных паролей для разных сервисов. И как оно соотносится с такой удобно-востребованной технологией, как AD…
"Вы ведь помните историю. В которой категорически рекомендуется использование различных паролей для разных сервисов. И как оно соотносится с такой удобно-востребованной технологией, как AD…"
Microsoft с Active Directory в этом деле ни разу не первопроходцы. Была в свое время система Banyan Vines. Приходилось работать. Такая же единая связка Login/Passwd на все службы и сервисы. Кстати они очень тесно сотрудничали с Microsoft. https://networkencyclopedia.com/banyan-vines/
Несомненно. Аналогичную штуку я делал на базе OpenLDAP в фрюниксах.
Стремление иметь единую базу пользователей понятно и предопределено издержками согласования данных различных баз.
Меня не меньше удивляет, почему гос. (или около) структуры отсылают в сторону вотсапчика, а после предложения осуществить то же действия хотя бы по почте впадают на небольшое время в когнитивный диссонанс.
Ровно по той же причине, по которой предпочитают найм подрядчиков вместо самостоятельного решения.
тут есть еще такое:
вот теперь у нас битрикс - наше фсе.
Как организовать конфколл с клиентом? - спрашивает меня битрикс...
- очень просто, отвечаю я, пишу в почте клиенту, что нужен созвон, он мне присылает ссылку на встречу в тимзе.
битрикс сейчас как ирландское рагу - дофига не нужного функционала, а обязательные функции или не работают совсем, или глючат.
У нас нет никаких проблем с конференциями в Битрикс. Кроме идеотского названия пункта меню.
китайский звкад бесплатен и пойман на отправке файлов, ранняя версия, сейчас не знаю. автокад ни разу не был пойман на отправке файлов, пользуюсь с 14 версии.
Режим использования?
Страницы