[Ivan_83]

Учитывая что через SMS приходят коды подтверждения на операции интернет-банков, я вообще не пойму как можно ставить какой-то не опенсорс софт с запросом этого разрешения.

Я в свою очередь, не понимаю как вообще можно андройду хоть что то доверять, ровно как и яблоку.

Оно всё сливает как минимум вендору и гуглю, в случае яблока вендор=яблоко = 1 место точно.

Но если речь о деньгах, то всё, поздно, нельзя смс даже на звонилку, в гермашке сс7 сломали и денег с хомяков так повыводили не хило. А у нас просто клонировали симки.

 

Но с другой сторны, чего большинству то от окружающих прятать? Как водки вчера пережрал, или по случаю налево срулил? Не пейте, не гуляйте. Или не рассказывайте окружающим. Потому что то, что знают двое, уже не тайна, даже если это было зашифровано тремя шифрами... Ну и главный враг по утечкам - это ваши же личные гаджеты, на которых все хранится в расшифрованном виде. А логин и пароль вы отдадите сами, при чем очень очень даже добровольно, быстро и резво, и никакая защищающая вас статья Контституции вас от этого шага не остановит. Так что не надо про Телеграмм, Гугл, Винду и Унбунту. Пустое все это...

Ты очень странный тип.

Смысл в том, что бы не привлекать внимания бигдаты.

Те если я в аське/агенте/скайпе/телеге/вацапе/гугле напишу другу что то содержащие buzzwords оно попадёт на доп анализ и привлечёт ко мне внимание.

Я не хочу никакого внимания. Если я что то рассказываю меня вполне устраивает что это могут дальше разболтать, но часто это просто о работе, семье, политике и там всё равно много buzzwords, потому что жизнь такая.

 

Вот если репутация говно, то не нужно пользоваться. Все просто. Не понимаю только почему у MRG вообще остались пользователи - там, как раз, репутация не то-чтобы нулевая - она отрицательная. Не пользуйтесь никогда ни мыло.ру, ни вконтачем. Вот и не будут опера приходить

А куда я буду получать спам, и всякие уведомления от местных барыг-интернет магазинов?)

Да и в агенте/аське всё ещё более 90% контактов.

 

Авторы опенсорса НЕ НЕСУТ ОТВЕТСТВЕННОСТИ, вообще никакой, за софт собранный из их исходников, а качество опенсорса как и скорость с которой фиксятся дыры безопасности нам всем хорошо известны на недавних примерах тех же OpenSSL SSH и др.

Ответственность за софт это сильно отдельная тема.

Если оно тебе надо то ты обязан покупать программно-АППАРАТНЫЕ комплексы за овердохера денег, потому что и разработка будет другая и деньги для страхования ответственности должны откуда то браться.

В этом плане венда за 10к руб не предполагает никакой ответственности, это примерно плата за сборку из исходников, дистрибуцию и маркетинг.

 

В третьих, тот кто принимает решение о финансировании эксплуатации информационных систем, сэкономил на обученном персонале, сэкономил на покупке дополнительных средств защиты (антивирусы), использовал просроченные средства и т.п.

Ты ацки не прав.

Экономия была только на одном: нормальных спецах.

Последний петя работал так: юзер его запускал у себя, дальше он вытягивал из венды все пароли, включая доменные и начинал лезть на все соседние компы в сети с этим паролем, просто в admin$ и удалённо запускал.

Я ещё с 2003 года начал отключать привязку службы сервера файлов и принтеров на всех сетевых интерфейсах.

Если бы я щас админил домен то наверное уже бы добавил правило запрещающее все входящие соединения по сети, даже из локалки на всех рабочих станциях.

В итоге эпидемии бы не было, максимум отдельные машины, ну и кд бы пришлось что то делать, если бы он у меня не на самбе был.

Это очень всё просто делается и не стоит вообще ни копейки денег.

Этого никто не сделал.

Все дрочили на патчи, а кто то на "пронесёт" или "мне некогда/мало платят".

 

Защитные решения - это ты обчитался хабра, они там все как мухи на говно слетелись с пеаром своих защитных решений.

[wanderer_from]

А куда я буду получать спам, и всякие уведомления от местных барыг-интернет магазинов?)

https://10minutemail.com/ - оч.удобно.

 

Да и в агенте/аське всё ещё более 90% контактов.

у меня в почте стоит фильтр, который ВСЮ почту с мыла.сру отправляет в /dev/null. На#уй мне такие корреспонденты, которые не могут завести нормальную и безопасную потчу? А спама и без них хватает. Аську я убил лет десять назад и до сих пор вспоминаю о том времени, когда я ею пользовался, с содроганием и рвотными позывами.

[YuryD]

А куда я буду получать спам, и всякие уведомления от местных барыг-интернет магазинов?)

https://10minutemail.com/ - оч.удобно.

 

Да и в агенте/аське всё ещё более 90% контактов.

у меня в почте стоит фильтр, который ВСЮ почту с мыла.сру отправляет в /dev/null. На#уй мне такие корреспонденты, которые не могут завести нормальную и безопасную потчу? А спама и без них хватает. Аську я убил лет десять назад и до сих пор вспоминаю о том времени, когда я ею пользовался, с содроганием и рвотными позывами.

Суров ты батюшка :) Аська у меня по работе работает, без никаких левых предложений секса или еще чего.

[stas_k]

Это очень всё просто делается и не стоит вообще ни копейки денег.

Это ДЛЯ ТЕБЯ "не стоит ни копейки". Хотя же, время потраченное на решение вопроса - деньги которые могли быть заработаны выполнением другой работы.

 

Для работодателя это стоит нанять ДОРОГОГО КВАЛИФИЦИРОВАННОГО сотрудника, регулярно повышать/подтверждать его квалификацию отправляя на курсы (и ОПЛАЧИВАЯ их).

Квалифицированный сотрудник не будет работать на говножелезе (опять расходы), с пиратским софтом (опять расходы).

 

При чем, квалифицированным должен не быть не какой то один ИТ гай, а КАЖДЫЙ, член, трудового коллектива. (в первую очередь владелец\учредитель дающий целеполагание всей организации, принимающий решение о найме персонала определенной квалификации, должен быть квалифицированным).

 

Все дрочили на патчи, а кто то на "пронесёт" или "мне некогда/мало платят".

Это, закономерное следствие.

 

Защитные решения - это ты обчитался хабра, они там все как мухи на говно слетелись с пеаром своих защитных решений.

Фу, как плохо ты обо мне думаешь.

 

где холивор? где тыкания меня носом в орфографические, стилистические и фактологические ошибки?

#непорядок

 

Эта ссылка, внизу страницы.

#порядок

[zurz]

Для работодателя это стоит нанять ДОРОГОГО КВАЛИФИЦИРОВАННОГО сотрудника, регулярно повышать/подтверждать его квалификацию отправляя на курсы (и ОПЛАЧИВАЯ их).

Квалифицированный сотрудник не будет работать на говножелезе (опять расходы), с пиратским софтом (опять расходы).

 

При чем, квалифицированным должен не быть не какой то один ИТ гай, а КАЖДЫЙ, член, трудового коллектива. (в первую очередь владелец\учредитель дающий целеполагание всей организации, принимающий решение о найме персонала определенной квалификации, должен быть квалифицированным).

Для справки. Что касается "квалифицированно".

Безопасность начинается с модели нарушителя.

Официально (по требованиям ФСТЭК), модель нарушителя (из которой затем можно пытаться выводить векторы угроз для конкретного предприятия) должна утверждать комиссия минимум из 3х человек.

Встретить трёх компетентных безопасников на предприятии???

 

Вот встретить трёх жлобов (гендир финдир главбух) вот это завсегда.

 

Глупо рассуждать о безопасности, начиная развивать её из отдела/подразделения ИТ.

Также глупо, как вешать на отдел/подразделение ИТ пропущенный вектор атаки с использованием внутреннего нарушителя (такого как фишинг через email).

Изменено 1 июля, 2017 пользователем zurz

[stas_k]

встретить трёх жлобов (гендир финдир главбух) вот это завсегда.

 

Глупо рассуждать о безопасности, начиная развивать её из отдела/подразделения ИТ.

Я рад, что, ты понял, мой мессадж.

 

 

Встретить трёх компетентных безопасников на предприятии???

Говно вопрос!

Можно отдать на аутсорс, можно пригласить контракторов. Не проблема.

[Macil]

Если бы я щас админил домен

Если бы я щас админил домен, я бы каждого запихал бы в отдельный VLAN (в зависимости от количества юзеров и фичастости коммутатора). Ибо — нех. А интернет на рабочих станциях запретил бы от слова «вообще»... Нужны специализированные АРМ для обмена информацией с банками, ФНС, и прочими ФС — давайте делать. Особо «творческие» личности проживут и в отдельном сегменте сети. Руководителям «которым без интернета никак» будет поставлен ноутбук или планшет.

 

И никаких «Петь», «Вась» и «ЯПлакал» не будет.

 

Кстати, первым шагом развёртывания ИБ является не модель нарушителя или модель угроз, а инвентаризация информационных активов. Вот по итогам как раз и формируется модель угроз и принимается решение о разделении сети на сегменты.

[Sergey Gilfanov]

Если бы я щас админил домен

Если бы я щас админил домен, я бы каждого запихал бы в отдельный VLAN (в зависимости от количества юзеров и фичастости коммутатора). Ибо — нех. А интернет на рабочих станциях запретил бы от слова «вообще»... Нужны специализированные АРМ для обмена информацией с банками, ФНС, и прочими ФС — давайте делать.

Вот только последний зловред, как я понял, достаточно многим и прилител с обновлением такого АРМ-а. Кроме того, подобный подход одновременно означает, что и разные серверы в каждом VLAN-е должны быть отдельные друг от друга. Оно немного недешево получится - столько лицензий на сервера хотеть.

[Macil]

прилител с обновлением такого АРМ-а

В первую очередь, не нужно запускать левые бинарники. Это азбучная истина.

 

Нужно быть постоянно готовым, что после обновления целевая система будет неработоспособна, и загодя принимать необходимые меры. Неплохо бы сначала производить обновление в тестовом контуре. А наличие тестового контура — побочный эффект системы резервного копирования.

 

что и разные серверы в каждом VLAN-е должны быть отдельные друг от друга

Не факт. Но да, сегментирование ведёт к дублированию, и росту расходов на инфраструктуру. Грамотное управление активами помогает снизить затраты... но не ликвидировать полностью... Ради этого всё и затевается. Как показывает практика, *дороже* оно не выйдет.

[edo]

В первую очередь, не нужно запускать левые бинарники. Это азбучная истина.

вот куплен условный консультант.

как пользоваться им, не запуская "левые бинарники"?

[zurz]

Кстати, первым шагом развёртывания ИБ является не модель нарушителя или модель угроз, а инвентаризация информационных активов. Вот по итогам как раз и формируется модель угроз и принимается решение о разделении сети на сегменты.

допустим.

ну нашли вы по результатам этой инвентаризации комп, который используется двумя людьми для решения трёх задач. А по технике безопасности тьфу ИБ это должны делать три человека каждый на своем компе.

и чо?

 

чем это поможет, если предшествует выработке грамотной модели нарушителя?

лишними воплями ахтунг! ахтунг!?? у нас всё неправильно!!1

 

модель строится, учитывая не сиюминутные попытки имплементации бизнес-процессов "как умеем", а учитывая полноценное участие в региональном/глобальном правовом поле. с учетом как минимум трёхлетнего развития, а не так чтобы "попку прикрыть" или "для галочки".

 

тем, кому надо "для галочки" - и так найдёт кому забашлять, не сильно забивая себе голову. Тем более что в таких конторах всегда есть план по выходу в кэш в кратчайшие сроки.

[zurz]

вот куплен условный консультант.

как пользоваться им, не запуская "левые бинарники"?

хммм.

аудитор взялся выполнить работу о которой он понятия не имеет? и что он тогда за аудитор?

 

зы. будут выполняться попытки запуска всего, что можно и чего нельзя. и таким образом будет проверяться соответствие декларируемых на бумаге политик "что нельзя" и реальных "что осталось можно".

[Macil]

чем это поможет, если предшествует выработке грамотной модели нарушителя?

Лол, *всем*. Модель нарушителя прежде всего отвечает на вопрос «Что?». А только потом «Как?». И на вопрос «Что?» без понимания *текущей*, *реальной*, структуры активов, ответить невозможно.

 

В этом-то и проблема большинство безопасников: почесали левое яйцо, и выдумали «модель», которая не имеет никакого отношения к реальности. А поэтому, в лучшем случае не может быть исполнена. В хдущем — выполнение несёт риски.

 

модель строится, учитывая не сиюминутные попытки имплементации бизнес-процессов "как умеем"

Нет, уважаемый! Выработка мер ОИБ как раз строится в реалиях текущих бизнес-процессов! Иначе, нафиг нужна штатная единица безопасника в конторе? Понятно дело, что по итогам работы вырабатываются рекомендации по внесению изменений в бизнес-процессы.

 

Но. Во-первых, внесение изменений требует понимания как процессы работают сейчас. Для этого и требуется инвентаризация информационных активов. Во-вторых, не всё можно изменить. И есть вполне адекватные причины. В-третьих, изменения должны быть соразмерны и экономически адекватны. Вот за это и отвечает модель угроз.

 

Если не следовать этому простому правилу, то СИБ вместо мер ОИБ выпускает пособие для диверсанта-итальянщика, и только нулевая ответственность СИБ за принятые решения мешает пользоваться им в полном объёме. В результате, требования игнорируюся, отчёты о выполнении подделываются.

 

Так что, не надо «ля-ля».

[Macil]

как пользоваться им, не запуская "левые бинарники"?

Это не левые бинарники. Предваряя следующий вопрос отвечу: будет ровно то же самое, как и в случае продажи любого иного бракованного продукта: внутреннее расследование, обращение в правоохранительные органы, возбуждение уголовного дела, суд, привлечение к ответственности виновных, гражданский иск, компенсация ущерба.

[zurz]

В результате, требования игнорируюся, отчёты о выполнении подделываются.

ваша служба не в состоянии это контролировать, и оценивать, почему введенная мера не эффективна?

[Macil]

ваша служба не в состоянии это контролировать, и оценивать, почему введенная мера не эффективна?

Не моя слава Богу! Но да, не в состоянии. Потому что не понимает как выработанные меры должны работать в реальности. Потому что ни разу не сидели на рабочем месте рядового сотрудника. Сложившаяся ситуация же, полностью устраивает. Т.к. оправдывает любую некомпетентность и снимает любую ответственность: «Я не бездействовал! Я сразу на "капу" нажал. Скрипач — свидетель!».

[zurz]

Macil

и вы после всего этого пытаетесь здесь рассказывать про компетентность?

[SergoINFOLAN]

Больше телеграма в треде!

[zurz]

Больше телеграма в треде!

а он ещё кому-то интересен?

хайп прошёл, слив защитан, исходники серверной части так и не раскрыты.

неужели осталась та часть деревянной крышки, свободной от вбитых в неё гвоздей?

[Ivan_83]

https://10minutemail.com/ - оч.удобно.

Некоторые такие помойки банят.

 

у меня в почте стоит фильтр, который ВСЮ почту с мыла.сру отправляет в /dev/null. На#уй мне такие корреспонденты, которые не могут завести нормальную и безопасную потчу? А спама и без них хватает. Аську я убил лет десять назад и до сих пор вспоминаю о том времени, когда я ею пользовался, с содроганием и рвотными позывами.

Ну так да, ориг аська была уг.

Я пользовался мирандой и пользусь до сих пор, она у меня пережила вин 98, ХР, 2к3х64, вин7 и сейчас в вайне под фрёй живёт.

База контактов, история.

Фактически как записная книжка с контактами. Всё архи удобно.

 

 

Это ДЛЯ ТЕБЯ "не стоит ни копейки". Хотя же, время потраченное на решение вопроса - деньги которые могли быть заработаны выполнением другой работы.

Так профилактика дешевле лечения/восстановления.

А ИТ отдел традиционно на производствах деньги не зарабатывает а тратит, и если админ на пару часов меньше будет шпилить игры и по бюстгалтериям чай пить то ему более чем хватит времени настроить много чего в кач профилактики.

 

Квалифицированный сотрудник не будет работать на говножелезе (опять расходы), с пиратским софтом (опять расходы).

Ну ок, я же не настаиваю.

Теряйте данные при каждой эпидемии, мне то пофик.

 

Фу, как плохо ты обо мне думаешь.

Значит в другом месте, ИБ конторы всё обосрали своей рекламой.

 

вот куплен условный консультант. как пользоваться им, не запуская "левые бинарники"?

Этой хрени пора бы вообще через веб работать.

Что впрочем не отменяет сотен других бинарников от всякого говнософта под вендой.

[stas_k]

Так профилактика дешевле лечения/восстановления.

А ИТ отдел традиционно на производствах деньги не зарабатывает а тратит, и если админ на пару часов меньше будет шпилить игры и по бюстгалтериям чай пить то ему более чем хватит времени настроить много чего в кач профилактики.

Что замотивирует ИТ специалиста делать чужую работу, которую не оплатят и которую можно не делать?

При чем работу как минимум несольких человек: CEO CIO CSO и приглашенных независимых аудиторов.

 

Теряйте данные при каждой эпидемии, мне то пофик.

У меня пока не терялись данные. Видимо я все таки что то "делаю так".

 

Значит в другом месте, ИБ конторы всё обосрали своей рекламой.

С рекламой ИБ контор всё было понятно уже в конце 90х. Так что тоже "мимо".

 

Этой хрени пора бы вообще через веб работать.

Эта хрень, конкретно консультант, часто нужна в таких ебенях, где даже gprs в роуминге не пытается делать вид что работает. Только локальная копия на лаптопе юриста.

[Alex/AT]

Есть ещё мысль, что ежедневный бэкап всех важных данных спасает от суровых потерь, однако.

[NikAlexAn]

Есть ещё мысль, что ежедневный бэкап всех важных данных спасает от суровых потерь, однако.

Только комплекс мер позволит более менее ровно сидеть на пятой точке.

Но для выработки и реализации более менее действенной системы безопасности необходимым условием всёж является наличие понимания необходимости такой системы у руководства и некоторый уровень компетенции и у руководства и у исполнителей.

А если нет то будет как обычно - "ну сделайте чёнить".

[SergoINFOLAN]

Больше телеграма в треде!

а он ещё кому-то интересен?

хайп прошёл, слив защитан, исходники серверной части так и не раскрыты.

неужели осталась та часть деревянной крышки, свободной от вбитых в неё гвоздей?

хайп то был успешный, у меня 10 новых контактов в телеге (она пишет когда кто то появляется с номером тел из твоей записной книжки, те книжку она мою слила уже себе).

[Ivan_83]

Что замотивирует ИТ специалиста делать чужую работу, которую не оплатят и которую можно не делать? При чем работу как минимум несольких человек: CEO CIO CSO и приглашенных независимых аудиторов.

Меня мотивировало то что разгребать это потом всё равно должен был я.

Поэтому прочитав что то интересное я применял это и спал спокойно.

 

Эта хрень, конкретно консультант, часто нужна в таких ебенях, где даже gprs в роуминге не пытается делать вид что работает. Только локальная копия на лаптопе юриста.

Её и локально можно по вебу через браузер отдавать.

Но мой поинт в основном в том, что на предприятиях отдача по вебу позволит достаточно хорошо изолировать даже локальную базу от юзеров, при желании проксируя и вырезая мусор в хттп. И деплой сильно легче станет, и поиск в базе быстрее.

И уж тем более юзерам будет на один ненужный бинарник меньше запускать в системе.

Если насчёт офисного пакета ещё можно спорить что лучше: веб или рич клиент, то с консультантом/гарантом я не вижу преимуществ рич клиента перед веб версией.