Jump to content

Как безопасники обсираются

Dyr

By Dyr
in У нага

 Share

Recommended Posts

Dyr

Dyr

Posted
Posted (edited)

Ну не могу не поделится великолепной пафосной историей про то, как безопасники какой-то из компаний, занимающейся информационной безопасностью, "перехватили" почту от конкурентов, приглашавших на собеседование инженера:

 

http://securityinfor....com/45657.html

Действия компании? Инженера "пригласили" на разговор в службе безопасности.

 

 

Особенно впечатляют комментарии. В частности, из обсуждения следует, что служба безопасности "перехватила" почту на личный ящик инженера (который сам об этом маякнул в СБ), но в то же время в компании отсутствуют ограничения на доступ в инет с телефонов. "Очень хорошая ДЛП", ну не прелесть ли?

Edited by Dyr
Dyr

Dyr

Posted
  • Author
Posted

Дык это у них официальная позиция ещё, ты что. И пофиг им на всё остальное, зато сколько пафоса!

vIv

vIv

Posted
Posted

Инженер одной компании написал письмо в другую и за это его поймали?

Через веб-морду своей личной почты ;)

Мииинуточку! Яндекс-почта работает через https. Сам механизм https скомпрометирован на рабочем месте упомянутого инженера? Тогда с его рабочего места что угодно могло попасть куда попало. Такая чудесная "защита" выглядит опаснее того, от чего защищает.

 

Либо это тупо сниффер на уровне приложения (браузер в данном случае), который при желании обходится на раз-два-три любым, кто об этом способен задуматься. Тогда вопрос об компетенции упомянутого инженера.

 

Как правильно написали в комментариях: дутый детектив ни о чём.

 

Во всех подобных системах есть две концептуальных проблемы:

1) оператор подобной системы становится сконцентрированной точкой риска утечки, так как имеет полный доступ ко всей информации в пределах периметра контроля.

2) все контролируемые сотрудники на все попытки обвинить в сливе могут честно тыкать пальцем в п.1 => никакой личной ответственности за сохранность информации.

 

Мне куда больше по душе подход Oracle с личным шифрованием полей в БД. Сисадмин просто не видит того, что хранится, но может при этом администрировать БД. Ответственность чётко персонифицирована, для особо критичных случаев можно внедрить форматы данных с цифровой подписью на каждое изменение, - слив будет виден не только по автору документа, но и по стадии, на которой произошёл.

taf_321

taf_321

Posted
Posted

Мииинуточку! Яндекс-почта работает через hhtps. Сам механизм https скомпрометирован на рабочем месте упомянутого инженера? Тогда с его рабочего места что угодно могло попасть куда попало. Такая чудесная "защита" выглядит опаснее того, от чего защищает.

 

Дык, учитывая чем торгует контора, там скринеры и кейлоггеры на рабочих местах уже идут в качестве обязательного софта. "Политика безопасности", епт. На предыдущем месте работы "информационная безопастность" на нечто подобное тоже фапала и пыталась навязать внедрение. Спасал только ценник за это счастье.

vIv

vIv

Posted
Posted

Мииинуточку! Яндекс-почта работает через hhtps. Сам механизм https скомпрометирован на рабочем месте упомянутого инженера? Тогда с его рабочего места что угодно могло попасть куда попало. Такая чудесная "защита" выглядит опаснее того, от чего защищает.

Дык, учитывая чем торгует контора, там скринеры и кейлоггеры на рабочих местах уже идут в качестве обязательного софта.

В таком случае возвращаемся к пункту "уровень компетенции упомянутого инженера". А, точнее, реалистичность описаной сказки.

ingress

ingress

Posted
Posted

вам не кажется что это просто реклама?

даже может быть откровенно состряпанная, взяли первого попавшегося сотрудника(или заставили), который не умеет искать работу(слаб характером/сам же такой м... аналитик) без следов, и выставили пример, а бурление говн как эффектность/эффективность рекламы.

stas_k

stas_k

Posted
Posted

вам не кажется что это просто реклама?

даже может быть откровенно состряпанная,

там весь этот ЖЖ - просто корявая незатейливая реклама "сикуритинформ". вода и буллшит.

Dyr

Dyr

Posted
  • Author
Posted

Я в этом ЖЖ в обилии вижу буллшит и не понимаю, кто может его воспринимать как рекламу ;)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.