История
МТС
Утром 17 марта (2024) стали недоступны VDS‑серверы одновременно в двух датацентрах CloudMTS — в 03:30 в 1cloud.ru, в 03:45 в oblako.kz
Сервер в oblako.kz ожил 18 марта в 22:25
Сервер в 1cloud.ru ожил 23 марта в 15:40
(Хабр)
1Gb – аналогично, 17 марта 2024, цитата:
Примерно в 7 утра 17 марта сеть хостинга была подвергнута беспрецедентной агрессивной хакерской атаке, целью которой было полное уничтожение данных на серверах нашей компании. В результате действий злоумышленников работа хостинга была парализована, а данные и операционные системы на многих рабочих серверов безвозвратно уничтожены. К сожалению в ряде случаев резервные копии также были уничтожены, хотя в основном копии присутствуют.
В комментариях пишут неприятное.
СДЭК
С 26 мая 2024 по 2 июня 2024 СДЭК не работал.
Что писал СДЭК ? Цитата:
Вследствие технического сбоя в настоящее время не работают приложение и сайт СДЭК, а также невозможны приём и выдача отправлений на ПВЗ. Источник – сайт СДЭК
Что общего у этих трех, возможно больше, случаев?
Случаев, конечно, больше трех. Тут и утечка данных из кредитов \ МФО, и утечка у РЖД, и недавние заявление ИТ г. Москвы, что у них ничего не протекало (см. Департамент информационных технологий города Москвы_2023.csv.), и свежая утечка ИБД «Спектр» - система обеспечения противодействия страховому мошенничеству Российского Союза Автостраховщиков (РСА),с ДТП физлиц, цитата:
Данные по ДТП физлиц содержат 58,6 млн записей:
Общее у них всех одно, все утечки и проблемы заканчиваются одинаково:
- отсутствием каких-то указаний на то, что событие вообще было,
- заявлениями, что 6 июня эти данные будут рассмотрены на совете директоров СДЭК в рамках внеочередного заседания по определению принципов и подходов к организации управления рисками. Источник .
Рассмотрели, приняли, проголосовали?
- отсутствием каких-то публичных, да и не публичных тоже, выводов и рекомендаций. Кроме классических – делайте хорошо, плохо не делайте, мойте руки, чистите зубы, меняйте носки и пароли каждый день. И ни слова про то, что не используйте уже ранее взломанный Anydesk и не используйте любые системы онлайн хранения паролей, их тоже взламывают.
С моей точки зрения, ситуация понятна.
Если начать расследование по настоящему, то можно выйти и на самих себя.
Выйти на тех людей, которые годами согласовывали заявки на поиск сотрудников без фактического найма, отчего оставшиеся делали кое-что и кое-как.
Выйти на тех HR, которые годами не хотели и не хотят делать свою работу по настоящей оценке рынка – какая квалификация сколько стоит, и почему для найма надо прямо писать оклады в вакансиях. МТС, к примеру, так и не начал что-то делать по настоящему, даже после падения. Сразу видна цена рассказам про дефицит высококвалифицированных низкооплачиваемых кадров.
Можно выйти на весь отдел имитационной безопасности. Отдел, скорее всего, выпустил 20 журналов инструктажей по тому, что надо менять пароли на сложные, и менять как можно чаще – идеально два раза утром и один раз вечером. Или, как и положено в той организации, откуда берут на работу в отдел имитационной безопасности – выпустить инструкцию что вечером, при уходе с работы, нужно сдавать Систему Хранения Паролей (тубус) и неизрасходованные одноразовые пароли под роспись в комнату хранения паролей.
Который год нет каких-то общедоступных рекомендаций по процессу внедрению AppLocker, Windows Defender Application Control (WDAC) или хотя бы запуску старого, проверенного и простого в настойке Software Restriction Policies (SRP). Конечно - если хоть что-то работающее внедрить, то как потом писать статьи «ой у нас кто-то что-то нажал».
Можно, конечно, взять digsig из 2006 года, назвать модной аббревиатурой ..
Еще неплохо внедрить любой российский антивирус или еще какое-то средство слежения, которое с каждым обновлением портит что-то новое, пытаясь перехватить то, что не стоит. И потом героически его чинить две недели.
Или, может, в Debian 10, то есть Astra Linux Special Edition, кроме логов, - уже внедрен функционал SRP? Или даже Local Администратор Password Solution (Windows LAPS) ?
Или где-то есть описание для Астры (и любого импортозамещающего дистрибутива), как делать правильный и годный /etc/sudoers , не говоря о том, как сделать что-то аналогичное связке PowerShell Web Access (PSWA) + CredSSP + SDDL (Security Descriptor Definition Language для Security.AccessControl.CommonSecurityDescriptor) ?
Или, может есть решение для Linux (включая те, что рекламируются как почти полноценная замена AD ) для тех, кто любит хранить пароли в Excel, аналогичное Active Directory Rights Management Services (AD RMS) ?
Как быть с тем, что имитационная безопасность в принципе не понимает, что такое debug privilege и kernel Secure Mode debugging ? не говоря уже про базу из баз - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL ?
И тот же вопрос в сторону типа российской виртуализации – есть там что-то хотя отдаленно похожее на описание использования SSH Forced Command ?
Хотя, совсем недавно эксперты по ИБ из одного интегратора, не стесняясь, прямо на Хабре предлагали плюнуть на все рекомендации Microsoft и отключать ipv6. Хотя, кажется (я не уверен), узнали о существовании Prefer IPv4 over IPv6 in prefix policies, может и про krbtgt что-то узнают.
Критикуешь – предлагай?
Было бы чего критиковать. Идея по переходу на имитацию, идентичную натуральной, идет не снизу, и не от бизнеса. Есть Госсопка, есть 187-ФЗ КИИ, есть 367 и 368 приказы, есть 27001 ГОСТ, есть масса методик. Есть даже какие-то организации по запретам входа не в ту дверь, с гордыми надписями «защитники интернета от чего-то». Целый CEO-вет есть - Совет по развитию профессиональной сертификации ИТ-специалистов при Ассоциации предприятий компьютерных и информационных технологий (АПКИТ).
Есть даже массы новорегов на хабре, при этом не просто набегающих в статьи с «рря вретииии», но еще и такие новореги, чьи первые и единственные комментарии автоматически тут же ободряются. Хабр – официально зарегистрированное в РФ СМИ, не удивляйтесь.
Простой и наглядной документации «вот так точно работает», собранной в одном месте, и читаемой – нет.
Рассказам новорегов с их "да у меня все работает, вы просто нейросеть и ненавидите всех человеков" - я не очень верю, статей про то, как именно и сколько "все" у них работает - нет.
Набора рекомендуемого ПО даже для простого хранения паролей, вместо бесконечных текстовых файлов, общего Excel, или индивидуально хранимых паролей – нет. Есть 1.5 российских решения за «очень дорого» . Есть обзоры (пример), но нет ни одного обзора по «вот мы применяем, вот так там с LDAP, вот так с группами, вот так с тегами, что еще пробовали». Тот же Bitwarden требует ключа от разработчика и бесплатно не работает с LDAP. Vaultwarden кто-то анализировал ? Не похоже.
Пошаговых открытых рекомендаций, как спроектировать и настроить внутренний SOC – нет (хотя, там ничего сложного, работы на один человеко-месяц)
Описанного функционала для внедрения чего-то сложнее sudo – нет (хотя сам механизм в Linux есть).
Хотя .. учитывая рекомендации для некоторых продуктов «первым делом отключите SELinux», я не уверен в способности написать даже инструкцию по запуску этих продуктов, не отключая SELinux. И это вы еще не представляете, как systemd 256 пойдет на десктопы.
Если говорить про системы хранения данных и их роль в предотвращения шифрования, про такие механизмы как snapshot schedule + read-only replica – когда на системе хранения данных делается снапшот только для чтения и не удаляемый почти никак (хотелось бы верить, что консистентный, но в случае русифицированных Linux кто, интересно, выполнит роль VSS ?), который затем может реплицироваться на другую СХД - то покажите этот пункт в открытой документации на российские СХД, это ж просто репликация, байты туда – байты сюда, чего сложного?
Про решения уровня IndexEngines или Crowdstrike или хотя бы простого, элементарнейшего FCM4 или Autonomous Ransomware Protection (ARP) речь, наверное, даже не идет.
Может, пора уже объявлять год национальной программы восстановления производства АРВИД ? Для замены LTO ? Что-то аналогичное IBM 726 смогут за пару лет сделать на Микроне, там даже 1000 нм не нужно.
Хотя .. в Ростехе не смогли сделать фотографию нового, своего же, аналоговнета, цитата:
Отечественные разработчики создали полноценный одноплатный компьютер под названием МП21, собранный на базе процессора «Эльбрус-2С3», сообщили CNews представители госкорпорации «Ростех».
К моменту выпуска материала фотографии МП21 в открытом доступе отсутствовали. В «Ростехе» на запрос его снимков ответили отказом. Источник
Сколько это могло бы стоить
Сколько может стоить работа выше:
написать 50 (примерно) базовейших инструкций и руководств с картинками,
собрать демо-стенд под проверку инструкций,
собрать на одном сайте проверенные дистрибутивы, а точнее исходники, чтобы сборка шла в закрытом контуре заказчика, и заказчик был уверен, что он собирал из именно этой версии исходников?
Плюс опыт внедрения на 1-2 заказчиках, плюс переобучение из имитаторов безопасности в информационную безопасность ?
В процедуре обучения ничего нового нет, это 10-12 базовых курсов по сетям, ОС, безопасности и влиянию на бизнес, то есть 10-12 недель по 500$ за недельный курс, плюс экзамены. SABSA, CompTIA, eCIR для самых маленьких.
На написание инструкции по базовым принципам и внедрению практик по системному администрированию нужно .. не так много. Инструкция пишется примерно неделю, если знать чего писать. Для ее написания нужно 3 человека – при этом, один из них нужен всего на 8 часов в неделю для написания оглавления (скелета) черновика, второй нужен для написания черновика самого по себе, и третий – для оформления черновика в читаемом виде. На проверку инструкции будет нужно еще 80 (всего) рабочих часов 2 линейных специалистов (2*40), так что можно сказать, что совокупная стоимость инструкции составит:
8 * 100 $, итого 800 $ - консультации сеньора (на весь процесс)
40 * 50$, итого 2000 $ - написание черновика и снабжение его ссылочным аппаратом, развертывание стендов, проверки и дополнения после написания.
40 * 25$, итого 1000 $– оформление инструкции в еще более читаемом и упрощенном виде
80 * 10$, итого 800 – проверка инструкции, и исправление ошибок.
Итого 5000$ за инструкцию, на 50 инструкций по базовым принципам – 250k$.
Очень недорого, сравнимо с давно озвученным финансированием продвижения новорегов с криками рррря, и сравнимо (может, и дешевле) с ценой пары конференций в Сколково.
Ничего этого нет, значит реальная информационная безопасность не нужна.
Что вместо?
Как говорил один мой знакомый – покойный – цитата:
из режима "Всё идет по плану" казённая медийка переходит в режим "Идёт ликвидация ответственными лицами отдельных недоработок". Ключевой момент - "ликвидация недоработок" должна быть полностью заслугой "ответственных лиц". Системных "ответственных лиц". "Всё пошло немножко не по плану, сейчас поправим".
Непризнание кризиса кризисом является главным признаком системного кризиса. То есть система свои проблемы не рефлексирует как системные, изменения в механизм работы не вносятся. И решать их нормально не решает. И, в целом, продолжает работать "по плану и с опережением графика"
то есть, сейчас всегда виноват сисадмин, или простой линейный сотрудник. Который не то нажал, не то открыл, не так понял приказ руководства.
Что в Роскосмосе в 2022 за FreeRADIUS выдали 1.5 года условно, при этом ни начальник, ни ИБ как бы и не при чем.
Что в КБ Радуга – проблемы не в отсутствии бекапов, не в том, что на увешанных DLP– локальных компьютерах – лежит очень важный Хлам, не в том что первый отдел не провел пояснительной работы – а в том, что кто-то с кем-то поссорился.
Конечно, так проще. Знай себе выявляй врагов народа, можно даже и на Хабре.
Что делать сотруднику? Очевидно - читать классическую литературу:
As you value your life or your reason keep away from the moor.
Комментарии (55)
Javian
15.06.2024 16:46+18 * 100 $, итого 800 $ - консультации сеньора (на весь процесс)
Я так понимаю на бумаге с печатями и гербами консультация всамделишного эксперта была.
Grigory_Otrepyev Автор
15.06.2024 16:46Да, что-то я мало поставил, сеньор час сейчас от 200-250 в РФ, но общую оценку это не очень меняет
temadiary
15.06.2024 16:46+14вот тоже смотрю на ИБ у нас и вижу прикрытие инструкциями
по факту можно много что сделать и даже не нарушая формально инструкций
на вопросы к ИБ "а что вы делаете чтобы не было плохо внезапно? может учения какие проводите или поиски дыр?" в ответ "пишем инструкции, а остальное не твоего ума дела"
и кажется такое почти везде
Shaman_RSHU
15.06.2024 16:46+3Пока ИБ пишет нструкции (и они не выполняются) не рнарушаются бизнес-процессы. Удобно же. А как только ИБ начнет в реальную безопасность, то это и перелопачивание бизнес-процессов, и вливание денег. Не каждое руководство к такому готово, а ИБ не всегда сможет обосновать (особенно если умеет только в инструкции :)
vldmrmlkv
15.06.2024 16:46+2А что тут обосновывать? Если последствия, простой бизнес-процессов и потеря данных выходят дороже, чем необходимые для устранения этих угроз действия, то ресурсы находятся. Мне кажется сложно спокойно спать если эти вопросы не закрыты.
TheCoolKuid
15.06.2024 16:46+2Это вы мыслите как инженер. Для бизнеса это выглядит вот так: нужно сегодня выложить н миллионов денег, 1000 человеко-часов. В результате не изменится ничего, возможно, в будущем не утекут пользовательские данные. За утечку придется платить не сейчас, а когда нибудь потом, если вообще придется. Поэтому авантюра мягко сказать непривлекательная. Само собой после инцидента все резко схватятся за головы, но эффект будет кратковременный. В большинстве стран так вообще нет никакого наказания за утечку. Поэтому можно продолжать игнорировать проблему.
vp7
15.06.2024 16:46Не всё так просто.
Вы же знаете, что удар молнии с высокой вероятностью смертелен для человека и такие случаи происходят сплошь и рядом.
Но что-то я не вижу мер по защите от этого.
Ремни безопасности, а потом и подушки продвигали много лет, но даже сейчас осталась масса тех, кто ездит с заглушками. Хотя это реальные риски и результат, как говорится, виден на глаз (сломанные рëбра или гроб).
С ИБ всё даже сложнее, чем с ремнями безопасности - у многих нет чëткого понимания "где надо остановиться". По факту руководителем ИБ должен быть одновременно доверенный (так как будет владельцам бизнеса пороть какую-то свою непонятную чушь по поводу ломания существующих процессов и существенных денежных вливаний и ему чуть ли не на слово должны верить), но при этом профессиональный в своей области сотрудник.
Shaman_RSHU
15.06.2024 16:46Сейчас тезис о том, что защита не должна стоить дороже информации не в полной мере выполняется. Бизнес связан с множеством рисков, в том числе и ИБ, а также недопустимых событий. И если риск наложения штрафов легко посчиать, то например репутационный риск довольно сложно.
poige
15.06.2024 16:46+14Это из категории «если нужно объяснять, то ненужно объяснять». Ну правда. С той поры как менеджерам не нужно понимать что они менеджерят, а софт-скиллы (куда например входит в том числе критическое мышление) это прежде всего умение нежно лизнуть начальствующий анус, да и поважней «хардов» — это всё лишь закономерное следствие.
ozzyBLR
15.06.2024 16:46+2Вы удивитесь, но манагерам* реально не нужно в этом разбираться.
(*) - манагерам высокого порядка.
Условно директор молокозавода не обязан уметь доить. Более того, кроме собственно дойки на молокозаводе происходит очень много всего. Там есть ветеринарная служба, транспортный цех, охрана, какая-то айтишка-аникейщики даже и т.п. По-вашему директор должен уметь вообще во всё это? Ну камон.
Что МТС, что СДЭК - это огромные компании, с кучей компетенций внутри. Не надо применять на них лекало "прораб и пятеро работяг".
poige
15.06.2024 16:46+1(*) - манагерам высокого порядка.
Ну а ещё же можно было и про акционеров вспомнить и тоже по-коммонить, ещё одну звездочку нарисовав. Речь (ясен-красен) шла про довольно без-звездатых манагеров. Это как раз напоминает то, что касается компетенций МТС'ов — там всю дорогу были мастера и в мелкий шрифт, и звёзды и вот это всё (образно говоря).
Вы удивитесь, но
А так если я чему и удивился бы, так это бестолковости посыла, но чё-т уже привык, если честно. Столько любителей звёзд дорисовать, накоммонить от себя с три короба, и потом на этой кривой кобыле куда-то ехать (как-то честь «манагеров высокого порядка» спасать), что уже не удивляет, ахха. Уже даже не удивляет, что кто-то этому плюсики может ставить. ))
P. S. Отдельно доставило сравнение IT и молочки. Пеши-исчо™!
ifap
15.06.2024 16:46+3Продолжая Вашу же мысль:
Есть Госсопка, есть 187-ФЗ КИИ, есть 367 и 368 приказы, есть 27001 ГОСТ, есть масса методик.
Есть Указ Президента от 1 мая 2022 г. № 250 о персональной ответственности руководства, но...
сейчас всегда виноват сисадмин, или простой линейный сотрудник.
Даже те немногие нормативы, которые есть, не применяются, а раз так - зачем стараться? С другой стороны, снизу сигнал, видимо, тоже не проходит или не идет вообще. Мы сейчас активно отработали с одним госорганом, руководству которого наш последний доклад лег прямо на стол, и шестеренки после этого очень лихо закрутились. Начальству объяснили, в чем проблема, чем чревато и что следует сделать, что должны были объяснить штатные спецы, но почему-то не объяснили.
cat-chi
15.06.2024 16:46+20сейчас всегда виноват сисадмин, или простой линейный сотрудник
Китайская модель управления. "Большой человек" не может "потерять лицо". А уж "солнечный чиновник" и вовсе непогрешим. Это всё эти подлые, маленькие люди, чьи помыслы мелки, а чаяния ничтожны – это они всё подставляют "благородных мужей". И неважно, что там в законах написано, важно, к какой модели власть имущие на самом деле стремятся
Grigory_Otrepyev Автор
15.06.2024 16:46снизу сигнал, видимо, тоже не проходит или не идет вообще.
Сигнал снизу прошел в 2022 году, Тимур Измайлов продемонстрировал
jackcrane
15.06.2024 16:46что это было ? "за державу обидно" ?
расслабьтесь, мозги РФ находятся не в РФ. когда кураторы сочтут нужным, тогда может быть начнут внедрять реальный инфобез. кстати бумажный и распильный инфобез при этом сократится. потому что бюжеты ограничены, на все сразу не хватит.
barloc
15.06.2024 16:46+20Как заставить этот горшочек не варить? Свое мнение по каждому поводу, наиболее кликбейтное и находящее живой отклик.
Специалист по всему...
exTvr
15.06.2024 16:46Как заставить этот горшочек не варить?...
наиболее кликбейтное и находящее живой отклик.
Т.е. никак. Пока есть просмотры (много) и комментарии (бурление) - такой контент идёт хабру (ну или цитированию, стоимости размещения копроблогов, etc) только в плюс.
Grigory_Otrepyev Автор
15.06.2024 16:46+6Т.е. никак. Пока есть просмотры (много) и комментарии (бурление) - такой контент идёт хабру (ну или цитированию, стоимости размещения копроблогов, etc) только в плюс.
Это политика модерации и администрации хабра - они много лет банили технических авторов и разводили политические и копроблоги. Теперь технические статьи набирают 10-20 плюсов, зато статьи про осьминогов и лепку пельмешек кабанчиками хорошо идут. Снова стали появляться статьи Эйнштейн неправ. При этом максимум статьи набирают 600 плюсов, то есть голосующий коллектив около 600 человек. И еще с сотню минусов от копроблогов.
DarthVictor
15.06.2024 16:46+2А что из написанного в статье неправильно или некорректно?
jackcrane
15.06.2024 16:46+11) не выделены субъекты.
2) не описаны их интересы.
"это база" как сейчас модно говорить. без нее ничего не будет, кроме кококо советских инженеров на кухне, описанного еще К.Крыловым: "а вот начальство у нас дураки такие дураки".
3) не описаны ресурсы, которые субъекты готовы использовать для продвижения своих интересов.
Grigory_Otrepyev Автор
15.06.2024 16:46+21) не выделены субъекты.
2) не описаны их интересы.
Я был слесарь шестого разряда, Я получки на ветер кидал, А получал я всегда сколько надо И плюс премию в каждый квартал
jackcrane
15.06.2024 16:46я в RSS фид загляну
и Швабр мне даст на все ответ
https://habr.com/ru/articles/822055/
конспирология и тайная ложа там начинается со слов
"Никто публично об этом не говорит, но:"
DarthVictor
15.06.2024 16:46Ну вот в этой истории (экс-бригадира предприятия РФ обвинили в удалении папки «Хлам» с критически важными расчетами с рабочего ПК) субъект выделели. Легче стало?
jackcrane
15.06.2024 16:46+4субъект выделели.
козла отпущения там выделили.
а кто и как повлиял на прокурора чтобы возбудились (им лень), кто какие инструкции разрабатывал, принимал и контролировал за $XXXX, кто и куда слил бюджет на 2/3 инфобеза (целостность, доступность) - все за кадром.
Легче стало?
нет.
Grigory_Otrepyev Автор
15.06.2024 16:46+3Как заставить этот горшочек не варить? Свое мнение по каждому поводу, наиболее кликбейтное и находящее живой отклик.
Специалист по всему...Этот персонаж уже неоднократно разоблачен как пикабушник, нейросеть и коллектив авторов. И кармодрочер.
По фактам \ цифрам возражения есть?
barloc
15.06.2024 16:46Угу. Площадка заинтересована :(
little-brother
15.06.2024 16:46+2Не соглашусь с вашим мнением. Достаточно интересно видеть технический взгляд не с вендорской стороны (от рекламы "все могем", которая заселила Хабр - уже тошнит).
ftdgoodluck
15.06.2024 16:46+4Если бы на компанию/государство можно было бы подать в суд, индивидуально либо коллективно, и после этого получить реальную компенсацию - пусть немного, но получить - то поверьте, ВСЕ компании бы рвали свои задницы и весь инфобез был бы на высшем уровне. Но это наверное в какой-то другой стране.
WinLin2
15.06.2024 16:46+9Недавно получил письмо из отдела безопасности, в котором нужно заблокировать список ip-адресов и ссылок, примерно такое https://super6543.shop/r45tr.mp3. Заблокировал весь домен, ip относятся к российскому провайдеру. Звоню провайдеру и он сообщает, что эти адреса нормальные и нет повода для беспокойства, вообще нет официального повода. Письмо рассылает на ВСЮ страну самая важная организация по безопасности, чтобы каждое сельское поселение и бюджетная организация выполнила их инструкции.
Причем на местах уровень знаний уважаемой конторы все оценили :)) Указание дальше разослали, потому что требуют отчитаться о выполнении. В реальности все страшнее и веселее.
alexhott
15.06.2024 16:46+2Работал в банке, в продукте сборка только с проверенным набором библиотек. Чтобы добавить туда новновую, надо пройти безопасниеов. Были конечно и недочеты в работе СБ, но в целом здраво без лишнего. До этого работал в компании главным по ит, и безопасники мне просто вывалили отчет спайдера на 1000стр, с чем были посланы в эротическое. Но после пары итераций принесли пару страниц действительно полезного. Уже после работал у крупного разработчика и был случай взлома и утечки. По факту разбирательства бывший сотрудник используя инсайдерскую информацию получил доступ и чета слил.
Я к тому что факта взлома из вне я лично не видел, в основном социалка или инсайд.
Grigory_Otrepyev Автор
15.06.2024 16:46Я к тому что факта взлома из вне я лично не видел, в основном социалка или инсайд.
В соседней статье люди и развала R5 на ребилде не видели, из тех двух раз когда они это вообще видели.
temadiary
15.06.2024 16:46интереснее другое
сколько ИБшников сможет реализовать возможностей дыр выявленных при сканировании?
чтобы это было повторяемо, доказуемо, наглядно.кажется число стремящееся к нулю (уж слишком мало реально радеющих за ИБ специалистов ИМХО)
LeVoN_CCCP
15.06.2024 16:46эээ нет, так не пойдёт. Для примера из своей области когда я говорю про дырки, то ни за что не буду показывать как это можно воспроизвести для наглядности. Потому что раз сказано про дырку и если возможно она когда-нибудь будет использована меня максимум уволят за то что не настоял на закрытии на тот момент абстрактной проблемы. А вот если я продемонстрирую как её использовать, есть далеко ненулевой шанс присесть. И не только в РФ.
И в случае таких дырок измеряются буквально 3 вещи: насколько большой шанс осуществить, насколько затратно исправить, сколько потеряется в случае использования. Как правило первое начинают развозить различными "если", что даже простой патч (буквально пара часов) из второго пункта становится бессмысленен. Можно заметить, что до третьей вещи никогда не доходится.
temadiary
15.06.2024 16:46здесь проблема кроется в полном недоверии оценки реализации атаки через ту или иную дыру к ИБ
кричать что "сканер показал тут дыра!" - это одно
оценить на сколько она критична, трудоёмка для эксплуатации, продемонстрировать что реально это дыра=дыра - это другоеLeVoN_CCCP
15.06.2024 16:46Вы опять про "продемонстрировать"...
Про оценку: те кто приходят со "сканер показал тут дыра" сразу уходят делать отчёт "на сколько она критична, трудоёмка для эксплуатации". И это как раз первая вещь, что я описал.
Я попробую ещё раз (вспоминая СДЭК) приходит товарищ и говорит, "GraphQL дырявый, давайте его не выставлять в инет, потому что нас могут взломать", это "сканер показал тут дыра". Когда он же делает отчёт в виде "достаточно выяснить схему базы и запросы можно будет выполнять напрямую через вебреквесты, что даёт почти прямой доступ к базе" это как раз первая вещь, что я описал. "Ну это придётся нанимать человека, который разбирается, у нас премия годовая меньше будет и вообще я не думаю, что всё так просто как ты рассказываешь, можешь показать это?" - это что я говорил 'развозить различными "если"'. И теперь вариант 1. человек демонстрирует это, его сажают (взлом же и неправомерный доступ), менеджеры сохранили премии, сдэк взломали (и не раз), и вариант 2. человек говорит "пнх, если думаешь не так важно, значит не закрываем, ты начальник", менеджеры сохранили премии, сдэк взломали (и не раз), возможно человека уволили.
Пожалуй в данном случае буду человеком из варианата 2. Но можно быть тем кто демонстрирует - если не посадят, можно в казино сходить сделать ставку..
Kahelman
15.06.2024 16:46+6Уважаемый автор слишком много про «замечательную Windows” и ужасный российский Линукс в который не завезли …, далее по списку, решений для безопасности.
Если в Линукс/windows все по уму настроить то что одну. Что другую систему просто так не взломаешь.
Проблема в том, что настроить правильную раздачу прав в Windows это тот ещё квест. В результате каждое первое приложение требует административный доступ и криво работает при его ограничении.
Плюс, думаю что взломы идут не через операционные системы а через новомодные базы данных/Кеш сервера которые торчат по умолчанию в интернет всеми порталами и даже без пароля username
Grigory_Otrepyev Автор
15.06.2024 16:46Если в Линукс/windows все по уму настроить то
Русский вариант Microsoft Security Compliance Toolkit для русифицированных Linux покажите, для начала
Kahelman
15.06.2024 16:46+2Если подойти формально, то « это набор средств, с помощью которого администраторы безопасности предприятия могут загружать, анализировать, тестировать, редактировать и сохранять базовые параметры безопасности, рекомендованные Майкрософт для использования в Windows и других продуктах Майкрософт.»
Не может существовать под Линукс «за отсутствием таковых»
У Амазон/Google/Redhat/Oracle
Все вроде на Linux решениях вертится. Так что не думаю что это большая проблема
ToSHiC
15.06.2024 16:46+4Вот вы во всех (практически) статьях только хаете. Если вы правда такой эксперт - созидайте, поделитесь своими знаниями, расскажите, как сделать правильно.
Grigory_Otrepyev Автор
15.06.2024 16:46+1Если вы правда такой эксперт - созидайте, поделитесь своими знаниями, расскажите, как сделать правильно.
У нас товар, у вас купец. Деньги покажите.
Kahelman
15.06.2024 16:46+2Не знаю как тут у нас с купцом, но потом все сводится к захардкоденым паролям и именам пользователей в исходниках.
Вспомните про Stuxnet вирус, когда использовалась уязвимость в контроллерах Siemens- был захардкоден username/password и когда народ кинулся из менять Siemens написал что после этого не гарантирует работу контроллеров.
А вы тут про какую-то безопасность клиентских машин, которые не должны быть ни к чему критическому подключены. Рассказываете.
Newm
15.06.2024 16:46По поводу централизованных советов в открытом виде - это все хорошо, но... КТО платить будет? И это я уже умолчу, поймут ли эти советы и можно ли их реализовать в конкретном случае...
По проводу того, что вскрыли кого-то... Да было такое. И решить проблему в основной своей массе скорее всего просто невозможно. По крайней мере простым увеличением бюджетов оно точно не решается в краткосрочной, да и среднесрочной перспективе... Потому, что на рынке просто физически нет достаточного количества квалифицированных кадров. А если вдруг увеличить количество квалифицированных кадров безопасников, путем сурового увеличения зарплат, вымывая кадры из науки и разработки, то улучшения ситуации мы все равно не получим. Процент людей с преступными наклонностями он как бы примерно стабилен... И кроме подготовленных безопасников мы получим дополнительное количество черных хакеров. И замечу, что охранники дополнительного продукта не производят и к развитию не приводят.
Так что с централизованными советами - это правильно, но... Есть засада. Если вдруг в предложенных советах есть уязвимость нулевого дня, то жопа может наступить всем, кто этими советами пользовался... И тогда единичные случаи взломов, когда конторы без проблем могут привлечь внешних безопасников для ликвидации последствий, превратятся просто в ад, когда доступных внешних безопасников просто не будет, т.к. их всех заберет тот, у кого есть бюджет на это, а остальные будут ... сосать по полной программе в ожидании, как реанимировать инфраструктуру...
VADemon
15.06.2024 16:46то жопа может наступить всем, кто этими советами пользовался
Как бы да, если везде софтина одинаковая (опечатка: одираковая), и инфраструктура гомогенна. Только выше ifap писал, что много ведомственных сайтов вообще без HTTPS. В таком случае добиться ухудшения следуя best practices невозможно. И так уже на дне. Тут же выйдет про затыкание типовых дыр. Как бы ради такого MITRE CVE и задумывались.
С т.з. пентестера, большинство атак будут также выходить из типовых рецептов и заметок (например XSS, SQLi). Анализ сорцов и настроек - уже вслепую не потыкаешься, хотя веселья выходит больше в случае находки.
DM_man
15.06.2024 16:46"реплицироваться на другую СХД - то покажите этот пункт в открытой документации на российские СХД " - не встречал ни у ядра ни у аэродиска. Какая там репликация, когда контролеры падают раз в месяц намертво.
foxyrus
Еще не упомянули такой момент: если можно прижать\заблокировать иностранную компанию, то будет "миллиардный" штраф, а если российская, то 60 000 руб это достаточная сумма по мнению госорганов, а чаще всего хватит пресс релиза что у нас все ОК.
hphphp
Оборотные штрафы исправили бы ситуацию, но "то своё", "низя".
Shaman_RSHU
Если когда-нибудь и введут оборотные штрафы, то либо привлечь будет нереально, либо они будут не для всех
cat-chi
Ну как всегда же будет. "Суровость законов компенсируется необязательностью (в нашем случае – избирательностью) их применения"
В итоге – чем строже закон, тем жёстче страдают те, на кого он не был направлен (малый и средний бизнес, например). А госмонополии, которые "народ" и рад бы прижать, они-то вне закона
hphphp
Из перечисленных в статье компаний нет ни одной госмонополии. Наличие этого закона подстегнуло бы тот же СДЕК не сливать данные клиентов направо и налево. Возможно менеджменту пришлось бы потратиться на нормальную инфраструктуру, персонал и обучение только потому, что "так дешевле чем штрафы платить".
Никто не говорит, что не будет перекосов, но сам факт, что чисто технически могут нагнуть и госмонополию, даже при условии, что она что то там "компенсирует" всё равно пойдет на пользу.
А если ты шарашкина контора и не способна хранить данные о клиентах в соответствии с требованиями законодательства, то и нечего этим вообще заниматься. Найми аутсорт в конце концов.