Я студент профиля «информационная безопасность автоматизированных систем» и так сложилось, что мне не все равно на ИБ. Прекрасно понимая, что в этой области кроме знания ГОСТОВ, всевозможных документов, технической подкованности, английского, уверенности в себе и так далее-далее, мне понадобится еще и опыт работы; с начала совершеннолетия искались все возможные варианты этот опыт получить. Так же известно, что просто так заниматься безопасностью у себя в фирме никто не даст, а в консалтинге требовались по меньшей мере спецы на целый день, было принято решение идти работать в компанию обычным стажером. А там уже развиваться, искать контакты, связи, интересных людей и прочее. В конце концов опыт лишним редко бывает.
В общем, на данный момент заканчивается моя некоторая по счету практика в некоторой по счету компании. Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность. Поработав в каждой компании, я не в состоянии унять огонь в груди, который появлялся, глядя на состояние корпоративной безопасности. Вы будете правы, если после прочтения скажете, что это просто юношеский максимализм и я хочу достичь идеала, и вообще ИБ — это очень скучно, программистом быть интереснее и так далее. Сразу оговорюсь, что во всех компаниях в мои обязанности входило тестирование разных продуктов. На собеседовании оговаривалось, что для начала я хочу только стажировку.
Теперь, когда мы знакомы, давайте начнем.
Далее будет список, как мне кажется, грубых нарушений норм корпоративной безопасности. Возможно, в силу отсутствия опыта в данной сфере, мое мнение будет ошибочно. Очень внимательно отнесусь к любым комментариям и критике по этому поводу.
1) На каждом месте работы у меня был свободный/почти свободный доступ в интернет ко всем ресурсам. Так же возможность скачивать и устанавливать любое ПО. Никаких систем по контролю сотрудников установлено не было.
2) На каждом месте работы не было прописано четких инструкций по поводу хранения и создания пароля. Вплоть до такого случая:
Мне был необходим некоторый документ, который находился на компьютере руководителя. На тот момент руководитель был в отпуске и мне посоветовали просто ему позвонить с целью выяснение пароля (логин был у всех типа n.surname). Долго вспоминая, кто я, он все же сообщил мне свой пароль. После чего никто из сотрудников, включая зам руководителя, не следил, что именно я выполняю на компьютере. Дело было в пятницу. В понедельник руководитель вышел на работу и скомпрометированный пароль не сменил. Что интересно, этот пароль подходил к почте (двухфакторной аутентификации не было) и учетной записи внутреннего кампуса.
3) На каждом месте работы можно было использовать любые записывающие устройства. И копировать любые файлы, ровно как и отсылать по почте. Возможно, действительно важные файлы и документы, которые бы блокировались, просто не нашлись. Но все что касалось тех требования, описания багов, фичей спокойно перебрасывалось по почте.
4) На некоторых местах работы учет взятых в пользование дисков, рутокенов, съемных дисководов, мониторов, муршрутизаторов и другого железа не велся надлежащим образом. Если точнее, то несмотря на наличие человека, который должен был записывать такие моменты, он просто предоставлял шкаф и просил написать письмо. Более того, после использования чего-либо именно сотрудник возвращал предмет в шкаф. Так что все, что нужно сделать, просто при возвращении положить свой диск/флешку в шкаф, подписав аналогичным образом типа «продукт №n сборка №m». Антивирус, кстати, тоже нигде не стоял.
5) Системы видеонаблюдения и пропускная система. На одном месте про камеры не слышали, мол все всем доверяют. Камера была одна и на входе. В другом месте камеры очень любили и пихали повсюду, совершенно не задумываясь о том, что человек, следивший за всем этим, не имел отношения к компании и мог следить за тем, кто и что делает. Никаких защитных пленок или вставок на мониторах не было. Что касается пропускной системы, то тут уже человеческий фактор. Множество раз, еще только начиная работать в компаниях со штатом больше 100 человек, мне придерживали дверь, которая открывалась картой-ключом. Не думаю, что все эти люди меня знали.
6) Серверные. На одном из мест работы ключ выдавался под роспись. Да-да, обычный ключ. Просто под роспись. Да, даже мне, стажеру. Ну а дальше слепок вроде, так? В той серверной, кстати, камер не было. Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.
7) Пароль для внутренних системных папок, «режима бога» в разрабатываемом ПО и некоторых других вещей был один.
8) Переговорные были открыты, до собеседований никак не проверялись (а собеседования почти везде были и частые), звукоизоляции там явно не было.
9) Так же в одной из компаний абсолютно случайно была найдена информация о судебных исках.
10) Был инцидент, когда финансовый отчет разошелся по почте всем сотрудникам
11) При переезде одна из компаний потеряла коробку с универсальными персональными идентификаторами, которые потенциально давали доступ к любой железке, разработанной на тот момент.
Безусловно, есть принцип Иб, который говорит, что не надо стометровой стеной и колючей проволокой защищать информацию о днях рождениях сотрудников. И все методы и решения должны быть экономически целесообразными. Но, повторюсь, все компании занимались разработкой ПО, которое должно эту самую безопасность обеспечивать.
В конце каждой стажировки я искала способ поговорить с человеком, который занимается ИБ в данной компании. Ни в коем случае не для того, чтобы показать его неправоту, просто поговорить и задать вопросы. В большинстве случаев руководители отмахивались и говорили, что данные их компании все равно никому не нужны. Аудиты после пары лет проводить стало лень. А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа. Наверное, на то они и безопасники, такие тайны хранить. Возможно, российским компаниям просто необходимо, чтобы их информацию начали воровать. И это в нашем менталитете страховать дом только после того, как он сгорит.
В любом случае, я надеюсь, что есть российские компании, которым не все равно на сохранность своих данных.
Спасибо за внимание. Очень интересно будет почитать ваши мысли.
Комментарии (181)
AlanDenton
20.07.2016 19:31Серверная в другом офисе просто открывалась на целый день для всех. И нет, там не было камер ни в коридоре, ни в самой серверной.
А у меня на первой работе серверная располагась игровой. Пошел в теннис поиграть и заодно проверил как там серверки живут. Помогал когда-то восстанавливать базы SQL Server на одном заводе так так еще веселее… Серверная в подвале где вечный конденсат капал на сервера и ничего… секреты производства на дисках еще живы :)
pyrk2142
20.07.2016 19:45+19Я много сталкивался с безопасностью разных компаний с точки зрения внешнего наблюдателя: пентест, аудит, исследование безопасности приложений. И могу сказать довольно простую вещь: информационная безопасность просто никому сейчас не нужна, что бы при этом не говорили.
Разработчику гораздо проще и быстрее написать говнокод, который что-то делает, вместо того, чтобы сделать это безопасно. Зачастую для этого надо изучать что-то новое и непривычное, это не всем нравится.
Менеджер хочет получить готовый продукт, а не перенос сроков на месяц, так как надо проверить очередное нововведение на безопасность.
Почти всем сотрудникам гораздо проще использовать один пароль и держать все двери открытыми, чем запоминать или хранить кучу паролей и носить и выдавать ключи под роспись.
И есть главная причина: все понимают, что банально выгоднее игнорировать проблемы безопасности и выпускать продукт скорее, чем тратить кучу времени и ничего не сделать. Я много раз в таких ситуациях привожу в качестве примера ответ одной компании на сообщение об уязвимости: «Мы сознательно игнорируем вопросы безопасности, чтобы ускорить процесс разработки».
Пока такая схема работы будет выгодной, кучи статей и критики ничего не сделают.dmitry_ch
21.07.2016 10:49+1Особенно когда кто-то пишет код безопасно, а потом он у ключевого клиента на тесте ломается именно из-за безопасности (даже если сам клиент причиной — у него на компе чего-то там не стоит, скажем), и разработчику дают команду отключить пока его художества. Ладно «пока», но в каждом следующем релизе продажники с ужасом кричат о том, что мало ли у кого что вылезет, и запрещают вообще включать что угодно.
И софтина годами в состоянии «однажды мы все включим», и хорошо если без последствий для юзеров и производителя.
molnij
21.07.2016 11:52+2Разработчику, чаще всего, совершенно параллельно, написать говнокод, или сделать идеально вылизанный со всех сторон безопасный продукт. Вот только почему-то никто не хочет платить за второе, ведь оно, внезапно, оказывается существенно дороже
RomanYakimchuk
21.07.2016 13:37Передам слова одного не последнего человека из крупной конторы на тему защиты продукта от копирования — «Нам не важно, копируют наш код или нет. Пока наш старый код копируют, мы уже выпускаем новую версию продукта.»
Не знаю насколько это верно, потому что в крупных конторах релиз продукта может занимать 2-3 года, и это нормально.
Flammar
21.07.2016 15:04Про «говнокод — это разновидность обфксуации, чтоб воры дольше разбирались» вам не говорили ещё?
daihatsu
21.07.2016 22:26> Передам слова одного не последнего человека из крупной конторы на тему защиты продукта от копирования — «Нам не важно, копируют наш код или нет. Пока наш старый код копируют, мы уже выпускаем новую версию продукта.»
Это не Corel'ли сказал?
pa_kulikov
22.07.2016 11:01| информационная безопасность просто никому сейчас не нужна, что бы при этом не говорили.
ИБ это всегда дорого. Сродни клиенториентированности в бизнесе, только Клиент — внутренний, а значит требовательный.
lostpassword
20.07.2016 19:52+1информационная безопасность просто никому сейчас не нужна
+++
Ну, вернее, я бы сказал не «никому», а «мало где».)
amaksr
20.07.2016 20:12Каждая компания сама решает, как ей быть с безопасностью, какие меры принимать, а какие нет. Исключения составляют случаи, когда меры безопасности диктуются законодательно, например при работе с персональными данными, госсекретами, или если речь идет о финансовых системах компаний, акции которых торгуются публично. В этих случаях есть четкие требования, которые надо выполнять, и для этого там и сидят безопасники. Возможно, вам стоит именно к таким компаниям присматриваться для продолжения карьеры. Остальным это зачастую не нужно.
Iceg
20.07.2016 20:14+4И вы нигде даже NDA не подписывали?
Caterin
20.07.2016 20:55-1Подписывала, он был везде одностраничный. Вот сейчас держу перед собой NDA с последней стажировки. Если кратко, то тут запрещено почти все, что не разрешено. Но это на словах, ведь компания не защищена от моих глупых действий пользователя. Я стажер, откуда мне знать что у них там тайна, а что можно запостить или скинуть друзьям с скайп?
И да, есть вопрос. Кое-где были кейгены, которые я использовала, в том числе скидывала себе на флешку. Кейген относится к конфеденциальной информации/сведениям? Потому что если нет, то видимо я имею право оставить его себеIceg
20.07.2016 23:16+9Я стажер, откуда мне знать что у них там тайна, а что можно запостить или скинуть друзьям с скайп?
Я уже пять лет работаю на различных опасных производственных объектах, и всё ещё не знаю, что из того, что я знаю — тайна.
Если кратко, то тут запрещено почти все, что не разрешено
Этим я и руководствуюсь. При том, что о неразглашении почти нигде не подписывал, и формально могу много чего)
Кейген относится к конфеденциальной информации/сведениям?
Однозначно, он для внутреннего пользования.
Мне кажется, вы просто параноите. Говорят, студенты-врачи много болячек у себя «находят» в процессе обучения, так и вы сейчас. А насчёт «глупых действий» — в защите от дурака можно далеко зайти, и всё равно дураки всегда оказываются изобретательнее. Напомню историю про хакера в столовой — когда борьба с угрозой обходится дороже, чем последствия её реализации.Caterin
21.07.2016 10:16+2Люблю эту историю, всегда вспоминаю, когда начинаю докапываться до совсем глупых вещей. Но если быть честными, то соль можно было раздавать в пакетиках лично в руки. Как сахар. А неиспользованную и бывшую на руках утилизировать, вот и все решение проблемы.
Flammar
21.07.2016 14:57+1На самом деле в «истории про хакера в столовой» после яда в солонках нормальная прокуратура не стала бы ограничиваться тасканием директора по судам, а начала бы отрабатывать «след» странных писем про уязвимости в солонках.
saboteur_kiev
22.07.2016 17:24«Вот сейчас держу перед собой NDA с последней стажировки. Если кратко, то тут запрещено почти все, что не разрешено.»
«Кейген относится к конфеденциальной информации/сведениям? Потому что если нет, то видимо я имею право оставить его себе»
В NDA указано, что если вы не знаете к чему относится информация, считать ее конфиденциальной?
Ситуация складывается еще так, что в случае утечки информации и фактов, что утечка произошла от вас, в суде вам скажут «вы NDA подписывали? Подписывали. Садитесь в тюрьму с конфискацией». Вот это и должно пугать больше, чем отсутствие антивируса.
qqname
20.07.2016 20:18+7Как ни прискорбно, но обеспечить безопасность на том уровне на котором вы хотите действительно зачастую дороже чем стоит та самая информация которю нужно оберегать. Необходимо учесть что цена складывается не только из стоимости охранных мероприятий, но и стоимости сниженной производительности сотрудников. Очень мало людей которые работают за комьютером и при этом не нуждаются в полноценном интернете. Белыми списками тут не обойтись, а черные списки никак не обеспечат достаточной безопасности. Поэтому для не профильного бизнеса действительно проще не заморачиваться.
ctacka
20.07.2016 20:41+11Неужели это считатется правильным подходом к ИБ в комапаниях, разрабатывающих ПО: поставить камеры, заблокировать локального админа, заблокировать какие-то сайты, пропуска, ключи в пеналах с печатами? Какой-то оборонный завод, а не софтверная компания.
ИМХО, ИБ нужен для охраны чувствительной информации. То, что вам придерживали дверь, что у вас был «свободный доступ к ресурсам», это совсем не значит, что вы могли что-то важное украсть (информацию о клиентах, важные ноу-хау и т.п.) Ограничения же, о которых вы говорите, в большинстве своем мало помогают в сохранности информации, зато очень неприятны и неудобны для сотрудников, что заставляет их, знающих внутреннее устройство вашей компании, искать способы эти ограничения обходить. А обманчивая видимость безопасности — очень страшная вещь.Caterin
20.07.2016 21:35Я и не говорю, что надо стоять над душой сотрудника и отслеживать каждый чих. Просто к слову об информации о клиентах. В фирмы они приезжали, в переговорных с руководителями общались. Проверок переговорных не было(мой личный вывод, но непосредственно перед встречами там точно никто ничего не проверял).
Описание багов уже выпущенного ПО можно отнести к важной информации. Документ с ними нашелся абсолютно случайно. И баги точно не были исправлены, так куратор сказал, тем более задачи по исправлению висели на некоторых разработчиках.
Вся структура сотрудников была в outlook с занимаемыми должностями и телефонами. И по некоторым данным было совсем не сложно установить кто и сколько проработал, где сидел и чем занимался.
Все это можно, как мне кажется, стажер знать не должен.lostpassword
20.07.2016 21:41А что, на ваш взгляд, нужно было проверять в переговорках? Искать жучков?)
Caterin
20.07.2016 21:53Дааа!) Наверное я выгляжу слишком наивной сейчас. Универские знания, так заботливо вложенные в голову просто не дают покоя. Да, жучков, их самых. Войти то в переговорную мог кто угодно. Тем более ключи то иногда оставались снаружи, а там и слепок можно сделать
Но судя по всему стоит забыть про мечту заниматься корпоративной безопасностью (или отодвинуть на очень долго) и идти учить веб
Safort
20.07.2016 22:03Но судя по всему стоит забыть про мечту заниматься корпоративной безопасностью
Это почему?
и идти учить веб
Звучит как приговор)Caterin
20.07.2016 22:17За полтора года поиска не нашла ни одного места, которое давало бы старт в этой сфере или хотя бы близкой области этой безопасности. Не вижу ниточку, за которую хвататься.
А веб, судя по стажировкам видимо очень даже нужен. Веб безопасность имелась в виду)selivanov_pavel
20.07.2016 23:14+3Могу подсказать, где тебе найти работу, оставаясь в области безопасности, хотя и немного в другую сторону. Ключевые слова: PCI DSS. Аудит(QSA) и консалтинг на эту тему — вполне себе живой рынок, должны быть вакансии.
korobas
21.07.2016 09:44Что касается проверки на жучков и слепков ключей, мне кажется тут будет уместен анекдот про неуловимого Джо. :)
dyadyajack1
21.07.2016 09:44+1а стоимость поиска «закладок» в переговорной часом не смотрела?
просто порой стоимость такой процедуры кусается, потому её и не проводят, так как мегасекреты в переговорных не всегда обсуждаются.
проще в компанию внедрить под видом «стажера» своего сотрудника. наверняка спецслужбы таким способом уже давно пользуются…
а если не пользуются, то значит нету там информации ради которой такое будет проворачиваться.Pashet
21.07.2016 10:49Не только спецслужбы. Таким способом вовсю орудует коммерция (и не только). Стандартная конкурентная разведка. Инсайд растёт в прогрессии. И профессионалы в этой области уже очень серьёзно котируются.
singalen
21.07.2016 16:20+1"- Папа, я, когда вырасту, хочу работать в сфере правоохранения.
— А с какой стороны, сынок?"
Подойдите и вы к этому с другой стороны!
(Шутка. Сходство с любой реальностью случайно. Не пытайтесь повторить это на работе.)
Peter1010
21.07.2016 09:44Абсолютно верное замечание. Сам работаю в одной компании, где достаточно жёсткие политики (конечно воткнуть флешку итд можно, но смысла нет, скопированный код просто не заведётся не где).
Так вот, обновление по там жёсткая штука, для того что бы например обновить падающий NUGET менеджер надо написать сотню писем, аргументируя что вот они исправили баг под # таким, в результате чего им наконец можно пользоваться.
Как итог, в компании со временем создалась иллюзия безопасности, так как все работники it'шники, каждый сделал себе тот или иной бекдор :)
PaulAtreides
21.07.2016 12:25+3Как-то видел компанию, в которой практиковалась принудительная смена пароля раз в месяц. В итоге, пароль либо менялся с добавлением циферки к тому же самому, либо записывался на бумажке на мониторе.
Есть такой параметр, который называется «грань идиотизма». Функция безопасности от прилагаемых усилий растёт ровно до достижения грани идиотизма. А потом начинает падать. :)daihatsu
21.07.2016 22:30Принудительная смена пароля — это не функция безопасности.
Это отмазка сисадмина перед службой безопасности, провацирующая снижение безопасности.
При такой частой смене паролей люди ВЫНУЖДЕНЫ или записывать его и держать на бумажках под рукой или сменять его формально (добавляя цифирки) и тоже забывая в конце концов и переходя на бумажки.Idot
22.07.2016 09:07Самое смешное, недавно, у одного такого админа заблокировался админский пароль после нескольких опечаток. Интересно, как теперь выкручиваться будет (полный снос и переустановка не годятся, так как не сносить же ему всю рабочую базу данных).
PS к сожалению, не в курсе всех подробностей, так как админ к счастью не наш.
merlin-vrn
22.07.2016 09:21+1Да ладно, пароли при физическом доступе сбрасываются любые.
daihatsu
23.07.2016 09:18Если было установлено шифрование — то сбрасываются вместе с потерей доступа к данным данным.
merlin-vrn
25.07.2016 09:00Да, если не был установлен агент для расшифровки, специально на этот случай.
Ну-ка, поясните, какие такие рабочие данные хранятся зашифрованными от имени доменного администратора?
paulsv77
22.07.2016 11:18+1Учетка, при неверно введенном несколько раз пароле, обычно блокируется на некоторое время, минут на 10-15. Брутфорсу это мешает сильно, но не дает застопорить работу сотрудников. Блокировать учетку совсем с обязательной ручной разблокировкой смысла нет. А если при этом это учетка администратора домена и при том единственная, то еще и вредно.
CTPAHHblU
21.07.2016 11:10«Вся структура сотрудников была в outlook с занимаемыми должностями и телефонами. » Насчет этого момента, как то не очень правильно даже со стороны ИБ. Как вы будете искать необходимого человека? Постоянно спрашивать и отвлекать коллег?
Flammar
21.07.2016 15:10Описание багов уже выпущенного ПО можно отнести к важной информации.
По опыту предыдущей работы могу сказать, что 90% таких багов — про то, что что-то там на ГУИ не дизейблится при включении какого-то чекбокса, хотя должно.
ctacka
21.07.2016 16:53+1Любые политики, в том числе и безопасности, рождаются из компромиссов. Если стоимость потери информации ниже стоимость её защиты, то защищать ее не надо. Описания багов — это обычное release notes, которое есть у клиентов. Выпускать продукт с критическими уязвимостями никто не будет, закрывать список багов бессмысленно.
Вообще, складывается впечатление, что вы предпочитаете «security through obscurity», от чего вас должны были вообще-то отучить в университете. К сожалению, проактивная безопасность проще и потому гораздо более распространена, чем реактивная, но уж в университете должны же были вас этому учить — что безопасность должна быть построена на оценке угроз. У вас же я вижу стремление просто убрать всю информацию, без разбора, что абсолютно не эффективно. Какой вы вуз заканчивали, если не секрет?Caterin
21.07.2016 17:30После всех пунктов я таки и говорю, что прекрасно понимаю, что защита должна быть экономически целесообразной, мне понятны эти принципы. Я не стремлюсь убрать вообще все, не хочу вводить супер сложные системы аутоидентификации. Когда я например говорю о том, что можно было скопировать что угодно себе, я имею в виду, что даже генераторы лицензий спокойно записывались на флешку и запускались дома. Покупаем продукт на год, дальше генерируем все сами. -деньги
Или, тот случай с руководством, когда у меня был пароль начальника, а он не спешил его менять. Тут уж у кого фантазии на что хватит.
Да тот же случай с судебными исками. Там кто-то что-то сделал не так. Разве это не репутационные потери, если известить заинтересованный круг лиц? -деньги
А как насчет возможности оставить свой диск/флешку с троянцем в шкафу общего пользования и ждать, когда кто-нибудь его возьмет и запустит? Антивируса то не стоит.
А вот вуз я еще не закончила. Остался курс.daihatsu
21.07.2016 22:32-1> Или, тот случай с руководством, когда у меня был пароль начальника, а он не спешил его менять. Тут уж у кого фантазии на что хватит.
И что вы могли сделать с тем паролем такого сташного?
Стереть переписку с вип-клиентами?
Уж будьте уверены — пароль для клиент-банка вам бы никто не дал.Caterin
21.07.2016 22:51Это не отменяет необходимости менять скомпрометированный пароль, Это не сложно и не требует много времени
daihatsu
21.07.2016 23:17Сложно.
Если человек хранит его в голове — то это сложно.
Если человек его записывает, то это не безопасно.
У нас вообще с этим все просто — пароли типа 123.
То есть это защита только от вирусов (чтобы по сети меньше прав имели и хоть чуть-чуть меньше могли расплодиться) и от совсем уж случайных гостей.
За исключением пары мест, где действительно серьезные пароли и которые знают только 2-3 человека.
saboteur_kiev
22.07.2016 17:05Почему несложно?
Вы уверены, что от имени этого сотрудника нигде не настроены никакие автоматические задачи?
Отсутствие хорошо продуманной политики безопасности никак не влияет на возможость отлично настроенного автоматизированного процесса.
Просто нужно понимать, что в первую очередь, безопасность зависит от наличия злоумышленника. Чтобы защититься от дурака, нужно потратить очень много денег. Чтобы защититься от злоумышленника стажера — нужно потратить очень-очень-очень много денег. Чтобы защититься от злоумышленника-профессионала — вы в принципе не сможете. Поэтому не в самих системах и паролях дело.
Но да, просто раздача своих паролей — грубейшее нарушение.
Visphord
21.07.2016 13:31+1в нашем офисе так здорово «придержали» дверь вору, который зашел и вынес 3 ноута со всеми данными у HR-ов. Стоит ли говорить, что там были сканы паспортов, трудовых, договоров с сотрудниками, итд. Мне было не очень приятно, что в том числе моя инфа ушла в «свободное плавание» — благо обошлось и не всплыло нигде.
daihatsu
21.07.2016 22:34-1Будьте уверены — этого вора интересовали сами ноутбуки а не информация в них.
RolexStrider
20.07.2016 22:50+1Всё так. В маленьких — 90-100% из приведенного вами, в более-менее средних — 40-60%, ну а в таких где меньше — не доводилось, не дорос видимо. А вообще всё это как с бэкапами — делятся на тех которые как-то не задумывались, и тех, которые уже осознали. Задним числом.
Deosis
21.07.2016 09:44+1Есть еще и третья категория: те, кто проверяет, что из бэкапов можно восстановить информацию.
merlin-vrn
21.07.2016 13:35Более того, для бекапов БД Firebird, выполненных стандартно gbak-ом, провал такой проверки (тестовое разворачивание только что сделанного бекапа не удалось) сигнализирует о нарушении целостности исходной базы. То есть, есть база, сервер БД с ней запускается, клиенты подключаются и работают, и её можно даже успешно забекапить gbak-ом, но база внутри где-то битая, а проверка целостности сервером фактически происходит только при разворачивании.
Короче говоря, автопроверка помогает отловить не только сбойные бекапы, но и более серьёзные проблемы, имеющие вид мин замедленного действия.
axit
21.07.2016 15:35К сожалению это редкость. Довелось мне как то стажироваться в компании в которой бекапы делали раз в неделю на отдельный сервер, с которого они автоматически удалялись из-за ошибки в скрипте, который удалял не самый старый бекап, а самый новый, скрипт неправильно работал почти 2 года.
selivanov_pavel
20.07.2016 23:05+4Безопасность на самом деле никому не нужна. Это очень дорого и очень времязатратно. Пока будешь ей заниматься — конкуренты съедят. Это относится и к разработке ПО, и к разработке железа, и к организации ИБ в рабочих процессах.
daihatsu
21.07.2016 22:36Абсолютно согласен.
Доводилось работать в большой корпорации удаленно.
Новичка на испытательном сроке сразу допускают до всех исходных кодов.
Права на запись в master-ветку дают спустя 3 месяца работы.
rockin
20.07.2016 23:19+4Парочка моментов сильно удивила
п.1. Про доступ к инету. А вам что нужно-то? Закрытые соцсети? Такой вой пойдёт, руководитель первый к сисадмину прибежит, мол, разбаньте срочно. Хотя, конечно, не везде так.
Про скачивать и устанавливать. Скачивать-то можно, кто запрещает. Вот устанавливать — это, конечно, просчёт и это очень странно.
Про системы контроля за сотрудниками… ну… если домен был, то откуда вы так уверены, что этой системы не было? Весь цимес в том, что её не видно юзеру ;)
Также крайне странно отсутствие антивируса. Что это за нубы такие-то, если даже средний пользователь и средний бухгалтер просто требуют, чтобы у них был антивирус.
Про копирование файлов. И особенно про отправку по электронной почте. Режут первую функцию редко где, а как зарезать вторую… я просто не представляю, нужен комплекс мер, по крайней мере «белый список» ресурсов, доступных для посещения, ограниченный набор софта и «белый список» софта уже в антивирусе, например (разрешение на запуск только доверенных приложений)
>> А все, чем они тут занимаются, это… на этот вопрос никто не дал точного ответа.
Да деньги они для семьи зарабатывают
Также есть поговорка — «инициатива наказуема». Это как раз тот случай. Например, эти безопасники со своими инициативами по повышению уровня ИБ занялись внедрением сих инициатив. А кому-то из Важных Персон эти инициативы очень не понравились (как это он так будет пароль после выхода из сна вводить или как это он так будет пароль каждый месяц новый придумывать и т.д.). Последствия инициатив могут быть вплоть до увольнения (т.е. сам напишет)avost
21.07.2016 05:58+1Если бы внимательнее прочли отчёт, то моменты бы не удивили. Девушка стажировалась не в заштатных уеб-студиях, для которых ваши удивления справедливы, а в компаних разрабатывающих по для безопасности. Я бы продукцией таких контор побоялся пользоваться.
rockin
21.07.2016 20:56+1Не понял. Мои удивления справедливы для любой компании, даже которая торгует оптом какой-нибудь спецодеждой.
А уж для производителя софта это не просто удивления, это профнепригодность как минимум.avost
22.07.2016 06:20То есть для вас демилитаризованная зона в банке (втч закрытие соцсетей и почты) скажем в банке — повод для удивления и сомнение в профпригодности? Потому что «вой поднимется»? Любопытная точка зрения.
Ndochp
21.07.2016 09:45В софтверной компании запрет на установку софта?
Да я на что уж 1Сник, и то замотал уже админов необходимостью поставить то одно, то другое. Поставил, погонял, понял что нужно (не нужно), поставил что-то еще. А там и новая платформа подошла. На боевые сервера она еще полгода не встанет, но мне то она нужна уже сейчас — там хранилище быстрее работает, ошибки поправили, надо проверить, наши или нет и тд. Еще какой софт обновился, с которым я работаю, а не все сотрудники, поэтому централизованно его не ставят, SSD притащил для ускорения рабты и тд
И на каждый чих естественно нужен пароль админ учетки. (У нас админ права надолго не дают, но так как про программы, которые я ставлю они и не слышали, то все рано я ставлю все без контроля, по сути)avost
21.07.2016 10:55К совтверной компании, занимающейся разработкой софта для систем обеспечения безопасности. Вы бы ещё удивились таким мерам в банковской сфере.
Ndochp
21.07.2016 11:09+1Вот в разработке софта для обеспечения безопасности точно разработчик должен делать со своей машиной что угодно. Иначе как самостоятельно тестировать?
Другое дело, что должна быть безопасная часть сети в районе мастер репозитария, чтобы чего левого в сборку не включили.avost
21.07.2016 19:25А что можно натестировать на изначально скомпроментированной машине? Я бы тестировал в отдельной и тщательно контролируемой песочнице. Но вы можете и так.
daihatsu
21.07.2016 22:40А зачем?
Все коммиты в master все равно же просматриваются как минимум парой независимых глаз. А в серьезных случаях — и большим количеством людей.
Пусть у себя делает что хочет. Код в релиз все равно пройдет только через бутылочное горлышко.avost
22.07.2016 06:29+1Внимательнее. Что можно натестировать на изнначально скомпроментированной машине? Я не про закладки говорил, а про полную бессмысленность тестирования функций безопасности не в полностью контролируемой среде.
Ndochp
22.07.2016 08:59Среда должна контролироваться разработчиком, значит он должен иметь права на все что угодно в этой среде. Я не говорю работать из под рута, но разработчик должен иметь возможность сделать что угодно со своей машиной не обращаясь к администратору.
merlin-vrn
22.07.2016 09:22Это не отменяет того факта, что машина разработчика не должна быть скомпрометированной, иначе его работа бесполезна.
Обычно делается так — либо у тебя интернет на компьютере, либо он вообще не в сети, но есть админские права.
avost
22.07.2016 09:24Почему на своей-то??? В выделенной песочнице кувыркайтесь как хотите. Но зачем на своей? Иначе вместо продукта будете получать дырку от бублика.
Ndochp
22.07.2016 10:49Потому, что инструменты, разные. Новые инструменты и новые версии старых инструментов, сам продукт который надо то сносить, то ставить. И все это требует админ прав на установку, так как если не требует, значит запрет на запуск левых экзешников настроен криво и бесполезен. А так как набор инструментов может быть у каждого свой, то централизованными обновлениями эту проблему не решить.
avost
22.07.2016 11:13Это в уеб-конторах он может быть свой и неконтролируемый. А в работах, связанных с безопасностью, он обязан быть контролируемым. Иначе вместо продукта будете получать дырку от бублика.
Ndochp
22.07.2016 11:37Расскажите, как?
На входе — код и конфиги, на выходе — программа и конфиги, которая выполняет свою функцию и проходит тесты.
Как от произвольного выбора инструмента, который помогает делать код может получиться дырка от бублика, которая проходит тесты?avost
22.07.2016 11:56+2На выходе, разумеется. Троян в программе, которая будет проходить все тесты на скомпроментированной машине. Вы ни разу не слышали о вирусах, поражающих антивирусы так, чтобы последние бодро сообщали, что система чистая и все тесты проходят успешно?
Ну, это просто основы же!Ndochp
22.07.2016 12:11Машина разработчика выдает код. О троянах, встраивающихся в исходный код я еще не слышал. Реально такие есть?
В противном случае код, работающий на машине разработчика (пусть при создании исполнимого файла в него сразу встраивается троян) завалит тесты после сборки из центрального репозитария. И после небольшой разборки ситуации «а у меня работает» троян будет найден.Idot
22.07.2016 12:18Все трояны встраивающиеся в скрипты — можно назвать встраивающимися в исходный код скрипта.
PaulAtreides
22.07.2016 23:50Ну речь то про встраивание на этапе разработки.
Вот, как пресловутое «goto fail; goto fail;», например. Примеров-то много, не говоря уже о троянах, встроенных на этапе разработки в железо. Типа китайских флэшек, в которые троянцы предустановлены.
daihatsu
23.07.2016 09:32У вас code review нету что ли.
Если занимаетесь безопасностью — он вообще должен быть тройным.
У нас даже в банальном вебе — code review имеется.
А в ветку master от простого разработчика просто так код не попадает. Только через старших.
avost
22.07.2016 12:27Стоп, вы сами написали — «На входе — код и конфиги, на выходе — программа». На выходе — программа.
Второе — если вы у себя собираете неконтролируемыми средствами, то чем собирается программа, собранная из центрального репозитория? Теми же неконтролируемыми средствами? То есть вы всё своё барахло и на сервер сборки должны притащить? Ну, так результат будет прежний — дырка от бублика.Ndochp
22.07.2016 15:55Зачем мне барахло тащить? я выдал код. Чем я нагенерил код сервера сборки не касается. Он взял из репозитария, скомпилировал, прогнал тесты над результатом.
У меня на рабочем месте стоит зоопарк из kdiff`ов, автоитов, плагинов к среде разработки (часть из них для установки требует админ прав), конвертеров из экселя в платформенный табличный документ, пара скрипт-движков не входящих ни в винду, ни в 1С, личная система учета задач, чтобы не плодить каждый шаг на 15 минут работы в общую систему, но и не забыть про него, три декомпилятора метаданных 1С.
На выходе от меня — коммит в хранилище 1С. Типовой. Чем я все это делал, тому кто будет проверять знать не нужно.avost
22.07.2016 17:13А, 1С. Простите, но каким образом ваша 1с относится к средствам обеспечения безопасности? И ваш процесс так называемой разработки тоже?
Вы даже отдалённо не представляете о чём пытаетесь рассуждать.Ndochp
22.07.2016 17:28Так просветите, хотябы правильным запросом в гугл. Пока с моей колокольни цикл разработки любого кода примерно одинаков (архитекторов не берем, уровень стажер +) получил задачу, написал код, протестировал локально, передал (с проверкой коллег или без) в центр, там собрали, проверили еще раз на полном наборе тестов, приняли решение пускать/нет в релиз, выпустили релиз.
Любой этап может быть автоматизирован в той или иной степени. Какие доп шаги есть при разработке фаервола и чем они отличаются от антивируса?avost
22.07.2016 19:09Да, вроде, выше почти всё написано. Тесты бессмысленно гонять на скомпроментированной машине. Сборку бессмысленно делать не теми средствами, котрыми ведётся разработка (да другими и не соберётся, как правило — там же всё очень системно зависимо), все средства — контролируемые. Ещё отдел тестирования.это как бы нормальный минимум.
daihatsu
23.07.2016 09:27Проблемы объективного тестирования далеко превосходят какую-то там компрометацию.
Гораздо сложнее создать тестовую среду, идентичную среде продакшена.
О какой компрометации вы говорите? Об использовании боевых ключей в тестовых средах?
avost
25.07.2016 07:46Я вам напомню, что речь идёт о разработке софта для обеспечения безопасности. Даже в случае рутинной проверки обычного компьютера обычным антивирусом рекомендуется загрузить чистую систему с чистого носителя. В скомпроментированной (заражённой) машине не вы контролируете ситуацию, а сторонние вирусы-трояны. Что вы сможете разработать или протестировать в такой системе, если система будет отдавать вам не то, что происходит на самом деле, а то, что автор трояна хочет, чтобы вы увидели.
А проблема тестирования — это отдельная история. В любом случае нужно _сначала_ обеспечить контролируемую среду, а _потом_ приводить её в какой-никакое соответствие с целевой средой.
Pashet
20.07.2016 23:34Да, речь, видимо, идёт о небольших конторах. Но «ниточек» для нас «параноиков» много же. Может стоит начать с интеграторов? С таким образованием охотно берут. А дальше сертификации и т.д.
PaulAtreides
21.07.2016 00:44+15Как говаривал Мордак: «безопасность — величина обратная удобству. В моём идеальном мире никто не сможет пользоваться ничем».
Начнём с того, что стоимость безопасности (всей!) никогда не должна превышать 10% от выручки. А в безопасность входит не только ИБ, но и масса разных факторов, включая, например, взят… эээ… исполнение требований пожарной безопасности. Вот и получается, что в небольших компаниях, если они не связаны специальными требованиями по ИБ (например лицензией на работу с гостайной или PCI DSS), безопасность информационная идёт в последюю очередь. А если обстоятельства всё таки требуют принятия мер, то используется некий «минимально жизнеспособный продукт» (одна камера на входе).
С ростом компании по закону больших чисел растёт количество чувствительных инцидентов ИБ, которое требует принятия определённых мер. И тогда на предприятии появляется… Нет, не стажерка с горящими глазами, а унылый бюрократ, глаза которого давно потухли и душа обрела смирение. Он начинает сочинять регламенты и пытаться натягивать их на бизнес-процессы. Главная суперспособность, нужная этому человеку — умение объяснять, для чего вводятся те или иные ограничения и, самое главное, находить компромиссы с бизнесом. Бизнесу всегда будут нужны доступы везде, доступы отовсюду, возможность рассылать все файлы на свете, писать их на флэшки. Задачи бизнеса — априори важнее. Бизнес всегда добьётся своего. Перед бизнесом надо уметь отступать, находя точки соприкосновения и договариваясь («окей, давайте вы будете пересылать файлы себе домой в rar с паролем не меньше 10 символов а дома поставите вот этот антивирус»… «Окей, если нельзя не посылать клиенту его номер банковской карты по почте, давайте вы будете его маскировать, а недостающие символы показывать в личном кабинете»).
Все варианты, которые он согласует с бизнесом будут даже не наименьшим из зол. Они будут плохими, отвратительными, но это всё равно будет лучше, чем ничего.
Второй головной болью безопасника будет ИТ. С ИТ надо уметь договариваться. Если с ИТ поссориться, никакие хорошие отношения с руководством компании не помогут реализовать и десятую долю своих регламентов, да и вообще работать не получится. Знавал я компании, где сетевой сегмент отдела информационной безопасности был огорожен высоченным забором файрволлов. Оттуда можно было идти в интернет, но нельзя было идти никуда внутрь периметра, чтобы не дай бог безопасники, что нибудь не поломали. Когда в одной такой компании состав подразделения ИБ поменялся полностью, мне от моего безвестного предшественника достался компьютер, на котором единственной программой, помимо Офиса, была WoT, за которой не имеющий возможности делать хоть какую-то работу сотрудник коротал свои бесполезные дни.
Дело-то всё в том, что админы всегда заняты. В любой нормальной компании у них всегда есть огромный список задач, которые надо выполнить вчера. Они не могут, как тот сферический «хороший админ» в безвоздушном пространстве «всё настроить и ничего не делать», потому, что компания растёт и развивается, появляются новые филиалы, новое оборудование, новые сети. И тут безопасник со своими требваниями, которые админ и рад бы выполнить (только не в части ограничения своего доступа, разумеется), но времени нет. Поэтому с админом тоже надо дружить и договариваться. Разбивать задачи на маленькие кусочки, впихивать их в его график.
Всё? Нет, не всё. Ещё есть программисты (которым нужен админский доступ на компьютер, потому, что иначе невозможно писать софт), бухгалтера со своими бухгалтерскими форумами прямо на том же компьютере, где банк-клиент, со своими флэшками на этом компьютере, дизайнеры со своим… И к каждому, к каждому надо найти подход, иначе все эти регламенты так и останутся бумажками на случай, если произойдёт инцидент и придёт какая нибудь проверка.
В девяноста девяти процентах компаний они таковыми и являются, невзирая на все аудиты.
Успокаивает две вещи. Во первых такая ситуация не только в информационной безопасности, но и в любой другой. А во вторых — наша вселенная спроектирована в рассчёте на троечников. Нам всегда безумно везёт. Процент аварий там, где они могли бы произойти, ограблений там, где плохая охрана, пожаров там, где нет пожарной сигнализации — статистически невелик. Тем и спасаемся.
RomanPyr
21.07.2016 01:51«окей, давайте вы будете пересылать файлы себе домой в rar с паролем не меньше 10 символов а дома поставите вот этот антивирус»
Ага, чтобы ИБ точно никогда не узнал, что в этом файле я на свою почту отправил дамп базы CRM :)))PaulAtreides
21.07.2016 12:31+1Чтобы это стало актуальным, компания должна дорасти до DLP в том или ином виде. А когда у вас появляется DLP и регулярный процесс мониторинга выходящих наружу файлов, появляется и регламент передачи в ИБ паролей от запароленных архивов (всех или по требованию).
jetixon
21.07.2016 09:45-1Мордак Бреллиар. Волшебник, правая рука Маальтира. Имеет репутацию «серого кардинала». — Заинтересовало. А где можно прочесть подробнее?
K0styan
21.07.2016 10:46+4Я так понял, имеется в виду персонаж серии комиксов про Дилберта: en.wikipedia.org/wiki/List_of_Dilbert_characters#Mordac
PaulAtreides
21.07.2016 12:31+2Как справедливо заметили выше, я имел ввиду социопата-безопасника из комиксов про Дилберта.
kvant21
21.07.2016 09:45+2Крайне плюсую, прекрасно написано :)
Хотелось бы добавить, что оглядевшись по сторонам, можно легко заметить, что склад с одеждой не имеет двери метровой толщины, как банковское хранилище. А офис ООО Ромашка, крупнейшего поставщика семян и саженцев в СЗФО охраняется немного не так, как атомная электростанция.
Потому что в первом случае куда меньше желающих посягнуть на нажитое честным путём, а во втором — куда меньше последствия посягательства. Хотя обе фирмы разорятся с высокой вероятностью, если потеряют склад товара или все бумаги за десять лет своего существования.
Так что при всей любви к параноидальному искусству защиты информации и увлекательному поиску уязвимостей с отладчиком наперевес, в корпоративном мире эта работа скорее про компромисс, выбор небольшого подмножества мер по повышению безопасности из бескрайнего моря уже существующих наработок, и методичное внедрение и поддержание этих мер в дальнейшем.
И хотя теоретически после этого любой взломщик с мозгом чуть больше обезьяньего всё равно радостно зайдет и стащит 95% корпоративной инфы, во-первых, самые ценные 5% останутся недосягаемы, а во-вторых, вероятность что такой товарищ вам встретится в реальности — чуть менее, чем никакая.
Зато наконец-то китайцы перестанут взламывать каждую неделю SQL сервер с базами бухгалтерии, с открытым наружу RDP и учеткой .\Администратор Passw0rd. И учитывая то, сколько работы пришлось провести, чтобы этот сценарий стал невозможен ни сейчас, ни завтра — это вполне себе достижение.PaulAtreides
21.07.2016 12:46Да, важный момент, который я упустил.
Надо уметь ранжировать задачи ИБ по важности и начинать с простых. Сначала — дырявый друпал на сайте, потом SQL-сервера, потом RDP, когда получится справиться с RDP можно думать про регламент по накатыванию патчей (это в масштабах организации всегда гораздо более сложная задача, чем кажется поначалу). Потом уже можно думать про камеры в серверных.
daihatsu
21.07.2016 00:44+5И на основании чего, мой наивный друг, вы решили, что в аналогичных конторах НЕ в России всё принципиально по другому?
Korotich
21.07.2016 00:44К сожалению, повлиять на это сложно. Такой уж менталитет. Вопрос ИБ поднимается когда звиздец уже наступил или существует вероятность нести серьезную ответственность за возможные проблемы. Сам начал регулярно делать бекапы на собственные носители (да и задумываться об ИБ в целом) только после потери крупного проекта из-за пожара в дата центре.
Sild
21.07.2016 00:47+1Так можно в любую сторону плюнуть.
Тесты? У нас нет времени на игры, нам нужно прикручивать фичи!
Архитектура? У нас нет времени на игры, нам нужно прикручивать фичи!
Рефакторинг?…
Если компания небольшая, можно начать с себя. Разные пароли, антивирусы, все дела. Потом глядишь и пару коллег удастся в свою веру затащить. И это не будет так сильно бить по бюджету компании, как «срочно, сейчас и всем.»
Да даже в большой, наверное, так можно. На некоторых позициях, вроде DevOps. Только нужно делать чуть больше, чем требуется для решения задачи.
А всем лень.selivanov_pavel
21.07.2016 00:57> Если компания небольшая, можно начать с себя.
Вне зависимости от размера компании, всём глубоко пофиг, что ты там у себя делаешь, пока справляешься с задачами.
> Только нужно делать чуть больше, чем требуется для задачи. А всем лень.
Да, у всех полно свободного времени, и можно спокойно увеличивать сложность и времяёмкость любой задачи. На пути к прекрасному безопасному миру стоит исключительно всеобщая лень.Sild
21.07.2016 01:19Только можно скатиться в такое же «1 пароль на все сервисы», а можно держать себя в тонусе.
А разве нет? Я уверен, что у большинства разработчиков находится в день 30-60 на чтение хабра. Можно экономить на обеде, можно прийти чуть пораньше. Да, это требует вложений, в том числе и собственных.selivanov_pavel
21.07.2016 01:49А можно иметь полностью зашифрованный диск, пароли в кипасе, отдельные базы для отдельных проектов, приложения в контейнерах и заклеенную изолентой веб-камеру. Но это никак не повлияет на то, какой бардак у вас на продакшене.
Продукт — результат процесса, а на то, как устроен процесс, ты не влияешь. Можно собрать крутейших разработчиков, и построить процесс так, что они будут писать дырявое *****.
Даже если ты менеджер, ты всё равно на самом деле не влияешь. Влияют в первую очередь требования про времени и функциональности, которые ты должен кровь из носу реализовать. А потом уже, как бантик сверху, безопасность.
Призывы писать безопасный код — это примерно как призывы писать безглючный код. Все, в общем, согласны, никто не против. Но люди неидеальны, и результат может дать только грамотное построение процесса: ревью, рефакторинг, тестирование, CI,… То же самое с безопасностью, но безопасность в список приоритетных требований не входит, и сильно менять ради неё процесс никто не будет.
psylosss
21.07.2016 00:57Очень интересно будет почитать ваши мысли.
Как-то жутковато эта фраза звучит
ckr
21.07.2016 03:46-1Все компании были российскими; наверное, это важное уточнение. Каждая компания занималась разработкой какого-то ПО, отвечающего за безопасность.
Смеялся до слез.
На самом деле, работая в такого рода конторах, вы никогда не получите должного опыта. Хоть даже за 20 лет!
Мой совет, скачивайте свежую сборочку Kali linux, и учитесь взламывать все в подряд. Что-то вроде промышленный хакинг, — типа хакинг ради факта взлома, не ради получения профита или размещения какого-нибудь дефейса. С развитием унифицируете подходы, объединяете действия в скрипты и запускаете скрипты на арендованной VDS чтобы бесконечно проходил по всей доменной базе в рандомном порядке 24х7.
Потом собирате удачные взломы и, какхорошийдобрый хакер, пишете скрипт, который залатывает найденные уязвимости.
Вот вам и опыт ИБ. Желаю успехов!j_wayne
21.07.2016 10:10+3Уважаемый Г. Остер, перелогиньтесь!)
ckr
23.07.2016 00:43Что не так то? Общался с одной знакомой, работает начальником ИБ в небольшой сети продовольственных магазинов. Самый мощный инструмент в инвентаре, ни за что не догадаетесь, — MS Outlook. Иногда удивляет, за что людям платят зарплату…
daihatsu
23.07.2016 09:47> Мой совет, скачивайте свежую сборочку Kali linux, и учитесь взламывать все в подряд.
Не имея доступа к реальной корпоративной среде, не понимая что там и как и зачем, максимум что вы научитесь хорошо хакать — так это Wi-Fi в кафе да сайтики на Wordpress, в которых никто не держит основную бизнес-логику.ckr
24.07.2016 06:21-1Хакайте Wordpress. Размещайте на сайтах свои эксплойты со всякими там полезностями с зашитым зевсом в один exe-шник. Недалекие юзеры запускают программу. Вот вам пример проникновения в сеть.
Наверное, самая распространенная задача — рутануть хост, станцию, девайс; отличаются задачи только обстоятельствами.
А так в теории все просто!PaulAtreides
24.07.2016 20:16+2Отличный совет, чо.
Еще предложите сходить на даркмани, обнал, блэкбиз или ещё какой нибудь полезный форум в этом же духе и поискать там себе новое место для стажировки. ;))
Spewow
21.07.2016 07:58+1Все начинается с головы. :)
Если генеральный директор не заинтересован в ИБ (например сам ни разу не обжегся), то и барахтанье безопасника на местах ничего не изменит.
Либо учитесь грамотно стращать (риск-менеджемент), либо идите в компанию, где в теме есть кровная заинтересованность.
Как правило в таких компаниях -уже- произошли инциденты ИБ (угнали все исходники, подлоломили расчетные счета, шифровальщик грохнул все файловые базы и тд)
horlon
21.07.2016 09:46+2Читаю статью и понимаю, что Вы просто больной человек. Я бы не согласился работать в компании, которая ведет себя в стиле «совершенно секретно», когда следят за твоим каждым шагом. В таком случае начальник не долго будет искать к чему придраться. Если вы считаете, что будете работать честно, все исполнять и все такое, то я Вас разочарую — все равно к Вам смогут придраться, если захотят, тем более, что знают о Вас все. Вы видимо не работали никогда под тотальным контроллем, советую поработать, вот тогда посмотрим как Вы запоете.
Могу сказать, что тотальная безопасность все равно не дает никаких гарантий, это работает только в случае ликвидации свидетелей (их убийством, например), и то не всегда.avost
21.07.2016 11:04+2Сл4жка с безопасностью имеет мало общего. А вот разрабатывать по для обеспечения безопасности, при этом не владея основами поддержки этой безопасности — это не просто сапожник без сапог, это реальная обезьяна с гранатой. Жаль, что автор не назвала конторы, чтобы держаться от их, с позволения сказать, продукции подальше.
А работать в условиях, нет, не слежки, а просто строгого соблюдения норм, да, непрос о и не каждый сможет. Я пробовал и не смог. Но это вовсе не значит, что этого не следует делать. О определённых случаях надо.
zenkz
21.07.2016 09:52+1Действительно, во многих компаниях часто пренебрегают даже элементарными правилами безопасности, но с другой стороны вряд-ли можно комфортно и продуктивно работать если «исправить» все пунты описанные в статье.
По опыту работы в нескольких компаниях, в том числе крупных и международных могу составить примерный минимальный перечень того, что должно быть:
— Вход на территорию по пропускам под контролем охраника, гости — только с сопровождением. Перемещения внути предприятия уже можно так строго не контролировать, разве что ограничить доступ в критические места (бухгалтерия, серверная и т.д.)
— Камеры — контроль входов и выходов — остальное — лишнее…
— Требование сложных паролей, смена раз в 30-90 дней, запрет на передачу пароля, сервис по восстановлению паролей
— Желательна 2х-факторная авторизация. Самый удобный вариант — смарткарта.
— Админский доступ и возможность установки ПО только для тех, кому это нужно. (Правда в ИТ — это почти все)
— Хороший антивирус на всех машинах, грамотно настроенные политики доступа
Но даже в самом параноидальном окружении информацию можно украсть. Человеческий фактор и социальная инженерия срабатывает почти всегда.
Так что нужен баланс между удобством и безопасностью.
И не забывайте про уборщиц )))molnij
21.07.2016 10:46+2Мм, а требование к сложным паролям и их смене в 30-90 дней не приводит к стикерам на мониторах? Или их современной версии — менеджерам паролей? Запоминать каждые 30-90 дней новую пачку паролей мне совершенно не улыбается…
LoadRunner
21.07.2016 10:54Что мешает придумать алгоритм составления пароля, который основывается на легко запоминаемых входных данных?
Тогда пароль можно сделать сложным и легкосменяемым — достаточно помнить алгоритм и входные данные.Ndochp
21.07.2016 11:16+2То есть это практически один несменяемый пароль.
LoadRunner
21.07.2016 11:57То есть это зависит от того, какой алгоритм Вы придумаете.
Если это приставка к любимому паролю в виде цифр года и месяца, когда он «менялся» — это практически один.
А если это формула вида x2+y3 с вовлечением словарных обрубков слов, подбираемых тоже по хитрому, но легкозапоминаемому алгоритму — это уже уникальный сложный пароль, но который легко запомнить и воспроизвести, главное помнить входные данные (или принцип их выбора). А алгоритм выучивается при постоянном его употреблении.
Конечно, против терморектального криптоанализа ни одна система не защищена, но такое составление паролей лучше, чем password123.
Arkebuz
21.07.2016 09:52+1Пару лет назад, чтобы зарегать аккаунт в Google Play, выдали логин и пасс от мыла ген директора. Человеку проработавшему 3 месяца в компании с оборотом сотни млн. Ладно я честный (ну или бескорыстный), поэтому не пролистал\незабэкапил, но всяко бывает.
p.s. через 3 дня пароль сменилиresau
21.07.2016 13:28Это проверка была. Три дня для «проверки на вшивость» — самое то. За это время «самый умный» либо окончательно «созреет», либо окажется ещё умнее и «отложит на потом». В первом случае — обоснованное «давайдасвиданья», во втором — вывод, что человек, если что, глупить не будет и сначала попытается «договориться» внутри фирмы.
PaulAtreides
22.07.2016 01:29+1А вот один мой знакомый взял на работу менеджера. Тот пришел на собеседование, вроде понравился, и… «А что, начинайте работать прямо сейчас! Вот вам пароль от компьютера, ключи от офиса...» На этом мой знакомый уехал по делам, а когда вернулся — ни менеджера, ни трёх компьютеров. Хорошо, хоть догадался замки в офисе после этого сменить, а то ключи тоже уехали в голубую даль.
Katotekushi
21.07.2016 09:54+1Чтобы была безопасность, нужен человек,
если его нет, значит это никому не нужно.
Когда устраиваетесь на работу. то подписываете документы о неразглашении. Чтобы ее нарушить, нужно быть больным на голову. ведь отвечать то придется.
В серьезную компанию, на стажировку просто так не попадешь, и скорей всего там вы ничего н не сможете делать ибо все будет запрещено
Fucktibidoh
21.07.2016 09:55Автор, по поводу стажировок и прочего треша, и где найти опыт в ИБ, после получения заветной корочки, могу рассказать где-нибудь в переписке, если вам это интересно)
77616c6b6572
21.07.2016 09:55+1Судя по всему, вы выбрали не те организации, где надо учиться информационной безопасности. Не знаю, в каком регионе вы проживаете, но советую вам попасть на стажировку хотя бы в одно из отделений или главное управление ЦБ РФ.
MaxQjust
21.07.2016 09:55+1Ты прав. Работал в СБ Евросети Самарский филиал, очень положительный опыт получил. Все рабочие станции были изолированны собственным софтом, к которому даже мне работнику СБ не дали доступ к админке, все флешки были с подписями, интернет только локальный, зайти в вк не получиться. Каждому сотруднику выдавалось корпоративная почта, своей нельзя пользоваться. Также на корпоративную почту зайти с своего пк тоже не получиться. Строгий контроль в серверную ключ карта была только у старшего СБ и посещение серверной всегда регулировалось в запись в журнал. Охрана 2 раза в день ходит по офису проверяет наличие бейджей и посторонних лиц за год работы был всего 1 инцидент, курьер задержался на 2 часа, вызывали старшего по офису для выяснения. Доступ в кабинет директора, есть легенда что мало кто из работников видел внутри XD
yuuyake
21.07.2016 15:39+1Наверное найденный курьер был самой большой работой охраны за этот год.
Работал в БЦ, который охраняют квадратные ребята. На пассажирском лифте нельзя было возить грузы. Вы бы видели энтузиазм в глазах, когда они поймали меня с коробкой. Подорвались как по команде, вот оно! нарушитель! АГА! Ну пошел на другой лифт. Они дальше пошли стоить в дверях с серьезным видом.
LoadRunner
21.07.2016 10:09Я не отношусь к ИБ, но отношусь к IT, поэтому моя точка зрения будет ближе к обывательской.
Как уже заметили в комментариях — полная безопасность стоит много денег и мало где нужна. Но элементарная (вроде антивирусов, грамотных уровней доступа различным категориям сотрудников, пароли) должна быть везде.
И тут уже зависит от компетенции сотрудников IT\ИБ. А то будет доступ к сетевым расположениям разграничен, но пароли всех сотрудников будут храниться в базе 1С в открытом виде (но доступ ограничен к этому документу). А потому что не умеет человек администрировать, хоть и занимает такую должность. И вот тут интересы информационной безопасности пасуют перед комфортом работы IT. Человек работает, как умеет и переучиваться не будет, потому что нет требований к повышенной ИБ — это тоже упоминалось в комментариях. Если высшему руководству ИБ не нужно, то контроля за ним не будет и всё пускается на самотёк и снизу эту проблему не решить.
И от некомпетенции сотрудников IT растёт расхлябанность пользователей и общий упадок качества работы.
Так что нормальная информационная безопасность будет там, где сойдутся три фактора:
Руководству компании это надо и они поручат заниматься ИБ специалистам, а IT-отдел грамотный и компетентный.
dmitry_ch
21.07.2016 10:57Добавлю, что вопрос NDA очень больной всегда. Написать «нельзя разглашать все, что составляет тайну» — это неплохо, но туда же входят и навыки, полученные на работе (а следующая работа как раз за них и нанимает), и привычки что-то делать и так, и все это как бы на бумаге запрещено, а на словах (и в действиях) все закрывают глаза.
Понятно, что NDA пишутся на случай катастроф, чтобы кого-то было можно хоть как-то притянуть, но лимиты действия NDA часто обозначаются как «пока информация имеет для компании коммерческую ценность», что выглядит минимум глупо. Грубо говоря, если программист на работе научился новому языку программирования, или освоил умный алгоритмический трюк, так он как бы повысил ценность продуктов компании для покупателя — а, значит, не должен бы никому это свое знание показывать и продавать, пока старый работодатель на этом делает деньги.
А сложные пароли (привет MS) — это же песня! Винда просит тебя сменить пароль раз в N дней, но при этом не говорит требования к новому паролю. После нескольких попыток подобрать хоть что-то, что она пропустил, народ начинает делать самое простое, что только проходит «сито», ибо уже надоедает писать зачем-то по 2 раза и зачем-то «звездочками» очередной вариант в этой угадайке. Спасибо MS, даже исходное желание делать все по-писанному быстро испаряется )
P.S. Ах да… Самая песня — это в каждой конторе и конторке RDP наружу и без VPN, «они же поправили безопасность!» И охи «у меня девочки что-то не то сунули в сервер (!) и вирус все зашифровал». Никто не учится даже на этом… В лучшем случае считают решением покупку коробки Каспера )
mamontovdmitriy
21.07.2016 11:10Соглашусь, что с ИБ сейчас везде проблемы — на каждом малом, среднем предприятии есть десятки недочетов, которые потенциально могут причинить ущебр на приличную сумму. Но пока этого не случилось все это будет и дальше игнорироваться.
Fen1kz
21.07.2016 12:39Так и не понял, зачем все это делать. Окей, ну своруешь ты данные, что дальше? Кому они нужны-то?
77616c6b6572
21.07.2016 12:49… Кому они нужны-то?..
Fen1rz, это такая милая шутка на тему информационной безопасности ???)
Azoh
21.07.2016 14:04Заметим, что сама по себе кража чего угодно, кроме денег, богаче не сделает. Украденное нужно кому-то сбыть. И при этом еще избежать последствий. Если хакер действует из меркантильных соображений, то он вряд ли станет выбирать свой целью какое-нибудь «ООО Вектор». Там, с высокой вероятностью, нет ничего, ради чего стоит рисковать.
PaulAtreides
21.07.2016 17:16Во первых у ООО «Вектор» есть банк-клиент. Если посадить на компьютер с ним троянца, то можно немношк заработать. Пять ООО «Вектор» — уже рубль.
Во вторых, у ООО «Вектор» есть кругом дырявый вебсайт, который очень удобно использовать для рассылки спама, для DDoS и для дальнейшего распространения троянцев по клиентам Вектора. А если через сайт идёт продажа чего нибудь, тут можно поживиться ещё и карточками клиентов.
Приятнее всего, когда главбух ловит на свой компьютер своим дырявым IE троянца, заходя на собственный сайт компании.
В почте бывает тоже есть, чем поживиться в плане денег — бывает сразу после переписки с контрагентом вроде от того же адреса с теми же реквизитами приходит что нибудь в духе: «А если мы проведём сделку не по договору, а ты кинешь деньги вот на эту карточку, я тебе скидку 30% сделаю». Бывает люди ведутся.
Вы попадаете в ту же ловушку, что автор исходного поста — воспринимаете информацию, как самостоятельный товар, а её защиту, как самоцель.vadimr
21.07.2016 18:07+1Если заработать таким образом, то можно сесть. И сдерживающим фактором выступает именно это, а не технические средства защиты компьютера главбуха.
PaulAtreides
22.07.2016 01:33Для людей, которые этим ремеслом зарабатывают себе на горбушку чёрного хлеба с солью и порше кайеном на сдачу, никаких сдерживающих факторов не существует.
daihatsu
22.07.2016 02:17+1Номера карт сайты магазинов не имеют права хранить.
Да и вообще оплата происходит через внешние платежные системы.
Для того чтобы проделать прочие вещи — нужно не 5 минут в компании провести.
Это не очень выгодный бизнес. Не такой простой как у вас описано.
Ведь нужно найти, втереться в доверие, «заработать», свалить, найти следующего.
А если очередной найденный не такой безолаберный. Зря на работу устраивались. Или долго-долго не находится повода подойти к компьютеру глав. буха?
К тому же при такой работе устройство осложнено тем, что нельзя облегчить себе устройство на работу используя рекомендации с предыдущей работы.
Так что не все так просто и радужно.PaulAtreides
22.07.2016 16:59Кто устроился на работу? :) Кому нужен повод подойти к компу главбуха? Не тех вы боитесь.
Для людей, охочих до денег бесчисленных Векторов и Ромашек, компьютеры главбухов скрыты за обезличенным «Продам инсталлы ru». За весьма скромные деньги они получают несколько десятков тысяч затрояненных компьютеров, из которых несколько сот будет компютерами, на которые установлен банк-клиент. Маржинальность этого бизнеса (говорят ;) с лихвой покрывает все риски.daihatsu
23.07.2016 10:03Ни разу не встречал на компьютерах глав бухов нелицензионных Фотошопов.
Там весь софт для работы — LibreOffice, 1C, браузер, да софт, предоставляемый налоговой да банками.
Azoh
22.07.2016 09:28Нет, я просто намекаю, что потенциальная ответственность в этом случае будет такая же, а потенциальная прибыль — значительно меньше
PaulAtreides
22.07.2016 17:01Я чуть-чуть выше веткой ответил на похожий комментарий.
Azoh
22.07.2016 22:06Я, скорее, говорил про часть, которая связана с целевыми атаками или с кражей интеллектуальной собственности компании. Это не только дороже, но и требует совсем другого подхода к персоналу. Часто основной ценностью компании может быть хорошее знакомство с «правильными» людьми, а может быть и многолетней историей продукта.
PaulAtreides
23.07.2016 00:13С одной стороны, до целевых атак компании ещё надо дорасти (какой интересно раз я произношу это слово в этом треде? :)
С другой стороны, вот на вчерашней риссповской коллаборации Сергей Ложкин (лаборатория Касперского) рассказывал увлекательный кейс про то, как в корпоративную сеть проник злоумышленник, имевший своей целью следить за руководством компании и сумевший читать почту, перехватывать файлы и даже писать звук на ноутах руководства. При этом, все действия в остальной сети были направлены скорее на то, чтобы закрепиться. Продукты интеллектуальной деятельности компании его особо не интересовали.
saboteur_kiev
21.07.2016 15:24+1Безопасность в первую очередь должна нести экономическую выгоду, а не безопасность саму по себе.
В большинстве софтварных компаний, даже включая гугл (ну может за исключением отдельных его проектов), безопасность должна выполнять необходимые требования для прохождения аудита, и затем можно было бы этим сертификатом о прохождении аудита безопасности помахать перед лицом потенциальных инвесторов. Либо наоборот, уже существующие инвесторы требуют выполнения стандартов, и ИБ начинает их внедрять. Как может. Главная задача стоит не обеспечение комфортной и безопасной работы, а именно прохождение аудита.
Поэтому редко какая компания содержит ИБ, которые занимаются безопасностью в истинном смысле этого слова.
yuuyake
21.07.2016 15:46+3Нет ничего хуже ИБ ради ИБ.
Помните, что люди работают не ради ИБ, офисы для людей, а не для слежки за ними.
Жучки в переговорке? Вы серьезно? Сотрудникам с семьей контакт можно поддерживать, а говорить где работаешь, паспорт тоже отбирают при входе?
vadimr
21.07.2016 18:39Вот есть, к примеру, грузовик, сев за руль которого, любой может задавить десяток-другой людей. Значит ли это, что при проектировании грузовика нарушены требования безопасности? На мой взгляд, нет, это говорит только о том, что безопасность — это, в первую очередь, работа с людьми, в основном профилактическая, а не с техническими средствами защиты.
daihatsu
21.07.2016 22:45Если вы действительно стажер и еще нигде толком не работали, что статья просто великолепна.
Написанием этой статьи вы показали, что вы очень и очень перспективны.
Хочу себе такого работника!!!
ПыСы:
Но специалист вашего профиля мне не нужен.lostpassword
22.07.2016 08:14+2Вот честно — раза три статью перечитал, но ничего великолепного не нашёл. Абсолютно не понимаю, откуда столько восторгов.)
daihatsu
23.07.2016 10:10Для человека уровня СТАЖЕРА — очень хорошая статья.
Довольно четкое вИдение.
Далеко пойдет — если будет и дальше развиваться.
> Рефлекторная реакция на девушку-айтишника. ;-)
Я даже не сразу обратил внимание что это девушка.
Только когда комментарии начал читать.lostpassword
23.07.2016 10:50Статья состоит из трёх с половиной частей:
— привет, это я;
— перечень из 11 упущений в области ИБ;
— колкость в адрес руководства и безопасников;
— «Спасибо за внимание. Очень интересно будет почитать ваши мысли».
Можете конкретизировать — где именно сокрыто видение?)
lostpassword
23.07.2016 11:15+4Вот я даже попытаюсь вам объяснить, почему у меня так бомбит. :-)
Взять, к примеру, статью про уязвимости web-проектов. Там приведена классификация атак, приведена статистика их успешности, приведен перечень рекомендаций по их устранению. Итог: в комментариях статью называют рекламой, адово минусуют, смешивают с грязью. Хотя чеклист лично мне кажется вполне полезным и вменяемым — по крайней мере для начала. Итоговый рейтинг статьи — 1.
Вот пост «Позитива», посвящённый анализу безопасности сотовых сетей. Скажу честно — технических подробностей в статье почти нет, доклад (я был на PHDays, слушал его) тоже не очень меня просветил (я далёк от темы сотовой связи). Но я считаю, что это круто — взять, провести аудит у нескольких сотовых операторов, собрать статистику, выложить это всё… Итоговый рейтинг статьи — 12.
Вот ещё один пост «Позитива» про уязвимости корпоративных ИС. То же самое — статистика, подробные разрезы по всем профилям, результаты проверки парольной политики, даже результаты (хоть и сжатые) эксперимента по применению методов социальной инженерии (это вообще уникальный опыт!!). Итоговый рейтинг статьи — 12.
В общем, я продолжать список могу долго… Суть проста: меня просто убивает, что такие статьи, как эта, оцениваются сообществом выше, чем действительно качественная и глубокая аналитика. Неужели действительно все эти подробные обзоры не_нужны и стоит вместо них просто сетовать на жизнь?
Как-то грустно вот это всё.)daihatsu
23.07.2016 11:29+1> Как-то грустно вот это всё.)
Отнюдь.
Уверяю вас — 80% выпускников не способны ничего подобного написать.
Так что этот стажер — гораздо стажеристее многих своих однокурсников.lostpassword
23.07.2016 11:49+1ОК, я вас понял. Да, для начального уровня статья действительно неплохая.
Вопрос о дисбалансе оценок, правда, остаётся открытым.)
gospodinmir
25.07.2016 17:33+1Да, такой момент, к сожалению, присутствует.
Есть хорошая картинка на аналогичную тему.
VeleX
21.07.2016 22:53По своему опыту скажу: описанная автором ситуация особенно встречается в госучреждениях, в первую очередь в провинции. При проверке безопасники проверяют только (!) наличие нужной документации, соответствие используемого ПО (но на самом ли деле используемого?) ГОСТам и прочее. На бумаге все должно быть идеально. Что на самом деле — никого не волнует.
Вот и получается, что легче посадить человека за кражу информации, относящейся к коммерческой или государственной тайне, нежели чем предотвратить данную кражу. Но чтобы посадить человека, нужно его еще поймать…daihatsu
21.07.2016 23:20В коммерческих конторах встречается не реже.
С той только разницей, что «правильная» документация никого не интересует.
KT_CHATskiy
22.07.2016 09:46Автор, поверьте — Вы просто стажировались не там, где бы Вам понравилось. Работал в банке топ 10 — все о чем Вы грезите есть. Выше писали, что тотальный контроль перегибает палку, с этим не соглашусь. Самая правильная мысль, что должен быть подход риск-менеджмента. Поэтому в некоторых сегментах контроль был полный, вплоть до разрешенных только у некоторых и только определенных носителей с теневым копированием содержимого (архив с паролем это случай ИБ, который расследовался со всеми вытекающими)и т.п. и т.д. Попробуйте попасть в топ-20 банков или ЦБ (последний даже банковским съедает мозги своей паранойей и шапочками из фольги, но это и правильно).
BarrelRoll
22.07.2016 13:18+2Статья отлично показывает различие во взглядах людей только что окончивших институт и людей с опытом. Первые имеют набор правил, вторые знают когда и как эти правила применять.
Ununtrium
22.07.2016 14:26+2Правильно, надо чтобы для установки любой программы разработчику надо было заполнять форму №32/10 (и чтобы там не менее 20 полей) и нести на подпись начальнику ИБ. И еще камеры поставить везде.
Совет: не учите людей жить, если вы сами джуниор в ИБ.saboteur_kiev
22.07.2016 14:39Есть другой способ контроля софта.
Административные права у разработчика забирают, в NDA указывается, что запрещено самостоятельно ставить посторонний софт кроме того, который доступен через Деливери Агент.
На компе стоит Деливери Агент, запускаешь его и видишь список софта, в котором просто отмечаешь галочки и он устанавливается.
Список софта отдельно создается, проверяется (лицензируется в случае чего), какой-то софт ставится сразу, для какого-то запрашивает отдельное разрешение (в электронном виде), для какого-то покупается лицензия.
В общем можно сделать жесткие ограничения, минимизируя бюрократию. Было бы желание, время и деньги на это.Ununtrium
22.07.2016 16:03+2И потом эти люди говорят, что не могут найти хороших разработчиков и пишут слезные статьи на хабр.
BlancLoup
22.07.2016 16:29+1Один «простой» вопрос… а зачем? Можно переформулировать… от какого конкретного риска нас это спасет?
Предлагаю еще поставить до кучи RMS и вообще на каждый файлик прописать права с доступом по серту.saboteur_kiev
22.07.2016 16:56Как я уже писал выше (https://habrahabr.ru/post/306066/#comment_9710460)
Это нужно для того, чтобы гарантировать для внешнего аудита, что в компании используется проверенное ПО.
А пройдя подобный аудит, можно было получить заказ на многоденег от разных структур с повышенными требованиями к безопасности. Например финансовый сектор.vadimr
22.07.2016 18:04Не дешевле выйдет в таком случае
забашлять аудиторупровести аудит на специально выделенных процессах разработки?
Я как-то немного по другому поводу общался с одной известной американской IT корпорацией, в процессе чего выяснил, что, по их мнению, наличие у их фирмы сертификата ISO 9001 освобождает их от необходимости проводить сквозной выходной технический контроль продукции. А тут вообще информационная безопасность.saboteur_kiev
22.07.2016 18:25Собственно наличие сертификатов типа ISO 9001 и других подобных, очень помогает заполучить богатых заказчиков.
А получение подобных сертификатов обычно требует внедрения процедур, которые даже если и не работают так как надо (не допуская никаких действий в обход), но как минимум просто работают.
А уже их обязательное выполнение гарантируется в первую очередь подписанием NDA.
Для крупных компаний, такие сертификаты крайне важны, хотя бы для того, чтобы уже существующие заказчики от них не ушли, в случае чего. Наш проект сейчас работает на европейского заказчика из финансового сектора, и приходится во многом жертвовать комфортом, ради выполнения разных требований безопасности, включая отключение USB и другое.
Зато заказчик уже много лет с нами, и неплохо оплачивает работу нескольких сотен людей.
P.S. Бывают случаи увольнения сотрудников, которые что-то нарушают по NDA. Это не особо вредит безопасности, больше самому сотруднику, который теряет прибыльное место в условиях кризиса.
BlancLoup
24.07.2016 20:42Закономерно рождается вопрос… внешний аудит в описанных автором денных мягко говоря не предполагается. Так что вопрос остается актуальным: зачем? =) Данный аудит это такое большое огроменное если, что тратить ресурсы на подготовку к нему бессмысленно. И мы автоматом возвращаемся к вопросам защиты ради защиты.
Еще интереснее вопрос: о каком аудите «проверенности ПО» идет речь. В России это к примеру соответствие профилям защиты, требованиям НДВ и подобное. Но это нужно сугубо для продукции (а не организации разработки продукции) и если данные компании продают сертифицированные СЗИ, то они и так прошли данные процедуры. Насколько сии проверки «полезны» — отдельный вопрос.
И опять же встает вопрос о том, на каком рынке работают компании «автора». О чем он особо не уточнял. То есть конкретного риска опять же нет.
Да и вообще автор куда-то «подзапропал».saboteur_kiev
25.07.2016 00:40-1Я же уже ответил чуть выше — аудит для получения сертификатов — это нужно для бизнеса
Caterin
25.07.2016 11:26-1Автор получил много разной степени полезности информации и удалился учиться дальше.
BlancLoup
25.07.2016 12:15Имхо… тут скорее дело уже не в обучении, а в практике. =)
Хотя можно попробовать для какой компании самостоятельно провести действия из ГОСТ Р ИСО 31000:2010 Менеджмент риска. и ГОСТ МЭК 27005.
BlancLoup
22.07.2016 16:20+3Очень много слов про проблемы безопасности в общем виде. То есть несоответствие некоему «бэст практис». Но почти ни слова про безопасность и оценку самого актива.
1. То, что эти компании создают продукт по защите информации — не говорит о том, что этот продукт что-то защищает.
2. А есть ли вообще интерес у кого-либо по компрометации «интеллектуальной собственности» данных компаний.
3. Какие инциденты безопасности (действительно существенные) происходили.
и т.д. и т.п. в отношении реальных «опасностей». То есть того, что есть, а не того, что надо.
Без всех этих факторов получится безопасность ради безопасности. Проще говоря — неадекватной безопасностью.
В общем если ничего не влияет действительно на бизнес-процесс с точки зрения собственника: бабло гребет — гребет, кто-то жалуется — нет. То смысл владельцу актива вкладываться в защиту актива (а это он должен выступать инициатором и заинтересованным лицом). Можно посредством пентеста подстегнуть его к этому, если найти действительно интересный для собственника риск (не для вас, как безопасника). К тому же принятие риска никто не отменял. Ну есть у вас пароль от компа директора, ну своруете вы деньги. Далеко убежите?
У меня знакомые работают в довольно крупной трансконтинентальной компании по разработке софта по анализу данных. Когда я его спросил: не страшно ли ему, что многие их сервисы торчат наружу и не особо защищены, то он сказал, что для них это не ведет к негативным последствиям. Кража кода на них не влияет, модификация кода… весьма маловероятна в силу прохождения большого числа итераций по проверке кода вполне небольшим кругом лиц.
merlin-vrn
22.07.2016 16:42+2Автор, вот вы пишете про то, что там проблемы в безопасности… У вас модель угроз хотя бы есть? Хотя бы вчерне, задокументирована, согласнована с начальством?
PaulAtreides
22.07.2016 17:16Топикстартер жалуется на свою работу в организациях, где не только модели угроз нет, но и вообще о своей безопасности пока никто не задумался.
merlin-vrn
22.07.2016 18:42+1Тогда вопрос ему и надо ставить: а вообще вот вы взяли безопасника, а зачем, чего вы в этом мире боитесь-то? И перечислять варианты: удалят вот эти, эти или эти данные, вот эти данные попадут к конкурентам, вот эти данные будут искажены, кто-то из конкурентов будет осведомлен, что здесь происходит… короче, начать с построения модели угроз, а не с того, чтобы возмущаться политикой паролей или использования электронной почты.
saboteur_kiev
22.07.2016 19:09-1Брать безопасника, чтобы он на свое усмотрение понапридумывал правил безопасности, без постановки задачи сверху что именно нужно охранять — деньги в трубу.
Безопасника берут не для того, чтобы он научил всех жить, а чтобы поставить ему бизнес-задачу, а он уже реализовывает. В случае непонимания что от него требуется, можно заказать консультацию, а потом уже решать что полезно, что не очень.PaulAtreides
23.07.2016 00:04+2И так и не так.
Безопасник (настоящий) — это человек, котрый видит специфические риски и может придумать мероприятия по их снижению. Его берут на работу, чтобы он описал эти риски (составил модель угроз), придумал и согласовал решения и проводил их в жизнь. Я специально нигде в этом абзаце не пишу слово «информационный». Это относится к безопасности вообще.
merlin-vrn
25.07.2016 11:48Где я предлагал придумывать правила безопасности на своё усмотрение? Перечитайте, пожалуйста. Я предлагаю начать с того, чтобы изучить, какие данный бизнес видит для себя опасности (угрозы), задокументировать это, а потом уж изобретать способы этих угрозы как-то нейтрализовать; данные способы будут сочетанием правил безопасности, технических средств, регламентов и так далее.
Old_Chroft
23.07.2016 05:00+1Подогрею. В седьмой раз захожу в этот топик, нового ничего не прочитал.
ИБ в конторе, которая занимается ИБ — наверное сказка (не знаю, не был, из соседнего топика приходит на память мр.робот).
Нет, нельзя защитить все на свете.
Да, можно запретить на него смотреть…
chieftain_yu
25.07.2016 13:39Не сказка.
Скажем так — у моего прошлого работодателя упущений тоже хватало.
Но геморрой при выполнении рутинных действий и многочисленные контроли несколько, мнэ, утомляют и не стимулируют «гореть на работе».
Matvey-Kuk
Думаю, это характерно для маленьких компаний. По своему опыту стажерства в гигантах, скажу, что были и грамотные политики паролей, и письмо из службы безопасности сразу же после попытки отсканировать сеть из дома в поиске забытого на столе в офисе включенным сервера. Однажды даже была выборочная проверка моего исходного кода на закладки не тимлидом, а именно ребятами из СБ. После увольнения всегда была беседа с сотрудником ИБ о том, понимаю ли я ответственность, к чему я имел доступ, как меня найти в случае чего и так далее. Так что такие компании есть.