gooblin:MOHCTPiK:MaxRusak, теоретегом быть просто... а реалии гораздо проще...
+1
как и везде - 30% знания 70% практические навыки
Дык я вроде как практик.
gooblin:MOHCTPiK:MaxRusak, теоретегом быть просто... а реалии гораздо проще...
+1
как и везде - 30% знания 70% практические навыки
Дык я вроде как практик.
офлайн
Неизвестный кот
Senior Member
|
|
12519 |
21 год на сайте Город:
|
gooblin:на практике 90% граблей - человеческий фактор, включая кривые руки.
Да, пока человеческий фактор это наиболее часто втречающаяся вещь в пробелах безопасности.
на практике - 90% граблей - все абсолютно не так как в теории - не соблюдаются инструкции, не выполняются распоряжения, по другому рассуждают исполнители, всевозможные крякеры действуют абсолютно не так как планируется это теоретегами и т.д.
твой дисер, какую бы он практическую основу не имел в мире постоянно идущей борьбы за информацию устареет еще на этапе защиты... к моменте внедрения, даже если такое когда либо будет нужно в этой стране - это будет позвачерашний день... методы постоянно совершенствуются...
и еще из наблюдений - чем более подробная инструкция, тем меньше ее соблюдают...
да, я не занимаюсь практической реализацией политики безопасности в банках, но во-первых знаю как это должно быть и знаю как это есть на самом деле хотя бы по сведениям с семинаров.
польза от семинаров есть, но она сравнима с вирусом, которого ловят антивирусы - да, эти грабли надо знать, но они никак не помогут от новых граблей... и уже устарели...
именно поэтому, сколько денег в антивирусы на вкидывают, их возможности по предварительному детекту вирусов сильно ограничены, а распознавание начинается только когда офисный планктон внесет код вируса в базу антивируса, а до этого момента все антивирусы (читай семинары) бесполезны...
офлайн
Неизвестный кот
Senior Member
|
|
12519 |
21 год на сайте Город:
|
MOHCTPiK, не в устаревании дело. при грамотном подходе годами будет колбасить и хрен сломаешь (не будем здесь учитывать рост быстродействия техники по отношению к количеству бит шифрования) . простота - первое правило. люди которые создают что-то мудреное это те кто сами себя на@бать хотят. второе правило - никому не верь, проверяй лично. тут надо иметь ясный незамутненый ум и в тоже время обладать изрядным занудством и внимательностью.
Да я не спорю... просто еще несколько лет назад было трудно представить, что зайдя на какой то сайт официальной организации - например университета, можно подхватить вирус, который внедрился туда сам, на автомате, просто потому что брат студента, который админит данный сайт посмотрел не тот сайт . А вирус на автомате считал даные доступа, себя интегрировал, а дальше пошел воровать пароли уже у заходящих на сайт... А теперь уже идут boot трояны, которые стартуют до загрузки виндовса - как когда то one-half - если кто помнит такой вирус... и выживают даже после формата винчестера...
я к чему - все дырки не закроешь в безопасности и даже если дисер закрывает часть, то к этому времени уже будут новые решения по получению инсайдерской инфы, не покупая сотрудников...
и еще - если уж на банкоматы ставят виндовс, хотя там такие большие деньги завязаны, что можно свою систему сделать, а не использовать массовую со всеми уязвимостями, однако ставят и их все равно ломают... то дырки будут всегда, сколько их не закрывай - уж очень сложная конструкция ОС, железо, да и человек в конце концов .
например вот - там не статья интересна - а больше обсуждение моментов...
имхо - с учетом минимизации вычислительного ресурса, то скоро ломать будут еще быстрее и мобильнее - как в кино
лет 10 назад такое было бы не возможно промышленно - только если самоделки
MOHCTPiK:
твой дисер, какую бы он практическую основу не имел в мире постоянно идущей борьбы за информацию устареет еще на этапе защиты... к моменте внедрения, даже если такое когда либо будет нужно в этой стране - это будет позвачерашний день... методы постоянно совершенствуются...
Да, мир развивается, развиваются и системы взлома. Но это не повод сидеть сложа руки, считая все это бесполезной затеей. Ведь не все в диссере устареет сразу же. Некоторые частные моменты-да, но некоторые общие вещи будут актуальны достаточно долго. Тем более у меня тема связана с тем, что наименее изучается в плане безопасности, но во всю используется злоумышленниками.
Винда или никсы - на самом деле в случае с банкоматами это значения не имеет.
Уязвимость - она заложена в сам алгоритм - кредитная карточка, где на магнитной полосе записан номер-ИмяВладельца-срокдейставия плюс пин-код, известный только владельцу.
Современные смарт-карты от этого защищены, но другое - банку прощи списать мизерный процент транзакций, чем отказать в удобстве обслуживания миллионов клиентов.
По ИБ в целом - знания утрачивают актуальность быстро, согласен. Но, допустим, чтобы поддерживать статус CISSP - необходимо постоянно обучаться/работать в этом направлении. Но , так же следует заметить, что специалист по ИБ - это не привязанный к определенной платформе специалист, это в большей степени методология и , как вы тут сказали, теория.
Т.е. мне не надо уметь владеть отмычкой и вскрывать сейфы с закрытыми глазами "по щелчкам" чтобы защищать находящееся в них содержимое. Более того, специалист, который может так делать, в основном, не сможет действительно защитить его.
gooblin, все лично вы проверить не сможете. Ибо задача, например, директора (CEO)- обеспечивать работоспособность бизнеса в целом, задача CIO - это ИБ.
Простота - не является главным правилом, хотя простота - да, это важная составляющая ИБ, но она не всегда приемлима и применима. Хотя желательна.
Быстродействие техники при взломе - ну это если уж совсем туго, и больше надеятся не на что.
Гораздо дешевле/действеннее - методы получения информации без взлома с применением грубой силы.
По поводу семинаров - ИМХО, вещь необходимая, ибо дает толчек к развитию/освещение проблемы с другой стороны, а так же показывате дальнейши путь к развитию. Плюс опять же общение. Пусть не обязательно очные, пусть веб-конференции. Но без них гораздо сложнее поддерживать базу знаний в актуальном состоянии и дополнять ее.
MOHCTPiK, насколько я вижу из ваших постов, вы считаете ЗИ и ИБ как противодействие эксплойтам/уязвимостям в ОС.
ИБ и ЗИ - это область знаний, которая не привязана конкретно к ОС и компьютерам .
Поверьте, что система секьюрная по своему дизайну, будет (в большинстве случаев) индифферентна к новой зеро-дэй уязвимости, ибо все что должно быть внутри - будет внутри, и извне доступа к ней не получишь.
Да, ес-сно , от подкупа высшего должностного лица защиты, как таковой нет, но опять же - тщательно соблюдаемые и правильно внедренные политики безопасности могут защитить и от этого.
Но тут уже будет влиять человеческий фактор.
офлайн
Неизвестный кот
Senior Member
|
|
12519 |
21 год на сайте Город:
|
Дзмiтрок, приятно беседовать с умным человеком.
Да, ес-сно , от подкупа высшего должностного лица защиты, как таковой нет, но опять же - тщательно соблюдаемые и правильно внедренные политики безопасности могут защитить и от этого.
можно разделить атрибуты доступа между N человек. вероятность подкупа или пыток всех сразу уменьшается.
MOHCTPiK, насколько я вижу из ваших постов, вы считаете ЗИ и ИБ как противодействие эксплойтам/уязвимостям в ОС.
не совсем... просто как тут, так и в самих тех же картах, как правильно было тобою замечено - есть системные ошибки, которые никто системно не решает... ни внедряются массово смарткарты, ни расширяется пин-код хотя бы до 6 символов и т.д. Не ставится ПО специялизированное,а используется все то же массовое и т.д. Подозреваю, что в скрытых моментах недостатков еще больше - в человеческом факторе, аппаратуре, организации и т.д.
Потому и считаю, что ИБ и ЗИ это обширная область знаний, однако в большинстве случаев она остается только теорией, потому что придет такой спец с докладом к собранию учредителей визы например и доложит - система не стабильна, масса уязвимостей, надо менять принципы... те посчитают во сколько это обойдется, какой урон может нанести имиджу и не факт что приживется - т.е. позволит быть номером 1 в мире... потому скажут - семинары и твои знания конечно хорошо, иди займись заплатками, а систему не трогай... Тоже самое по защите информации - как бы специалист не доказывал, что это плохо, если какой учредитель будет хотеть иметь на своей вилле доступ к статистике организации, данным и т.д. - ему такой канал сделают и специалисту опять придется забыть про свои теоретические знания и думать о практике...
тщательно соблюдаемые и правильно внедренные политики безопасности могут защитить и от этого.
хорошо выразился , а могут и не защитить... Ведь если у больного например рак в запущенной стадии, то даже тщательно соблюдаемое и правильно проводимое лечение, консилиумы и прочее скорее всего не помогут ему...
MOHCTPiK, смарт-карты постепенно внедряются в банковский пластик. Ведь тут дело не в безопасности ради безопасности, а в безопасности как экономически обоснованной поддержке бизнеса, суть которой - обеспечит существование бизнеса, избежать вытеснения.
Миллионы транзацкий, миллионы кардхолдеров и мест продажи. Дешевле списать условно 0.01 % на фродовые транзакции , чем потерять многих клиентов, которым , например, надо будет ставить кардридер и спец. ПО на домашний ПК, чтобы осуществлять транзакции в Интернете и т.д. Но постепенно тех. перевооружение идет. Есть такая штука - называется оценка рисков и экон. обоснование мер по ИБ и ЗИ. Очевидно, что текущий уровень наносимого ущерба меньше, чем расходы на внедрение и сопровождение более совершенной системы.
Говоря о ИБ в бизнесе. Цель ИБ - успешное сушествование бизнеса. Если руководитель этого не понимает/не хочет понимать - то рано или поздно его предприятие будет вытесняться конкурентами. И само существование бизнеса будет под угрозой. Но опять же, есть методология расчета и анализа рисков, есть бюджет, есть значимые и высоковероятные риски, от которых надо защищаться в первую очередь и выделять на них бюджет. Ну а с вашим высказыванием о канале доступа с виллы - если это обычное предприятие, и его собственник хочет себе что-то тянуть несекьюрно - то это его дело, т.к. "хозяин - барин".
Друго дело, что , если это , например, аудиторская компания (ну или другая организация, работающая с личными данными граждан или бизес-критичными информационными активами других предприятий). Тут (я говорю о компаниях США, в других странах тоже есть различные законодательные ограничения) просто так ничего не протянешь. Ибо эти компании ОБЯЗАНЫ проходить регулярные аудиты по ИБ и в некоторых случаях иметь сертиф. специалиста по ИБ в штате/на контракте.
Т.к. в первом случае - собственник потерят свое предприятие, и это его личное дело, а во втором - будут поставлены под угрозу другие. И во втором случае он попадет в долговую яму до конца жизни.
А по поводу ракового больного - вы допускаете логическую ошибку, проводя эту аналогию, выстраивая т.н. мнимую логическую связь между ИБ и болезнью, что не есть правильно.
Так же следует заметить , что в своей массе предприятия не тратят на ИБ ни копейки (я про постсоветское простанство) и считают ИБ как бесполезную статью расходов. Это связано , в первую очередь, с относитель малой информатизацией бизнеса (т.е. в основном ПК используется как пиш машинка плюс 1 С бух), а так же с малым уровнем грамотности руководителей в этих вопросах. Но с увеличением ИТ-зависимости , например , интегрированные в бизнес системы управления предприятием (ERP, CRM) все увеличивающаяся потребность в мобильных рабочих местах и доступе anytime/anywhere , предприятие , не озабоченные внедрением хотя бы базовых мероприятий по ИБ , будут просто очень уязвимы и неконкурентноспособны и будут рано или поздно вытесняться.
Ты красиво пишешь - молодец... только много общих слов... не смотря на массовую секьюрность у буржуев - там все равно и воруют и теряют в том числе и личные данные граждан - сразу оптом - миллионами записей...
но не об этом...
вот по смарткартам - они появились достаточно давно, но так и не внедрены - соотвественно больного практически не лечат... Сравнение с больным очень просто - почти все системы безопасности становятся уязвимыми на кол-ве - а с ростом оборота, предприятия и т.д. очень редко когда принципиально меняют изначально закладывающуюся структуру... предпочитая накапливать системные ошибки...
вот например - http://news.[censored]/world/131255.html
и где были все аналитики по безопасности?
по поводу новых технологий - я имею ввиду еще и не представляемые несколько лет назад ботнеты из миллионов компьютеров, которые можно использовать как для атак на банки, так и для вычислений подборов паролей...
MOHCTPiK, воруют - никто ж не спорит. Везде воруют. И из самой секьюрной системы можно получить информацию. Это - безостановочная борьба и совершенствование.
Насчет общих слов - так мы тут и обсуждаем так сказать проблему в общем.
По смарткартам - я же написал в пред. посте. Внедряют потихоньку. Но единовременное внедрение с-10-марта-смарт-карты-только - нанесет большой удар. Кроме этого, есть масса других вопросов, которые возникают при таком виде аутентификации. Например, как делать отложенные , регулярные платежи? Как делать платежи через нет? Надо оснастить сотни тысяч ПОС соотв. оборудованием. Растет цена карточки. И т.д. Это реально ДОРОГО. Дешевле закрыть глаза на фрод или вбить его в стоимость услуги. Т.е. пока это экономически не обосновано - быстрый переход . Поэтому и не переходят.
почти все системы безопасности становятся уязвимыми на кол-ве - а с ростом оборота, предприятия и т.д. очень редко когда принципиально меняют изначально закладывающуюся структуру... предпочитая накапливать системные ошибки...
Поэтому Полити безопасности - это не жесктий документ. Он должен адаптироваться к изменяющейся ситуации.
Поэтому некторым предприятиям предписан ВНЕШНИЙ аудит ИБ два раза в год - для того , чтобы выявлять все это.
Кстати, стоит заметить, что с ростом - мероприятия по ИБ в расчете на одного пользователя - становятся дешевле.
Допустим, у нас есть разработанные и внедренны политики по ИБ, и настроенная в соотвествии с этим ИТ инфраструктура.
Это стоило нам условно 100 рублей на фирму с 50 пользователями. Т.е. стоит 2 рубля на пользователя. Мы открываем филиал в Бобруйске на 20 пользователей.
Фактически, мы используем сущетсвующие политики , возможно , дополняем их парой доп. инструкций и реплицируем все настройки инфраструктуры на наш филиал, соединяя его секюрно с главным офисом (возможно, конечно, мы что-то изменим).Но мы увидим, что открытие филиала стоило дешевле, и общая стоимость в пересчете на пользователя упала.
Поэтому часто для малых организации дорого обеспечивать ИБ - а мероприятия, в основном, дорогостоящие.
MOHCTPiK, я думаю, что их просто там не было - аналитиков по ИБ.
Так это строительная компания. Я вам скажу, что даже в айтишных компаниях, где вроде не строитель по образованию должен руководить, и где ИБ должна быть вроде как , в большинстве - нет и в помине . А все вопросы-по-ИБ-заправка-катриджей-втыкнуть-мышку-секритутке-насторить-политики-домена-секьрность-установить-фотошоп - висят на админе, и хорошо если еще предприятие раз-другой в году отжалеет пару тысяч долл ему на курсы-сертификаты, а то ведь и этого в большинстве нету.
И вы можете в большинстве фирм вынести безо всяких проблем ноутбук, и кто знает, что там может быть.
Дзмiтрок, это не просто строительная компания... это компания которая строит объект особой секретности, от чего будут зависеть десятки лет жизни людей и т.д. У нас бы за подобное дали бы лет по 15 тюрьмы и штрафов по самое не хочу - что бы перепланировку сделать... Да и не думаю, что у любого бетономешальщика была такая инфа - с планами и т.д.
По смарткартам - было движение несколько лет назад - делали совмещенные карты, а теперь вот хотел - сказали - уже не делаем... А перехода конечно не будет - должны ходить совместно длительный период, а они не ходят...
MOHCTPiK, за что 15 лет тюрмы? Штраф - это можно. И то зависит от контракта.
На самом деле ничего не мешало этой комании хранить данные централизовано на сервере и иметь доступ через RDP. В этом случае они потеряли бы только 4 ноута.
Даже перерыва в работе бы не было - в соседнем ларьке новые купили - и в бой.
Этот случай еще раз подтверждает что ЗИ и ИБ практически значение придается очень малое.
З.Ы. Упреждая высказывания типо там какой-л. спец КАД и не посмотришь через RDP ибо он не работает/под никсами и проч - элементарно решается:
Ставим рабочую станцию в ДЦ + подключаем IP KVM к ней - получаем доступ к чертежам вне зависимости от платформы вообще. В случае, если мне надо расшарить доступ к чертежам, чтобы строители его смотрели - отличное решение. И не потеряется в принципе. И на фаерволе элементарно настроит аутентификацию жесткую, политики доступа по времени , аудит и все-все-все что надо.
А если они дали подрядчику открытый файл чертежей - сами виноваты.
Более детально рассматривая данный случай с чертежами французской тюрьмы, можно сделать вывод, что как таковых Политик Информационной Безопасности у них нету, либо же те, что есть - не соотвествуют стандартам или имеют чисто формальное значение.
ИБ - это не только шифрофание и проч. Это Безопасное Управление Информационными Активами Предприятия. Которое охватывает весь жизненный цикл этих активов.
В системе, безопасной по дизайну и с ДЕЙСТВУЮЩИМИ политиками ИБ , раз дело идет о Европе, то соответствующим стандарту ISO 17799:2005 (У нас) сейчас переименнован в ISO/IEC 27002 , такой утечки информации В ПРИНЦИПЕ быть не может. Ибо ее не может быть "по дизайну" системы.
Как обычно делается (мы рассматриваем случай с подрядчиком):
1. Договор. В договоре обязательно есть пункты о предоставлении информации. Описывается, как, кому , при каких условиях она предоставляется. Меры ответственности. И пр. Эта часть договора аппрувится Офицером по ИБ предприятия, так же юристами.
2. Безопасный доступ. Через KVM, если приложение невозможно портировать через RDP ввиду ограничений лицензии, ПО, либо еще по каким-то причинам, или RDP. (Я специализируюсь на Windows-based, в маке уадленный доступ к рабочему столу называется по другому, в никсах - тоже по своему)
3. Доступ к RDP/KVM строго секьюрный, через межсетевые экраны, через VPN
4. Двухфакторная аутентификация пользователя (пароль плюс смарткарта). Ограничения доступа по IP и по рабочему времени.
5. Логи и аудит работы пользователя/пользователей с его проверкой.
6. Решение , к примеру, если это предписано Политиками (а оно может так быть) предварительно аппрувится внешней компанией , осуществляющей аудит ИБ.
7. Ну дальше - организационные и законодательные меры - как например, подрядчик должен обеспечить централизованное хранение смарт-карт в защищенном сейфе с сигнализацией, вести журнал учета выдачи смарт-карт , с его стороны должен быть установлен межсетевой экран и актуальное антивирусное ПО с ПК, на которых осуществдяется доступ. Можно своими силами провести базовй аудит он-сайт на площадке этой строительной конторы. Ответсвтенность - штрафы и проч. Настройка конечных терминалов особым образом, например, чтобы нельзя было сделать принт-скрин. В идеале - выдать свои жестко сконфигурированные буки для доступ только через них.
8. Ну если так мега-секретно все, то можно потребовать дооснащение помещений , откуда планируется доступ, системами, исключающими съем информации дистанционно (активное подавление, изоляция и проч). Потребовать 24/7 видеомониторинг данного помещения с подключением на пульт охраны, и проч. и проч. (т.е. чтобы если вдруг кто-то ворвется и будет угрожать нашим пользователям в рабочее время , и сможет таким образом сфотографировать экран и получить схемы - чтобы охрана прибыла вовремя).
9. Дублирование защитных систем , принцип т.н. эшелонированной обороны.
Ну и даем доступ.
Это я чисто за 5 минут набросал план, он может быть не без изъянов, я просто показываю , как оно бывает.
Тем самым мы минимизируем возможную площадь атаки и защищаемся от многих рисков.
Т.е. такого, как произошло - ну это просто полные раздолбаи. Отдают серетные доки, те хранят их в каком-то по умолчанию небезопасном месте - домашнем офисе . Неудивительно , что их украли.
еще раз - пишешь ты красиво... в теории... на практике теоретеги не работают... твои 9 пунктов решаются очень просто - расписка об ответственности и 15 лет тюрьмы в случае подобного небрежного отношения с секретными данными... после нескольких прецендентов - ИБ возрастет на порядки... а так - проеб@ли - ну и х.й с ним - дадим коментарии попозже... тоже самое примено по поводу остальных - потеряли инфу о 5 000 000 налогоплательщиках - ну и ладно... все... больше не слышно - кого посадили, сняли с должности по этому поводу и т.д.