>>>А вообще мы все сильно усложняем. Надо просто стребовать отдельный ящик для производственных нужд и поднять на нем что-то принципиально не поддерживаемое IT, какаой-нибудь КАЛИ. И все.
Можно конечно. В принципе это ничем не отличается от приноса личного лэптопа-таблета. Что я собственно и предлагал :-)
Просто для мэйнстримных случаев когда компания мониторит только нетворк траффик и RDP будет вполне ОК.
Да, и еще стоит подумать о том что случайно проходящий SJW ведь может заметить ненавистную картинку Брейтбарта на экране и побежать к руководству, и в этом случае наличие такой картинки на компанейской машине будет нарушением той самой полиси, тогда как личная машина есть личная машина. :-)
>>>Хе-хе. Еще раз хе-хе. А ведь для офиса представляться будет какраз та самая виртуализированная офисная VM, если нетворкинг в хипервизоре правильно настроить :-)
Вы что, думаете что я о такой конфигурации не подумал? :-) Таких прошаренных умельцев вычислить тоже можно, и гораздо проще чем кажется :-)
Например - компанейская система работающая внутри VM будет ведь репортать информацию о хосте именно как о VM. Тот же SCCM или чем там данная компания пользуется соберет эту информацию, и она попадет в отчеты. А вот реальная железная машина которая за этим пользователем числится как раз из инвентории исчезнет - что вызовет нездоровый интерес IT, потому как инвентори их как раз интересует. А при первой же попытке прояснить эту непонятку все и выяснится. Есть и другие моменты.
>>>Ухты. А в учебниках пишут, что это CIA. И последние лет 20 на всех трейнингах говорят, что CIA. :-)
Секьюрити - это именно риск менеджмент. Есть множество угроз для CIA triad, и дизайн системы должен защищать от этих самых угроз. Для этого нужно вдумчиво проанализировать виды угроз для данной системы, и придумать как от них адекватно защититься. Это не гарантирует абсолютной защиты (абсолютной защиты вообще не существует), но можно уменьшить вероятность проблем.
Кстати, в обсуждаемом случае угрозой является в первую очередь обнаружение особо прыткого юзера админами, а также последующие кары от руководства (если админы найдут что-то предосудительное). С точки зрения минимизации данной угрозы нужно:
а. Не создавать прямого нетворк-траффика к "нехорошим" хостам, поскольку скорее всего IT мониторит траффик б. Не привлекать внимание необычными конфигурациями или левыми VM в. Не иметь на машине ничего компроментирующего, или чего-то что может создать проблемы при обнаружении.
Личный лэптоп с интернетом через телефон с этой точки зрения оптимален - он ведь личный (т.е. не в инвентори), к компанейской сети не подключен, да и потребовать его на обследование при проблемах IT не может - личное имущество.
RDP - тоже ОК, но только если картинка на десктопах не мониторится.
no subject
Можно конечно. В принципе это ничем не отличается от приноса личного лэптопа-таблета. Что я собственно и предлагал :-)
Просто для мэйнстримных случаев когда компания мониторит только нетворк траффик и RDP будет вполне ОК.
Да, и еще стоит подумать о том что случайно проходящий SJW ведь может заметить ненавистную картинку Брейтбарта на экране и побежать к руководству, и в этом случае наличие такой картинки на компанейской машине будет нарушением той самой полиси, тогда как личная машина есть личная машина. :-)
>>>Хе-хе. Еще раз хе-хе. А ведь для офиса представляться будет какраз та самая виртуализированная офисная VM, если нетворкинг в хипервизоре правильно настроить :-)
Вы что, думаете что я о такой конфигурации не подумал? :-)
Таких прошаренных умельцев вычислить тоже можно, и гораздо проще чем кажется :-)
Например - компанейская система работающая внутри VM будет ведь репортать информацию о хосте именно как о VM. Тот же SCCM или чем там данная компания пользуется соберет эту информацию, и она попадет в отчеты.
А вот реальная железная машина которая за этим пользователем числится как раз из инвентории исчезнет - что вызовет нездоровый интерес IT, потому как инвентори их как раз интересует.
А при первой же попытке прояснить эту непонятку все и выяснится.
Есть и другие моменты.
>>>Ухты. А в учебниках пишут, что это CIA. И последние лет 20 на всех трейнингах говорят, что CIA. :-)
Секьюрити - это именно риск менеджмент. Есть множество угроз для CIA triad, и дизайн системы должен защищать от этих самых угроз.
Для этого нужно вдумчиво проанализировать виды угроз для данной системы, и придумать как от них адекватно защититься. Это не гарантирует абсолютной защиты (абсолютной защиты вообще не существует), но можно уменьшить вероятность проблем.
Кстати, в обсуждаемом случае угрозой является в первую очередь обнаружение особо прыткого юзера админами, а также последующие кары от руководства (если админы найдут что-то предосудительное).
С точки зрения минимизации данной угрозы нужно:
а. Не создавать прямого нетворк-траффика к "нехорошим" хостам, поскольку скорее всего IT мониторит траффик
б. Не привлекать внимание необычными конфигурациями или левыми VM
в. Не иметь на машине ничего компроментирующего, или чего-то что может создать проблемы при обнаружении.
Личный лэптоп с интернетом через телефон с этой точки зрения оптимален - он ведь
личный (т.е. не в инвентори), к компанейской сети не подключен, да и потребовать его на обследование при проблемах IT не может - личное имущество.
RDP - тоже ОК, но только если картинка на десктопах не мониторится.