Ошибка резидента.
Aug. 24th, 2018 09:14 am![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
reytsmanМногие условно правильно согласны с тезисом:
Гуглоамазоны относительно немногочисленны и вынуждены кое-как соблюдать видимость приличия. А вот мелких шакальчиков, готовых за лишние 0.001 цента затрахать тебя ковровыми "холодными звонками" и прочей лабудой - миллионы. Ну и какой-то процент от них реальные неадекваты, если вспомнить историю "Центра американского английского" например, там упорно шедшего к успеху бизнесмена утихомирила только удачная подача в черепушку.
И это правильно. Но вот шакальчики, могут только "затрахать", а вот другие ребята могут оставить без работы. Вот вам второй камент, про нашу реальность от наших читателей.
Только что получил новую IT Policy компании: "Browsing or downloading any material that could be offensive, discriminatory, illegal or pornographic"
Так что на рабочем компе твиттер, жж, дрим и фейсбук лучше не смотреть. Не говоря уже о том что б всякие Фокс Ньюз и Гейтвейта открывать.
Так, что "добровольно и с песней"
Гуглоамазоны относительно немногочисленны и вынуждены кое-как соблюдать видимость приличия. А вот мелких шакальчиков, готовых за лишние 0.001 цента затрахать тебя ковровыми "холодными звонками" и прочей лабудой - миллионы. Ну и какой-то процент от них реальные неадекваты, если вспомнить историю "Центра американского английского" например, там упорно шедшего к успеху бизнесмена утихомирила только удачная подача в черепушку.
И это правильно. Но вот шакальчики, могут только "затрахать", а вот другие ребята могут оставить без работы. Вот вам второй камент, про нашу реальность от наших читателей.
Только что получил новую IT Policy компании: "Browsing or downloading any material that could be offensive, discriminatory, illegal or pornographic"
Так что на рабочем компе твиттер, жж, дрим и фейсбук лучше не смотреть. Не говоря уже о том что б всякие Фокс Ньюз и Гейтвейта открывать.
Так, что "добровольно и с песней"
no subject
Date: 2018-08-25 02:21 am (UTC)Это стандартное решение для повышения секьюрити и для создания chain of trust, но в данном случае так делать не нужно, и даже опасно.
Дело в том что если конторка настолько ебанутая чтобы мониторить экраны на рабочих станциях, то там наверняка стоят и системы детектирования не-домейнных машин. Если на рабочей станции будет стоять система не подключенная к домейну, то ее вычислят на раз-два, и юзера который так делает как минимум отпинают ногами, а как максимум - заберут машину, проверят что там есть, и выгонят с позором. Не за незаконный браузинг выгонят, а за то что подключал к компанейской сети левую машину на которой может быть все что угодно не одобряемое местными админами.
Я уже не говорю о том что в компании где настолько ебанутое руководство у юзеров возможности быть админом на своей машине просто не будет - именно для того чтобы не могли избавиться от домейных полиси и мониторингового софта.
…
Секьюрити - это риск менджмент, и для создания адекватной системы секьюрити нужно продумать от каких именно рисков хочется защититься, и какие constrains имеются. Из этого надо и исходить.
no subject
Date: 2018-08-25 02:48 am (UTC)Хе-хе. Еще раз хе-хе. А ведь для офиса представляться будет какраз та самая виртуализированная офисная VM, если нетворкинг в хипервизоре правильно настроить :-) А моя VM вообще в офисную сетку никак, у нее и интерфейса то туда не будет. А будет у нее интерфейс только в тот проводок, куда я свой телефон втыкаю, когда побраузить хочу. Ну или в блутусную затычку, вокнутую в усб слот прямо на мамку.
-- Секьюрити - это риск менджмент
Ухты. А в учебниках пишут, что это CIA. И последние лет 20 на всех трейнингах говорят, что CIA. :-)
А вообще мы все сильно усложняем. Надо просто стребовать отдельный ящик для производственных нужд и поднять на нем что-то принципиально не поддерживаемое IT, какаой-нибудь КАЛИ. И все.
no subject
Date: 2018-08-25 03:32 am (UTC)Можно конечно. В принципе это ничем не отличается от приноса личного лэптопа-таблета. Что я собственно и предлагал :-)
Просто для мэйнстримных случаев когда компания мониторит только нетворк траффик и RDP будет вполне ОК.
Да, и еще стоит подумать о том что случайно проходящий SJW ведь может заметить ненавистную картинку Брейтбарта на экране и побежать к руководству, и в этом случае наличие такой картинки на компанейской машине будет нарушением той самой полиси, тогда как личная машина есть личная машина. :-)
>>>Хе-хе. Еще раз хе-хе. А ведь для офиса представляться будет какраз та самая виртуализированная офисная VM, если нетворкинг в хипервизоре правильно настроить :-)
Вы что, думаете что я о такой конфигурации не подумал? :-)
Таких прошаренных умельцев вычислить тоже можно, и гораздо проще чем кажется :-)
Например - компанейская система работающая внутри VM будет ведь репортать информацию о хосте именно как о VM. Тот же SCCM или чем там данная компания пользуется соберет эту информацию, и она попадет в отчеты.
А вот реальная железная машина которая за этим пользователем числится как раз из инвентории исчезнет - что вызовет нездоровый интерес IT, потому как инвентори их как раз интересует.
А при первой же попытке прояснить эту непонятку все и выяснится.
Есть и другие моменты.
>>>Ухты. А в учебниках пишут, что это CIA. И последние лет 20 на всех трейнингах говорят, что CIA. :-)
Секьюрити - это именно риск менеджмент. Есть множество угроз для CIA triad, и дизайн системы должен защищать от этих самых угроз.
Для этого нужно вдумчиво проанализировать виды угроз для данной системы, и придумать как от них адекватно защититься. Это не гарантирует абсолютной защиты (абсолютной защиты вообще не существует), но можно уменьшить вероятность проблем.
Кстати, в обсуждаемом случае угрозой является в первую очередь обнаружение особо прыткого юзера админами, а также последующие кары от руководства (если админы найдут что-то предосудительное).
С точки зрения минимизации данной угрозы нужно:
а. Не создавать прямого нетворк-траффика к "нехорошим" хостам, поскольку скорее всего IT мониторит траффик
б. Не привлекать внимание необычными конфигурациями или левыми VM
в. Не иметь на машине ничего компроментирующего, или чего-то что может создать проблемы при обнаружении.
Личный лэптоп с интернетом через телефон с этой точки зрения оптимален - он ведь
личный (т.е. не в инвентори), к компанейской сети не подключен, да и потребовать его на обследование при проблемах IT не может - личное имущество.
RDP - тоже ОК, но только если картинка на десктопах не мониторится.
no subject
Date: 2018-08-25 04:02 am (UTC)-- все, я прекращаю спор.
(абсолютной защиты вообще не существует),
Хе-хе.
no subject
Date: 2018-08-26 12:11 am (UTC)no subject
Date: 2018-08-27 01:07 pm (UTC)no subject
Date: 2018-08-27 04:21 pm (UTC)тут когда рассказываешь про анальный термокриптоанализ, глаза квадратные делают.
no subject
Date: 2018-08-27 04:57 pm (UTC)no subject
Date: 2018-08-27 05:02 pm (UTC)no subject
Date: 2018-08-27 09:02 pm (UTC)no subject
Date: 2018-08-28 01:16 pm (UTC)no subject
Date: 2018-08-28 01:32 pm (UTC)