N
Я слышал прохладные истории падений некоторых финансовых учереждений когда у них память на правила в циске заканчивалась и ложился дц
Size: a a a
2019 February 26
N
Или как новые рулы применяют раз в неделю, а согласовывают еще неделю-месяц-год
NB
Или как новые рулы применяют раз в неделю, а согласовывают еще неделю-месяц-год
Не тот шрифт и нет отступов, выдать доступы не можем. Пишите новую заявку с согласованием с нуля
r
Ну здесь как бы тоже перегиб идёт, понятно в бюрократию тоже уходить не стоит. DevOps гибкие - Security гибкие
KO
Не IT, а цирк Дю Солей:)
KO
Все гибкие)
r
доебался до слова, flexible пойдёт?:) не бюрократизированные?
KO
Да нет, все классно)
r
Да, но даже её надо обосновывать. Если ты приходишь и говоришь: есть способы атаковать нас такие-то, самым критичным в данный момент является вот этот, и от него (а впридачу ещё от вон тех трёх) можно защититься сегментацией, тогда гораздо больше вероятность, что тебя послушают.
Я в одной компании был с аудитом. Пошёл в точку продаж. Держа в руках патч-корд представился ITшником, девшука на ресепшене меня пропустила. Зашёл в переговорку. Подключился к локалке. Сделал пару скриншотов как я подключаюсь к важному серверу 1С и сканирую сеть.
Даже это не продвинуло сегментацию (точки продаж, серверный сегмент), либо я плохо донёс инфомрацию, либо у заказчика это не приоритет. 😁
Даже это не продвинуло сегментацию (точки продаж, серверный сегмент), либо я плохо донёс инфомрацию, либо у заказчика это не приоритет. 😁
AA
ничёсе ты Джеймс Бонд))
r
ничёсе ты Джеймс Бонд))
Не, Джейсм Бонд поставил бы raspberry pi с сетевым адаптером и 4g модемом.
Это к вопросу о наглядной демонстрации применимости сегментации. Как ещё можно?:)
Это к вопросу о наглядной демонстрации применимости сегментации. Как ещё можно?:)
N
В подкасте недавно рассказывал чувак как к ним безопасник пришел на 3 дня раньше собеседования и проверил сможет ли он попасть в оффис)
AA
В хангопсе?
N
N
Чувак прошел в офис и немного походил по нему вроде
С
Если ты действительно донёс проблему и предложил разумные способы решения, то почему бы не отреагировать. Значит чего-то не хватило - или им или тебе.
2019 February 27
AC
у кого-нибудь были пентесты, которые не показали серьезных проблем? :)
Неоднократно
S
Не, Джейсм Бонд поставил бы raspberry pi с сетевым адаптером и 4g модемом.
Это к вопросу о наглядной демонстрации применимости сегментации. Как ещё можно?:)
Это к вопросу о наглядной демонстрации применимости сегментации. Как ещё можно?:)
Проблема убедить ИТ и руководство в необходимости сегментации кроется в геморрое сделать эту самую сегментацию и потратить деньги на инфраструктуру при неочевидных плюсах. Никто не хочет делать это пока не выстрелит.
Мы в Альфа пошли другим путём. Провели пилот по созданию изолированной песочницы для разработчиков и на ее примере доказали, что это вовсе не страшно/дорого/долго.
Теперь масштабируем опыт.
Мы в Альфа пошли другим путём. Провели пилот по созданию изолированной песочницы для разработчиков и на ее примере доказали, что это вовсе не страшно/дорого/долго.
Теперь масштабируем опыт.
r
Проблема убедить ИТ и руководство в необходимости сегментации кроется в геморрое сделать эту самую сегментацию и потратить деньги на инфраструктуру при неочевидных плюсах. Никто не хочет делать это пока не выстрелит.
Мы в Альфа пошли другим путём. Провели пилот по созданию изолированной песочницы для разработчиков и на ее примере доказали, что это вовсе не страшно/дорого/долго.
Теперь масштабируем опыт.
Мы в Альфа пошли другим путём. Провели пилот по созданию изолированной песочницы для разработчиков и на ее примере доказали, что это вовсе не страшно/дорого/долго.
Теперь масштабируем опыт.
Не, ну если даже в Альфа такие вопросы есть, значит я могу немного успокоиться:) просто вопрос в коммуникации, обосновании, целесообразности и зрелости организации