Size: a a a

Архитектура ИТ-решений

2021 May 08

PD

Phil Delgyado in Архитектура ИТ-решений
О да. У меня (на одной из предыдущих работ) был прекрасный факап, когда все фонды на железо спустили на waf-ы и прочие игрушки СБ.
Безопасности больше не стало, а вот продакшен-кластер таки навернулся при скачке нагрузки...
источник

VA

Viktor Alexandrov in Архитектура ИТ-решений
Вы не одиноки
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Регуляторка - это не про приоритеты бизнеса по идее. Это про заботы того, что в окружении бизнеса. Так что там надо позицию защищаемого регуляторными ограничениями объекта понимать ИМХО.
источник

PD

Phil Delgyado in Архитектура ИТ-решений
Я ж не спорю. Но в PCI DSS до сих пор требования к использованию в паролях цифр, вспомогательных символов и т.п.
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Там скоуп решения поменялся, но сама по себе рекомендация для некоторых случаев разумна.
источник

PD

Phil Delgyado in Архитектура ИТ-решений
Вот лучше проверить по списку популярных и запросить длину от 10 символов.
источник

p

pragus in Архитектура ИТ-решений
А откуда сам скачек нагрузки возник? И что waf'ы прилегли что ли?
источник

p

pragus in Архитектура ИТ-решений
Тут какая история. LPE - вроде не страшно, а потом на горизонте появляется RCE и становится страшно :)
источник

p

pragus in Архитектура ИТ-решений
Или. Вот вроде безобидная история про LFI(local file inclusion). Но, например, криво настроенный пхп можно попросить заинклудить обычный access.log

Делается get запрос с пхпшными тегами и нужным кодом.

Дальше инклудим access.log, пхп начинает сканировать его, находит теги <?php и исполняет код между тегами
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Интересная история. Это точно в сторону ПХП а не настроек веб-сервера?
источник

p

pragus in Архитектура ИТ-решений
источник

p

pragus in Архитектура ИТ-решений
В сторону настроек php-fpm(ну или mod_php для опачефилов)
источник

p

pragus in Архитектура ИТ-решений
Там, кстати, даже не http-логи, а vsftpd
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
Скорее, не хочет.

Проще, перефразирую Фила, купить индульгенцию (освящённое железо + соотв. набор документов)

Привлекать-то будут по формальным вещам.

Иными словами, нужно выполнить какой-то минимум, чтобы не прикопались компетентные органы.

Зачем делать что-то большее?

У нас же главная опасность исходит от компетентных органов, а не от злоумышленников. Мы же их больше всего боимся. Утрирую

А для большего нужна совесть и/или мотивация. Мотивация может исходить от бизнеса.
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
Иными словами, для стимулирования реальной работы по ИБ, нужно чтобы у бизнеса была возможность влиять на сменяемость ИБ-шников в штате (кто-то от бизнеса в правлении), или вообще свой штат ИБ (хотя бы один-два человека в продуктовых командах).

Либо чтобы инициатива исходила/поддерживалась на самом верху, в идеале CEO (компания должна быть не очень большая).
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
В итоге мы видим, что злоумышленники знают о наших счетах больше, чем мамы или жёны. Сарказм
источник

MS

Mikhail Shambuev in Архитектура ИТ-решений
Обычно из этого положения все и действуют.
источник

GK

Gennadiy Kruglov in Архитектура ИТ-решений
Конечно
источник

AL

Alexander Luchkov in Архитектура ИТ-решений
Надо чтоб главная опасность исходила от клиентов)))

Там сразу стимул обеспечить безопасность клиентских данных появится.
источник

PD

Phil Delgyado in Архитектура ИТ-решений
Ну, там неравномерность по году очень сильная, раз в 100. И боевые сервера просто не выдержали по IOPS(там стояли дешевые самосборки, планировалось поменять на нормальные, но бюджет ушел на wafы)
источник