Между безопасностью и паранойей: тенденции больших корпораций

[rzerda]

В сети мы тоже любим шифровать

Тут мне показалось, что Вы веруете в защиту периметра как единственное средство сетевой безопасности. Но ведь это, в некотором роде, ретроградство?

[Tzimie]

Это скорее из-за особенности работы аппликаций (отсутствие веб морд)'у нас до сих.пор существует нечто вроде периметра. А как у вас?

[rzerda]

Периметр есть и у нас, но и сервисов публичных порядочно. И жизнерадостные любители ARP spoof-а тоже заглядывали, так что одного периметра маловато.

Я в этом месте всегда завидую Google, у них доверие в аппаратуре находится, и через то серверы могут прямо подключенными в интернет работать, а не только лишь в уютных внутренних сетях.

[3aicheg]

Реальный случай. Как-то приступаю к выполнению обязанностей, местный одмин даёт инструктаж по безопасности:
— Мы тут, значит, офицеры комендатуры, сертифицированы по высшему стандарту безопасности ISO-сто пятьсот восемьсот десять тысяч девятьсот. У нас нельзя то, нельзя сё (тут бла-бла-бла много-много чего нельзя). Последний пункт: личным мобильным телефоном пользоваться нельзя. Всё понятно? А щас мы создадим вам учётную запись. Придумайте пароль не короче семидесяти восьми символов в разных регистрах, с цифрами и эмодзи. Разумеется, у нас двухфакторная авторизация, доставайте свой мобильный телефон и говорите мне номер, вам на него коды доступа будут приходить…
— Чочо?? Вы же только что говорили, что нельзя пользоваться личным телефоном в офисе?..
— Да, разумеется, в целях безопасности.
— А теперь говорите, что мне для двухфакторной авторизации будет нужно получать коды на личный телефон?
— Да, разумеется, в целях безопасности.
— Эмм… а вам не кажется, что эти два требования, как бы это сказать, немного противоречат друг другу?
— Нет, не кажется — и то и другое в целях безопасности.
И ни один мускул на лице не дрогнул.

[perlestius]

В datacenter пробрался злобный хакер и выкрал диск и работающего NetApp, получив в руки кашу от data striping неизвестно чего?

Если ДЦ в России, то более вероятен сценарий, когда придут вежливые люди и, предъявив нужные документы, с соблюдением всех формальностей изымут целиком вашу стойку с оборудованием.

[GokenTanmay]

Ни разу не видел, что бы отказали в выдаче паролей вежливым людям с нужными документами.
Обратных примеров полно.

[Tzimie]

Это верно. С другой стороны, не хранить данные в России (если это не российский бизнес) — тоже разумное требование безопасности

[teecat]

Вот с чем приходится сталкиваться в богатых компаниях и особенно банках, так это с тем, что руководство ИТ-ИБ увлечено модными/дорогими/интересными проектами, а базовыми мерами защиты пренебрегают. Скажем настройкой антивирусов (я не говорю о том, когда без них можно обойтись, только о тех случаях, когда они стоят по делу). Неинтересно возиться с такой мелочью

[Xeonkeeper]

Использование Jump серверов это устаревший метод, так как первоначально вы будете вводить учетные данные от УЗ с повышенными привилегиями на менее защищенном хосте. В современных реалиях подход должен быть в корне другой. Рабочая станция админитратора (ноутбук например) правильно защищенный. Все административные действия производятся с него, а уже внутри него запущена виртуальная машина с интернетом, почтой и тд(это если вообще не отдельный административный ноутбук). И нету в этом никакой паранойи это просто другой подход, не так как все привыкли. Куча паролей лечится грамотным выстраиванием инфраструктуры с использованием современных методов аутентификации. В идеальном мире администратор должен предоставлять пин код от своей смарт карты единожды — при входе на свою адм. станцию, а пользователь свой пароль при входе на свой компьютер. Так же сейчас развивается биометрия, станет еще проще, но не менее безопасней.

[Tzimie]

«В современных реалиях подход должен быть в корне другой» — вот про это я и пишу, мне кажется в будущем все сильно упроститься, а сейчас самое темное время перед рассветом…