Я правильно понимаю, что при постановке этой системы в мониторинг на копии трафика требуется, чтобы соединения от приложений к серверу БД не должны быть шифрованными?
Насколько это распространённая практика -- оставлять подключение к базе не защищёнными шифрованием?
А у вас сколько рабочих дней в месяц выходит? И 2300 за аренду -- это только когда работаете, или машина у вас постоянно, и вы 2300 в день платите даже если не работаете?
Просто если считать 22 рабочих дня по 2300 за каждый = 50600 рублей в месяц уходит за аренду.
Не будет ли дешевле взять какую-нибудь Весту SW Cross в кредит, тогда в месяц на кредит будет уходить около 30 тысяч при кредите на 5 лет и без каких-либо первоначальных взносов.
Один знакомый товарищ, который некоторое время живёт в Штатах, рассказывал историю. Его сын гонялся по двору за своей сестрой, отобравшей у него игрушку, и кричал: "Дай, дай, дай!". Бывшие в это время у них в гостях знакомые американцы начали диковато коситься в сторону детей. Товарищ сначала не понял, в чём дело, а потом понял и заржал. Американцы напряглись ещё сильнее.
Пришлось объяснить, что ребёнок кричит на русском, и "дай" = "give it back" в данном случае. С точки зрения американцев, действительно, выглядело всё странно -- дети бегают друг за другом с криками "die, die, die!" :-)
vPro -- это просто набор технологий и функционала, использующихся на данном конкретном устройстве.
То, о чём Вы говорите -- называется АМТ ("Active Management Thecnology"), и является одной технологией/спецификацией из длинного списка того, что входит в vPro.
Для того, чтобы получить доступ к KVM, надо проделать целую кучу предварительных действий. В целом, всё придумано интересно, с точки зрения безопасности в том числе.
Понятно, что уязвимости могут быть, но архитектурно -- всё очень и очень круто. Если интересуют детали, посмотрите интервью с инженером Intel: https://www.youtube.com/watch?v=SQvZf11Zm2Y&t=6655s (я тайм-код поставил как раз на начало обсуждения этой функции АМТ).
Мне очень понравился подход Intel к безопасности -- нет никаких облачных решений в части серверов управления AMT -- Intel раздаёт бесплатно приложение, ставьте у себя в инфраструктуре и обеспечивайте защиту сами. Плюс спецификации протоколов управления открыты, так что если есть желание -- можно разработать свой сервер управления (и есть open source проекты, реализующие управление AMT).
Иными словами, воспользовать AMT в зловредных целях не так-то просто. И совсем не просто в случае физических лиц, т. к. у большинства из них AMT вообще не активирован, ибо нет необходимости для личного оборудования.
Нагрузка от декодирования HTTPS сильно зависит от количества новых клиентов в единицу времени клиентов (когда кэширование параметров сессии не особо помогает). Иногда приходится юзать даже аппаратные акселераторы для терминирования TLS.
С точки зрения ИБ таки да, выгоднее использовать шифрованные соединения везде, но в ряде нагрузок это может создавать серьёзные проблемы с производительностью. Можно также сравнить пропускную способность сетевых устройств, которые понимают L7 на шифрованном трафике и на нешифрованном -- она сильно отличается.
Текущая редакция Конституции принята в 93-ем году, разработана при плотном участии организации под названием USAID. И полна троянов. Например, применительно к идеологии, о необходимости которых Вы говорите. Идеология в РФ запрещена на уровне Конституции. Статья 13 пункт 2 гласит:
Никакая идеология не может устанавливаться в качестве государственной или обязательной.
Есть ещё один интересный пункт, в статье 15:
4. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
Кто-то ещё в комментариях высказывался на тему того, что у Президента есть власть над Парламентом, и это неправильно. Посмотрите соответствующие законы (например, процедуру принятия законов). Это у Парламента как раз больше возможностей. В частности, Президент не имеет права не подписать закон, который прошёл все слушания в Совфеде.
Не очень понял, в чём конкретно проблема. «Не вовлечен в атмосферу команды и не живет ее культурой»? Это где-то в должностных обязанностях прописано, что сотрудник обязан?
С другой стороны — он участвует в публичных внутренних обсуждениях продуктов и процессов компании — т. е. в более широком смысле он вполне вовлечён в деятельность компании. Если же пункт 5 из постановки задачи вменяется сотрудник в косяк — то с какой целью вообще в компании проводятся публичные обсуждения и мероприятия? Отменить — и освободится куча времени для всех, кто ранее в этих мероприятиях участвовал.
Код пишет медленнее других — но насколько я понял, в требуемые сроки укладывается (т. к. о какой-то проблеме в этом отношении заговорили только после визита PO, а до этого с точки зрения руководителя команды никаких проблем не было).
Не работает сверхурочно — а это прописано в должностных обязанностях и компенсируется соответственно?
Спорит о способах реализации фичи — решается мажоритарно. Есть два мнения — автора реализации и ревьюера. Если они не согласны — приглашается третий. Делается так, как решило в этой ситуации большинство.
На мой взгляд, в этой постановке это выглядит как попытка компании выжать из сотрудников бОльшую производительность, чем от них требовалось «на входе», на этапе найма. Кто-то из разработчиков на личном топливе готов больше времени работе уделять — ну так это его личное решение. Крайне сомнительно, что на том основании, что у некоторых разработчиков, скажем, нет семьи и они могут больше времени уделять работе, можно требовать такого же подхода и у других сотрудников компании.
Коллега, на мой взгляд, вы несколько узко рассматриваете задачу обеспечения ИБ.
Ключевая функция ИБ в ИТ — это не сохранение связей между компонентами инфраструктуры, а сохранение «триады ИБ» — «конфиденциальность, целостность, доступность». Этому учат практически на любом более или менее серьёзном ИБ-шном курсе (ну кроме тех, которые заточены конкретно на технические средства защиты или нападения). Отсюда следует, что понятие ИБ — несколько шире, чем защита от «мамкиных хакеров».
Служба ИБ призвана обеспечивать защиту информации в инфраструктуре от любых воздействий — будь то внешние атаки (нарушение конфиденциальности), упавший сервер, у которого полгода назад сломались бэкапы (нарушение целостности) или сбои в работе сети (нарушение доступности).
В его широком смысле, процесс построения ИБ не так романтичен, конечно, как отражение атак хакеров, поэтому остальные его аспекты часто выпадают из внимания. Обеспечение ИБ — это не только, и не столько технические средства. Существенную часть процесса обеспечения ИБ составляют именно организационные меры. Которые обеспечиваются пресловутыми «бумажками».
Конечно, ИБ АСУ ТП имеет свою специфику. Но если рассматривать процедуры ИБ именно как комплекс мер, направленной на обеспечение «триады» (а на мой взгляд, именно так их и нужно рассматривать), то разница между ИБ для ИТ и ИБ для АСУ ТП в методическом смысле, в смысле подхода к процессу — практически исчезает. И спускается на уровень технических средств обеспечения, т. к. инфраструктурные решения в ИТ и АСУ ТП всё же различаются.
Но ведь первопричина ДТП — как раз и есть поведение водителей/пешеходов. Я регулярно смотрю подборки ДТП в интернете, для образовательных целей. Крайне мало (субъективно — не более 1-2%) ДТП вызваны какими-то причинами, которые от водителей никак не зависит (скажем, открытый и не обозначенный люк на тёмной дороге, да и то эта ситуация с оговоркой).
Причины подавляющего количества ДТП — это именно что неадекватная оценка дорожной ситуации, рисков, возможных последствий со стороны участников дорожного движения. Кто-то «очень спешит», кто-то понадеялся на авось, кому-то вообще плевать на эти странные значки на столбиках и цветные огоньки на проводах, кто-то «права купил — ездить не купил», кто-то отвлёкся на ребёнка в салоне и не заметил, что машины в соседних рядах тормозят перед пешеходным переходом — все эти вещи никак не связаны с недостатками дорожной инфраструктуры.
Так что изменения инфраструктуры — это не устранение первопричины, это попытка затруднить реализацию рисков возникновения ДТП, создаваемых первопричиной — человеческим фактором.
Справедливости ради, OpenVPN достаточно легко настраивается при использовании продуктов типа pfSense или OpnSense. Прямо из веб-морды формируется пачка конфигов (включая пользовательские сертификаты), и инструкция пользователю сокращается до 4-х строчек:
1) Скачать программу-клиент тут;
2) Установить;
3) конфиги из почты переложить в такой-то каталог;
4) Кликнуть на иконку и нажать «Подключиться»;
Банально, он занимает 4 000 строчек кода вместо 60 000 у OpenVPN.
Ну так ещё бы — если выкинуть кучу функционала — хитрые настройки роутинга и т. п. — то разумеется, количество строк кода существенно снизится :-)
Шифровальщик попадает либо с почты, либо с флешек. И то, и другое на терминалах не надо. И сразу все сильно проще.
Это вы просто малость не в курсе. Почитайте, как распространялся WannaCry, например (Пункт «How does WannaCry infect PCs»). Будете неприятно удивлены. Ни флэшек, ни почты в его векторе нет.
Если бы точным, то дыры начнут латать тогда, когда их забивать на них будет обходиться дороже, чем их латать. Во многих случаях забивать — дешевле, отсюда большие проблемы с ИБ в любых системах, от домашнего IoT до АСУТП.
Почему же, как один из параметров оценки риска транзакции собранный набор данных вполне себе полезен. Другое дело, что большой объём информации — это всегда палка о многих концах, и использовать её можно по-разному. Как во благо пользователей, так и во вред.
Я вроде русским по-белому написал — скорее всего, это сбор информации со стороны Ростелека (а также упомянутых Вами контор) для создания идентификаторов пользователей в рамках концепции Digital Identity. Этим занимаются практически все крупные конторы, имеющие веб-сервисы/сайты на вооружении.
Банками декларируется, например, что Digital ID может помочь бороться с мошенничеством. Технически это реализуется следующим образом — когда пользователь пользуется сайтом для совершения банковских операций, сайт тащит всю информацию, до которой он только может дотянуться, и составляет цифровой отпечаток конкретного устройства, а также связывает потом его с конкретным аккаунтом (пользователь же не просто на сайт зашёл, ему там кредсы придётся ввести). Если цифровой отпечаток устройства у этого аккаунта сильно поменяется — это дополнительный индикатор в оценке пользовательских транзакций в системе анти-фрода, например.
Для чего это нужно Ростелеку — не знаю. Но, например, цифровые отпечатки и их привязки к реальным ФИО/иными идентифицирующим признакам из реальной жизни можно продавать заинтересованным лицам. Тем же банкам.
Это не беда, и не только отечественных веб-сервисов. Это целенаправленный сбор информации в рамках концепции Digital Identity. Там собирается в кучку вообще всё, включая мета-информацию о TCP-трафике от клиента на всех уровнях, от L3 до L7. TTL приходящих пакетов, размеры MSS, MTU и так далее по уровням вверх.
Ростелек, видимо, решил набор пассивно собираемых данных пополнить активным сканированием ещё.
У нас в сети, например, полно рутины. Создание-прокидывание новых вланов, выделение IP-подсетей, создание интерфейсов на роутерах, постоянные изменения сетевых ACL. Десятки в день заявок. Пока что далеко не всё из этого автоматизированно, а руками всё это делается довольно долго.
Я правильно понимаю, что при постановке этой системы в мониторинг на копии трафика требуется, чтобы соединения от приложений к серверу БД не должны быть шифрованными?
Насколько это распространённая практика -- оставлять подключение к базе не защищёнными шифрованием?
Здравствуйте.
А у вас сколько рабочих дней в месяц выходит? И 2300 за аренду -- это только когда работаете, или машина у вас постоянно, и вы 2300 в день платите даже если не работаете?
Просто если считать 22 рабочих дня по 2300 за каждый = 50600 рублей в месяц уходит за аренду.
Не будет ли дешевле взять какую-нибудь Весту SW Cross в кредит, тогда в месяц на кредит будет уходить около 30 тысяч при кредите на 5 лет и без каких-либо первоначальных взносов.
Один знакомый товарищ, который некоторое время живёт в Штатах, рассказывал историю. Его сын гонялся по двору за своей сестрой, отобравшей у него игрушку, и кричал: "Дай, дай, дай!". Бывшие в это время у них в гостях знакомые американцы начали диковато коситься в сторону детей. Товарищ сначала не понял, в чём дело, а потом понял и заржал. Американцы напряглись ещё сильнее.
Пришлось объяснить, что ребёнок кричит на русском, и "дай" = "give it back" в данном случае. С точки зрения американцев, действительно, выглядело всё странно -- дети бегают друг за другом с криками "die, die, die!" :-)
vPro -- это просто набор технологий и функционала, использующихся на данном конкретном устройстве.
То, о чём Вы говорите -- называется АМТ ("Active Management Thecnology"), и является одной технологией/спецификацией из длинного списка того, что входит в vPro.
Для того, чтобы получить доступ к KVM, надо проделать целую кучу предварительных действий. В целом, всё придумано интересно, с точки зрения безопасности в том числе.
Понятно, что уязвимости могут быть, но архитектурно -- всё очень и очень круто. Если интересуют детали, посмотрите интервью с инженером Intel: https://www.youtube.com/watch?v=SQvZf11Zm2Y&t=6655s (я тайм-код поставил как раз на начало обсуждения этой функции АМТ).
Мне очень понравился подход Intel к безопасности -- нет никаких облачных решений в части серверов управления AMT -- Intel раздаёт бесплатно приложение, ставьте у себя в инфраструктуре и обеспечивайте защиту сами. Плюс спецификации протоколов управления открыты, так что если есть желание -- можно разработать свой сервер управления (и есть open source проекты, реализующие управление AMT).
Иными словами, воспользовать AMT в зловредных целях не так-то просто. И совсем не просто в случае физических лиц, т. к. у большинства из них AMT вообще не активирован, ибо нет необходимости для личного оборудования.
Нагрузка от декодирования HTTPS сильно зависит от количества новых клиентов в единицу времени клиентов (когда кэширование параметров сессии не особо помогает). Иногда приходится юзать даже аппаратные акселераторы для терминирования TLS.
С точки зрения ИБ таки да, выгоднее использовать шифрованные соединения везде, но в ряде нагрузок это может создавать серьёзные проблемы с производительностью. Можно также сравнить пропускную способность сетевых устройств, которые понимают L7 на шифрованном трафике и на нешифрованном -- она сильно отличается.
США и большинство стран Европы (демократия, ну или то, что они этим словом называют)
Китай (коммунизм)
Вполне достаточно.
Напрасно иронизируете. Вы читали закон о ЦБ (он же 86-ФЗ)? Почитайте, вас ждёт немало волнующих открытий.
Есть ещё один интересный пункт, в статье 15:
Кто-то ещё в комментариях высказывался на тему того, что у Президента есть власть над Парламентом, и это неправильно. Посмотрите соответствующие законы (например, процедуру принятия законов). Это у Парламента как раз больше возможностей. В частности, Президент не имеет права не подписать закон, который прошёл все слушания в Совфеде.
С другой стороны — он участвует в публичных внутренних обсуждениях продуктов и процессов компании — т. е. в более широком смысле он вполне вовлечён в деятельность компании. Если же пункт 5 из постановки задачи вменяется сотрудник в косяк — то с какой целью вообще в компании проводятся публичные обсуждения и мероприятия? Отменить — и освободится куча времени для всех, кто ранее в этих мероприятиях участвовал.
Код пишет медленнее других — но насколько я понял, в требуемые сроки укладывается (т. к. о какой-то проблеме в этом отношении заговорили только после визита PO, а до этого с точки зрения руководителя команды никаких проблем не было).
Не работает сверхурочно — а это прописано в должностных обязанностях и компенсируется соответственно?
Спорит о способах реализации фичи — решается мажоритарно. Есть два мнения — автора реализации и ревьюера. Если они не согласны — приглашается третий. Делается так, как решило в этой ситуации большинство.
На мой взгляд, в этой постановке это выглядит как попытка компании выжать из сотрудников бОльшую производительность, чем от них требовалось «на входе», на этапе найма. Кто-то из разработчиков на личном топливе готов больше времени работе уделять — ну так это его личное решение. Крайне сомнительно, что на том основании, что у некоторых разработчиков, скажем, нет семьи и они могут больше времени уделять работе, можно требовать такого же подхода и у других сотрудников компании.
Ключевая функция ИБ в ИТ — это не сохранение связей между компонентами инфраструктуры, а сохранение «триады ИБ» — «конфиденциальность, целостность, доступность». Этому учат практически на любом более или менее серьёзном ИБ-шном курсе (ну кроме тех, которые заточены конкретно на технические средства защиты или нападения). Отсюда следует, что понятие ИБ — несколько шире, чем защита от «мамкиных хакеров».
Служба ИБ призвана обеспечивать защиту информации в инфраструктуре от любых воздействий — будь то внешние атаки (нарушение конфиденциальности), упавший сервер, у которого полгода назад сломались бэкапы (нарушение целостности) или сбои в работе сети (нарушение доступности).
В его широком смысле, процесс построения ИБ не так романтичен, конечно, как отражение атак хакеров, поэтому остальные его аспекты часто выпадают из внимания. Обеспечение ИБ — это не только, и не столько технические средства. Существенную часть процесса обеспечения ИБ составляют именно организационные меры. Которые обеспечиваются пресловутыми «бумажками».
Конечно, ИБ АСУ ТП имеет свою специфику. Но если рассматривать процедуры ИБ именно как комплекс мер, направленной на обеспечение «триады» (а на мой взгляд, именно так их и нужно рассматривать), то разница между ИБ для ИТ и ИБ для АСУ ТП в методическом смысле, в смысле подхода к процессу — практически исчезает. И спускается на уровень технических средств обеспечения, т. к. инфраструктурные решения в ИТ и АСУ ТП всё же различаются.
Причины подавляющего количества ДТП — это именно что неадекватная оценка дорожной ситуации, рисков, возможных последствий со стороны участников дорожного движения. Кто-то «очень спешит», кто-то понадеялся на авось, кому-то вообще плевать на эти странные значки на столбиках и цветные огоньки на проводах, кто-то «права купил — ездить не купил», кто-то отвлёкся на ребёнка в салоне и не заметил, что машины в соседних рядах тормозят перед пешеходным переходом — все эти вещи никак не связаны с недостатками дорожной инфраструктуры.
Так что изменения инфраструктуры — это не устранение первопричины, это попытка затруднить реализацию рисков возникновения ДТП, создаваемых первопричиной — человеческим фактором.
1) Скачать программу-клиент тут;
2) Установить;
3) конфиги из почты переложить в такой-то каталог;
4) Кликнуть на иконку и нажать «Подключиться»;
Ну так ещё бы — если выкинуть кучу функционала — хитрые настройки роутинга и т. п. — то разумеется, количество строк кода существенно снизится :-)
Да там даже не хост, там одного диска будет достаточно, чтобы попадали машины.
Это вы просто малость не в курсе. Почитайте, как распространялся WannaCry, например (Пункт «How does WannaCry infect PCs»). Будете неприятно удивлены. Ни флэшек, ни почты в его векторе нет.
Банками декларируется, например, что Digital ID может помочь бороться с мошенничеством. Технически это реализуется следующим образом — когда пользователь пользуется сайтом для совершения банковских операций, сайт тащит всю информацию, до которой он только может дотянуться, и составляет цифровой отпечаток конкретного устройства, а также связывает потом его с конкретным аккаунтом (пользователь же не просто на сайт зашёл, ему там кредсы придётся ввести). Если цифровой отпечаток устройства у этого аккаунта сильно поменяется — это дополнительный индикатор в оценке пользовательских транзакций в системе анти-фрода, например.
Для чего это нужно Ростелеку — не знаю. Но, например, цифровые отпечатки и их привязки к реальным ФИО/иными идентифицирующим признакам из реальной жизни можно продавать заинтересованным лицам. Тем же банкам.
P/S/: Минус — это не от меня.
Ростелек, видимо, решил набор пассивно собираемых данных пополнить активным сканированием ещё.
Prime так-то не дешёвый…