Pull to refresh

Comments 61

Вопросы «арбитража» споров не упомянули. Хранение логов опять же, дабы не быть голословным в случае возникновения проблем типа «я никуда не ходил, я сайты с ХХХ не посещал». Я уже по долгу службы сталкивался с такими ситуациями, приходилось доказывать. Поднимали логи (храним за 60 дней), делали выборки и начальству доказывали что все «санкции» были не на пустом месте.
Спасибо! Добавил к буллету про DLP
В середине-начале 2000-ых я делал проще — ограничения только по категориям для всех, кроме руководства. Для простых юзеров — запрет оного xxx + Top Downloaders List регулярно вывешивался на доску почета. «Я ничиго ни делал, и нигде ни хадил, и вирусы ни запускал» прошло за два месяца ( во втором месяце отвалились гении гуглежа по строчке «анонимайзер», один фиг, строчка вида «vova_s: xXx.hotgoatsecx-porn.avi ( 2121 Mb )» на доске почета очень классно влияла на весь коллектив и вову_с. ).
Это если коллектив небольшой :) А когда юзеров с выходом в инет сотни? Да подумаешь — кто то порно смотрел, делов то. Через пару дней все забудут.
В большом коллективе факт просмотра горячего порно с лошадьми не забудет начальник. Вторая задача этого листа — убрать необоснованные придирки от начальства к моей работе — т.е. если петя вечно качает порнуху, игрушки и прочее, а потом по три раза в день идет и жалуется, что этот сраный админ опять чето натворил и ничего не работает, то появляется документальная лужа, куда петю можно ткнуть носом. После пары тыканий в лужу начальство обычно дает указание — порезать весь кайф отделу, после чего отдел начинает внимательнее смотреть, а из-за кого это случилось -> теперь топ даунлоадера родной отдел не забудет, снова вернулись к варианту, когда юзеров мало.
Проходили, есть и тут подводные камни.
Допустим есть отдел, 10 сотрудников, у каждого лимит 200 Мб/сутки. Всем интернет нужен по работе — пусть к примеру это менеджеры по качеству выпускаемой продукции. Мониторят сайты/форумы и прочие места обитания клиентов. Один качает жесткое порно про лошадей. Наказан — сидит без работы день. В след неделю опять качает — страдает весь отдел, сидит без интернета. Надо нерадивого сотрудника наказывать, а как — если например он с поставленной задачей справляется в полном объме? По ТК его наказать будет проблематично. И тогда видится один путь решения проблемы — частные политики.

У нас сейчас дело идет к частным политикам, которые будут предусматривать как «что можно что нельзя», так и «а что за это будет». Ознакомление под роспись и прочие «радости» жизни. Да закручиваем гайки, но по другому просто не получается.
В большом коллективе факт просмотра горячего порно с лошадьми не забудет начальник.

Он так взволнован, тем что нашел единомышленников? )
UFO just landed and posted this here
речь шла про интернет «доступ». как это связано с линуксом? если людям выход в инет нужен, и часто — именно по работе.
UFO just landed and posted this here
Ещё раз — как связан линукс на рабочих станциях и доступ людей в интернет? Может я что то не по русски пишу. Я вот 3 год работаю на 7ке, из под учетки с ограниченными правами без антивирусов и файрволов, постоянно куча интернет-сайтов открыта и посещается — и НИФИГА. Больше вреда операционке принесло офф.обновление от Майкрософта.

PS. А можно вообще сотрудников на тонкие клиенты посадить, проблем ещё меньше будет.
UFO just landed and posted this here
И этого делать не нужно было, если бы на ПК стоял Linux.

Вы серьёзно верите в то, что Linux — панацея от вредоносного ПО на компьютере?
1) Комиксы Dilbert неплохо отрезвляют на тему того, какие подходы приняты на западе.
2) В большинстве достаточно крупных компаний так исторически повелось, что основные бизнес-процессы завязаны на наличие винды на рабочем месте. Отказаться от нее — очень дорого и сложно. Нужно найти замену сотням единиц ПО, из которых многие работают в группах (скажем, софтофон, CRM и сервис интеграции). Многое может быть и самописным.

Кстати, под линукс нет експлоитов, руткитов и так далее? Ведь самые опасные угрозы — таргетированные. Придет главбуху письмо «новые способы обойти налоговое законодательство», в нем ссылка на банальный bash скрипт, который wget'ом загружает наружу все файлы до которых дотянется. С линуксом ведь и DLP не нужны, да? :)
UFO just landed and posted this here
1) В таком случае — по моему личному опыту, российским компаниям важнее всего эффективность, а не отсиживание 8-часового рабочего дня. И я знаю людей из представительств западных компаний, жаловавшихся на то, что регламентировано всё вплоть до времени в курилке. Если по данным СКУДа вы больше чем на X минут в день покидали офис без уважительной причине, то это уже повод для выговора.
2) А цель-то какая у миграции? «Чтобы было»?

А еще я из того же самого личного опыта (это ведь очень важный аргумент, верно?) могу сказать, что под виндой невозможно подхватить заразу из интернета. Я с этим последний раз сталкивался лично, может, лет 10 назад. Под «подхватить» я понимаю банальное проникновение исполняемого файла на компьютер, даже если антивирус его сразу придушил. ISOшник можете найти на любом трекере, обычный образ семерки x64, никаких модификаций.
UFO just landed and posted this here
1) Мой опыт возражает против этого, и нет, я никогда не работал в IT компаниях :)
2) Сабжевая защита позволяет сделать винду в достаточной мере пуленепробиваемой. Это дешевле миграции на линукс, который все равно не позволит избавиться от большинства механизмов защиты. И на вирусы под него трафик все равно надо проверять. Их мало, но они есть. Рисковать не стоит.

Да и какое мне дело до антивирусных компаний? Есть же личный опыт (так это важно или нет?), а также понимание того, что на винде практически нереально найти именно експлоит, дыры заделываются довольно быстро, шансы напороться на 0-day, способный обойти песочницу браузера и следом повыситься до system, мизерные. Большинство заразы работает на компьютере либо под обычным пользователем (и против такой заразы линукс в той же мере бессилен), либо устанавливается методом двойного клика по исполняемому файлу с последующим подтверждением в UAC (а ведь есть очень, скажем так, странные люди, работающие под администратором и при этом отключающие UAC).
Забыли ещё про заражённые pdf, всякие макросы в офисных файлах и уязвимости во flash/java. Из своего опыта — я видел ооочень мало компаний где пользователь сидит не под локальным админом :(
0-day нечасты, да
О да… и борьба с «этим» — локальными админами, это целая трагедия для юзеров, и головная боль для ИБ
я видел ооочень мало компаний где пользователь сидит не под локальным админом :(


Что проистекает чаще всего от лени и/или некомпетентности админов. К сожалению, для большинства админов проще выдать юзеру права локального админа, чем озаботиться вопросом грамотного выделения доступа (на практике, прав слегка подпиленного Power User'а в 99% случаев более чем достаточно).
Увы — приличные виндовые админы куда более редкие звери, чем приличные юниксовые.
Хотел бы я посмотреть на приличных виндовых админов, которые не дают разработчикам виндовых приложений права локального администратора…
Для этого делаются специальные девелоперские/тестовые окружения. Удобно ещё и тем, что в любой момент можно его грохнуть и поднять свежее-чистое. Соответственно, из этого окружения нет доступа в остальную локалку, так что если и словят заразу — никуда дальше она не выйдет.
Занятно и забавно… К сожалению, таких решений в девелоперских конторах пока не видел. Разрабатывая, например, драйвера для железок, необходим MSVC, MSDN, полноценный доступ в интернет, полноценный доступ к внутренним документам и базам данных. Чуть меняется задача — разработчик пишет программы для железки (службы): прав от этого меньше не выдаётся, а окружение меняется. Конечно, всех разработчиков можно ограничить от общей сети, но вот по опыту скажу — доступ ко внутренней документации вряд ли удастся урезать, а клепать под разрабов окружения — сомнительное удовольствие для супер-виндовых админов: их просто придётся делать очень много разнообразных и всё это поддерживать в актуальном состоянии… ну не то чтобы не реально, а на это нужны тогда админЫ (много).
Ну может и не сталкивались, у меня все знакомые разработчики, или уже в таком режиме работают по ИБ политикам (и это даже не включая сектор банковского п/о) компании, либо, кто умный и наталкивался на срач на рабочей машине — сами такие тестовые/девелоперские окружения выпрашивают/делают — поднять себе виртуалку в виртуалбокс/встроенным в win8 гипервизором дело несложное, в общем.

но работа с железом/драйверами обычно должна вестись на тестовой железке, это да. но на этой же железке держать рабочий почтовый клиент например — глупо. а документацию можно и с другого компа посмотреть.
да. у нас из-за «слабости» машин рабочих, но в случае обязательного админского доступа к операционке, поступаем по другому:
1. заводим машину в домен;
2. даем права локального администратора;
3. средствами сетевого оборудования ограничиваем доступ человеку в корпоративную сеть (почта, портал и тд) плюс свободное хождение внутри отдела.

ибо есть железяки — которые с правами админа могут работать только на «живой» машине. виртуалки не могут адекватно отрабатывать эти штукуи.
Если будет интересно — могу описать, как сидят 24 разработчика железячника с локальными админами и работают, а не игрушки терзают.
Опять же, если работа сделана хорошо, вовремя и без нареканий можно и в обед полчасика/после работы под пиво толпой развеяться в гоночки или побегать пострелять.
Вы путаете термины «российский» и «государственный». Для госконтор да, всё описанное справедливо. Но любая приличная, в том числе российская, коммерческая организация, ориентированная на зарабатывание денег, будет думать именно об эффективности сотрудников, а не о высиживании ими часов (а если и думает о высиживании часов — значит, так они понимают эффективность — что ж, на ошибках учатся).
При правильной настройке политик запуска п/о в разделах безопасности GPO на AD группы, куда админы не входят, у пользователя вобще ничего не получится запустить ни из временных каталогов ни из своих документов. только c:\windows, c:\program files(x86) и пару общих сетевых папок с разрешенных п/о, куда доступ на запись имеют полторы калеки из ИТ отдела.
А если еще всё п/о подписано и список подписей тоже разьезжается через GPO в том же разделе — то даже если и получится скачать какуюнить игрушку, то запустить, переименовав %mycoolgame% во вполне допустимый ping.exe, всё равно не получится.

со всякими плагинами вроде adobe, под броузеры, конечно будет сложнее, но тоже решаемо, насколько я знаю из опыта
Любые запретительные меры в итоге чаще приводят к тому, что сотрудники тратят больше времени для их обхода. Повышение компьютерной грамотности и отказ от патологически дырявого, принципиально непроверяемого сотрудниками отдела информационной безопасности ПО — это единственный действенный метод на текущий момент. Он же самый трудоёмкий.
Не единственный, но наиболее верный, практически бесплатный и действительно трудоёмкий. Если говорить про ROI и TCO, то самый эффективный способ распространить слухи что внедрена система контроля всего и вся и все будут наказаны. Но естественно ничего не внедрять)
В долгосрочной перспективе слухи не сработают, нужно будет регулярно показательно кого-то пороть, при чём пороть только тех, кого нужно и не ошибаться. Грамотность и осмысленный выбор ПО — это одноразовые большие вложения и очень небольшие для поддержания в будущем. При чём вне зависимости от поворотов судьбы, общая компьютерная грамотность останется актуальной и с возможностью лёгкого апгрейда. Но формально ты прав, конечно, это не единственный выход. Можно просто вообще всё отключить от интернета. И от энергосети тоже на всякий случай. Вирусы для арифмометров и счёт не существуют.
Всем сотрудникам запрещён доступ к категориям «Онлайн-казино», «Поиск работы» и «Сайты для взрослых»
Использование социальных сетей и сервисов потокового видео запрещено всем сотрудникам, за исключением группы «отдел маркетинга и связей с общественностьюм»
Запрещено использование всех игровых приложений, за исключением игры, созданной компанией


Достаточно квотирования, если вся квота выбрана на развлекухи, а потом нужно срочно «по работе» а лимит исчерпан, то по сотруднику делаются оргвыводы его руководством.
Только придётся очень гранулярно размеры квоты по отделам выбирать. Кто-то даташиты 30-меговые десятками качает, кто-то потоковое видео по работе смотрит, а кто-то просто окисляет углекислый газ и интернет ему не особо нужен
Вообще это конечно больше не тема ИБ, а больше тема HR и непосредственного руководителя отдела. Кто-как тратит время и деньги работодателя, это их вопрос.
Я всегда косо смотрю на попытки озадачивать такими вопросами службу ИБ.
С точки зрения ИБ конкретно по этому направлению возникает вопрос доступности, когда «качки» загружают канал до предела и другие важные бизнесс-процессы начинают тормозить.
Для этого как раз достаточно шейпить траффик и ставить квоты. Квоты можно не плодить, а внедрить 2-3 стандартных. Например 0-5 Гб, 5-10, 10-20.
За исключением группы «Руководство»

Вот это, кстати тоже одна из основных проблем. Как правило, как раз на компах руководства зачастую хранится наиболее ценная информация. А подход, «за исключением», сводит все усилия по защите на нет.
Не фильтруй, не режь права, не ставь сложные пароли, правила не для меня, а для рядовых — если это так, то уровень зрелости ИБ в компании низкий.
Всегда вспоминаю одно из своих прошлых мест работы, ещё в начале 2000-х, те допотопные времена, когда ещё интернет помегабайтным был.

Пришёл счёт не на 2-3 тысячи как обычно, а на 50 тысяч. Руководство сказало разобраться. Начали разбираться. Выяснилось, что один из новых менеджеров целыми рабочими днями качает порнуху. Да так что почти весь месяц только это и делал. Кроме того, он постоянно опаздывал на работу, приходил с похмура и так далее.

Скажете, что ему было за это? Ничего. Потому что он 19 из 20 рабочих дней смотрел порнуху, параллельно лазя по всем развлекательным сайтам, которые тогда только существовали. А на 20-й рабочий день продал камазов на 20 миллионов рублей. Директор сказал, что за руку с ним больше не здоровается, но разрешить ему надо всё, «если он так продаёт, то пусть хоть обдрочится».

С тех пор все ограничения были сняты, я продолжаю поддерживать дружеские отношения с той компанией: у них до сих пор официально можно опаздывать, никаких ограничений на интернет и никакого жёсткого рабочего графика.
К счастью, SSL-трафик от пользователя к Интернет-ресурсам можно расшифровывать.
К счастью, место работы можно менять.
Хотелось бы согласится, но… наткнулся тут на результаты опроса

Свыше трети студентов считают корпоративные политики информационной безопасности пустой формальностью и не готовы их соблюдать, при этом более 40% респондентов планируют выносить рабочие документы за пределы корпоративной сети, если им это будет удобно. Такие результаты получили специалисты компании Zecurion по итогам опроса среди 8466 студентов из 11 вузов 8 городов России. Примечательно, что почти половина респондентов имела опыт работы в офисе, а значит, осведомлена о порядке работы с корпоративной информацией, сообщили CNews в Zecurion.
взято с cnews.ru.

Как иначе бороться с инсайдом? Советы и решения есть?
:) Вот почему почти все говорят — сколько не платили бы мне, всегда мало будет. Я иду работать — и если я устраиваюсь, значит зп устраивает. Я иду работать а не воровать. Если Вы по другому думаете — то никакой зарплаты не хватит
Зарплата выше рынка действительно оч хорошо мотивирует. Серьёзно задумываешься стоит ли рисковать и чаще всего не совершаешь сомнительных действий
Как иначе бороться с инсайдом? Советы и решения есть?
У NSA и то не очень получилось. Если захотят что-то вынести — вынесут, надо делать так чтобы не хотели.

Флешки, телефоны тоже на входе отбираете? Личный досмотр? Без этого SSL расшифровывать с целью борьбы с инсайдом бесполезно. Также как это бесполезно при наличии хоть какого-то разумного доступа к интернету.
Ну раз НСА не смогло, может тогда вообще на ИБ забить? Статья сабжевая тоже не нужна, зачем всё это :)
Закручивают гайки обычно до разумного предела, предел определяется стоимостью информации и финансовыми возможностями, все остальное принимается как остаточный риск.
Угу, типичная проблема — нет средств. Ну вы чего нибудь сделайте, но денег мы вам не дадим…
ИБ это комплексная проблема. И гайки надо закручивать равномерно по всему периметру, иначе пользы ноль, а людям мешает. Проблема выбора адекватного уровня ИБ не затронута вообще.
Крутим равномерно, но делать это «по всей площади» сил не хватает. Опять же, есть определенное противодействие «на местах», боремся как можем. «Вымораживает» позиция работника — это «мой персональный компьютер, что хочу то ворочу». Пытаемся переломить ситуацию, медленно и со скрипом — но дело начинает двигаться.
NSA сколько лет весьма качественно скрывали от всех, чем они вообще занимаются и в каких масштабах?

Вообще-то флешки принято блокировать программными средствами. Еще принято не позволять пользователю писать на локальный диск (тут огромное число факторов помимо ИБ — например, возможность залогиниться и продолжить работу с любого компьютера).

А телефон разве что как фотоаппарат можно будет использовать, а это очень заметно…

Что до «разумного доступа к интернету» — есть и относительно неглупые файрволы и DLP.
Я начальству предлагал решать проблему с сотовыми как в боевике «Солт». Вошли в кабинет — у входа сложили телефоны, надо поговорить — встал вышел позвонил. По моему достаточно логичное решение, и ограничения нету никакого, просто особые условия пользования. Начальство пока решило что «гром не грянул». Сижу жду, время от времени «кидая пробные шары» в сторону начальства.
А где вы работаете, позвольте узнать.

Чтобы там не работать.

ИБ в первую очередь — это обеспечение лояльности сотрудника к компании. И это не только денежная мотивация. Например, я просто по-человечески уважаю нашего собственника, чтобы что-то из данных воровать, хотя имею для этого возможностей больше всех.
Нету лояльности… народ приходит считая что им все обязаны, лишь за то — что они сидят на работе. Игры? Почему нет, 3ж модем на рабочей машине где коммерческая тайна? легко.

Тогда да — работать где это всё запрещают и жесткая дисциплина — да пошло оно всё нафик, не поиграть же.
в догонку. что самое показательное, ко всем ограничениям в свободе работы на АРМ положительно и с пониманием относятся так называемые представители старой гвардии. Привыкают к работе с DLP агентом, к тому что на работе нельзя смотреть фильмы, слушать музыку. То есть те, кто ещё радеют за дело, те кому не всё равно. А вот молодежь упирается со словами «печалько, весь день фильмы не посмотреть», приходит с настроем «да плевать я на всё хотел, буду играть».
Игры? Почему нет


А почему нет?

3ж модем на рабочей машине где коммерческая тайна?


Во-первых, как можно установить модем без прав администратора? Неизвестно.

Во-вторых, ошибка называть коммерческой тайной всё подряд. Ознакомьтесь с понятием «коммерческая тайна», это по меньшей мере непрофессионально для вас.

В-третьих, ошибка считать, что данные, к которым имеют доступ, нельзя украсть.

И на коммент ниже отвечу здесь же.

Если «печалько, весь день фильмы не посмотреть» — это не задача информбезопасников вообще. Значит, людям не ставятся цели, не контролируется их достижение, те же KPI.

Так что за организация? Хотя бы профиль деятельности можете обозначить?
1. На самом деле — играть на работе за деньги работодателя в рабочее время — а подскажите мне где такие работодатели обитают? Я первый туда уйду
2. См выше про права админа — я уже писал, боремся, сил не хватает «закрыть все машины»
3. А можно цитату — где я «всё подряд» называл коммерческой тайной? У нас таки с «этим» всё в порядке. Всё по закону
4. К сожалению ИБ у нас — на все руки…
5. Как вы уже написали — контроль весь незаконен, так как всё таки выйти из ситуации? Начальству стоять за спиной? Так ведь вы сами озвучили право на личную тайну, а вдруг человек в этот момент личной тайной занят. Патовая ситуация?
1. Смотря, кем работаешь, и какие цели поставлены. Если все цели выполнены — почему нет. Если (см. выше я комментил) человек 19 дней из 20 играет, а на 20-й день выполняет годовой план всего отдела по продажам — то пусть хоть сутками играет.

Все ваши беды от ваших требований.

Вы требуете сидеть на работе с 8.00 до 17.00 (условно), не играть в игры, нажимать нужные кнопки. Вы фактически работаете за них.

А нужно требовать фактический конкретный результат и спрашивать его. А какими силами работник этого достигнет — неважно. Если он играет, дрочит, и так далее, но выполняет свою работу — такие работники вам и нужны. А если он не играет, четко выполняет все требования и стоит по стойке смирно, но при этом он не заинтересован в результате работы, то выводы очевидны же.

2. Я надеюсь, у вас Active Directory? Тогда непонятно это ваше «боремся», «сил не хватает». Увольте админа (-ов), отвечающих за AD.

3. Коммерческой тайной точно не могут быть данные на рабочей машине.

5. Лояльность, лояльность и только лояльность. Все остальные способы или неэффективны, или наоборот порождают антилояльность (если сильно закрутить гайки).
Еще советую обыскивать сотрудников на входе/выходе и бить по почкам наименее продуктивных каждую неделю, ага. Корпоративный буллщит такой буллщит.
Ну да да, обыскивать это ведь можно всем, а не только сотрудникам милиции и иже с ним. Остальным можно осматривать, ну это так… мелочи. Главное погромче заявить что нибудь, согласен
DLP тоже незаконен, уголовщина и антиконституционщина. Права человека на личную тайну и всё такое.
Только не надо сейчас заливать, что тот, кто платит за оборудование — того и данные на этом оборудовании. Европейский суд по правам человека считает иначе.
Only those users with full accounts are able to leave comments. Log in, please.