Давно склонился к одному моменту - любые системы безопасности нужны только для увеличения времени и сложности взлома, чтобы твоим автоматизированным средствам было достаточно времени и данных для информирования о взломе. Чисто защита ради защиты бесполезна. Нужен дополнительно SIEM, желательно дополнительные грамотные политики опирающиеся на системы безопасности и регламенты твоей инфраструктуры. В текущей атаке могло сработать уже на уровне подключения ВПН, затем запуск странных программ, добавление локальных админов.
Другое дело что при пентесте порой пропагандируют подход игнорирования реакций SIEM, чтобы просто найти недостатки настроек безопасности.
Многие паттерны дают «отрицательный рост» на первом этапе. Продакт «полпроцента» никогда их не примет: это же квартальный бонус!
И это нормальная ситуация. Когда у тебя солидный кусок зарплаты зависит от квартального бонуса (а мы знаем что еще и у вышестоящего руководителя нижестоящие проекты входят в их квартальный бонус, процент меньше, но, тем не менее), то сформировавшийся и ответственный человек (который уже вышел из пубертата, обзавелся ипотекой, кредитами, семьей, детьми, его будущая премия уже расписана на что будет потрачена) будет делать то, что ему будет выгодно и не подставляться под возможность его увольнения. Потому что никто вышестоящий не будет менять условия премии, если им скажут - что при таком подходе есть большая вероятность просадки сейчас, но возможно потом будет рост. В любом случае, в условии премии сразу заложат рост здесь и сейчас.
Это основная проблема KPI. Короткие промежутки хорошо и плохо, но и длинные это хорошо и плохо.
За 7 лет эксплуатации VMware vSAN All Flash особых проблем не было (в том числе с ES code 6 +dedup). Переживало всё - умирание дисков, смерть контроллеров, смерть серверов, несколько обесточиваний всего кластера. И железо далеко не всё входило в HCL. В качестве альтернативы - если только S2D, но у МС есть ограничение на размер дедуплицирования дисков. Еще один плюс решений vSAN и S2D - даже если вас кинут с продлением и поддержкой лицензий - у вас будет возможность заменить железо в случае проблем.
Странно, много лет разворачивал и поддерживал инфраструктуру MS в конторах 1000-10000 человек и что-то особых проблем не видел. В том числе поднятие для всего этого функционала 1,2,3 линии поддержки.
Вот представить поднятие такого же функционала с минимизацией работы тех поддержки для работы конечных пользователей Linux - вот это это уже будет непросто. В крупных конторах это будет однозначно дистрибутив с жестко настроенной DE в одной конкретной конфигурации. И подозреваю, что по итогу, это будет KDE.
По факту VmWare становится ненадежным поставщиком on-premise решений. Один раз они например не продлят тебе лицензию - и твой бизнес может быстро превратиться в тыкву. Особенно если у тебя еще например vSAN, NSX, автоматизация используется - быстро не переедешь.
кто-то из сисадминов (у крупных контор вопрос и так решен и без RuVDS) скажет что база не в России? нет оснований не доверять сотруднику компании. А заодно - он и детали расскажет где и как. И в суде свидетелем.
никто из сисадминов НЕ скажет - изымаем железо и смотрим доказательства (а пока - убеждаем админа что лично ему выгоднее предыдущий пункт
Как только придут к сисадмину и если ему заранее не заплатят - он сам всё расскажет и отдаст данные за бумажку об отсутствии претензий со стороны правоохранительных органов. При этом неважно где находятся данные. Зачем ему сидеть за чужого дядю и за дачу заведомо ложных показаний?
Судя по подходу и статье вы работает не в самом банке, а в какой-то мелкой дочке. Иначе к вам ходили бы ИБ, Аудит, ЦБ и про обновления вы бы знали всё. Судя опять же по статье - у вас нет опыта по обновлению и апдейту описанной платформы, что на самом деле составляет очень серьезную проблему в обслуживании. Вспоминая как у нас обновляют RHEL Openstack, что даже у такого именитого вендора периодически подкидывает проблемы. Плюс вспоминая еще одно решение российского вендора в другой компании, там без поддержки производителя в принципе систему нормально не обновишь, а апгрейд версии не был предусмотрен.
До тысячи дней было просто интересно — сможет ли система пережить этот рубеж, а сейчас это уже перешло в спортивный интерес — проверка стойкости software против hardware.
Т.е. либо производитель не закрывает дырки в безопасности и ошибки в софте, либо это не делаете вы. Либо никто не рискует обновляться, в связи с проблемами при обновлениях. Все 3 подхода так себе
Статья из оперы - как делать не надо, если вы цените свое время и цените компанию для которой вы это делаете.
Дистрибутив под сервер должен подбираться тот, который максимально поддерживается производителем конечно ПО. Чтобы максимально просто и быстро разворачивать и обновлять софт, а не прыгать со сборкой из исходников и патчей.
Дистрибутив под терминальник выбирается уже тот, на котором у вас будет работать ваш набор прикладного ПО, опять же - без танцев с бубном с поддержкой и установкой.
Прыжки с прописыванием юзеров по VNC сессии руками?? Можно взять тот же xrdp, клиенты уже можно взять любые для работы с ним.
В статье смешали все, датацентры, колок, приватное облако, классику. Вот прям так взяли и все посчитали затраты.
Эти прекрасные сообщения в инцидентном чате - сайт перестал работать, к кому бежать, кто ответственен, срочно бить подрядчика т.к. сайт у него крутится а не в нашей инфре и вобще починить может только он.
Кто-то из топ-менеджеров впишет себе успешный проект по защите от подделок, разработке и внедрению новой купюры, получит некислый бонус и пойдет на повышение.
Возьмите Powerline адаптеры и пустите сетку через свои провода 220В. Я сначала купил телек с Вайфаем, потом оказалось, что он не вытягивает через 2 бетонные стены. Поэтому купил пару адаптеров - в итоге все работает без нареканий уже лет 6.
У нас еще очень маленькие цифры. ЕС вобще не церемонится выписывая штрафы. 27млрд евро грозит Apple? А сколько там уже компании выплатили? И никто никуда не ушел.
Как только Индия созреет поставить обучение ИТ специалистов на поток (девопсеров и программистов) - мир вздрогнет. Почти никому больше не будут нужны спецы из своей страны. Кто-то может возразить - ну так ИТ персонал начнет уезжать из Индии т.к. начнет больше зарабатывать. Но зарабатывать то они будут все равно меньше чем в ЕС и США и если они захотят еще повышение денег - будет дешевле его уволить и нанять человека снова в Индии.
Общался с технической поддержкой HP по телефону - одни индусы.
Сейчас еще и запросы к своим ДНС серверам режут многие. Т.е. то ДНС работают, то не работают. Те, кто резолвятся через какие-нибудь 8.8.8.8 - в основном не испытывают проблем, а вот если ходить через рут хинты по цепочке - такая бяка вылазит.
Я давно уже хочу, чтобы государство запилило гос почтовик для ящиков населения и юр лиц. Чтобы все письма внутри него считались как официальная бумажная переписка с конкретными требованиями на время ответа для юридических лиц.
А то электронный документоборот у нас узаконен, цифровые подписи есть. Но при этом общение с юр лицами через электронную почту можно считать бесполезным. Ты не докажешь что отправлял письмо и они его получили.
Давно склонился к одному моменту - любые системы безопасности нужны только для увеличения времени и сложности взлома, чтобы твоим автоматизированным средствам было достаточно времени и данных для информирования о взломе. Чисто защита ради защиты бесполезна. Нужен дополнительно SIEM, желательно дополнительные грамотные политики опирающиеся на системы безопасности и регламенты твоей инфраструктуры. В текущей атаке могло сработать уже на уровне подключения ВПН, затем запуск странных программ, добавление локальных админов.
Другое дело что при пентесте порой пропагандируют подход игнорирования реакций SIEM, чтобы просто найти недостатки настроек безопасности.
И это нормальная ситуация. Когда у тебя солидный кусок зарплаты зависит от квартального бонуса (а мы знаем что еще и у вышестоящего руководителя нижестоящие проекты входят в их квартальный бонус, процент меньше, но, тем не менее), то сформировавшийся и ответственный человек (который уже вышел из пубертата, обзавелся ипотекой, кредитами, семьей, детьми, его будущая премия уже расписана на что будет потрачена) будет делать то, что ему будет выгодно и не подставляться под возможность его увольнения. Потому что никто вышестоящий не будет менять условия премии, если им скажут - что при таком подходе есть большая вероятность просадки сейчас, но возможно потом будет рост. В любом случае, в условии премии сразу заложат рост здесь и сейчас.
Это основная проблема KPI. Короткие промежутки хорошо и плохо, но и длинные это хорошо и плохо.
Когда ИИ пройдет полную сборку модов Пианадон - Скайнет удавится от зависти?
За 7 лет эксплуатации VMware vSAN All Flash особых проблем не было (в том числе с ES code 6 +dedup). Переживало всё - умирание дисков, смерть контроллеров, смерть серверов, несколько обесточиваний всего кластера. И железо далеко не всё входило в HCL. В качестве альтернативы - если только S2D, но у МС есть ограничение на размер дедуплицирования дисков. Еще один плюс решений vSAN и S2D - даже если вас кинут с продлением и поддержкой лицензий - у вас будет возможность заменить железо в случае проблем.
Странно, много лет разворачивал и поддерживал инфраструктуру MS в конторах 1000-10000 человек и что-то особых проблем не видел. В том числе поднятие для всего этого функционала 1,2,3 линии поддержки.
Вот представить поднятие такого же функционала с минимизацией работы тех поддержки для работы конечных пользователей Linux - вот это это уже будет непросто. В крупных конторах это будет однозначно дистрибутив с жестко настроенной DE в одной конкретной конфигурации. И подозреваю, что по итогу, это будет KDE.
По факту VmWare становится ненадежным поставщиком on-premise решений. Один раз они например не продлят тебе лицензию - и твой бизнес может быстро превратиться в тыкву. Особенно если у тебя еще например vSAN, NSX, автоматизация используется - быстро не переедешь.
Как только придут к сисадмину и если ему заранее не заплатят - он сам всё расскажет и отдаст данные за бумажку об отсутствии претензий со стороны правоохранительных органов. При этом неважно где находятся данные. Зачем ему сидеть за чужого дядю и за дачу заведомо ложных показаний?
Судя по подходу и статье вы работает не в самом банке, а в какой-то мелкой дочке. Иначе к вам ходили бы ИБ, Аудит, ЦБ и про обновления вы бы знали всё. Судя опять же по статье - у вас нет опыта по обновлению и апдейту описанной платформы, что на самом деле составляет очень серьезную проблему в обслуживании. Вспоминая как у нас обновляют RHEL Openstack, что даже у такого именитого вендора периодически подкидывает проблемы. Плюс вспоминая еще одно решение российского вендора в другой компании, там без поддержки производителя в принципе систему нормально не обновишь, а апгрейд версии не был предусмотрен.
Т.е. либо производитель не закрывает дырки в безопасности и ошибки в софте, либо это не делаете вы. Либо никто не рискует обновляться, в связи с проблемами при обновлениях. Все 3 подхода так себе
Ну так можно сказать что и книга - это просто перемешанный букварь и ничего в этом нового нет
Статья из оперы - как делать не надо, если вы цените свое время и цените компанию для которой вы это делаете.
Дистрибутив под сервер должен подбираться тот, который максимально поддерживается производителем конечно ПО. Чтобы максимально просто и быстро разворачивать и обновлять софт, а не прыгать со сборкой из исходников и патчей.
Дистрибутив под терминальник выбирается уже тот, на котором у вас будет работать ваш набор прикладного ПО, опять же - без танцев с бубном с поддержкой и установкой.
Прыжки с прописыванием юзеров по VNC сессии руками?? Можно взять тот же xrdp, клиенты уже можно взять любые для работы с ним.
Главное не знать сотрудников из этих компаний, которые знают как оно работает под капотом и где конкретно сэкономили.
В статье смешали все, датацентры, колок, приватное облако, классику. Вот прям так взяли и все посчитали затраты.
Эти прекрасные сообщения в инцидентном чате - сайт перестал работать, к кому бежать, кто ответственен, срочно бить подрядчика т.к. сайт у него крутится а не в нашей инфре и вобще починить может только он.
Кто-то из топ-менеджеров впишет себе успешный проект по защите от подделок, разработке и внедрению новой купюры, получит некислый бонус и пойдет на повышение.
Возьмите Powerline адаптеры и пустите сетку через свои провода 220В. Я сначала купил телек с Вайфаем, потом оказалось, что он не вытягивает через 2 бетонные стены. Поэтому купил пару адаптеров - в итоге все работает без нареканий уже лет 6.
Как меня веселят люди, которые считают что в ЕС все лучше чем у нас и вобще рай на земле.
У нас еще очень маленькие цифры. ЕС вобще не церемонится выписывая штрафы. 27млрд евро грозит Apple? А сколько там уже компании выплатили? И никто никуда не ушел.
Как только Индия созреет поставить обучение ИТ специалистов на поток (девопсеров и программистов) - мир вздрогнет. Почти никому больше не будут нужны спецы из своей страны. Кто-то может возразить - ну так ИТ персонал начнет уезжать из Индии т.к. начнет больше зарабатывать. Но зарабатывать то они будут все равно меньше чем в ЕС и США и если они захотят еще повышение денег - будет дешевле его уволить и нанять человека снова в Индии.
Общался с технической поддержкой HP по телефону - одни индусы.
Сейчас еще и запросы к своим ДНС серверам режут многие. Т.е. то ДНС работают, то не работают. Те, кто резолвятся через какие-нибудь 8.8.8.8 - в основном не испытывают проблем, а вот если ходить через рут хинты по цепочке - такая бяка вылазит.
Я давно уже хочу, чтобы государство запилило гос почтовик для ящиков населения и юр лиц. Чтобы все письма внутри него считались как официальная бумажная переписка с конкретными требованиями на время ответа для юридических лиц.
А то электронный документоборот у нас узаконен, цифровые подписи есть. Но при этом общение с юр лицами через электронную почту можно считать бесполезным. Ты не докажешь что отправлял письмо и они его получили.