Так уязвимость же не в прошивке, в среде разработки. Что-то не так компилирует, видимо, подробностей нет.
Но не прошивку обновлять, а версию среды разработки менять. Ну а потом проекты что в контроллер льются пересобирать. К тому же указано что в апреле уже исправление есть.
Я никогда не работал с компаниями-разработчиками, специфику не знаю, конечно, но где бы я не работал, везде стараюсь настраивать хранение пользовательских данных на сервере. Его и защитить проще, и балансировать нагрузку, и резервное копирование, и доступ по ролям.
Если так страшен именно клонированный диск - вполне себе решение. А "полностью слитая база" - чаще всего видна по аномальной нагрузке, мониторинг ИБ должен отработать событие. Если он есть, конечно :)
Это не от демографической ямы дефицит. Это дефицит оттого что платили радиомонтажникам меньше чем продавцам на рынке.
Само-собой, на то были причины, связанные с невысокой загруженностью предприятий и самих сотрудников, как результат шли на фабрику мало людей, и готовили их немного, и, в общем, хватало. Но когда, в рамках динамичного импортозамещения, быстро понадобилось кратно нарастить объемы - взять людей попросту неоткуда. И просто "стандартными" старыми методами тут вопрос не решить.
Мне видится путем выхода из ситуации - тотальная модернизация производств. Вместо огромного количества ручного труда - установка автоматических линий, с тем чтоб вместо сотни согнувшихся с паяльником девчат - работал робот. Мало того, Мишустин с правительством под такую модернизацию даже денег даёт. Только деньги проще на мерседесы потратить.
Электронная почта - не мессенджер, и там стоит вопрос хранения сообщения, на сервере или на клиенте.
А с вопросом хранения встает очень интересный вопрос сертификатов с истекшим сроком действия и отозванных сертификатов.
Что должно происходить с сообщением? Если просто подписанное - то появится пометка о том что подпись просрочена, а зашифрованное - больше не расшифруется? Получается так. Ну и как итог, возникает вопрос в необходимости этого функционала в почтовом клиенте вообще: либо почтовый клиент работает в режиме месенджера и хранит расшифрованное сообщение (а если это облачный сервер?), либо вообще незачем шифровать.
Это дорого - вместо оплаты учебы, премий, налогов своей команды, приходится оплачивать ту же учебу, ту же премию, и даже налоги чужой команды, плюс налоги, премии, учебу их начальства, уборщиц, секретарш.
Квалификация специалистов аутсорсеров всегда ниже. Все всегда оптимизируют и кроме пары по-настоящему толковых спецов в команде аутсорсера, остальные просто бывшие студенты, набирающие опыт. А специалистов я и не увижу никогда, в лучшем случае этот студент будет звонить и переспрашивать.
В нашей стране (да и в прочих не сильно лучше) NDA особо ничего не значит, потери от утечек и сливов компенсировать не сможет. Даже если через годы добиться судебной компенсации, толку от этого будет уже мало.
Про оперативность как раз можно решить, указав в договоре SLA. По времени - практически единственное что можно измерить, но аутстаф это вообще что-то странное и непонятно чем он может быть лучше найма своего сотрудника.
Про SLA указать что-то измеримое кроме времени реакции всегда тяжело, даже время устранения (проведения работ) чаще всего не может быть заранее определено, а вписывать каждую работу на десятки страниц - не выйдет. В результате ответственности толком и не выходит.
Про небезопасные удаленки вообще жуткий вопрос, но то что если атака делает удаленку невозможной, помощь аутсорсера можно и не ждать - это факт.
Про взаимосвязи ИТ и ИБ можно спорить, чаще всего ИБешнику от ИТешника требуется разве что патч-менеджмент, большинство же задач вполне разделяется. Но это больше от структуры зависит.
И последнее, если любой подрядчик уходит - разобраться будет сложно, вне зависимости от того, наемный это работник или подрядчик, и вне зависимости от того придет на его место подрядчик или работник. Документации каждый пишет "для себя" любой и все равно придется ее корректировать.
Подводя итог, вполне допустимо привлекать подрядчика для проведения какого-либо объема работ, внедрения СОИБ, модернизации. Но на постоянное обеспечение защищенности - я бы не стал. И для понимания - это по опыту работы с подрядчиками и аутсорсерами, а не мои фантазии.
А отчего показатель защищенности и безопасности именно ядро? Большинство ошибок и уязвимостей для роутеров исправляются не там вовсе, а скорее в настройках SSH/web и служб. Причем, как правило, в такого рода устройствах эксплуатировать уязвимости именно в ядре - и не так просто. Зато забытый кем-то когда-то telnet на WAN интерфейсе - встречается :)
Что-то какие-то шарашкины конторки, которые нанимают специалиста, но не могут ему платить и не могут нагрузить работой. С такими сразу договариваться на фиксированную плату и фиксированный объем.
Так уязвимость же не в прошивке, в среде разработки. Что-то не так компилирует, видимо, подробностей нет.
Но не прошивку обновлять, а версию среды разработки менять. Ну а потом проекты что в контроллер льются пересобирать. К тому же указано что в апреле уже исправление есть.
По модели угроз и меры защиты.
Я никогда не работал с компаниями-разработчиками, специфику не знаю, конечно, но где бы я не работал, везде стараюсь настраивать хранение пользовательских данных на сервере. Его и защитить проще, и балансировать нагрузку, и резервное копирование, и доступ по ролям.
Если так страшен именно клонированный диск - вполне себе решение. А "полностью слитая база" - чаще всего видна по аномальной нагрузке, мониторинг ИБ должен отработать событие. Если он есть, конечно :)
У нас в универе на лабах что-то подобное было. Было то лет 25-30 назад, деталей не помню, но развлекались - изучали как работает процессор.
Вроде уже лет 60 как фраза "через 20 лет будем жить на халявной термоядерной энергии" стала мемом. А все применяют и применяют ее прожектеры.
Лучше бы ИТЭР достроили, может там толк будет.
Это не от демографической ямы дефицит. Это дефицит оттого что платили радиомонтажникам меньше чем продавцам на рынке.
Само-собой, на то были причины, связанные с невысокой загруженностью предприятий и самих сотрудников, как результат шли на фабрику мало людей, и готовили их немного, и, в общем, хватало. Но когда, в рамках динамичного импортозамещения, быстро понадобилось кратно нарастить объемы - взять людей попросту неоткуда. И просто "стандартными" старыми методами тут вопрос не решить.
Мне видится путем выхода из ситуации - тотальная модернизация производств. Вместо огромного количества ручного труда - установка автоматических линий, с тем чтоб вместо сотни согнувшихся с паяльником девчат - работал робот. Мало того, Мишустин с правительством под такую модернизацию даже денег даёт. Только деньги проще на мерседесы потратить.
Электронная почта - не мессенджер, и там стоит вопрос хранения сообщения, на сервере или на клиенте.
А с вопросом хранения встает очень интересный вопрос сертификатов с истекшим сроком действия и отозванных сертификатов.
Что должно происходить с сообщением? Если просто подписанное - то появится пометка о том что подпись просрочена, а зашифрованное - больше не расшифруется? Получается так. Ну и как итог, возникает вопрос в необходимости этого функционала в почтовом клиенте вообще: либо почтовый клиент работает в режиме месенджера и хранит расшифрованное сообщение (а если это облачный сервер?), либо вообще незачем шифровать.
Аутсорсинг всегда зло, даже по Вашим аргументам:
Это дорого - вместо оплаты учебы, премий, налогов своей команды, приходится оплачивать ту же учебу, ту же премию, и даже налоги чужой команды, плюс налоги, премии, учебу их начальства, уборщиц, секретарш.
Квалификация специалистов аутсорсеров всегда ниже. Все всегда оптимизируют и кроме пары по-настоящему толковых спецов в команде аутсорсера, остальные просто бывшие студенты, набирающие опыт. А специалистов я и не увижу никогда, в лучшем случае этот студент будет звонить и переспрашивать.
В нашей стране (да и в прочих не сильно лучше) NDA особо ничего не значит, потери от утечек и сливов компенсировать не сможет. Даже если через годы добиться судебной компенсации, толку от этого будет уже мало.
Про оперативность как раз можно решить, указав в договоре SLA. По времени - практически единственное что можно измерить, но аутстаф это вообще что-то странное и непонятно чем он может быть лучше найма своего сотрудника.
Про SLA указать что-то измеримое кроме времени реакции всегда тяжело, даже время устранения (проведения работ) чаще всего не может быть заранее определено, а вписывать каждую работу на десятки страниц - не выйдет. В результате ответственности толком и не выходит.
Про небезопасные удаленки вообще жуткий вопрос, но то что если атака делает удаленку невозможной, помощь аутсорсера можно и не ждать - это факт.
Про взаимосвязи ИТ и ИБ можно спорить, чаще всего ИБешнику от ИТешника требуется разве что патч-менеджмент, большинство же задач вполне разделяется. Но это больше от структуры зависит.
И последнее, если любой подрядчик уходит - разобраться будет сложно, вне зависимости от того, наемный это работник или подрядчик, и вне зависимости от того придет на его место подрядчик или работник. Документации каждый пишет "для себя" любой и все равно придется ее корректировать.
Подводя итог, вполне допустимо привлекать подрядчика для проведения какого-либо объема работ, внедрения СОИБ, модернизации. Но на постоянное обеспечение защищенности - я бы не стал. И для понимания - это по опыту работы с подрядчиками и аутсорсерами, а не мои фантазии.
А отчего показатель защищенности и безопасности именно ядро? Большинство ошибок и уязвимостей для роутеров исправляются не там вовсе, а скорее в настройках SSH/web и служб. Причем, как правило, в такого рода устройствах эксплуатировать уязвимости именно в ядре - и не так просто. Зато забытый кем-то когда-то telnet на WAN интерфейсе - встречается :)
Что-то какие-то шарашкины конторки, которые нанимают специалиста, но не могут ему платить и не могут нагрузить работой. С такими сразу договариваться на фиксированную плату и фиксированный объем.
А есть основания считать что LibreOffice попадет в список отечественного ПО?
В текущем ЕГЭ по информатике есть несколько задач, выполняемых в MS exel - успеют минцифры с минобразования переделать их?