И все же повышение осведомленности сотрудников в области ИБ несомненно является одной из лучших практик, рекомендовано как российскими так и международными стандартами. Если этого нету — это явная недоработка СБ, раз уж ИБ к ним относятся =)
Хочу дополнить методику обнаружения некоторыми своими наблюдениями.
1) Для достижения высокого уровня производительности некоторых майнеров, прежде всего CPU майнеров, необходимо выполнить на операционной системе настройки, позволяющие выделять большой кусок памяти процессу. В случае windows — и настройки политики, позволяющие пользователям, от имнеи которых запускается майнер, выделять память (Local Security Setting – Lock pages) Такие настройки легко обнаруживаются стандартными средствами администрирования.
2) в протоколе взаимодействия майнера и пула, который по сути представляет из себя tcp сокет, внутри которого перебрасывают json-чики, меняться могут и порты назначения и адреса и все, что угодно, кроме примерного объема трафика и постоянно поддерживаемого соединения. Можно искать по этим критериям — по длительности соединений, в том числе в нерабочее время.
3) для средств вычислительной техники, оборудованных средствами мониторинга, да хотя бы заббиксом, майнер дает очень красивый ровный график CPU = 100% =)
4) рабочие станции конечно редко оборудуют заббиксом, и майнеры обычно запускают с низким приоритетом, пользователь может и не замечать задержек, но все равно — простой «ручной тест» — запустить cpu монитор, оторвать интернет, если cpu usage упал — там точно майнер.
В свою очередь хотел бы задать и вопрос. Понятно, что потребление электроэнергии сервером возрастет при запуске майнера.
Но верно ли то же для рабочей станции, обычной, офисной? Есть у меня сомнения, что дефолтные настройки энергосбережения windows для профиля настольного компьютера позволят заметить разницу…
Я вот не в тренде немного отвечу… У нас довольно консервативное законодательство. Так что как ГИБДД это чудо на дороги общего пользования выпустит, так и я готов буду сесть в него покататься. Но я имею в виду именно вариант, когда робот сам управляет автомобилем. Ассистент любой степени мне не интересен, что нибудь одно, или-или. Или я управляю автомобилем, и отвечаю за последствия, и никакая электронная гадюка мне не мешает. Или робот, а отвечает кто то другой — разработчик, камаз, орган сертификации, страховщик, мне все равно кто.
Хотел бы я посмотреть на модель угроз, пережившую проверку ФСТЭКом или ФСБой, в которой перехват трафика признан неактуальным =)
До проверки то, понятно, что угодно написать можно — бумага стерпит.
Мне кажется что это все же скользкая дорожка.
Закон в явном виде разрешает «Сбор, использование, передачу (распространение, предоставление, доступ) ПДн зарубежом»
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
По сути за рубежом можно хранить только резервную копию, даже не реплику, иначе нарушается или пункт изменение или пункт извлечение.
Кстати, за нарушение требований 152-ФЗ сейчас гендир может схлопотать административную дисквалификацию, правда только если не сможет выполнить предписание, полученное после проверки. Очень было бы интересно узнать, есть ли уже практика по этому вопросу, или эта возможность пока теоретическая.
Спасибо. Я правильно поимаю, что моноколесо позволяет большую часть пути передвигаться не по автодороге, и за счет этого вероятность быть расплющенным ниже?
Может быть не совсем уместный вопрос, но раз уж вы утверждаете, что не только ради развлечения его купили, то почему не максискутер? Теплее, чем на многих других открытых видах транспорта, 19 км не проблема, по пробкам сильно проще чем на машине, проще с парковкой… Права? Или все-таки желание нового гаджета?
Целесообразно отключать инспекцию TLS еще и для ряда относительно доверенных URL-ов, таких как цетры загрузки обновлений микрософтовских и других операционных систем, и т.д. Иначе ресурсы даже весьма жирного чекпоинта исчерпываются =)
Хабр — большой, и, следовательно, в некотором смысле является зеркалом общества =) Несомненно, попытки влезть в ваш TLS с помощью sslstrip, корпоративного брендмауэра, BDFProxy или великого китайского ( или не очень китайского =)) — являются реальностью. Полагаю, это нужно знать, уметь обнаруживать, использовать ну и вообще жить с этим %)
Тема очень интересная, конечно.
Но я вот хотел спросить — вы серьезно считаете, что у нас (ну у тех, кому это интересно) есть 40 минут на просмотр вашего видео?
Можно то можно, но дело это, ИМХО, мало осмысленное.
Попробую пояснить почему…
Чекпоинт стоит как военный истребитель.
Покупают его, соответственно, те, у кого перебои сервисов, которые он защищает, стоят еще дороже.
А значит — важна отказоустойчивость решения, наличие поддержки…
Поддержка реально важна — чекпоинт сложный, высокотехнологичный продукт, без глюков не обходится. С поддержкой их, в общем-то, исправляют =))) Без этого совсем грустно.
Второй фактор…
В даташите на аппаратные решения указана пропускная способность.
Раньше была одна цифра, потом…, теперь указывают 4.
https://www.checkpoint.com/downloads/product-related/comparison-chart/appliance-comparison-chart.pdf
на самом деле производительность зависит как от вида трафика, поданого на фаервол, так и от набора правил и количества задействованных функций( блейлдов).
Для вендорского железа есть какая-то статистика, есть база инсталляций. Покупаешь ты железку 61хх — тебе скажут, какой у нее в соседних внедрениях уровень загрузки, профиль трафика, можно довольно осознанно делать сайзинг. На левом железе всего этого нет.
Для поиграться — да, можно на виртуальной машине. Поучится правила писать, конфигурации потестировать.
Они тут тоже не первые =) У того же чекпоинта версия 5.5 называлась уже NG, а 6.5 — NGX =))
Но это по памяти. Помню, была еще 6.2, но кто была она — еще NG или уже NGX — не помню
Поскольку термин next generation firewall придумал гартнер, (в своей публикации Defining the
Next-Generation Firewall Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 October 2009, R3210 04102010) то на его определение и нужно, наверное, ориентироваться
http://www.gartner.com/it-glossary/next-generation-firewalls-ngfws/
А потом уже в эту лодку попытались все заскочить =)
А интеграция с каталогом в _нормальных_ фаерволах была всю жизнь, а не с 2009 года =)
Обязанность иметь лицензию возникает при выполнении четко определенного перечня работ, и мнение клиента тут никак не учитывается.
Собственно именно по тому эта деятельность и лицензируется, (ну, по идее :) ), что государство не считает заказчиков в достаточной мере квалифицированными и требует наличия квалификации у исполнителя.
В гипотетическом примере про «Яндекс» имелся в виду именно инцидент с ПДн потребителей, т.е. пострадавшие — физ. лица.
СТР-к… Вы бы еще указания тайной экспедиции при сенате Россиийской Империи припомнили =)…
Трехглавый закон ( N 149-ФЗ) в ст.2 дает вполне широкую трактовку термина конфиденциальность.
Также читаем ПП N 79 от 3 февраля 2012: «Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) (...)»
Выделение — мое. Персональные данные — информация, защищаемая в соответствии с законодательством РФ.
Своими персональными данными вы ( пока ;) ) действительно можете распоряжаться как хотите, и не защищать их.
А вот оказывать услуги по защите чужих персональных данных, даже если субъекту пофиг на них, вы можете только с лицензией. Мы то ведь говорим о случае, не когда вы купили антивирус и ставите его на ноут себе, а когда вы за деньги оказываете такую услугу другому физ. лицу.
Про не будет — поглядим…
238 — это конечно какой то особый случай должен быть, ну например «яндексу» продать и внедрить СЗИ без лицензии, да еще и криво, да еще и что б потом утечка была с последствиями…
Ок, попробую еще раз.
Да, если нет данных, подлежащих защите по закону, лицензия ТЗКИ не нужна.
Просто это редкий случай, когда таких данных нет. Например, на всех компьютерах физлиц они есть. И вообще во всех организациях на компьютерах бухгалтерии и отдела кадров они есть, т.к. никто зарплату на счетах ни считает, и дела на печатных машинках не печатает.
Таким образом, что бы сформировать заказ на установку в организации антивируса, без необходимости наличия у исполнителя лицензии ТЗКИ, необходимо специально исключить из объема работ компьютеры бухгалтерии и отдела кадров. Если это не сделано — нужна лицензия.
Состав правонарушения, соответственно, тоже есть — 14.1 пункт 2 КОАП в лучшем случае, в худшем — 171 УК а то еще и 238 натянуть могут.
Продажа ( поставка) не лицензируется. Лицензируется — установка, монтаж, испытания, ремонт средств защиты информации(....)
Вы правы, когда говорите о поставке. Я же говорю о, к примеру, распространеннейшем случае — ИП оказывает услуги по ремонту/настройке компьютеров, установке софта, среди которого и антивирус. Опа, формально нужна лицензия! Тот факт, что заказчик ( физ.лицо) не ценит свои ПДн и не собирается их защищать роли не играет. Другое дело, что за это пока не дерут, но мы же все помним, как в этом разрезе развивалась тема с лицензионным софтом, как раньше легко ставили пиратский, а теперь за это реально сажают.
Или вторая достаточно распространенная ситуация — как правило муниципальный заказчик через запрос котировок покупает мелкие услуги автоматизации, с которыми в принципе неплохо справляются ИП, когда индивидуальные, когда с парой-тройкой сотрудников. Наличие в работах развертывания антивируса выносит их всех в пользу лицензиатов.
1) Для достижения высокого уровня производительности некоторых майнеров, прежде всего CPU майнеров, необходимо выполнить на операционной системе настройки, позволяющие выделять большой кусок памяти процессу. В случае windows — и настройки политики, позволяющие пользователям, от имнеи которых запускается майнер, выделять память (Local Security Setting – Lock pages) Такие настройки легко обнаруживаются стандартными средствами администрирования.
2) в протоколе взаимодействия майнера и пула, который по сути представляет из себя tcp сокет, внутри которого перебрасывают json-чики, меняться могут и порты назначения и адреса и все, что угодно, кроме примерного объема трафика и постоянно поддерживаемого соединения. Можно искать по этим критериям — по длительности соединений, в том числе в нерабочее время.
3) для средств вычислительной техники, оборудованных средствами мониторинга, да хотя бы заббиксом, майнер дает очень красивый ровный график CPU = 100% =)
4) рабочие станции конечно редко оборудуют заббиксом, и майнеры обычно запускают с низким приоритетом, пользователь может и не замечать задержек, но все равно — простой «ручной тест» — запустить cpu монитор, оторвать интернет, если cpu usage упал — там точно майнер.
В свою очередь хотел бы задать и вопрос. Понятно, что потребление электроэнергии сервером возрастет при запуске майнера.
Но верно ли то же для рабочей станции, обычной, офисной? Есть у меня сомнения, что дефолтные настройки энергосбережения windows для профиля настольного компьютера позволят заметить разницу…
До проверки то, понятно, что угодно написать можно — бумага стерпит.
Закон в явном виде разрешает «Сбор, использование, передачу (распространение, предоставление, доступ) ПДн зарубежом»
При этом в явном виде требует запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение вести на территории РФ.
По сути за рубежом можно хранить только резервную копию, даже не реплику, иначе нарушается или пункт изменение или пункт извлечение.
Кстати, за нарушение требований 152-ФЗ сейчас гендир может схлопотать административную дисквалификацию, правда только если не сможет выполнить предписание, полученное после проверки. Очень было бы интересно узнать, есть ли уже практика по этому вопросу, или эта возможность пока теоретическая.
Но я вот хотел спросить — вы серьезно считаете, что у нас (ну у тех, кому это интересно) есть 40 минут на просмотр вашего видео?
Попробую пояснить почему…
Чекпоинт стоит как военный истребитель.
Покупают его, соответственно, те, у кого перебои сервисов, которые он защищает, стоят еще дороже.
А значит — важна отказоустойчивость решения, наличие поддержки…
Поддержка реально важна — чекпоинт сложный, высокотехнологичный продукт, без глюков не обходится. С поддержкой их, в общем-то, исправляют =))) Без этого совсем грустно.
Второй фактор…
В даташите на аппаратные решения указана пропускная способность.
Раньше была одна цифра, потом…, теперь указывают 4.
https://www.checkpoint.com/downloads/product-related/comparison-chart/appliance-comparison-chart.pdf
на самом деле производительность зависит как от вида трафика, поданого на фаервол, так и от набора правил и количества задействованных функций( блейлдов).
Для вендорского железа есть какая-то статистика, есть база инсталляций. Покупаешь ты железку 61хх — тебе скажут, какой у нее в соседних внедрениях уровень загрузки, профиль трафика, можно довольно осознанно делать сайзинг. На левом железе всего этого нет.
Для поиграться — да, можно на виртуальной машине. Поучится правила писать, конфигурации потестировать.
Вобщем это совсем не опенсорс, другие правила.
Но это по памяти. Помню, была еще 6.2, но кто была она — еще NG или уже NGX — не помню
Next-Generation Firewall Gartner RAS Core Research Note G00171540, John Pescatore, Greg Young, 12 October 2009, R3210 04102010) то на его определение и нужно, наверное, ориентироваться
http://www.gartner.com/it-glossary/next-generation-firewalls-ngfws/
А потом уже в эту лодку попытались все заскочить =)
А интеграция с каталогом в _нормальных_ фаерволах была всю жизнь, а не с 2009 года =)
Собственно именно по тому эта деятельность и лицензируется, (ну, по идее :) ), что государство не считает заказчиков в достаточной мере квалифицированными и требует наличия квалификации у исполнителя.
В гипотетическом примере про «Яндекс» имелся в виду именно инцидент с ПДн потребителей, т.е. пострадавшие — физ. лица.
Трехглавый закон ( N 149-ФЗ) в ст.2 дает вполне широкую трактовку термина конфиденциальность.
Также читаем ПП N 79 от 3 февраля 2012: «Настоящее Положение определяет порядок лицензирования деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством Российской Федерации) (...)»
Выделение — мое. Персональные данные — информация, защищаемая в соответствии с законодательством РФ.
Своими персональными данными вы ( пока ;) ) действительно можете распоряжаться как хотите, и не защищать их.
А вот оказывать услуги по защите чужих персональных данных, даже если субъекту пофиг на них, вы можете только с лицензией. Мы то ведь говорим о случае, не когда вы купили антивирус и ставите его на ноут себе, а когда вы за деньги оказываете такую услугу другому физ. лицу.
Про не будет — поглядим…
238 — это конечно какой то особый случай должен быть, ну например «яндексу» продать и внедрить СЗИ без лицензии, да еще и криво, да еще и что б потом утечка была с последствиями…
Да, если нет данных, подлежащих защите по закону, лицензия ТЗКИ не нужна.
Просто это редкий случай, когда таких данных нет. Например, на всех компьютерах физлиц они есть. И вообще во всех организациях на компьютерах бухгалтерии и отдела кадров они есть, т.к. никто зарплату на счетах ни считает, и дела на печатных машинках не печатает.
Таким образом, что бы сформировать заказ на установку в организации антивируса, без необходимости наличия у исполнителя лицензии ТЗКИ, необходимо специально исключить из объема работ компьютеры бухгалтерии и отдела кадров. Если это не сделано — нужна лицензия.
Состав правонарушения, соответственно, тоже есть — 14.1 пункт 2 КОАП в лучшем случае, в худшем — 171 УК а то еще и 238 натянуть могут.
Вы правы, когда говорите о поставке. Я же говорю о, к примеру, распространеннейшем случае — ИП оказывает услуги по ремонту/настройке компьютеров, установке софта, среди которого и антивирус. Опа, формально нужна лицензия! Тот факт, что заказчик ( физ.лицо) не ценит свои ПДн и не собирается их защищать роли не играет. Другое дело, что за это пока не дерут, но мы же все помним, как в этом разрезе развивалась тема с лицензионным софтом, как раньше легко ставили пиратский, а теперь за это реально сажают.
Или вторая достаточно распространенная ситуация — как правило муниципальный заказчик через запрос котировок покупает мелкие услуги автоматизации, с которыми в принципе неплохо справляются ИП, когда индивидуальные, когда с парой-тройкой сотрудников. Наличие в работах развертывания антивируса выносит их всех в пользу лицензиатов.