И да, статья поднимает интересную тему. Но много воды, повторы одногои того же тезиса разными словами. И примеры примитивные. Вот у меня были в опыте всякие хитрожопые нюансы, связанные с териком, с авс. И часто, по не опытности или тупости, иногда потому ,что меняются апишка авс, добавляются и удоляются фичи и опции. Обновляются модули и провайдеры, а у тебя эплай на прод ломается, и ни туда и ни сюда - приходится аккуратно разруливать руками... Более подробно нет магчымасцi написать)
>разрешение "terraform apply" только из мейна и дополнительно:
- запрет эплаить с локальных машин на прод (тупо права/креды для людей только рид онли). Креды на запись - только у CI (ну, разумеется у ограниченного круга опытных и ответвенных лиц права на запись будут - но они все равно в обычном режиме должны катить через git/CI/IaС - и лишь в экстренных случаях что-то трогать на проде вручную, а потом устранить дрифт)
- чоткое разделение окружений и прав + аудит (в облаках с этим все шикарно)
- сначала в CI должен быть степ plan в файл, и следующий степ apply из этого файла (после апрува)
- настройте конфиг - чтобы стейт хранился в облаке (S3) + сделайте автобэкап этого S3 в другой регион (можно даже в рид онли контейнер)
- периодический автоматический процесс поиска дрифта (запуск плана - и если что-то уехало - нотификация)
- изменение архитектуры, обновление терраформа или провайдеров - сначало через тестовые окружения
- и старайтесь сразу заюзать терраформ - ибо импорт потом делать больно, особенно когда у вас юзаются terraform модули, а скорее это иерархия модулей. (как бы не хотелось пока временно быстро потыкать все мышкой или CLI)
- В реальности невозможно покрыть всю инфру на 100% терраформом - 80% это уже хороший результат. Не стращно, что что-то делается руками, скриптами, джобами - но не терраформом - главное это документировать. Просто иногда проще в 10 раз что-то сделать руками (специфические сервисы или настройки), особенно если это делается редко или даже 1 раз при разворачивании нового окружения, ибо кое какие вещи будут вызвать боль, если их пытаться делать терраформ, а потом вносить изменения Тот самый принцип парето)) Ну, всмысле - не стоит в падать в крайности и фанатизм некоторых догм типа IaC )))
- Юзайте всякие обертки над терраформом для layering и DRY (Dont Repeat Your Self (типа terragrunt, terraspace)
- Старайтесь не писать свои сложные модули без крайней необходимости - уже давно есть куча готовых и годами проверенных комьюнити - (KISS) И ваши коллеги , особенно если вы потом сдрисните, поставят вам свечку за здравие скажут вам спасибо ))
Привет из 2025 ) Перешел сегодня на Wayland Полет нормальный KDE Plasma 6.3 / Kubuntu 25.04 Интегрированная видюха intel на ноуте - не помню какая) Халва 2 VSCode работает ) Держу в курсе ----- P.S. тула xlsclients показывает, что 0 приложений работают через XWayland (т.е. все прилаги работают на вяленом напрямую) (браузеры, slack, Lens, keepassXC, veracrypt, dbeaver, joplin)
>Постарайтесь в первые 6 мес. выбрать из команды своего заместителя, >который будет заменять вас в отпуске или во время болезни. Хочу >отметить, что назначение заместителя ничего не имеет общего с >делегированием задач.
Надеюсь, это "назначение" не принудительно, а по согласию? ) Надеюсь, за это приплачивают? )
>Можно делегировать любую задачу любому >разработчику (например, отправить вместо себя на встречу).
А вот такое я лично не люблю. С таким же успехом можно попросить окна помыть или сбегать за пивом. Тут надо сразу на берегу оговорить обязанности подчиненных. В зрелых компаниях есть четкая должностная инструкция и/или что-то типа матрицы компетенций/обязанностей. Понимаю, что все трудно учесть и формализовать, но требовать от разрабовать выполнять ваши "лидерские" задачи...ну, такое...)
Ну, ответ на поверхности — зп высококлассного спеца — его время и узко специализированные знания, которых нет в универе и в книжках. Например, 2 восстановления в месяц должны прокормить такого спеца, и эти деньги должны быть больше, чем если бы он на кассе сидел на заправке....). И вы должны понимать, что это сложный медленный процесс, в каждом случае со своими особенностями — на поток не поставишь
Не, я имею ввиду обоснование. На каждый софт, либу, репу. Нужно получить апрув, начиная с безопасников. Они спросят, зачем тебе прикладной софт на этих серверах… и, будут правы. Но, если кому то можно ставить любой софт не на свои личные хосты, а тем более на сервера клиентов, то вопросов нет)
Это я к тому, что это все таки прикладной софт. Для рабочей станции. На серверах не нужен. Но на рабочей станции есть гуишные долфины всякие, крусадер и тысячи их. Т.е. ниша фара очень узкая. Типа Ностальжи, фан. Или я не прав?
Спасибо за ваш труд. Рад, что многие стали чуть счастливие. Но у меня вот такая ситуация: на десктопе и дома и на работе я сижу на Linux с KDE. И юзаю файловый менеджер Dolphin.Его функционала хватает. По работе админю тыщи серверов на Linux самых разных. Ставить туда far не получится, нужно чтобы все было стандартно и минимально, из каропки. Зашёл, быстро сделал, ушёл на долго. Нельзя просто взять и начать ставить на прод такие штуки. Тюнить их, плагины, репы, зависимости… Если надо сделать что то простое, то хватает консоли. Если сложное, то уже не руками, а с помощью, например Ansible.
Тогда я тоже буддист, получается...)
P.S. как-то даже прочёл учебник философского вроде факультета какого-то питерского универа про основы Буддизма, где по науке разложено русским спецом по буддизму специально для советских православных атеистов. Многие положения буддизма мне близки. Концепции других массовых религий-философий ваще не принимаются моим мышлением, которому свойственны скептицизм и системный подход и логика...
У этих мастодонтов очень длинные технологические циклы и инерционность.
Но, рано или поздно они это сделают.
В Беларуси вон — законодательно заставили давать IPv6 по требованию с 1 янв 2020
(Кстати, в Указе ничего не указали по поводу бесплатности — исполнители (провайдеры) могут установить заградительный ценник или требование установить определенные CPE за сотни нефти или довести процедуру до маразма)
какую только дичь люди не творят, лишь бы не юзать IPv6 ))))
(это, скорее, вопрос ко всяким провайдерам, которые до сих пор не дают нативный IPv6, или требуют за него у клиентов неадекватную денежку)
Сам говорю с позиции провайдера, который спокойно, неспеша, в рамках смены технологических циклов — ввел в эксплуатацию dual stack.
Ничего нет сложного и расходы на это не являются основными даже и близко
(это если вам будут говорить, что оборудование и софт обновить для поддержки ipv6 — это очень дорого). CG-NAT тоже дорого. А оборудование, в любом случае, обновляется каждые 5-7 лет. (Хотя бы потому, что трафики растут). И там уже везде давно есть ipv6.
И в клиентских роутерах и ОС тоже завезли.
На дворе 2020 год.
Серьезно — хватит бояццо и ненавидеть IPv6.
Я уже дошел до стадии принятия неизбежного )
P.S.
Только не надо начинать холивар, что ipv6 гомно и не безопасно…
IPv6 решает отлично задачу с нехваткой IPv4.
Да, возникают новые проблемы и задачи.
Это нормально.
Все решается соответствующими инструментами.
В частности, так называемая безопасность NAT (а на самом деле к безопасности имеет мало отношения) — «невидимость» домашних устройств «снаружи» для всего мира — в случае IPv6 аналогичный эффект легко решается statefull фаерволом (по дефолту запрет на инициацию соединений снаружи).
Но! При этом, при желании, что-то можно лего разрешить.
И вся эта дичь с NATом не нужна…
Чорд! согласен — для начинающих нужна строгая типизация и чоткий синтаксис. А, вообще, на хабре уже не раз был этот холивар про выбор языка для обучения. Я снова почитал. В итоге PascalABC остается лучшим выбором для школы, техникума, первого курса универа))). Вот кто уже пробьет первый порог (тест на проф пригодность) — тому уже на втором курсе давать основы Cи, управление памятью, указатели, более сложные структуры данных и алгоритмы. Вот тут надо прививать культуру экономно использовать вычислительные ресурсы, знать про архитектуру железа, нотация про сложность алгоритмов. На третьем только можно переходить уже на следующий уровень: ООП, скриптовые языки, динамическая типизация, сборщики мусора… Дальше студент выберет по душе свой язык… На котором будет писать диплом)
И уже придя на галеры можно уже клепать в продакшн монструозные поделия в Electron )))))
Если речь про Колледж Связи (теперь Академия) в г. Витебск (Беларусь), то это был мой однокурсник и я. Я писал диплом на Паскале — программа, которая показывает разные схемы связи — с сокрытыми элементами, а студенту нужно отвечать на вопросы — постепенно элементы открываются. В конце ставиться оценка и записываются результы. Препод ставит в журнал зачет. Как бы контрольная и последний шанс чему-то научить студента )))
На удивление эта прога продержалась потом еще очеееень много лет в проде ))))
P.S. Для парня 17-ти лет, без инета и компьютера дома (в колледже тоже не было инета) ушло полгода.
Хотя по современным меркам программа очень простая. Много (всё) пришлось рисовать с помощью линий, точек и кружочков)))
После паскаля в универе был Си — было почему то ощущение, как будто руки развязали )))
Очень мне зашел. Хотя — многим и Паскаль не зашел. В колледже на программирование закрывали глаза.
А вот в универе половину первого курса тупо отсеял препод — Гуру паскаля (который умеет в числа Фибоначчи, но в реальной жизни не писал софт для НИКОГДА)
Потом Qt/C++, Python, разные удобные IDE, либы, фреймоврки, примеры в инете, форумы. Продуктивность выросла с тех пор в сотни раз.
В целом сейчас я бы не пудрил мозг Паскалем — а на Питоне основы программирования и алгоритмизации преподавал бы. Хотя снова суют Паскаль (ABC) на 1 курсе даже во многих универах.
P.S.2 Вспомнил — пару месяцев заняла разработка азставки к этой программе — где звезды летят на встречу. Причем писать я начал именно сначала заставку))))
Через много много лет я переписал эти летящие звезды на Qt (just for fun)))))
Безусловно, в поведении экономических агентов большую роль играет психология, социология, теория игр etc. (СМИ, пропаганда, реклама, информационные потоки, соцсети, новости).
В итоге — экономические агенты принимают решения часто под воздействием вот этого вот всего. Что в итоге может приводить к фундаментальным сдвигам в экономике на разных уровнях (микро и макро).
И предсказывать вот это вот все не представляется возможным.
Короче, я не против DLP.
И автор молодец, что выделил в статье важную мысль:
Можно потратить миллионы на поставку и внедрение системы, но без ее правильной настройки результат не будет достигнут
Я добавлю важное уточнение — мало эту систему внедрить!
Безопасность — это процесс.
DLP — сложная система, в которой нужно постоянно тюнить правила и т.д.
И кто-то должен анализировать новые угрозы, инциденты, проводить тесты.
ПОСТОЯННО!
Расскажу как это часто бывает в реале (это относится к любой системе, кстати, не только DLP, но и CRM, wiki, helpdesk, электронный документооборот etc.)
Если высшее руководство само не юзает систему, если не выстроены бизнес процессы и происходит рандомный хаос, если нет конкретных ответственных, которые реально замотивированы делать эту работу — все идет прахом)))
Например, у нас сам директор и гл. бух нарушали — не юзали электронный документооборот — юзали бумажки, флешки домой носили и обратно (ессно с вирусами и троянами)).
Периметр нарушен на самом высоком уровне!
И какой это пример всем остальным…
Итак, реальная история о DLP.
На предыдущем месте работы один акционер годами мечтал о безопасности.
Т.к. акционер это был не в штате, просто любил советы давать напрямую, минуя всякие собрания и глосования, то всем было похер на эти советы.
И все ложили на безопасность, кроме одного начальника, который пытался ее внедрить.
И еще контора экономила даже на туалетной бумаге.
Не было отдела безопасности, не было ни одной единицы в штате, кто официально должен был заниматься этим.
Потом мне втихую дописали в служебные обязанности, что я отвечаю за безопасность.
Я искренне пытался объяснять, как надо тогда все сделать. Что надо модель и оценка рисков, выстроить постоянные процессы безопасности, нанять людей, которые будут за это деньги получать и т.д. (Потому что у меня и так уже было дохера IT систем в хозяйстве) Вроде это было понятно всем, но все равно боссы и акционеры хотели сэкономить на штате и повесить это на кого-то в нагрузку без доплаты — типа поглядывать «в свободное время».
В итоге все было на от*ебись — и выбор системы и настройка.
Никто не мониторил, не тюнил, не анализировал сигналы и инциденты… А там было ацкое к-во настроек, аналитик, правил и прочих сущностей.
Руководство поставило галочку в зачотку «безопасность внедрена» и все на этом )))))
Я согласен, что приукрасил)) Но все же нужно сильно считать расходы и риски…
Т.е. это ничего, если простой бухгалтер нащелкает на камеру пару сотен договоров с ключевыми клиентами или еще какие отчеты годовые по балансам, долгам, прибыли — с экрана монитора?
Вопросы к диэлпишнегам или кто внедрял или эксплуатировал DLP:
— Как я понимаю, на компьютеры сотрудников ставится программа-агент, которая анализирует данные еще до браузера и httpS? Есть ли агент под Linux и Яблоко? Или только виндовс?
И как вот такой вектор утечки отразить — простому админу с рут доступом к серверам с СУБД или хранилкам дампов/бэкапов БД — заплатили конкуренты компании, чтобы он слил низкоуровнево базу CRM/ERP (это я к тому, что фоткать ничего не надо и агента на сервере нету). Админ сливает на примонтированный накопитель, или создает временный тунель в мир, который притворяется https web трафиком и за пару недель порциями по чуть чуть аккуратненько сливает гигабайты кому надо? Затем подтирает команды, журналы на серве…
Дальше воображение рисует еще более сложную схему — чтобы там не палить даже https исходящий трафик с сервера через корпоративную сеть — воткнуть в сервак роутер с 3G свистком, настроить маршрут /32 до специального хоста в Мире через этот роутер и слить через этот канал...)
Расскажите, как предотвращается утечка данных, если:
— Если не запрещать проносить свои смартфоны (сфоткал документ важный и отправил конкурентам через мобильный инет?)
— А если запрещать смартфоны, то нужно ли делать досмотр при входе в офис и рентген просветку тела, чтобы в попе миникамеру не пронесли?)
— А если не запрещать смартфоны, нужно ли ставить глушилки сигналов сотовой связи? (звонить только через проводной корпоративный телефон, который уже выныривает в мобильную сеть где-то подальше от глушилок?)
— А если здание арендное и там много фирм и чужих сотрудников — пропускной режим и глушилки не прокатят?
— А если не вводить белые списки доступа к ресурсам в глобальной сети, и не запретить https, который everywere, то что делать с гугл дисками и документами, гуглопочтами (веб морда), скайпами, web телеграм (end to end шифрование), соц.сетями (которые давно не только для баловства, но и для общения по работе, для продаж, рекламы и маркетинга)?
— А если сделать лютый DPI, белые списки и подделку сертификатов (mitm), то как работать то? (безопасность обратно пропорционально удобству — я бы не хотел в такой конторе работать).
Ну, и затраты на покупку, внедрение и обслуживание такой системы могут превысить потери от утечки данных.
(про военные супер секретные объекты речи не идет сейчас — там деньги «из тумбочки»)
А если все это не делать, то зачем платить сотни нефти за DLP, если оно, как чугунная 5 метровая стена, но только на 86% периметра, а кое где остается деревянный заборчик, а иногда просто кусты и прудик ..)))
P.S. Работаю в корпорации, где сотни нефти где только на региональном уровне пару тыщ сотрудников (а ваще входит в международную группу компаний). Даже наши лютые безопаснеги, которые согласовывают каждый чих, правило фаера или программу — месяцами!!! (и это для не для бухгалтера или маркетолога, который только что пришел на работу второй день — а для системного инженера, который работает много лет, который обосновал и согласовал с тыщей начальников) — даже в такой компании не внедрили DLP…
И да, статья поднимает интересную тему. Но много воды, повторы одногои того же тезиса разными словами. И примеры примитивные. Вот у меня были в опыте всякие хитрожопые нюансы, связанные с териком, с авс. И часто, по не опытности или тупости, иногда потому ,что меняются апишка авс, добавляются и удоляются фичи и опции. Обновляются модули и провайдеры, а у тебя эплай на прод ломается, и ни туда и ни сюда - приходится аккуратно разруливать руками... Более подробно нет магчымасцi написать)
>разрешение "terraform apply" только из мейна
и дополнительно:
- запрет эплаить с локальных машин на прод (тупо права/креды для людей только рид онли). Креды на запись - только у CI (ну, разумеется у ограниченного круга опытных и ответвенных лиц права на запись будут - но они все равно в обычном режиме должны катить через git/CI/IaС - и лишь в экстренных случаях что-то трогать на проде вручную, а потом устранить дрифт)
- чоткое разделение окружений и прав + аудит (в облаках с этим все шикарно)
- сначала в CI должен быть степ plan в файл, и следующий степ apply из этого файла (после апрува)
- настройте конфиг - чтобы стейт хранился в облаке (S3) + сделайте автобэкап этого S3 в другой регион (можно даже в рид онли контейнер)
- периодический автоматический процесс поиска дрифта (запуск плана - и если что-то уехало - нотификация)
- изменение архитектуры, обновление терраформа или провайдеров - сначало через тестовые окружения
- и старайтесь сразу заюзать терраформ - ибо импорт потом делать больно, особенно когда у вас юзаются terraform модули, а скорее это иерархия модулей. (как бы не хотелось пока временно быстро потыкать все мышкой или CLI)
- В реальности невозможно покрыть всю инфру на 100% терраформом - 80% это уже хороший результат. Не стращно, что что-то делается руками, скриптами, джобами - но не терраформом - главное это документировать. Просто иногда проще в 10 раз что-то сделать руками (специфические сервисы или настройки), особенно если это делается редко или даже 1 раз при разворачивании нового окружения, ибо кое какие вещи будут вызвать боль, если их пытаться делать терраформ, а потом вносить изменения
Тот самый принцип парето))
Ну, всмысле - не стоит в падать в крайности и фанатизм некоторых догм типа IaC )))
- Юзайте всякие обертки над терраформом для layering и DRY (Dont Repeat Your Self (типа terragrunt, terraspace)
- Старайтесь не писать свои сложные модули без крайней необходимости - уже давно есть куча готовых и годами проверенных комьюнити - (KISS)
И ваши коллеги , особенно если вы потом сдрисните,
поставят вам свечку за здравиескажут вам спасибо ))Привет из 2025 )
Перешел
сегодняна WaylandПолет нормальный
KDE Plasma 6.3 / Kubuntu 25.04
Интегрированная видюха intel на ноуте - не помню какая)
Халва 2VSCode работает )Держу в курсе
-----
P.S.
тула xlsclients показывает, что 0 приложений работают через XWayland
(т.е. все прилаги работают на вяленом напрямую)
(браузеры, slack, Lens, keepassXC, veracrypt, dbeaver, joplin)
>Постарайтесь в первые 6 мес. выбрать из команды своего заместителя,
>который будет заменять вас в отпуске или во время болезни. Хочу
>отметить, что назначение заместителя ничего не имеет общего с
>делегированием задач.
Надеюсь, это "назначение" не принудительно, а по согласию? )
Надеюсь, за это приплачивают? )
>Можно делегировать любую задачу любому
>разработчику (например, отправить вместо себя на встречу).
А вот такое я лично не люблю. С таким же успехом можно попросить окна помыть или сбегать за пивом. Тут надо сразу на берегу оговорить обязанности подчиненных. В зрелых компаниях есть четкая должностная инструкция и/или что-то типа матрицы компетенций/обязанностей. Понимаю, что все трудно учесть и формализовать, но требовать от разрабовать выполнять ваши "лидерские" задачи...ну, такое...)
Ну, ответ на поверхности — зп высококлассного спеца — его время и узко специализированные знания, которых нет в универе и в книжках. Например, 2 восстановления в месяц должны прокормить такого спеца, и эти деньги должны быть больше, чем если бы он на кассе сидел на заправке....). И вы должны понимать, что это сложный медленный процесс, в каждом случае со своими особенностями — на поток не поставишь
Не, я имею ввиду обоснование. На каждый софт, либу, репу. Нужно получить апрув, начиная с безопасников. Они спросят, зачем тебе прикладной софт на этих серверах… и, будут правы. Но, если кому то можно ставить любой софт не на свои личные хосты, а тем более на сервера клиентов, то вопросов нет)
Это я к тому, что это все таки прикладной софт. Для рабочей станции. На серверах не нужен. Но на рабочей станции есть гуишные долфины всякие, крусадер и тысячи их. Т.е. ниша фара очень узкая. Типа Ностальжи, фан. Или я не прав?
Спасибо за ваш труд. Рад, что многие стали чуть счастливие. Но у меня вот такая ситуация: на десктопе и дома и на работе я сижу на Linux с KDE. И юзаю файловый менеджер Dolphin.Его функционала хватает. По работе админю тыщи серверов на Linux самых разных. Ставить туда far не получится, нужно чтобы все было стандартно и минимально, из каропки. Зашёл, быстро сделал, ушёл на долго. Нельзя просто взять и начать ставить на прод такие штуки. Тюнить их, плагины, репы, зависимости… Если надо сделать что то простое, то хватает консоли. Если сложное, то уже не руками, а с помощью, например Ansible.
Пасиб, пояндексю, что за оно...
Тогда я тоже буддист, получается...)
P.S. как-то даже прочёл учебник философского вроде факультета какого-то питерского универа про основы Буддизма, где по науке разложено русским спецом по буддизму специально для советских православных атеистов. Многие положения буддизма мне близки. Концепции других массовых религий-философий ваще не принимаются моим мышлением, которому свойственны скептицизм и системный подход и логика...
А мясо кушаете?)
У этих мастодонтов очень длинные технологические циклы и инерционность.
Но, рано или поздно они это сделают.
В Беларуси вон — законодательно заставили давать IPv6 по требованию с 1 янв 2020
(Кстати, в Указе ничего не указали по поводу бесплатности — исполнители (провайдеры) могут установить заградительный ценник или требование установить определенные CPE за сотни нефти или довести процедуру до маразма)
(это, скорее, вопрос ко всяким провайдерам, которые до сих пор не дают нативный IPv6, или требуют за него у клиентов неадекватную денежку)
Сам говорю с позиции провайдера, который спокойно, неспеша, в рамках смены технологических циклов — ввел в эксплуатацию dual stack.
Ничего нет сложного и расходы на это не являются основными даже и близко
(это если вам будут говорить, что оборудование и софт обновить для поддержки ipv6 — это очень дорого). CG-NAT тоже дорого. А оборудование, в любом случае, обновляется каждые 5-7 лет. (Хотя бы потому, что трафики растут). И там уже везде давно есть ipv6.
И в клиентских роутерах и ОС тоже завезли.
На дворе 2020 год.
Серьезно — хватит бояццо и ненавидеть IPv6.
Я уже дошел до стадии принятия неизбежного )
P.S.
Только не надо начинать холивар, что ipv6 гомно и не безопасно…
IPv6 решает отлично задачу с нехваткой IPv4.
Да, возникают новые проблемы и задачи.
Это нормально.
Все решается соответствующими инструментами.
В частности, так называемая безопасность NAT (а на самом деле к безопасности имеет мало отношения) — «невидимость» домашних устройств «снаружи» для всего мира — в случае IPv6 аналогичный эффект легко решается statefull фаерволом (по дефолту запрет на инициацию соединений снаружи).
Но! При этом, при желании, что-то можно лего разрешить.
И вся эта дичь с NATом не нужна…
И уже придя на галеры можно уже клепать в продакшн монструозные поделия в Electron )))))
На удивление эта прога продержалась потом еще очеееень много лет в проде ))))
P.S. Для парня 17-ти лет, без инета и компьютера дома (в колледже тоже не было инета) ушло полгода.
Хотя по современным меркам программа очень простая. Много (всё) пришлось рисовать с помощью линий, точек и кружочков)))
После паскаля в универе был Си — было почему то ощущение, как будто руки развязали )))
Очень мне зашел. Хотя — многим и Паскаль не зашел. В колледже на программирование закрывали глаза.
А вот в универе половину первого курса тупо отсеял препод — Гуру паскаля (который умеет в числа Фибоначчи, но в реальной жизни не писал софт для НИКОГДА)
Потом Qt/C++, Python, разные удобные IDE, либы, фреймоврки, примеры в инете, форумы. Продуктивность выросла с тех пор в сотни раз.
В целом сейчас я бы не пудрил мозг Паскалем — а на Питоне основы программирования и алгоритмизации преподавал бы. Хотя снова суют Паскаль (ABC) на 1 курсе даже во многих универах.
P.S.2 Вспомнил — пару месяцев заняла разработка азставки к этой программе — где звезды летят на встречу. Причем писать я начал именно сначала заставку))))
Через много много лет я переписал эти летящие звезды на Qt (just for fun)))))
В итоге — экономические агенты принимают решения часто под воздействием вот этого вот всего. Что в итоге может приводить к фундаментальным сдвигам в экономике на разных уровнях (микро и макро).
И предсказывать вот это вот все не представляется возможным.
И автор молодец, что выделил в статье важную мысль:
Я добавлю важное уточнение — мало эту систему внедрить!
Безопасность — это процесс.
DLP — сложная система, в которой нужно постоянно тюнить правила и т.д.
И кто-то должен анализировать новые угрозы, инциденты, проводить тесты.
ПОСТОЯННО!
Расскажу как это часто бывает в реале (это относится к любой системе, кстати, не только DLP, но и CRM, wiki, helpdesk, электронный документооборот etc.)
Если высшее руководство само не юзает систему, если не выстроены бизнес процессы и происходит рандомный хаос, если нет конкретных ответственных, которые реально замотивированы делать эту работу — все идет прахом)))
Например, у нас сам директор и гл. бух нарушали — не юзали электронный документооборот — юзали бумажки, флешки домой носили и обратно (ессно с вирусами и троянами)).
Периметр нарушен на самом высоком уровне!
И какой это пример всем остальным…
Итак, реальная история о DLP.
На предыдущем месте работы один акционер годами мечтал о безопасности.
Т.к. акционер это был не в штате, просто любил советы давать напрямую, минуя всякие собрания и глосования, то всем было похер на эти советы.
И все ложили на безопасность, кроме одного начальника, который пытался ее внедрить.
И еще контора экономила даже на туалетной бумаге.
Не было отдела безопасности, не было ни одной единицы в штате, кто официально должен был заниматься этим.
Потом мне втихую дописали в служебные обязанности, что я отвечаю за безопасность.
Я искренне пытался объяснять, как надо тогда все сделать. Что надо модель и оценка рисков, выстроить постоянные процессы безопасности, нанять людей, которые будут за это деньги получать и т.д. (Потому что у меня и так уже было дохера IT систем в хозяйстве) Вроде это было понятно всем, но все равно боссы и акционеры хотели сэкономить на штате и повесить это на кого-то в нагрузку без доплаты — типа поглядывать «в свободное время».
В итоге все было на от*ебись — и выбор системы и настройка.
Никто не мониторил, не тюнил, не анализировал сигналы и инциденты… А там было ацкое к-во настроек, аналитик, правил и прочих сущностей.
Руководство поставило галочку в зачотку «безопасность внедрена» и все на этом )))))
Т.е. это ничего, если простой бухгалтер нащелкает на камеру пару сотен договоров с ключевыми клиентами или еще какие отчеты годовые по балансам, долгам, прибыли — с экрана монитора?
Вопросы к диэлпишнегам или кто внедрял или эксплуатировал DLP:
— Как я понимаю, на компьютеры сотрудников ставится программа-агент, которая анализирует данные еще до браузера и httpS? Есть ли агент под Linux и Яблоко? Или только виндовс?
И как вот такой вектор утечки отразить — простому админу с рут доступом к серверам с СУБД или хранилкам дампов/бэкапов БД — заплатили конкуренты компании, чтобы он слил низкоуровнево базу CRM/ERP (это я к тому, что фоткать ничего не надо и агента на сервере нету). Админ сливает на примонтированный накопитель, или создает временный тунель в мир, который притворяется https web трафиком и за пару недель порциями по чуть чуть аккуратненько сливает гигабайты кому надо? Затем подтирает команды, журналы на серве…
Дальше воображение рисует еще более сложную схему — чтобы там не палить даже https исходящий трафик с сервера через корпоративную сеть — воткнуть в сервак роутер с 3G свистком, настроить маршрут /32 до специального хоста в Мире через этот роутер и слить через этот канал...)
— Если не запрещать проносить свои смартфоны (сфоткал документ важный и отправил конкурентам через мобильный инет?)
— А если запрещать смартфоны, то нужно ли делать досмотр при входе в офис и рентген просветку тела, чтобы в попе миникамеру не пронесли?)
— А если не запрещать смартфоны, нужно ли ставить глушилки сигналов сотовой связи? (звонить только через проводной корпоративный телефон, который уже выныривает в мобильную сеть где-то подальше от глушилок?)
— А если здание арендное и там много фирм и чужих сотрудников — пропускной режим и глушилки не прокатят?
— А если не вводить белые списки доступа к ресурсам в глобальной сети, и не запретить https, который everywere, то что делать с гугл дисками и документами, гуглопочтами (веб морда), скайпами, web телеграм (end to end шифрование), соц.сетями (которые давно не только для баловства, но и для общения по работе, для продаж, рекламы и маркетинга)?
— А если сделать лютый DPI, белые списки и подделку сертификатов (mitm), то как работать то? (безопасность обратно пропорционально удобству — я бы не хотел в такой конторе работать).
Ну, и затраты на покупку, внедрение и обслуживание такой системы могут превысить потери от утечки данных.
(про военные супер секретные объекты речи не идет сейчас — там деньги «из тумбочки»)
А если все это не делать, то зачем платить сотни нефти за DLP, если оно, как чугунная 5 метровая стена, но только на 86% периметра, а кое где остается деревянный заборчик, а иногда просто кусты и прудик ..)))
P.S. Работаю в корпорации,
где сотни нефтигде только на региональном уровне пару тыщ сотрудников (а ваще входит в международную группу компаний). Даже наши лютые безопаснеги, которые согласовывают каждый чих, правило фаера или программу — месяцами!!! (и это для не для бухгалтера или маркетолога, который только что пришел на работу второй день — а для системного инженера, который работает много лет, который обосновал и согласовал с тыщей начальников) — даже в такой компании не внедрили DLP…