Последнюю инструкцию которую я как представитель вендора 2 года назад отправил таким вот клиентам, недавно в очередной раз (4 или 5 по счету) надо было исполнить. Всего 3 sql-запроса в которые надо было вставить доменное имя в одном месте. Выполнили только 1 вставив не то доменное имя! И потом 2 недели почти каждый день таскали на созвоны и выясняли почему не работает. Показать результат отказывались ссылаясь на ИБ и не признавались в том, что всё сделали не так. И это не единичный случай!
Как вам специалисты крупного провайдера, которые не в курсе, что это за "список отозванных сертификатов"? Или "мы пропишем в строке подключения https://ip-address и все будет работать!". А то, что серты выдаются на имя, а не на IP приходится очень долго объяснять. И эти люди рулят инфраструктурой огромного телеком-провайдера!
Так что бизнес зная что-то о своих сотрудниках предпочитает согласовать доступ или оплатить командировку через всю страну, но обойтись без инструкций:-)
Статья написана ради того, чтобы когда в очередной раз менеджер придёт прыгать на голове сотрудника поддержки и орать "возьми чужой пароль и почини!", сотрудник поддержки нахрен послал менеджера добывать персональный пароль и привязку к собственному 2Fa (телефон или токен - не столь важно). И свой никому не давал осознавая, что "когда надо - всё быстро согласуют и дадут. А если не очень надо, то и незачем собственной шкурой рисковать нарушая правила соблюдать которые сам подписался".
Масло масляное - проверял Вода мокрая - проверял .... А если серьёзно, то "безопасность должна на совершенно другом уровне" - об этом и речь! Огромные компании за огромные деньги нанимают компании\частников которые тестируют безопасность, платят большие зарплаты безопасникам которые производят тонны регламентов, а в итоге в этом году сколько крупных утечек и взломов было? Точно не один. И вот видя весь этот театр цирк безопасности при котором люди далёкие от IT (юристы, менеджеры, экономисты, бухгалтеры, делопроизводители, секретари) обладают возможностями раскрыть информацию\принести трояна в контур и проч. но при этом не обладают знаниями основ, мы и решили с командой, что надо как-то ситуацию менять. Как-то доносить. Если я просто кину ссылку на очередной postmortem с хабра или напишу отчёт или просто очередной список "туда не ходи - снег в башка попадёт", это читать не будут и значит эффективность =0. А если я найду формат который донесёт до НЕ технарей основные сценарии развития атак на них - эффективность уже не будет нулевой. Какой будет - покажет время и регулярные тесты которые у нас проводятся.
Когда инциденты происходят, то безопасники по разному узнают. Чаще их вызывают "на ковёр" и спрашивают в курсе ли они того, что происходит? Т.е. бизнес терпит безопасников с их закидонами сколько может, а когда безопасники заиграются окончательно или допустят инцидент - бизнес начинает стучать кулаком по столу, требовать решений, срочных действий и прочего.
Выше писал комментарий. Суть: пока всё ОК - да, согласование доступа это месяцы и тонны бумаги. Когда реально горит (не "клиент негативит", а реально санкции регулятора грозят или инцидент серьёзный) ИБ любой компании (даже государственной) очень быстро работать начинает. Буквально за минуты иногда вопросы решаются - была бы воля руководителя или риск высокий.
Возможно Вы знаете способ, как предоставить вендору возможность обновлять прод иначе? Расскажите пожалуйста. Мне самому не очень хочется подписывать тонны соглашений с очень подробным "туда ходи, сюда не ходи". И системы бывают разные. Просто на поверхности: предоставлен доступ к проду, но к почте\буферу обмена и проч. закрыт. Что мешает тупо скриншоты делать и распознавать?
Господа, приоткрою Вам как писались истории (все составляющие цикл включая эту): Реальная история описывается по пунктам как расследование. Далее меняется всё. Даты, имена, названия компаний, названия стран, суммы выплат. Потом отдельные блоки истории дополняются подробностями которые носят функцию "украшения" текста, чтобы это было интереснее читать не технарям. Потом отдаём на рерайт профессионалам которые доводят рассказ до состояние "можно показать людям".
Т.е. если кто-то думает, что это "сказка" или "так не бывает" и проч. Поверье - это ни разу не сказка и именно так и бывает. Сам видел к сожалению. В некоторых случаях ходил к следователю в качестве стороннего эксперта и показывал как обходятся некоторые моменты в системе которые лежали в основе обвинения человека в мошенничестве. И дело рассыпалось.
У меня лично было 2 случая с очень разными компаниями, но поведение 1:1. Что-то намудрили DBA-шники заказчика в БД и система стала работать со сбоями. Доступ запросили около 6 месяцев назад, но всё никак согласовать не получалось + были какие-то технические проблемы (то VDI не запускался, то в список разрешенного ПО не добавили необходимое). В пятницу вечером нашлись вообще все! Доступ организовали менее чем за 1 час! Заказчик что-то хотел обновить и после обновления ОС запускается, а наше ПО как будто нет. Опять же ИБ лютует и никого не пускает. Терпели 1-2 дня, потом кто-то кому-то что-то сказал и вместо очередного письма про "отправьте заявку, авось согласуют" позвонил сначала руководитель IT-подразделения заказчика и спросил "куда надо доступ и какого уроыня?", а сразу после него уже позвонил кто-то из внутренней поддержки заказчика и сделал всё, чтобы доступ появился в течении 5 минут.
Это не "странно". Это катастрофа. И о таких катастрофах как правило очень заранее предупреждают заказчика. Т.е. типичная история: Вендор: "Чтобы обеспечить оперативную поддержку нужны доступы для 5 человек. У вас, дорогой заказчик 2-х факторка. Создайте пожалуйста нам 5 учёток, вот список." Заказчик: "Наш ИБ разрешает только 1" Вендор: "А что будем делать когда этот 1 пойдёт в отпуск, в Вам нужно будет что-то срочно решить? В договоре же сказано, что учётки не могут передаваться" Заказчик: "А давайте решать проблемы по мере поступления! ИБ сказал нет - значит нет". ____
Через полгода-год Заказчик: "А-а-а!!! Теряем 100500денег!" Вендор: "Доступа к вам нет. Решите - поможем" И вот тут моментально находятся все нужные люди, всё согласуется за минуты и доступы дают на всю команду :-)
Спасибо на добром слове и за критику. Учту в следующем цикле рассказов. Этот цикл уже написан и статистика по нему есть. Будет опубликована вместе с последним рассказом. Их всего 6 для не технических специалистов.
Следующая серия только пишется и я застрял на 1 рассказе про атаку на цепочку поставок. Копипастить и рерайтить уже описанные случаи не хочу как и раскрывать некоторые истории участником которых был сам. Но и достоверность сохранить надо. В общем тяжела судьба графомана :-)
Вот это и угнетает. Почему я заплатил сколько сказали за решение своей утилитарной задачи, а решение не получил? Вместо решения получил что-то очень похожее на то, что нужно но с оговоркой "Знаем, что не работает, скоро починим". А ещё надо оплатить подписку, чтобы когда починят то, что из коробки не работало и сломают то, что работало из коробки была возможность получить следующее обновление. Хрен с ним - с интерфейсом! Пусть выглядит серым и унылым как Win NT или как нечто из псевдографики под DOS, но работает стабильно с: -ЭДО -Честный знак -ФНС -Кассами -Остатками на складе -Бухгалтерской программой того же вендора, что и программа для розничной торговли -,,,,,
Предлагаю построить вокруг АЭС закрытые города и поселить там погромистов с их семьями и на каждом углу такого города повесить плакаты которые жизнерадостно напоминают "АЭС дающая Вам свет и тепло управляется в автоматическом режиме программой которую не обновляли N лет потому, что нечего там чинить!". Кто-то покинет профессию не выдержав психологического давления, для кого-то профессональный вызов будет и человек станет работать лучше.
Никаких проблем. Как и в случаях, когда звонят из "банка". В том и дело, что сценарий предполагает "срочно" и при том уровень доверия к инициатору разговора довольно высокий.
Реальные данные не отправляли. Задача была получить универсальный скрипт который мог бы вычищать тексты от чувствительной информации не в 1 конкретном случае. Иначе проще было бы руками текст договора очистить.
Результаты работы проверяли. Если бы результаты не удовлетворяли требованиям о них бы не рассказывали.
Я напишу сотруднику и если ей будет интересно, она расскажет о своих наработках подробнее. Может и код куда-то опубликует. Надеюсь Вы понимаете, что я за неё этого сделать не могу ибо не автор кода.
Мы не предполагаем, что за содержимым договоров охотятся владельцы нейросетей. Мы предполагаем, что есть определённый набор данных который не должен быть опубликован и не должен подвергаться хранению\обработке на серверах зарубежных компаний. Так же мы знаем, что данные которые передаются в чате нейросети сохраняются и используются для дообучения. И в какой момент и в каком контексте кусок договора с упоминанием физических лиц всплывёт - мы не знаем. Потому просто всё, что не должно быть опубликовано мы не публикуем
Что касается локальных моделей - да, разработки в этом направлении ведём тоже и очень активно. Но сравните затраты:
Вариант 1: бесплатный аккаунт -->скрипт на Python -->предварительная очистка -->анализ с тем же бесплатным аккаунтом.
Вариант 2: кластер серверов с дорогими GPU, время специалистов по ML, время на тренировки моделей, время специалистов поддержки
С точки зрения отдельно взятой сотрудницы которая захотела упростить себе жизнь, первый вариант выглядит интереснее и реалистичнее.
У меня было параллельно: 1. Универ - построение системы IP-телефонии 2. Студия-1 - построение хостинг-площадки, тим-лид разработчиков + регулярное написание ТЗ или чистка сайтов от вредоносов 3. Студия-2 - только чистка от вредоносов и написание программистам где и что надо поправить чтобы повторно не сломали 4. Агентство недвижимости - построение VPN между офисами+IP-телефония с нуля+интеграция всего этого счастья с CRM (сначала 1С, потом Shugar)
Выгорание? Не, не слышал.
Универ я воспринимал как не плохой вариант где не ты платишь за коворкинг\офис, а тебе доплачивают. + шикарная охраняемая парковка. Студии 1 и 2 - главное правильно расставить приоритеты. Вредоносов лучше оставлять на вечер - там подумать надо и чтоб не отвлекали. А ТЗ писать и с разрабами планерки проводить - утром. Агентство - договариваемся, что их день - вторник (к примеру) и всё остальное время только срочные вопросы решающиеся удалённо либо руками местного эникея.
У меня первый ноут был TravelMate 2350. Начал подрабатывать проводя тесты на нём через Lotus Notes и как раз удалось запихнуть 768Мб памяти.
На счёт драйверов вообще и сети в частности: Пересел с винды сначала на OpenSuse - там намаялся с PPPoE, но завёл. Потом был Альт (было желание поучаствовать в движухе с национальной ОС на которую школы переводили). Там уже было получше (год 2008 примерно), но пришлось повозиться с принтерами HP 1018 - там прошивку принтеру должен был при подключении драйвер прислать. Писал что-то в udev и потом Альтовцам отправлял. Сейчас вроде у всех всё нормально. На всех серверах примерно до 2022 всегда CentOS ставил - проблем никаких ни разу. С 2020 примерно надоела специфичность Suse и я сначала попробовал Kali (из коробки много полезного для работы с сетью, а я тогда активно админил много контор), а потом переехал на Ubuntu. Итого с 2007 никакого дуалбута. Для бытовых и рабочих задач как правило всё есть. Знаю только 1 область, где сам видел проблемы с драйверами: станки с ЧПУ. Там какая-то плата в PCI втякается, от неё жгут проводов в какую-то коробку. Драйвера стабильно работают только под XP. Но это редкость.
Я был приятно удивлён, когда узнал, что у Huawei Pura 70 в type-c можно воткнуть монитор и телефон перейдёт в режим тачпада, а на мониторе будет полноценный рабочий стол. Подозреваю, что есть много разных трубок с таким функционалом. Надо изучать вопрос...
Бугага! Раньше на винду ловили шифровальщиков которые шфировали данные и требовали выкуп, а теперь покупаем подписку на шифровальщика и регулярно его обновляем. Легалайз который заслужили виндузятники :-)
Пробовал пользоваться громкой связью в машине. Мне слышно всё прекрасно но вот меня слышно плохо почему-то. Приходится либо гарнитуру использовать либо если разговор короткий - переключаться на динамик телефона. Не удобно, но так меня слышат.
Вы забыли единорогов пукающих бабочками!
Последнюю инструкцию которую я как представитель вендора 2 года назад отправил таким вот клиентам, недавно в очередной раз (4 или 5 по счету) надо было исполнить. Всего 3 sql-запроса в которые надо было вставить доменное имя в одном месте. Выполнили только 1 вставив не то доменное имя! И потом 2 недели почти каждый день таскали на созвоны и выясняли почему не работает. Показать результат отказывались ссылаясь на ИБ и не признавались в том, что всё сделали не так. И это не единичный случай!
Как вам специалисты крупного провайдера, которые не в курсе, что это за "список отозванных сертификатов"? Или "мы пропишем в строке подключения https://ip-address и все будет работать!". А то, что серты выдаются на имя, а не на IP приходится очень долго объяснять. И эти люди рулят инфраструктурой огромного телеком-провайдера!
Так что бизнес зная что-то о своих сотрудниках предпочитает согласовать доступ или оплатить командировку через всю страну, но обойтись без инструкций:-)
Статья написана ради того, чтобы когда в очередной раз менеджер придёт прыгать на голове сотрудника поддержки и орать "возьми чужой пароль и почини!", сотрудник поддержки
нахренпослал менеджера добывать персональный пароль и привязку к собственному 2Fa (телефон или токен - не столь важно). И свой никому не давал осознавая, что "когда надо - всё быстро согласуют и дадут. А если не очень надо, то и незачем собственной шкурой рисковать нарушая правила соблюдать которые сам подписался".Масло масляное - проверял
Вода мокрая - проверял
....
А если серьёзно, то "безопасность должна на совершенно другом уровне" - об этом и речь! Огромные компании за огромные деньги нанимают компании\частников которые тестируют безопасность, платят большие зарплаты безопасникам которые производят тонны регламентов, а в итоге в этом году сколько крупных утечек и взломов было? Точно не один. И вот видя весь этот
театрцирк безопасности при котором люди далёкие от IT (юристы, менеджеры, экономисты, бухгалтеры, делопроизводители, секретари) обладают возможностями раскрыть информацию\принести трояна в контур и проч. но при этом не обладают знаниями основ, мы и решили с командой, что надо как-то ситуацию менять. Как-то доносить. Если я просто кину ссылку на очередной postmortem с хабра или напишу отчёт или просто очередной список "туда не ходи - снег в башка попадёт", это читать не будут и значит эффективность =0. А если я найду формат который донесёт до НЕ технарей основные сценарии развития атак на них - эффективность уже не будет нулевой. Какой будет - покажет время и регулярные тесты которые у нас проводятся.Когда инциденты происходят, то безопасники по разному узнают. Чаще их вызывают "на ковёр" и спрашивают в курсе ли они того, что происходит? Т.е. бизнес терпит безопасников с их закидонами сколько может, а когда безопасники заиграются окончательно или допустят инцидент - бизнес начинает стучать кулаком по столу, требовать решений, срочных действий и прочего.
А как же истории с сотрудниками которые устраиваются в компании чтобы промышленным шпионажем заниматься? Как-то же они СБ проходят...
Выше писал комментарий. Суть: пока всё ОК - да, согласование доступа это месяцы и тонны бумаги. Когда реально горит (не "клиент негативит", а реально санкции регулятора грозят или инцидент серьёзный) ИБ любой компании (даже государственной) очень быстро работать начинает. Буквально за минуты иногда вопросы решаются - была бы воля руководителя или риск высокий.
Возможно Вы знаете способ, как предоставить вендору возможность обновлять прод иначе? Расскажите пожалуйста. Мне самому не очень хочется подписывать тонны соглашений с очень подробным "туда ходи, сюда не ходи". И системы бывают разные. Просто на поверхности: предоставлен доступ к проду, но к почте\буферу обмена и проч. закрыт. Что мешает тупо скриншоты делать и распознавать?
Господа, приоткрою Вам как писались истории (все составляющие цикл включая эту): Реальная история описывается по пунктам как расследование. Далее меняется всё. Даты, имена, названия компаний, названия стран, суммы выплат. Потом отдельные блоки истории дополняются подробностями которые носят функцию "украшения" текста, чтобы это было интереснее читать не технарям. Потом отдаём на рерайт профессионалам которые доводят рассказ до состояние "можно показать людям".
Т.е. если кто-то думает, что это "сказка" или "так не бывает" и проч. Поверье - это ни разу не сказка и именно так и бывает. Сам видел к сожалению. В некоторых случаях ходил к следователю в качестве стороннего эксперта и показывал как обходятся некоторые моменты в системе которые лежали в основе обвинения человека в мошенничестве. И дело рассыпалось.
У меня лично было 2 случая с очень разными компаниями, но поведение 1:1.
Что-то намудрили DBA-шники заказчика в БД и система стала работать со сбоями. Доступ запросили около 6 месяцев назад, но всё никак согласовать не получалось + были какие-то технические проблемы (то VDI не запускался, то в список разрешенного ПО не добавили необходимое). В пятницу вечером нашлись вообще все! Доступ организовали менее чем за 1 час!
Заказчик что-то хотел обновить и после обновления ОС запускается, а наше ПО как будто нет. Опять же ИБ лютует и никого не пускает. Терпели 1-2 дня, потом кто-то кому-то что-то сказал и вместо очередного письма про "отправьте заявку, авось согласуют" позвонил сначала руководитель IT-подразделения заказчика и спросил "куда надо доступ и какого уроыня?", а сразу после него уже позвонил кто-то из внутренней поддержки заказчика и сделал всё, чтобы доступ появился в течении 5 минут.
Это не "странно". Это катастрофа. И о таких катастрофах как правило очень заранее предупреждают заказчика. Т.е. типичная история:
Вендор: "Чтобы обеспечить оперативную поддержку нужны доступы для 5 человек. У вас, дорогой заказчик 2-х факторка. Создайте пожалуйста нам 5 учёток, вот список."
Заказчик: "Наш ИБ разрешает только 1"
Вендор: "А что будем делать когда этот 1 пойдёт в отпуск, в Вам нужно будет что-то срочно решить? В договоре же сказано, что учётки не могут передаваться"
Заказчик: "А давайте решать проблемы по мере поступления! ИБ сказал нет - значит нет".
____
Через полгода-год
Заказчик: "А-а-а!!! Теряем 100500денег!"
Вендор: "Доступа к вам нет. Решите - поможем"
И вот тут моментально находятся все нужные люди, всё согласуется за минуты и доступы дают на всю команду :-)
Спасибо на добром слове и за критику. Учту в следующем цикле рассказов. Этот цикл уже написан и статистика по нему есть. Будет опубликована вместе с последним рассказом. Их всего 6 для не технических специалистов.
Следующая серия только пишется и я застрял на 1 рассказе про атаку на цепочку поставок. Копипастить и рерайтить уже описанные случаи не хочу как и раскрывать некоторые истории участником которых был сам. Но и достоверность сохранить надо. В общем тяжела судьба графомана :-)
Вот это и угнетает. Почему я заплатил сколько сказали за решение своей утилитарной задачи, а решение не получил? Вместо решения получил что-то очень похожее на то, что нужно но с оговоркой "Знаем, что не работает, скоро починим". А ещё надо оплатить подписку, чтобы когда починят то, что из коробки не работало и сломают то, что работало из коробки была возможность получить следующее обновление. Хрен с ним - с интерфейсом! Пусть выглядит серым и унылым как Win NT или как нечто из псевдографики под DOS, но работает стабильно с:
-ЭДО
-Честный знак
-ФНС
-Кассами
-Остатками на складе
-Бухгалтерской программой того же вендора, что и программа для розничной торговли
-,,,,,
Предлагаю построить вокруг АЭС закрытые города и поселить там погромистов с их семьями и на каждом углу такого города повесить плакаты которые жизнерадостно напоминают "АЭС дающая Вам свет и тепло управляется в автоматическом режиме программой которую не обновляли N лет потому, что нечего там чинить!". Кто-то покинет профессию не выдержав психологического давления, для кого-то профессональный вызов будет и человек станет работать лучше.
Никаких проблем. Как и в случаях, когда звонят из "банка". В том и дело, что сценарий предполагает "срочно" и при том уровень доверия к инициатору разговора довольно высокий.
Играют на жадности, на срочности.
Реальные данные не отправляли. Задача была получить универсальный скрипт который мог бы вычищать тексты от чувствительной информации не в 1 конкретном случае. Иначе проще было бы руками текст договора очистить.
Результаты работы проверяли. Если бы результаты не удовлетворяли требованиям о них бы не рассказывали.
Я напишу сотруднику и если ей будет интересно, она расскажет о своих наработках подробнее. Может и код куда-то опубликует. Надеюсь Вы понимаете, что я за неё этого сделать не могу ибо не автор кода.
Мы не предполагаем, что за содержимым договоров охотятся владельцы нейросетей. Мы предполагаем, что есть определённый набор данных который не должен быть опубликован и не должен подвергаться хранению\обработке на серверах зарубежных компаний. Так же мы знаем, что данные которые передаются в чате нейросети сохраняются и используются для дообучения. И в какой момент и в каком контексте кусок договора с упоминанием физических лиц всплывёт - мы не знаем. Потому просто всё, что не должно быть опубликовано мы не публикуем
Что касается локальных моделей - да, разработки в этом направлении ведём тоже и очень активно. Но сравните затраты:
Вариант 1: бесплатный аккаунт -->скрипт на Python -->предварительная очистка -->анализ с тем же бесплатным аккаунтом.
Вариант 2: кластер серверов с дорогими GPU, время специалистов по ML, время на тренировки моделей, время специалистов поддержки
С точки зрения отдельно взятой сотрудницы которая захотела упростить себе жизнь, первый вариант выглядит интереснее и реалистичнее.
У меня было параллельно:
1. Универ - построение системы IP-телефонии
2. Студия-1 - построение хостинг-площадки, тим-лид разработчиков + регулярное написание ТЗ или чистка сайтов от вредоносов
3. Студия-2 - только чистка от вредоносов и написание программистам где и что надо поправить чтобы повторно не сломали
4. Агентство недвижимости - построение VPN между офисами+IP-телефония с нуля+интеграция всего этого счастья с CRM (сначала 1С, потом Shugar)
Выгорание? Не, не слышал.
Универ я воспринимал как не плохой вариант где не ты платишь за коворкинг\офис, а тебе доплачивают. + шикарная охраняемая парковка. Студии 1 и 2 - главное правильно расставить приоритеты. Вредоносов лучше оставлять на вечер - там подумать надо и чтоб не отвлекали. А ТЗ писать и с разрабами планерки проводить - утром. Агентство - договариваемся, что их день - вторник (к примеру) и всё остальное время только срочные вопросы решающиеся удалённо либо руками местного эникея.
У меня первый ноут был TravelMate 2350. Начал подрабатывать проводя тесты на нём через Lotus Notes и как раз удалось запихнуть 768Мб памяти.
На счёт драйверов вообще и сети в частности: Пересел с винды сначала на OpenSuse - там намаялся с PPPoE, но завёл. Потом был Альт (было желание поучаствовать в движухе с национальной ОС на которую школы переводили). Там уже было получше (год 2008 примерно), но пришлось повозиться с принтерами HP 1018 - там прошивку принтеру должен был при подключении драйвер прислать. Писал что-то в udev и потом Альтовцам отправлял. Сейчас вроде у всех всё нормально. На всех серверах примерно до 2022 всегда CentOS ставил - проблем никаких ни разу. С 2020 примерно надоела специфичность Suse и я сначала попробовал Kali (из коробки много полезного для работы с сетью, а я тогда активно админил много контор), а потом переехал на Ubuntu. Итого с 2007 никакого дуалбута. Для бытовых и рабочих задач как правило всё есть. Знаю только 1 область, где сам видел проблемы с драйверами: станки с ЧПУ. Там какая-то плата в PCI втякается, от неё жгут проводов в какую-то коробку. Драйвера стабильно работают только под XP. Но это редкость.
Я был приятно удивлён, когда узнал, что у Huawei Pura 70 в type-c можно воткнуть монитор и телефон перейдёт в режим тачпада, а на мониторе будет полноценный рабочий стол. Подозреваю, что есть много разных трубок с таким функционалом. Надо изучать вопрос...
Бугага! Раньше на винду ловили шифровальщиков которые шфировали данные и требовали выкуп, а теперь покупаем подписку на шифровальщика и регулярно его обновляем. Легалайз который заслужили виндузятники :-)
Пробовал пользоваться громкой связью в машине. Мне слышно всё прекрасно но вот меня слышно плохо почему-то. Приходится либо гарнитуру использовать либо если разговор короткий - переключаться на динамик телефона. Не удобно, но так меня слышат.