А что сложного в том, чтоб согласовать митинг? Это банальная операция которая выполняется за 10 минут
Простите, но я категорически не соглашусь про 10 минут. Организация массового мероприятия — это большая работа, и десяти минут не хватит даже на то, чтобы проверить, а нет ли в тот же день иных мероприятий.
Вообще, Ваше высказывание про десять минут напоминает мне истории про руководство / заказчиков, которые заявляют: ну вы чего, кнопку на сайт добавить / функцию запилить не можете, да там же работы на 10 минут???
Да, можно запилить за 10 минут — но когда потом пользователь где-то посреди процесса застрянет (или в случае с митингом не удастся организовать то же медицинское сопровождение / перекрытие улиц, и кто-то погибнет) — то исполнитель резко станет виноватым, дураком, и вообще мы его торопиться не просили.
Срок в шесть дней чем-то фантастическим не кажется. В чём проблема его соблюсти? В чём срочность, экстренность?
10 минут — это нереальный срок в принципе, поимейте совесть уже. Один-два дня — наверное, можно, если прям напрячься и поработать на износ (что не очень хорошо, и постоянно в таком ритме работать невозможно). Кроме того, не забывайте, что у мерии есть и другие дела, кроме внезапных митингов. Протесты протестами, а уборку улиц, питание для школ, жалобы жителей на ЖКХ и миллион других забот никто не отменял.
Сомневаюсь, что Вам известна внутренняя кухня мерии — а обвинениями кидаетесь, причём с большими претензиями. Ребячество какое-то, как по мне. Со стороны вообще всё очень просто и легко — и советы давать, и оценивать.
Я очень выбесился, потому что я пришёл на митинг с конкретной повесткой: высказать власти, что я считаю блокировки по маске /8 редкостным бредом, который надо прекращать. Точка. В моём понимании, митинг "против блокировок" включает в себя именно это.
Я не хотел скандировать "Путин вор", потому что (а) это не входило в мою повестку и (б) само происходящее на митинге мне стало резко напоминать то ли какой-то рок-концерт малопопулярной группы, то ли какой-то бизнес-тренинг "Успешный успех": Навальный со сцены начал прям призывать: а давайте покричим, детишечки! Давайте поорём! Я вас не слышу, детишечки! Какая-то примитивная манипуляция, непонятно на что рассчитанная. В этот момент я пожалел, что пришёл, потому что митинг совершенно не оправдал моих ожиданий: вместо понятного конкретного требования и выражения моей гражданской позиции, на что я надеялся, как-то неожиданно получилось, что я подписался на нечто совершенно другое.
Далее кратко по пунктам:
нет, многое не устраивает
нет, не считаю лично ВВП за них ответственным
потому что мне не 17 лет, чтобы я что-то за кем-то бездумно повторял, не имея на то изначального намерения
Соглашусь. Мне лично на митинге за отмену блокировок, который Пиратская партия проводила, Навального хватило — такое чувство, что меня дерьмом накормили, потому что пришёл я на митинг с формально совершенной другой повесткой, а попал на призывы скандировать «Путин — вор».
Или я обязан Навального любить и уважать по умолчанию? Спасибо, обойдусь.
Возможно. Я в таких кругах не вращался, может быть где-то неправ. Может быть, Ваша картина мира более близка к реальности.
Но опять же, если мы и так знаем наши проблемы — то что мешает пойти к руководству (CEO) и внятно их презентовать?
человек, который понимает их тяжелую долю, постарается помочь, эскалируя сложности и проблемы высшему руководству, и убедить, что в их интересах выложить все, как на духу
Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени), чтобы эту долю облегчить. А в случае с аудитом на выходе будет только пачка рекомендаций, на которые ресурсов нет. Очень полезно, очень помогает.
Не вижу проблемы в том, чтобы при аудите периметра (без внутренних сетей) воспользоваться найденной уязвимостью и со внутренних ресурсов получить информацию о инфраструктуре
Я немного не о том) Поломать сеть и показать это заказчику — это одна задача. Постараться найти все возможные векторы — это другая задача, на порядки сложнее первой. Вы имеете в виду первое или второе?
Кроме банального просмотра whois и dns (а так же в историю их изменения), можно и в shodan заглянуть, а если там не окажется нужного порта
В это я охотно готов поверить)
Меня интересует другое: вот есть у вам rzd.ru. Вы посмотрели whois, посмотрели dns, проверили ASN и так далее (можете даже порты посмотреть, хотя должен признаться, я не очень понимаю, как тут могут помочь порты). Нашли все-все-все ресурсы, которые были на этих доменах и в этих ASN.
Между тем, где-то существует сайт вокзала г. Неурожайка, который хостится на сайте neurozhayka-vokzal.ru. Ну вот сложилось так, исторически. И сервер вокзала обслуживает местное IT, и этот сервер находится в сети местной IT-площадки РЖД. Как вы это найдёте?
Можно сказать «мы ссылки с сайта rzd.ru найдём» — ну, допустим, хотя и не факт: это уже человеческий ручной поиск, хоть и автоматизированный, а люди лажают и будут лажать, так мы устроены.
Что, если в Урюпинске админы самовольно открыли доступ в Интернет из их подсети? Как вы это обнаружите? Будет просто какой-то левый VPS-сервер, с которого будет поднят VPN до площадки (только с этого адреса, остальное блокирует файрвол). Или у нас Шодан уже достиг таких высот, что он и такое подсветит? Сомнительно)
В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.
Она не приведёт к более серьёзному бардаку, но полезный эффект будет меньше, ИМХО.
В целом, я считаю, что аудит нужен, когда мы хотим ответить на вопрос «как нам стать лучше», причём сами никакого хорошего ответа найти не можем.
Мои мысли примерно следующие:
1. Можем ли мы доверять нашей службе ИТ/ИБ (в плане профессионализма и в плане честности)? Мне кажется, что ответ должен быть «да», иначе у нас какие-то офигеть глубокие проблемы в организации, которые аудитом точно не решатся.
2. Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас? Есть ли какие-то серьёзные проблемы, которые обязательно нужно решать?
3. Если ответ «да» — то на хрена нам аудит, когда люди честно говорят, что инфраструктуру ещё допиливать и допиливать? Обсуждаем приоритеты, сроки, даём дополнительные ресурсы на это всё — и собираемся на такой же разговор после намеченного срока (скажем, год).
4. Если ответ «проблем нет» — то в этом случае действительно можно пригласить аудиторов, чтобы те взглянули на происходящее под новым углом и, возможно, что-то порекомендовали. И рекомендации их можно будет воплотить в жизнь планово. Вот в этом случае аудит имеет шансы принести какую-то пользу — он понятен депаратментам ИТ/ИБ, у них есть пропускная способность (время) для ответов на вопросы аудиторов и, главное, для воплощения рекомендаций в жизнь. Но 90% компаний на этом уровне и близко не находятся. А туда же лезут — как говорится, со свиным рылом в калашный ряд.
Да, иногда мы можем даже пункт 1 поставить под сомнение — и иногда есть смысл заказать аудит, просто чтобы обозначить некую точку отсчёта. Но это должен быть редкий случай (раз в 5-10 лет).
Что мы имеем в реальности? Компании заказывают (я без понятия, почему) ежегодные (а то и квартальные) аудиты. Ресурсов ИТ/ИБ на полноценную поддержку аудитов нет. По итогам аудитов выдаётся портянка обнаруженных недостатков, из которых подавляющее большинство и так уже известны и задокументированы. Ресурсов моментально воплотить это всё в жизнь тоже ни у кого нет. Содержимое портянок подшивается в эксельку, вероятный срок исполнения рекомендаций — никогда.
Мне вот недавно понавыписали тоже интересных советов. Документации вот тут у вас маловато, надо разрабатывать. Штучки всякие называются некрасиво, надо фреймворк внедрить и всё по нему называть и классифицировать. И прочее, и прочее.
Что мне на это ответить? Спасибо, б****, большое, уважаемые аудиторы, что объяснили мне, что документация важна! Сам-то я и не догадывался. Правда, кто всё это будет писать и в какое время — почему-то не поясняется.
Как в том анекдоте:
Зайцы, уставшие от постоянных нападений волков, пошли за советом к сове.
Сова:
— Зайцы, станьте ежиками, и тогда вас волки трогать прекратят.
— Мысль хорошая, но как, как стать ежиками? — спросили зайцы.
— Я стратег, — ответила сова. — Тактикой занимайтесь сами.
Бывают сложные проекты. Невозможных пока не встречал
Я считаю, что если за адекватные сроки и бюджет нельзя проект сделать с достаточным качеством — то он невозможен. Понятно, что технически можно и полный реверс-инжиниринг MS Windows выполнить из ассемблерных кодов — но очевидно, что никто этим заниматься не будет, потому что задача слишком титаническая и никто в реальности на это не пойдёт.
Обеспечить полное покрытие при аудите инфраструктуры неизвестной конфигурации и объёма — сложная задача и нормально это получается сделать только при тесном контакте с клиентом
Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут». От них будут требовать, чтобы они работали как раньше, с прежней производительностью, а вдобавок ещё и на вопросы отвечали — что с текущей загрузкой просто нереально. А если мы сюда добавим ещё и удалённые площадки, удалённые команды, разные часовые пояса — то гарантированно получим то самое «невозможно».
Вообще, меня очень смутило слово «пробив». Я как бы не о пентесте говорю, где задача — как-то получить доступ и эффектно продемонстрировать, как можно всё положить. С этим большинство высококвалифицированных команд пентестеров успешно справляются для сети любой мало-мальски крупной организации. Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.
Сложно пройти мимо открытого прокси, который не блокирует исходящие пакеты к приватным сетям
Склонен не согласиться. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать. Вам выдадут список сетей: 11.11.0.0/16, 22.22.22.0/24, 33.0.0.0/8. Вы их честно просканите, ничего не найдёте. А в итоге у заказчика будет видеонаблюдение в сети 44.44.44.0/24 жить (в сети какого-нибудь VPS), просто потому что админ филиала, который этим занимался, всё так настроил пять лет назад.
Очень просто пройти мимо, по-моему. Более того — я даже представить не могу, как это Вы мимо НЕ пройдёте.
Будешь, конечно. Только ресурсы-то ограничены, и в итоге вместо задачи «Навести порядок в сети» получаем задачу «Успешно пройти аудит». Как говорится, конец немного предсказуем.
Полгода — это овердофига? Оу. Я это писал и боялся, что скажете «очень мало».
Добро пожаловать в корпорации — где нет не то что списка хостов, а даже списка подсетей; где подсети порой пересекаются; где у каждого филиала свой департамент IT с кучей отделов и свой доступ в интернет; где современные системы соседствуют с бородатыми разработками двухтысячных годов и часто выполняют одни и те же функции.
Помножьте это всё на то, что каждый ИТ- и ИБ-отдел и так уже затрахан по самое не хочу постоянными запросами по всем возможным линиям руководства (вопросы бюро пропусков о списках сотрудников, СРОЧНЫЕ вопросы аудиторов из PCI DSS и внутреннего аудита, запросы из бухгалтерии о текущих остатках серверов, жёстких дисков, кресел и канцтоваров, СРОЧНЫЕ запросы из руководства департамента, СВЕРХРОЧНЫЕ — из аппарата директора филиала, СВЕРХСВЕРХСРОЧНЫЕ — из аппарата генерального директора, а также СРОЧНЫЕ, СВЕРХРОЧНЫЕ и СВЕРХСВЕРХСРОЧНЫЕ требования внедрить новую фичу, которую уже рекомендовали предыдущие аудиторы, новый продукт, новый функционал и так далее.
Учитывая вышесказанное, никто информацию вам не предоставит даже не потому, что все такие ленивые и безответственные, а потому что на это тупо нет времени.
покрупнее системы проверяли, с нормальным отчётом на выходе
Что-то я в это не верю, простите. Каким образом вы всё это делаете?
Из моей практики, обычно идут по двум путям: либо запрашивают информацию в IT-департаменте (и получают хрень, которая соответствует действительности хорошо если процентов на 70 — и то это прям чудо будет), либо (если аудитор пытается сделать вид, что он прям дохрена ответственный) пытаются ставить какой-то свой софт для получения карты сети (и на выходе получают хрень из-за корпоративных файрволов или даже, как вариант, отсутствия сетевой связности).
Так что пока что я склонен думать, что и ваш отчёт спокойно бы прошёл мимо той же проблемы с видеонаблюдением.
Не соглашусь.
По такой же логике, за каждый крупный взлом нужно увольнять начальника ИБ. За каждый крупный простой — увольнять начальника IT. А лучше вообще всех топ-менеджеров, сразу, пачкой.
Только вот проблема в том, что в крупных корпоративных сетях такое положение вещей часто складывается. И если после каждого подобного факапа всех увольнять, то полные кадровые чистки будут происходить каждые полгода.
Как это исправить — сказать сложно, но увольнение директора IT точно не поможет.
Вы всерьёз думаете, что частные компании как-то по-другому относятся к IT?)
Подобный хаос скорее от размеров компании зависит и от количества филиалов / площадок, а не от государственная / частная / российская / зарубежная.
Можете привести пример компании, которой по силам провести всесторонний аудит ИБ сети из 20000+ хостов за полгода и выдать отчёт, который не будет бессмысленной бумажкой? Я вот всерьёз сомневаюсь в существовании подобной компании.
А какой аудитор сможет такое найти?
У меня есть ощущение (возможно, предвзятое), что 90% аудиторов занимаются какой-то хернёй, не имеющей ничего общего с реальностью. Приходят, позадают идиотских вопросов (пример из жизни: «А сколько инцидентов у вас было связано с сетями?»), потом вносят полученные идиотские ответы в красивые таблички и навыдают красивых указаний, которые потом сверху требуют исполнять.
Уровень безопасности это, может, на сколько-то и повышает, но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.
В общем, если Вы считаете, что аудиторы могут как-то чем-то помочь — то я категорически не согласен. Я считаю, что в 90% случаев вы потратите деньги впустую. А как найти те 10% аудиторов, которые смогут действительно глубоко разобраться в сложной гетерогенной корпоративной сети на несколько десятков тысяч хостов, увидеть общую картину, понять наиболее серьёзные проблемы, расставить приоритеты и спланировать работу по исправлению этих проблем — я не знаю. Очень сильно сомневаюсь, что такие люди вообще существуют.
Тут за год работы внутри организации появляется какое-то смутное представление о том, как сеть устроена… А аудиторы редко больше пары месяцев проект ведут. Вот и думайте сами, что они там нааудируют.
Признак того, что разворовать кучу денег много ума не надо. Выдавать это за великое деяние — это я даж не знаю что.
Опять же повторюсь: осуществление любого крупного проекта в итоге стоит столько, что глаза на лоб лезут. Так это работает: накладные расходы растут просто дикими темпами. Что не отменяет важности результата.
Надеяться, что ту же Олимпиаду за сто миллионов рублей организуют — это по меньшей степени наивно. Крымский мост — тоже вполне себе сложный проект, подобного в РФ не делали приблизительно никогда. Вот и стоимость соответствующая.
Доведение до абсурда — первый признак демагогии, когда сказать нечего.
А слово «попилимпиада» — это признак чего? Тонкой иронии? Искажение фактов («мост уже начал разваливаться», хотя всё прекрасно работает) — это признак чего?
Ну посмотрим-посмотрим
Вот и посмотрим давайте. Я сам по тому мосту ездил, ничего там не разваливается. Конечно, когда-то он рухнет, если его не ремонтировать (как и любое сооружение) — но не думаю, что это случится уже через 50 лет. Обещали, что должен прослужить сто лет без капремонта.
какие бы прекрасные мост, айти и прочее у нас ни были, в космос мост не построишь
Безусловно. Но речь шла о том, что сложые проекты могут быть реализованы. То, что на них выделяется овердохрена денег с весьма низкой эффективностью их расходования — нормальная ситуация для любого проекта, в котором задействовано больше пары десятков человек (причём не только в РФ, это везде так). А на проектах такого уровня даже не тысячи конечных исполнителей участвуют — десятки тысяч.
попилимпиада и мост который уже начал разваливаться это какие-то крутые достижения?
А что в вашем понимании «крутые достижения»? Победить рак за 1 рубль? Изобрести телепортатор за бесплатно?
И что там с мостом? Что-то не слышал, что он разваливается. Машины ездят, поезда ходят.
Простите, но я категорически не соглашусь про 10 минут. Организация массового мероприятия — это большая работа, и десяти минут не хватит даже на то, чтобы проверить, а нет ли в тот же день иных мероприятий.
Вообще, Ваше высказывание про десять минут напоминает мне истории про руководство / заказчиков, которые заявляют: ну вы чего, кнопку на сайт добавить / функцию запилить не можете, да там же работы на 10 минут???
Да, можно запилить за 10 минут — но когда потом пользователь где-то посреди процесса застрянет (или в случае с митингом не удастся организовать то же медицинское сопровождение / перекрытие улиц, и кто-то погибнет) — то исполнитель резко станет виноватым, дураком, и вообще мы его торопиться не просили.
Срок в шесть дней чем-то фантастическим не кажется. В чём проблема его соблюсти? В чём срочность, экстренность?
10 минут — это нереальный срок в принципе, поимейте совесть уже. Один-два дня — наверное, можно, если прям напрячься и поработать на износ (что не очень хорошо, и постоянно в таком ритме работать невозможно). Кроме того, не забывайте, что у мерии есть и другие дела, кроме внезапных митингов. Протесты протестами, а уборку улиц, питание для школ, жалобы жителей на ЖКХ и миллион других забот никто не отменял.
Сомневаюсь, что Вам известна внутренняя кухня мерии — а обвинениями кидаетесь, причём с большими претензиями. Ребячество какое-то, как по мне. Со стороны вообще всё очень просто и легко — и советы давать, и оценивать.
Я очень выбесился, потому что я пришёл на митинг с конкретной повесткой: высказать власти, что я считаю блокировки по маске /8 редкостным бредом, который надо прекращать. Точка. В моём понимании, митинг "против блокировок" включает в себя именно это.
Я не хотел скандировать "Путин вор", потому что (а) это не входило в мою повестку и (б) само происходящее на митинге мне стало резко напоминать то ли какой-то рок-концерт малопопулярной группы, то ли какой-то бизнес-тренинг "Успешный успех": Навальный со сцены начал прям призывать: а давайте покричим, детишечки! Давайте поорём! Я вас не слышу, детишечки! Какая-то примитивная манипуляция, непонятно на что рассчитанная. В этот момент я пожалел, что пришёл, потому что митинг совершенно не оправдал моих ожиданий: вместо понятного конкретного требования и выражения моей гражданской позиции, на что я надеялся, как-то неожиданно получилось, что я подписался на нечто совершенно другое.
Далее кратко по пунктам:
Или я обязан Навального любить и уважать по умолчанию? Спасибо, обойдусь.
Потрясающий пример логики, Киселёв отдыхает.
Митингующие нарушили закон — а виновата мерия.
Вас на работе тоже виноватым делают, если поставят дедлайн в один день, а Вы с ним не справитесь?
Но опять же, если мы и так знаем наши проблемы — то что мешает пойти к руководству (CEO) и внятно их презентовать?
Помочь тяжёлой доле может тот, кто мне даст ресурсов (хотя бы времени), чтобы эту долю облегчить. А в случае с аудитом на выходе будет только пачка рекомендаций, на которые ресурсов нет. Очень полезно, очень помогает.
В это я охотно готов поверить)
Меня интересует другое: вот есть у вам rzd.ru. Вы посмотрели whois, посмотрели dns, проверили ASN и так далее (можете даже порты посмотреть, хотя должен признаться, я не очень понимаю, как тут могут помочь порты). Нашли все-все-все ресурсы, которые были на этих доменах и в этих ASN.
Между тем, где-то существует сайт вокзала г. Неурожайка, который хостится на сайте neurozhayka-vokzal.ru. Ну вот сложилось так, исторически. И сервер вокзала обслуживает местное IT, и этот сервер находится в сети местной IT-площадки РЖД. Как вы это найдёте?
Можно сказать «мы ссылки с сайта rzd.ru найдём» — ну, допустим, хотя и не факт: это уже человеческий ручной поиск, хоть и автоматизированный, а люди лажают и будут лажать, так мы устроены.
Что, если в Урюпинске админы самовольно открыли доступ в Интернет из их подсети? Как вы это обнаружите? Будет просто какой-то левый VPS-сервер, с которого будет поднят VPN до площадки (только с этого адреса, остальное блокирует файрвол). Или у нас Шодан уже достиг таких высот, что он и такое подсветит? Сомнительно)
В целом, я всё это писал с единственной целью: что даже если бы они провели аудит, о котором спрашивал ramilexe — не факт, ой не факт, что это бы выловилось.
В целом, я считаю, что аудит нужен, когда мы хотим ответить на вопрос «как нам стать лучше», причём сами никакого хорошего ответа найти не можем.
Мои мысли примерно следующие:
1. Можем ли мы доверять нашей службе ИТ/ИБ (в плане профессионализма и в плане честности)? Мне кажется, что ответ должен быть «да», иначе у нас какие-то офигеть глубокие проблемы в организации, которые аудитом точно не решатся.
2. Если можем, то мы идём к CIO и CISO и спрашиваем: ребята, а всё ли у нас нормально сейчас? Есть ли какие-то серьёзные проблемы, которые обязательно нужно решать?
3. Если ответ «да» — то на хрена нам аудит, когда люди честно говорят, что инфраструктуру ещё допиливать и допиливать? Обсуждаем приоритеты, сроки, даём дополнительные ресурсы на это всё — и собираемся на такой же разговор после намеченного срока (скажем, год).
4. Если ответ «проблем нет» — то в этом случае действительно можно пригласить аудиторов, чтобы те взглянули на происходящее под новым углом и, возможно, что-то порекомендовали. И рекомендации их можно будет воплотить в жизнь планово. Вот в этом случае аудит имеет шансы принести какую-то пользу — он понятен депаратментам ИТ/ИБ, у них есть пропускная способность (время) для ответов на вопросы аудиторов и, главное, для воплощения рекомендаций в жизнь. Но 90% компаний на этом уровне и близко не находятся. А туда же лезут — как говорится, со свиным рылом в калашный ряд.
Да, иногда мы можем даже пункт 1 поставить под сомнение — и иногда есть смысл заказать аудит, просто чтобы обозначить некую точку отсчёта. Но это должен быть редкий случай (раз в 5-10 лет).
Что мы имеем в реальности? Компании заказывают (я без понятия, почему) ежегодные (а то и квартальные) аудиты. Ресурсов ИТ/ИБ на полноценную поддержку аудитов нет. По итогам аудитов выдаётся портянка обнаруженных недостатков, из которых подавляющее большинство и так уже известны и задокументированы. Ресурсов моментально воплотить это всё в жизнь тоже ни у кого нет. Содержимое портянок подшивается в эксельку, вероятный срок исполнения рекомендаций — никогда.
Мне вот недавно понавыписали тоже интересных советов. Документации вот тут у вас маловато, надо разрабатывать. Штучки всякие называются некрасиво, надо фреймворк внедрить и всё по нему называть и классифицировать. И прочее, и прочее.
Что мне на это ответить? Спасибо, б****, большое, уважаемые аудиторы, что объяснили мне, что документация важна! Сам-то я и не догадывался. Правда, кто всё это будет писать и в какое время — почему-то не поясняется.
Вот этого контакта у Вас и не будет, потому что никто и никогда не скажет IT-подразделениям «бросайте все ваши дела и отвечайте этим чувакам на все вопросы, которые они зададут». От них будут требовать, чтобы они работали как раньше, с прежней производительностью, а вдобавок ещё и на вопросы отвечали — что с текущей загрузкой просто нереально. А если мы сюда добавим ещё и удалённые площадки, удалённые команды, разные часовые пояса — то гарантированно получим то самое «невозможно».
Вообще, меня очень смутило слово «пробив». Я как бы не о пентесте говорю, где задача — как-то получить доступ и эффектно продемонстрировать, как можно всё положить. С этим большинство высококвалифицированных команд пентестеров успешно справляются для сети любой мало-мальски крупной организации. Я говорю о том, как обнаружить все (или хотя бы большинство) подобных векторов — тут пентестерская тактика не очень годится, ИМХО.
Склонен не согласиться. Вы откуда знаете, какие у заказчика сети? Не будете же Вы весь Интернет сканировать. Вам выдадут список сетей: 11.11.0.0/16, 22.22.22.0/24, 33.0.0.0/8. Вы их честно просканите, ничего не найдёте. А в итоге у заказчика будет видеонаблюдение в сети 44.44.44.0/24 жить (в сети какого-нибудь VPS), просто потому что админ филиала, который этим занимался, всё так настроил пять лет назад.
Очень просто пройти мимо, по-моему. Более того — я даже представить не могу, как это Вы мимо НЕ пройдёте.
Добро пожаловать в корпорации — где нет не то что списка хостов, а даже списка подсетей; где подсети порой пересекаются; где у каждого филиала свой департамент IT с кучей отделов и свой доступ в интернет; где современные системы соседствуют с бородатыми разработками двухтысячных годов и часто выполняют одни и те же функции.
Помножьте это всё на то, что каждый ИТ- и ИБ-отдел и так уже затрахан по самое не хочу постоянными запросами по всем возможным линиям руководства (вопросы бюро пропусков о списках сотрудников, СРОЧНЫЕ вопросы аудиторов из PCI DSS и внутреннего аудита, запросы из бухгалтерии о текущих остатках серверов, жёстких дисков, кресел и канцтоваров, СРОЧНЫЕ запросы из руководства департамента, СВЕРХРОЧНЫЕ — из аппарата директора филиала, СВЕРХСВЕРХСРОЧНЫЕ — из аппарата генерального директора, а также СРОЧНЫЕ, СВЕРХРОЧНЫЕ и СВЕРХСВЕРХСРОЧНЫЕ требования внедрить новую фичу, которую уже рекомендовали предыдущие аудиторы, новый продукт, новый функционал и так далее.
Учитывая вышесказанное, никто информацию вам не предоставит даже не потому, что все такие ленивые и безответственные, а потому что на это тупо нет времени.
Что-то я в это не верю, простите. Каким образом вы всё это делаете?
Из моей практики, обычно идут по двум путям: либо запрашивают информацию в IT-департаменте (и получают хрень, которая соответствует действительности хорошо если процентов на 70 — и то это прям чудо будет), либо (если аудитор пытается сделать вид, что он прям дохрена ответственный) пытаются ставить какой-то свой софт для получения карты сети (и на выходе получают хрень из-за корпоративных файрволов или даже, как вариант, отсутствия сетевой связности).
Так что пока что я склонен думать, что и ваш отчёт спокойно бы прошёл мимо той же проблемы с видеонаблюдением.
По такой же логике, за каждый крупный взлом нужно увольнять начальника ИБ. За каждый крупный простой — увольнять начальника IT. А лучше вообще всех топ-менеджеров, сразу, пачкой.
Только вот проблема в том, что в крупных корпоративных сетях такое положение вещей часто складывается. И если после каждого подобного факапа всех увольнять, то полные кадровые чистки будут происходить каждые полгода.
Как это исправить — сказать сложно, но увольнение директора IT точно не поможет.
Подобный хаос скорее от размеров компании зависит и от количества филиалов / площадок, а не от государственная / частная / российская / зарубежная.
У меня есть ощущение (возможно, предвзятое), что 90% аудиторов занимаются какой-то хернёй, не имеющей ничего общего с реальностью. Приходят, позадают идиотских вопросов (пример из жизни: «А сколько инцидентов у вас было связано с сетями?»), потом вносят полученные идиотские ответы в красивые таблички и навыдают красивых указаний, которые потом сверху требуют исполнять.
Уровень безопасности это, может, на сколько-то и повышает, но на эти аудиты тратится просто КУЧА времени, которое лучше бы направить на более важные задачи типа того же сегментирования сети и построения её карты.
В общем, если Вы считаете, что аудиторы могут как-то чем-то помочь — то я категорически не согласен. Я считаю, что в 90% случаев вы потратите деньги впустую. А как найти те 10% аудиторов, которые смогут действительно глубоко разобраться в сложной гетерогенной корпоративной сети на несколько десятков тысяч хостов, увидеть общую картину, понять наиболее серьёзные проблемы, расставить приоритеты и спланировать работу по исправлению этих проблем — я не знаю. Очень сильно сомневаюсь, что такие люди вообще существуют.
Тут за год работы внутри организации появляется какое-то смутное представление о том, как сеть устроена… А аудиторы редко больше пары месяцев проект ведут. Вот и думайте сами, что они там нааудируют.
Как по мне, так пусть уж лучше Олимпиаду организуют.
Надеяться, что ту же Олимпиаду за сто миллионов рублей организуют — это по меньшей степени наивно. Крымский мост — тоже вполне себе сложный проект, подобного в РФ не делали приблизительно никогда. Вот и стоимость соответствующая.
Вот и посмотрим давайте. Я сам по тому мосту ездил, ничего там не разваливается. Конечно, когда-то он рухнет, если его не ремонтировать (как и любое сооружение) — но не думаю, что это случится уже через 50 лет. Обещали, что должен прослужить сто лет без капремонта.
Безусловно. Но речь шла о том, что сложые проекты могут быть реализованы. То, что на них выделяется овердохрена денег с весьма низкой эффективностью их расходования — нормальная ситуация для любого проекта, в котором задействовано больше пары десятков человек (причём не только в РФ, это везде так). А на проектах такого уровня даже не тысячи конечных исполнителей участвуют — десятки тысяч.
И что там с мостом? Что-то не слышал, что он разваливается. Машины ездят, поезда ходят.
?
Как по мне — нормальный способ продвинуть Госуслуги в массы. Просто ещё один канал.