Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 4 След.
RSS
Почему Вайт-хэты и компании по информационной безопасности представляю
 
> Автор ты пишешь: "Безопасность позиционируют как противостояние Хакерам (с большой буквы)...."
>Не видел ни одного специалиста по ИБ, и более того, не видел ни одного руководителя, который бы позиционировал так Информационную Безопасность...
>Уже в общем то 3 года этим занимаюсь....

посмотри любое выступление в массмедии. обзац с РБК в
статье был приведен не случайно.
никто не говорит о упавших ораклах и системе
пожаротушения, поверь. а что безопасники позиционируют
лично там у себя в кабинете ? не знаю, наверное откаты.

>безопасностью в компании, в которой нет выхода в
>Интернет и к другим сетям общего пользования?
>тогда все Ваше "администрирование" моментально
>умерает после одной настройки серверов и ПО.
>а вот разработка канцепций, политик,
>методик анализа рисков и т.п. по прежнему
>будут необходимы...
>почему?

потому-что безопасники ничего другово делать не умеют.
закончится все подставным служащим с ettercap
на live-cd. но это врядли произойдет, так что не волнуйтесь.
кстати, в серьезных конторах, где действительно
ВАЖНА безопасность бумажная волокита с ИБ
- 5-10% максимум.
 
назови пример???

я лично могу привести в качестве серьезных компаний (организаций):
лукойл
ТНК-ВР
ВР
минздрав (щас иначе называется)
налоговая (иначе называется)
миграционная служба
.....


список куда больше... и у них, как раз, технических средств на 10 процентов. и это уж никак не бумажная волокита.
 
люди знаю для чего они все это покупают и как именно они будут этим пользовать!

есть куча телекоммуникационных компаний, у которых все четко регламентированно и все действуют строго по внедренной политике ИБ. одно удовольствие работать в таких компаниях.

всегда есть ответственный, с которого можно спросить и которого можно наказать!

а вот если нет документов, регламентирующих ответственность - это уже отсутствие какой бы то нибыло безопасности.

за live-cd - зач0т! ты по всей видимости никогда не видел сегментов аттестованных выше 1Г
 
Ладно устал я с тобой бодаться :-) я тебе одно пишу, ты мне другое, так не интересно...

Короче, Автор - найди себе нормальную работу! Поработай в серьёзной компании, где понятие ИБ не пустой звук и не запугивание "хакерами".... и будет тебе счастье.

Поверь мне, есть такие компании!
И не нужно ссылаться на какие то СМИ, которые якобы "позиционирую ИБ как борьбу с хакерами"... Ты ведь понимаешь, это же СМИ, они ничерта не понимают в ИБ. Слушать нужно только себя. Ибо ты Специалист по ИБ - и только твой здравый смысл определяет необходимость тех или иных мер.
 
>люди знаю для чего они все это покупают и как именно они будут >этим пользовать!

так сложилось, что it-шники редко выбирают продукты, c которыми
им приходиться работать. это я к слову..

>есть куча телекоммуникационных компаний, у которых все четко >регламентированно и все действуют строго по внедренной >политике ИБ. одно удовольствие работать в таких компаниях.
>всегда есть ответственный, с которого можно спросить и >которого можно наказать!

конечно хорошо, когда всегда знаешь кого можно уволить.

>а вот если нет документов, регламентирующих ответственность - >это уже отсутствие какой бы то нибыло безопасности.

а кто говорил про их отсутствие? я говорил про их бесполезность
в техническом плане. обеспечение РЕАЛЬНОЙ безопасности - процесс БОЛЬШЕ технический. вся эта мешура с безопасностью на самом деле
держится лишь из-за одного простого факта - угрозы
по большей части выдуманы (а реальные довольно легко устранимы).

>за live-cd - зач0т! ты по всей видимости никогда не видел >сегментов аттестованных выше 1Г

их наверное никто не видел.

>назови пример???
>я лично могу привести в качестве серьезных компаний >(организаций):
>лукойл
>ТНК-ВР
>ВР
>минздрав (щас иначе называется)
>налоговая (иначе называется)
>миграционная служба
>.....

мне трудно сказать.. например защищенные системы связи
высоких чиновников. (именно официальные так сказать).
(кроме англии :))). внутренние сети спецслужб (вроде nsa или любых других).
а все почему? потому-что есть РЕАЛЬНЫЕ угрозы - разведка
и внешние спецслужбы, а также СТОИМОСТЬ данной информации.
здесь я опять же говорю о том где (на мой взгляд) безопасность
превыше вообще чего бы то ни было. конечно примеры эти
можно пересчитать по пальцам.

>список куда больше... и у них, как раз, технических средств на >10 процентов. и это уж никак не бумажная волокита.

что вы мне пытаетесь доказать? что регламенты и внутренние политики смогут противостоять РЕАЛЬНОЙ угрозе? что это важнее технических средств защиты? это только прокатывает в борократических конторах которые вы назвали, вроде нефти и гос капиталистов. и в принципе так оно и должно быть. реальная безопасность необходима единицам, другие же просто отделываются политиками и регламентами и покупкой сертифицированных продуктов. это вполне нормальный баланс. просто как таковых
угроз для этих секторов практически нет (я говорю в контесте
каналов связи и внутренних данных спецслужб). по крайней мере
я себе это так представляю, в чем-то могу ошибаться.

ладно спорить я думаю бесполезно.
 
я сделал один вывод относительно данной статьи. Считаю, что мысл донесена достаточно явно:

"со мною не поделились откатом за внедрение, поэтому, господа, прошу помочь бедному "специалисту" по ИБ"
 
Это на подобии почему до сих пор не могут изобрести хороший электромобиль - потому что заговор нефтяников.
 
Скажите мне, Делает Путин что-нибудь для того что бы стать президентом ещё раз?
А поставляет ли Россия оружие в Иран?
Вырастут цены на энергоносители или нет?
Что там затеяли "Русал" и "Суал"?
Что на поверхности известно всем. Но что на самом деле происходит?
Сисадмина эти вопросы не должны интересовать. Его задача не допустить утечки информации. Но если он думает что за информацией охотятся только хацкеры, то видимо работает на фабрике, выпускающей «ночные вазы», и с регламентами и внутренней политикой не сталкивался.  
«так сложилось, что it-шники редко выбирают продукты, c которыми
им приходиться работать. это я к слову..» it-шники в таких вопросах обычно не рубят вовсе? Ты из их числа?
О политике и регламенте « что вы мне пытаетесь доказать? что регламенты и внутренние политики смогут противостоять РЕАЛЬНОЙ угрозе?» Недавно проведенный простой эксперимент:
По дороге в учреждение разбросали флэшки с «Нужным» софтом.
Результат весь программно-аппаратный комплекс по защите был дискредитирован.
Инспектирующая компания получила все что нельзя. Политика и регламент определяют насколько велик риск человеческого фактора.
 
молодец. разорвал мозги.  :o я тебя узнал  :D
 
Статья мне понравилась, где-то я про подобное уже слышал... А, вот: http://www.ranum.com/security/computer_security/editorials/dumb/

НЕ согласен, что безопасники не нужны вообще, но согласен, что грамотного админа, зачастую, достаточно (где же его только взять...).  Проблема только в том, что безопасность- достаточно большой пласт знаний (не мне вам, считающим себя специалистами по безопасности, это говорить), который, в общем-то админам не очень нужен. Задача админа - чтобы система работала и все. Если она работает плохо и иногда ломается - может даже ему это и неплохо, так как - это тоже некий способ выбивания денег из бизнеса на ИТ-инфраструктуру и все что с ней связано. В общем, закончить эту мысль хочу тем, что безопасник нужен х/б за тем, что он знает то, что админу знать по долгу службы не нужно.

Далее, в корне не согласен с мнением про стандарты. Если пугают иностранные названия, то предлагаю рассматривать стандарты просто как наборы сведений о граблях, на которые другие уже наступили и на себе проверили набор мероприятих по минимизации вероятности наступания на грабли. Мы же все знаем поговорку, что Умный учится на чужих ошибках, а Неумный - на своих. (Правда, опыт показывает, что Нормальный учится на своих ошибках, Неумный не учится вообще, а Умных очень мало, но - это другая история) Так вот, стандарты - только для этого.

Далее, про вендоров, тулы и консультантов. Согласен, что многие вешают много лапши. Но, среди предлагаемых решений есть действительно хорошие вещи. И, если мы считаем себя специалистами, в наших силах научиться отличать Вещь от профанации, и попытаться предсказать будущее :-))

Тем не менее, считаю, что необходимо поблагодарить автора за интересные умозаключения, позволяющие смотреть на вещи шире.

Спасибо за внимание, надеюсь я никого не утомил.
 
>«так сложилось, что it-шники редко выбирают продукты, c >которыми
>им приходиться работать. это я к слову..» it-шники в таких >вопросах обычно не рубят вовсе? Ты из их числа?

подобная практика существует в любой крупной компании.
если что действительно нужно, обычно юзают крякнутое поделье.
в примеру в минфине есть крякнутый arcserv. а также
множесто закупленных сертифицированных российских говноразработок за боснословные деньги. выводы делайте сами.

>По дороге в учреждение разбросали флэшки с «Нужным» софтом.
>Результат весь программно-аппаратный комплекс по защите был >дискредитирован.

ой лол ).

не, спор чеснослово не стоит того.
я рад что мой материал дошел до читателя.
 
Цитата
вспомните что было 3-4 года назад - сплошные
паблик сплоиты выкладывались.. одни dcom haxors чего стоят..
сейчас такое уже невозможно. через 3-4 года будут только
организованные группы "хакеров", и пусть таких групп будет
не много,
но это будут действительно Хаккеры так сказать..[quote]
Так и будет. Безопасники могут и не верить, потому что безопасники, но так оно и будет. Все уходит в коммерческую область...

[quote]По дороге в учреждение разбросали флэшки с «Нужным» софтом.
Результат весь программно-аппаратный комплекс по защите был дискредитирован.
Спалили фишку ))))  Можно и подругому. Я заходя в учреждение, оставлял CD у охраны, типа знаю, что проносить нельзя, пусть у вас полежит, вечером заберу.. Они его обязательно запихнут, и готово...
СоцИнженерия как всегда рулит ))))

Цитата
Эту «полную меру» и должны (по моему) дать те сертификаты и лицензии от соответств. структур гос-ва о которых нелестно отзывается автор.
Видел типов, которые возле своего рабочего места всю стену обвешивали сертификатами, при этом сами являясь полными далбоебами...
 
Уважаемый "аффтар" описал самую обычную нынешнюю жизнь:
а) хакерство криминализуется
б) поэтому преступления больнее бьют по владельцам ценной информации
в) в результате больше денег вкладывается в ИБ
г) а там где много денег, там и появляются мошенники (откаты и пр.), дутые специалисты и т.д.

Такую ситуацию можно найти и не только в ИБ. Пустая статья...

Вывод: "аффтару" идти пить пиво с друзьями (ведро), если не поможет и оптимизм не появится, то йаду в одиночку (ведро)
 
Что-то в этом есть. Но с таким пох...мом относиться не стоит.Да и бабки мона состричь )))). (Кстати, сам тож в этой сфере учился)
 
Сколько же мути. Сколько же мути в комментах. Автор писал статью, чтобы среди этой мути проявилась Суть - но она никому не нужна. Всем нравится плавать в мутной жиже...

Автор, не стоило вообще публиковать эту статью. Это как порнография для импотентов. Такой контент можно содержать только в non-disclosure.
 
Забыл я основное.

Респект! Тысячу раз респект!

И вот: я в принципе не требую, но если не затруднит, стукнись в асю 261756101. Можно анонимно.
 
Конечно, все аспекты ИБ в данной статье не раскрыты. Хотя, судя по комментам, автор не ставил перед собой данной задачи. Кроме того, если пытаться рассказать про все то, что хотело бы в этой статье увидеть большенство комментирующих, на это уйдет уйма времени, да и асилеть такую статью будет проблематично.
А насчет псевдосекурсофтиндустрии я согласен на все 100%, особенно это касается антивиров/фаеров/антиспаев. Сам выкладывал подобный контент на варезе... Блин, сколько этой х..ни создано, реально защищают единицы, у большинства огромные базы, в которые забивается всякая муть. Прикиньте, как классно иметь софтину, которая защищает от миллиона-двух вирусов. И за все это просят неплохие деньги. И что самое прикольное - эти деньги они получают. Как все происходит. Приходит Вася к директору/нач. ИТ отдела (Вася шарит в соц. инженерии и идет к тому, кто считает себя очень умным!=таковым является и занимает высокое положение, т.е. к тому, который при должном загрузоне никогда не спросит совета у более знающего человека) и долго и упорно втирает про всякие сертификаты, 1-е места на каких-то там секурных порталх (админ'с чоис), про то, что у данной софтины вся грудь в орденах и т.п. Итог - ненужный софт, который есть, но толку от него болт. А денежки ушли.
Вобщем GL и GG.
 
глубокоуважаемый аффтаръ! (вообще-то вас двое, и я обращаюсь ко второму)

совсем не смешно, а очень даже грустно наблюдать как ты тут разводишь сопли вперемежку с говном, надрывно стеная: "ах, меня не оценили по достоинству, ах, я умнее всех, я самый-самый умный, а вы этого не признаёте!" вот почему-то именно такие люди как ты занимаются компьютерной безопасностью и во всяко-разных СМИ формируют мерзостный сероводородный имидж специалистов по компьютерной безопасности (злобных и жадных до маленьких денег компьютерных бездарей), а от этого совсем-совсем грустно :(

молодой человек, мой тебе добрый, ласковый совет: займись собой! докажи не на остро пахнущих дерьмом словах, а на реальном деле. что ты умнее всех, что ты самый-самый умный! не клянчи у других людей исходники трояна, а вместо этого научись чему-нибудь и выйди на рынок с чем-то принципиальным, серьёзным и эффективным! и тебя признают, и денег дадут (ещё больше чем откатили во-о-от тому менеджеру что проект по антивирусу впарил!), и будешь доволен и счастлив жизнью.

и отпадёт у тебя нужда в написании этого дерьма, который ты опубликовал, опустив не только самого себя до уровня подзаборной шавки, но вместе с собой и своих коллег (к которым я имею -- скорее всего несчастье -- относиться).
 
Если ты это мне писал, то спасибо конечно за ответ. Но ты не совсем правильно меня понял. Во первых - мне абсолютно без разницы кто из производителей сколько загребает. Меня раздражает, что на это покупаются знакомые мне люди. Самым умным я никогда не был и так не считаю. Далее, имидж специалиста по безопасности я не испортил, т.к. таким не являюсь и в будущем не собираюсь им становиться. Так что насчет своей чести не беспокойся. Ну а насчет впаривания, что ж поделать, если это правда. Удачи. Научись лучше разбираться в людях, прежде чем писать всякую лабуду.
 
Я это автору писал
Страницы: Пред. 1 2 3 4 След.
Читают тему