Архив за месяц: Январь 2023

Статья в Business Insider "Ищете работу в сфере технологий? Вот 10 позиций, которых вы, возможно, захотите избежать"

Статья в Business Insider "Ищете работу в сфере технологий? Вот 10 позиций, которых вы, возможно, захотите избежать". Среди прочего там внезапно "Cybersecurity analyst".

---

Что нужно делать: работа в области кибербезопасности обычно включает в себя защиту данных, программного обеспечения, оборудования и сетей компании от кибератак и угроз. Согласно октябрьскому отчету (ISC)², некоммерческой организации, которая специализируется на обучении специалистов по кибербезопасности, индустрия кибербезопасности достигла «рекордного максимума»: в ней работает 4,7 миллиона человек (цитата Fortune).

Средняя зарплата: в среднем $72 000 в год, согласно Indeed.

Что плохого: Лори Суонсон, генеральный директор службы технического обучения для женщин, сказала: «Вы тратите много времени на просмотр множества логов, а затем, когда вы думаете, что устранили критическую утечку данных, новый хакер стирает все хорошее, что вы сделали, мир не стал лучше, и вы вернулись на круги своя».

"You spend a lot of time reviewing a lot of logs and then, just when you think you've solved a critical data breach, a new hacker erases all the good you've done, the world is not a better place and you are back at square one."

От специалиста по кибербезопасности: «Могло бы быть и лучше, но, к сожалению, нас воспринимают как людей, которые не добавляют ценности компании», — написал на Blind человек, работающий в области кибербезопасности.

"It could be so much better but unfortunately just seen as someone not adding value"

---

С одной стороны, Business Insider клоуны, которые делают выводы на основе опроса клоунов. С другой стороны, про постоянный бег по кругу и скептическое отношение окружающих поймали довольно метко. 😅

Тусим в Кидбурге

Тусим в Кидбурге

Тусим в Кидбурге. Это детский центр с игровой профориентацией. Система такая: есть общее расписание, смотрим какая из активностей скоро откроется, подходим, там собирается группа детишек, они проходят с ведущим игровую обучающую активность на 15-20 минут, получают зарплату в игровой валюте. Повторяем пока ребенок не наиграется. По итогу отовариваем заработанное. 🙂

В целом круто, но есть куда развивать. По IT-шной части есть только инженер-программист с 7 лет. По ИБ-шной части вообще ничего нет, хотя можно было бы. Например, взять что-нибудь из стандартной cyber hygiene: пароли, обновления/уязвимости, опасный софт, опасное общение, что нельзя выкладывать и т.д. Возможно что-нибудь про анти-кибербулинг. Возможно какой-то игровой SOC, чтобы атаки на банкоматы ловить, чтобы позрелищнее. 🤠 Для тех, кто постарше можно лайтовый CTF изобразить. И все под брендом какой-нибудь реальной ИБ компании, типа Positive Technologies или Kaspersky. Вот это было бы классно. 🙂

Сходили сегодня на "Сказки старого фонаря" в театр А-Я

Сходили сегодня на "Сказки старого фонаря" в театр А-Я. Музыкальный спектакль по мотивам сказок Г. Х. Андерсена «Принцесса и свинопас», «Оловянный солдатик, «Снежная королева» и «Старый уличный фонарь». Очень понравилось. Особенно сцена собеседования фонарщиков в начале, т.к. собеседования ИБшников напомнило. 🙂

Было 2 кандидата. Один из них заявил примерно следующее:

"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".

Второй заявил:

"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться… А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".

Взяли второго. Почему? Да фиг его знает.

Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.

А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).

И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂

Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли"

Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.

Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".

Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.

Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:

- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз.
- Но как же Большой-злой-Барри?
- Не бойся, если Барри съест Банти 2 я возьму ответственность на себя
- Что это значит?
- Будешь винить во всем меня
- Но, но…
- Чудно, тогда решено, мы едем в отпуск!
- Лаадно…

Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.

Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:

- Ааа! Моя лодка съедена, я же говорил вам!
- Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог.
- Это катастрофа…
- Не волнуйся, я обещал взять ответственность на себя и я возьму.
- И?
- И всё, я взял ответственность на себя.

Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!" Крыть такое особенно нечем. 🙂

Мораль для реальной жизни?

1. Не ведитесь на "я принимаю риск", "ответственность на мне".
2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги.
3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать.
4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним.
5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете.
6. Старайтесь не работать с чудаками.

Глянул "Стандарт по защите облачной инфраструктуры" от Yandex Cloud

Глянул Стандарт по защите облачной инфраструктуры от Yandex Cloud
Глянул Стандарт по защите облачной инфраструктуры от Yandex Cloud

Глянул "Стандарт по защите облачной инфраструктуры" от Yandex Cloud. В части Управления Уязвимостями никаких откровений не увидел. Кроме того, что у них есть встроенный сканер для образов, правда непонятно на каком движке он работает. В его описании почему-то только про deb, но rpm дистрибутивы перечислены. Российских дистрибутивов в списке нет.

"При сканировании происходит распаковка Docker-образа и поиск версий установленных пакетов (deb). Затем найденные версии пакетов сверяются с базой данных известных уязвимостей."

Встроенный сканер для хостов тоже напрашивается, но видимо пока нет.

Указанное "решение в маркетплейсе" это ScanFactory Agent — сервис для мониторинга безопасности публичных IP-адресов и доменов, размещенных в Yandex Cloud (периметровый сканер). ScanFactory Agent каждый час выгружает список публичных IP-адресов и доменов и отправляет их в ScanFactory для анализа. Результаты мониторинга доступны в личном кабинете клиента.

По поводу поста зампреда комитета ГД по информполитике Антона Горелкина

По поводу поста зампреда комитета ГД по информполитике Антона Горелкина. "Все успешные операционные системы, которые существуют сейчас, разрабатывались без участия государств. Они завоевали рынок именно потому, что коммерческие компании были кровно в этом заинтересованы."

Если убрать за скобки действительно спорный контекст с выделением 480 млрд рублей Ростелекому, а рассмотреть написанное по существу, то можно отметить следующее:

1. "Все успешные операционные системы, которые существуют сейчас", если брать десктопы и смартфоны, произведены 3 американскими компаниями: Microsoft, Google, Apple. Как же так получилось, что компании все американские, и занимают большую часть рынка во всех странах мира. За небольшим исключением - мобильные ОС на основе AOSP в Китае и Red Star OS в Северной Корее. Такое положение американских компаний вызвано конкуренцией на свободном рынке? Или все же имеет место разумная политика протекционизма?
2. "Разрабатывались без участия государств". Если государственных денег на первый взгляд не видно это не значит, что их нет. Вливание миллиардов долларов в Microsoft через Department of Defence, например, видно вполне отчётливо (первая попавшаяся ссылка "Microsoft wins $10 billion US Department of Defense JEDI cloud contract"), часть этих средств безусловно идёт на разработку Windows. Будет неправдой сказать, что бизнес американского бигтеха строится на прямых вливаниях из американского бюджета, но и говорить, что американское государство в деятельности этих компаний не участвует и материально не поддерживает тоже нельзя.
3. Факт зависимости РФ от продуктов американских компаний на лицо. Сама собой ситуация не изменится. Альтернативные десктопные и мобильные операционные системы в мире есть, но значительную доли рынка они самостоятельно занять не могут и видимо не смогут. Если брать мобильные ОС, то кого реально интересуют Sailfish, PureOS, postmarketOS и т.п. кроме горстки гиков (я среди них)?
4. Теперь вопрос: а насколько это критично? Если это вопрос государственной безопасности (а мне кажется это так и есть), то нужно принимать чрезвычайные меры, чтобы ситуация конкретно в России изменилась. Чтобы у нас вдруг стало не так как во всем мире. Для этого колоссальные усилия нужно предпринять. В том числе и в законодательной плоскости, и в сфере регуляторики. Сделать разумный протекционизм, как в Штатах, но располагая гораздо меньшими ресурсами. Это не просто кому-то денег дать. И результат совсем не гарантирован. Если же для государства засилье американских операционных систем это в целом норм, то тогда конечно можно оставить все как есть. Но ожидать, что ситуация сама изменится в силу самозародившейся конкуренции на локальном российском рынке, как мне кажется, не стоит.

По поводу новости, что компания Microsoft разблокировала возможность скачивать дистрибутивы ОС Windows из РФ

По поводу новости, что компания Microsoft разблокировала возможность скачивать дистрибутивы ОС Windows из РФ. Ограничение доступа они ввели ~19 июня, сняли ~28 декабря. Это, по-моему, крайне скверно.

За 2022 год MS опубликовали отчёты (Defending ***: Early Lessons from the Cyber War, Microsoft Digital Defense Report), которые не оставляют никаких сомнений на какой эта компания стороне. MS больше не нейтральный глобальный IT-вендор. Нельзя по инерции продолжать их так воспринимать. Теперь это явный придаток американского государства. Для них Россия эта угроза. Не какие-то условные киберпреступники из России, а именно органы гос. власти. Они прямо пишут как они этой угрозе противодействуют. И много о чем, естественно, умалчивают. Другие компании из американского бигтеха себе такого не позволяют, это случай практически уникальный.

Я не большой поклонник блокирования доступа к каким-то ресурсам в Интернет, но в случае дистрибутивов Windows мне кажется это совершенно оправдано делать. Необходимо всячески способствовать сокращению доли ОС Windows в РФ при этом не навредив стабильности текущей инфраструктуры. Кажется, что ограничение на скачивание продуктов Microsoft (чтобы пользователи лишний раз задумались, а может ну его, может Linux-а хватит), а также дополнительные существенные сборы с продажи лицензий и новых устройств с Windows стали бы достаточно действенной мерой. Косвенно это подтверждают и сами MS, т.к. ограничения с их стороны были сняты явно не из-за человеколюбия, видимо что-то начало меняться в невыгодную для них сторону.