Архив метки: профдеформация

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации

Аленький цветочек и приоритизация уязвимостей в условиях неполной информации

"Аленький цветочек" и приоритизация уязвимостей в условиях неполной информации. Когда нашего сомнительного купца просят привести цветочек "краше не было на белом свете" он отвечает ровно так, как стоило бы отвечать Vulnerability Management специалисту на просьбу найти самую критичную уязвимость в инфраструктуре:

"— Ну, задала ты мне работу потяжеле сестриных: коли знаешь, что искать, то как не сыскать, а как найти то, чего сам не знаешь? Аленький цветочек не хитро найти, да как же узнать мне, что краше его нет на белом свете? Буду стараться, а на гостинце не взыщи."

Какую-то критичную уязвимость выделим, а вот гарантировать, что эта уязвимость будет наиболее критичной из существующих - тут извините. Способы детектирования и наши знания о характеристиках уязвимостей существенно ограничены. Не взыщите. И занимайтесь лучше безусловным патчингом. 😉

Ходили сегодня с семейством в театр на "Аленький Цветочек"

Ходили сегодня с семейством в театр на Аленький Цветочек

Ходили сегодня с семейством в театр на "Аленький Цветочек". Что-то я в детстве не обращал внимание как купец рассуждает о том, что гостинцы дочерям достать будет непросто. Вот про "золотой венец":

"— Хорошо, дочь моя милая, хорошая и пригожая, привезу я тебе таково‌й венец; знаю я за‌ морем такого человека, который достанет мне таковой венец; а и есть он у одной королевишны заморской, а и спрятан он в кладовой каменной, а и стоит та кладовая в каменной горе, глубиной на три сажени, за тремя дверьми железными, за тремя замками немецкими. Работа будет немалая: да для моей казны супротивного нет."

Со вторым подарком аналогично, только замков больше и с вооруженной охраной. 🤨

Так и хочется спросить: дядь, а ты точно купец? 😏 Кажется тех, кто занимается такой "работой", называют как-то иначе.

Сходили сегодня на "Сказки старого фонаря" в театр А-Я

Сходили сегодня на "Сказки старого фонаря" в театр А-Я. Музыкальный спектакль по мотивам сказок Г. Х. Андерсена «Принцесса и свинопас», «Оловянный солдатик, «Снежная королева» и «Старый уличный фонарь». Очень понравилось. Особенно сцена собеседования фонарщиков в начале, т.к. собеседования ИБшников напомнило. 🙂

Было 2 кандидата. Один из них заявил примерно следующее:

"Я из семьи уважаемых стекольщиков, разбираюсь во всем, что связано со светом. В школе учился на все пятерки. Вот мой аттестат, дипломы и рекомендации. Обязуюсь аккуратно исполнять свои обязанности и вовремя зажигать и тушить фонари".

Второй заявил:

"Мне нечего сказать кроме того, что я с детства хотел зажигать и гасить фонари, потому что это красиво и нужно всем людям. Обещаю, что буду стараться… А если вы не возьмёте меня, то я уйду из города и подамся в разбойники или пираты".

Взяли второго. Почему? Да фиг его знает.

Собеседование это во многом лотерея и никогда не угадаешь что в голове у собеседующего происходит и на что он в первую очередь смотрит. 🙂 Но упомянуть к какому делу у тебя страсть тоже никогда лишним не будет.

А потом по прошествии времени тот парень, которого не взяли фонарщиком, дорос до бургомистра города и устроил всем веселенькую жизнь (особенно тем, на кого был обижен).

И это тоже напоминание о том, что собеседование надо проводить корректно, уважительно, а не оттягиваться на кандидатах. Мир тесен (особенно ИБшный) и никогда не знаешь как у кого сложится и при каких обстоятельствах может жизнь дальше свести. Роли вполне могут поменяться на противоположные, тогда будет неприятно и некрасиво. 🙂

Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли"

Вынужденно смотрю много детских мультов, в частности "Маленькое королевство Бена и Холли". Понравилась одна серия про принятие риска ТОПом. Распространенный финт в Управлении Уязвимостями и в ИБ вообще. Посмотрите, всего 10 минут.

Серия называется Банти 2. Сюжет следующий. Мистер Эльф строит лодку Банти 2. Почему 2? Потому что первую лодку Банти съела рыба Большой-злой-Барри. Лодка идеально подходит для круиза по тропическим морям. Но как защитить её от Большого-злого-Барри? У Мистера Эльфа есть решение - "Банти 2 никогда не спустится на воду".

Защищаем уязвимый актив через ограничение (сетевого) доступа. Как это часто бывает с компенсационными мерами, выглядит это довольно по-дурацки, но задачу решает. 🙂 Почему не рассмотрели внедрение средств обнаружения и защиты история умалчивает. Можно предположить, что на это не было бюджета. Поэтому вот так.

Король Чертополох заявляет, что это нелепо и у него есть идея. Он заявляет Мистеру Эльфу:

- Как король я приказываю тебе спустить Банти 2 на воду и отправиться в тропический круиз.
- Но как же Большой-злой-Барри?
- Не бойся, если Барри съест Банти 2 я возьму ответственность на себя
- Что это значит?
- Будешь винить во всем меня
- Но, но…
- Чудно, тогда решено, мы едем в отпуск!
- Лаадно…

Т.е. ТОП пушит принятие решения по небезопасной эксплуатации актива, владельцем которого он не является. Владелец актива прогибается, при этом у него на руках нет ничего кроме расплывчатой устной договоренности.

Далее Банти 2 успешно уплывает от Большого-злого-Барри, но в итоге её съедает Гигантский Осьминог. Происходит диалог:

- Ааа! Моя лодка съедена, я же говорил вам!
- Нет, ты говорил, что её съест Большой-злой-Барри, но её съел Гигантский Осьминог.
- Это катастрофа…
- Не волнуйся, я обещал взять ответственность на себя и я возьму.
- И?
- И всё, я взял ответственность на себя.

Ущерб нанесен, никакого возмещения с ТОПа истребовать теперь невозможно. Крайним оказывается владелец актива. Чтобы было совсем по классике по итогам должно быть что-то от ТОПа: "Когда я говорил, что принимаю риск, я не понимал всей опасности, ведь не я же профессионал в этом, а вы! Это ваш актив! Зачем вы меня слушали? Это ваша вина!" Крыть такое особенно нечем. 🙂

Мораль для реальной жизни?

1. Не ведитесь на "я принимаю риск", "ответственность на мне".
2. Моделируйте что будет в случае реализации риска. Возможный ущерб лучше переводить в деньги.
3. Аккуратно фиксируйте договоренности, слова к делу не пришьешь. Предложение написать заявление по собственному с открытой датой на случай реализации риска обычно заставляет человека задуматься, а стоит ли упорствовать.
4. Подумайте что вы будете делать, если завтра этот ТОП сам уволится, а наследовать этот риск никто не захочет, не окажитесь ли вы при этом крайним.
5. Информируйте о происходящем CEO/Board. Возможно они вообще не в курсе и их точка зрения будет гораздо ближе к вашей, чем вы думаете.
6. Старайтесь не работать с чудаками.

Сходили с семейством на "Сказку о царе Салтане"

Сходили с семейством на "Сказку о царе Салтане". Ничего так. Про проблемы с ИБ в Saltan Inc. и крайне удачливый, но и крайне мутный IT-стартап GWI Done. 🙂

1. Проблемы с ИБ в Saltan Inc. видны с самого начала. Ключевой сервис GONE.c компании подвержен критической уязвимости, позволившей злоумышленникам провести атаку "человек посередине" (MitM) и выполнить действия от имени CEO Салтанова. Процедуры подтверждения решений не было, платёжка прошла, активы ушли в "бездну вод". Инцидент замяли. Крайним выставили CTO Гвидонова, которому пришлось покинуть компанию.

2. Гвидонов запускает стартап GWI Done. Разработка PoC ведётся в режиме жёсткой экономии и по Agile:

"Ломит он у дуба сук
И в тугой сгибает лук,
Со креста снурок шелковый
Натянул на лук дубовый,
Тонку тросточку сломил,
Стрелкой легкой завострил"

Гвидонову необыкновенно везёт, он знакомится с ключевым инвестором и будущим партнёром по бизнесу, влиятельной г-жой Лебедевой. Это предрешает успех всего предприятия. После первого успешного проекта получены инвестиции, гарантирующие развитие компании на годы вперед. За счёт этих средств успешно запустили блокчейн-платформу Belka.

"Из скорлупок льют монету,
Да пускают в ход по свету;"
"Князю прибыль, белке честь"

Силовую поддержку бизнеса обеспечивают, "братья" Лебедевой под руководством Черноморова.

3. Кульминационный момент это сделка о недружественном поглощения Saltan Inc. со стороны GWI Done. Ключевую роль здесь снова сыграли проблемы с ИБ в Saltan. Успешная APT атака позволила Гвидонову и Лебедевой получить доступ ко всем переговорам внутри Saltan Inc. в реальном времени (почта, месенджеры, сервис телеконференций) и купировать все попытки противодействия ТОПов Saltan. Не брезговали даже причинением лёгкого вреда здоровью ТОПов. В итоге Гвидонов и Лебедева успешно отжимают бизнес, расходятся относительно мирно с предыдущей командой, даже номинально оставляют в компании Салтанова, и продолжают жить-поживать, да добра наживать.

Мораль: связи решают, а проблемы с ИБ могут иметь самые плачевные последствия для бизнеса. 🙂

В прошлый раз про Данилу-мастера разбирал.

Сходили сегодня семьей на "Хозяйку Медной горы"

Сходили сегодня семьей на "Хозяйку Медной горы". Хороший спектакль, поучительный.

1. CEO Барин дает задание сделать вазу за месяц. Project Manager Приказчик спускает сроки as is. Junior мастер Данила порывается сдать проект за день. Senior мастер Прокопьич предупреждает джуна, что это приведет к проблемам. За день не за день, но Junior сдает проект значительно раньше срока, получает у проджекта задание ещё на 2 аналогичные вазы. В итоге за месяц выдают 3 вазы. Project Manager Приказчик молодец получает поощрение. Junior мастер Данила и Senior мастер Прокопьич получают втык за затягивание сроков по предыдущим проектам, трамбовать задач в них теперь будут больше и контролировать строже.
2. На второй усложненный проект вазы выделяется "хоть 5 лет", требования подтверждены ТЗ (чертежом). В итоге проект сдают за год. Планирование конечно атас, но хоть уже без дурных попыток нафигачить и сдать всё за день. Казалось бы джун Данила становится адекватнее. Но фиг там.
3. Помимо основной работы джун Данила придумывает себе pet-project. В текущих рабочих проектах он не видит красоты, архитектура не та, "сила камня не раскрывается". Фигачит в свободное от основной работы время вазу по дурман-цветку. Senior мастер Прокопьич предостерегает от нарушения work-life balance, т.к. нечем хорошим это не кончится - либо выгоришь, либо двинешься. Тщетно. Данила окончательно слетает с катушек, буянит и отъезжает, образно выражаясь, "к хозяйке Медной горы смотреть каменный цветок".
4. К счастью, история заканчивается хэппи-эндом. Прошедший процедурки Данила возвращается к производительному труду, женится на Екатерине, выращившей его из заведения "хозяйки Медной горы". И вроде даже обходилось без значительных рецидивов. "Только нет-нет - и задумается Данило. Катя понимала, конечно, - о чем, да помалкивала".