взлом через вентиляцию

[stas]

In the movies, the sight of a burglar sneaking into a building through an air duct is not uncommon; a hacker compromising credentials belonging to a HVAC company - not so much. Yet that appears to be what happened in the Target breach late last year. In this case, hackers are believed to have stolen network credentials belonging to Fazio Mechanical Services, a provider of refrigeration and HVAC systems, and used them to ultimately compromise Target's point-of-sale systems with malware.

Ну то есть не через вентиляцию, а через эккаунт вентиляционной фирмы, но проблема налицо - сегментация в большинстве промышленных сетей поставлена из рук вон плохо. Если снаружи внутрь ещё как-то уделяют внимание файрволлам и проч., то имея доступ внутри, у множества организаций ставить внутренние файрволлы и чётко разделять доступ с той же тщательностью, с которой это делается для проникновения снаружи, повсеместно ленятся. Все ж свои, что ж - за каждым чихом в IT ходить? Вот и получается. 

Comments

[leo-sosnine.livejournal.com]

Свои пореже, а вот контракторы это да

Эдуард Сноуден, например

[stas]

Ну да, в этом-то и самая проблема. Своих-то можно ещё кое-как насобачить на какие-то процедуры. Хотя в такой компании, как Таргет, и это наверняка непросто. А уж с контракторами - только держись. По уму надо было абсолютно отдельную сеть, наверное, делать для внешних контракторов и данные туда-сюда таскать с строгой фильтрацией. Но это ж наверное лень так делать.

[leo-sosnine.livejournal.com]

Ну они же экономят. Я читал, что у них ИТ зааутсорсено в Индию. Не удивлюсь, что часть проблем оттуда.

[meshko.livejournal.com]

Ну а что делать? Ведь и правда нельзя работать, когда за каждым чихом надо бегать в IT.

[stas]

Если б я знал, что делать, я бы был миллиардер.

[tejblum.livejournal.com]

Почему за каждым чихом? Пусть IT сразу дает права на то, что человек должен мочь делать. Ну, а если случайно каких-то прав не хватило -- сбегал один раз, права выдали, и больше уже бегать не надо.

и правильно не делают

[freedom_of_sea.livejournal.com]

бизнес несет миллионные убытки от паранойи айтишников и безопасности. Убытки же от взлома гораздо реже и как правило не зависят от принятых мер безопасности

[stas]

Таргет может не согласиться с этим утверждением.

[antontsau.livejournal.com]

причем убытки от упертых кредиток где-то в общей куче, если не вообще у банков, а стоимость паранойи, включая проблемы проистекающие из нее (пока контрактор добывал пароли-явки все холодильники в лабаще растаяли, а застрявшие в лифте кролики взбесились), на непосредственно низовом манагерке.

[eta-ta.livejournal.com]

ну я бы не торопилась с таким выводом. у меня был опыт работы с компанией, где царили security protocols. опыт ограничился 1 (одними) сутками, по собственному решению.

[stas]

Да там, похоже, не в протоколах дело, а в общем бардаке. А вывод такой, что безопасность правильно никто толком делать не умеет, получается.

[antontsau.livejournal.com]

как контрактор, причем в области секурок (охранки, access control и прочее), натурально подтверждаю - бардак фантастический. Универсальный код к охранке которые знает половина города, ключ (механический, аблоевский) открывающий все коммуникационные шкафы, серверные и прочие вкусные места по четверти Сиднея (их всего пять разных на весь город), доступ в смысле IT который выдается на контору-контрактора а потом неуправляемо расползается по всем ее сотрудникам, субконтракторам и хрен знает кому еще и тп.

Все потому, что контракторы. Отдельная структура, и что там в этой структуре творится - манагерки в самом гешефте не знают, не понимают и знать не хотят, "ты тут контрактор - вот ты этим и занимайся, у нас и так дел много, наша часть - инвойс оплатить и все!". Поэтому или все тотально закрыто-недоступно (этим славятся некоторые параноидальные сетевые лавки), или наоборот приходи кто хочешь бери что хочешь, сказал "я от пупкин секурити" - ну вот тебе ключ, распишись вот тут и иди ковыряйся.

а шо делать, шо делать. Для того, чтоб эффективно управлять этой секурностью (то есть не разрушать саму возможность что-то сделать, чтоб для 15 минут разовой работы надо было три дня бегать собирать подписи, ключи, пароли и явки, и с другой стороны чтоб не мог влезть вообще любой хрен с горы), необходимо слишком много и весьма дорогостояще работать. Понимать что да как, кто тут пришел и куда он собрался лезть, зачем ему туда лезть, что он там собрался делать (и в смысле физическом, и в смысле доступа в какой-нибудь компутер) и тп. И сколько это обойдется - в каждом лабазе держать персонал, способный во всем этом, по двум десяткам разных контракторов разной степени высокотехнологичности, хотя бы близко разбираться? Чтоб он там сидел, в потолок плевал, раз в неделю когда пришел очередной контратор что-то там выдавал-контролировал? Да все жабой удавятся. Держать его где-то удаленно, одного на город? Не работает, лажа получается, звонишь в секуркин мониторинг и докладываешь - "я пупкин, мне нужен код от охранки в этом лабазе"... и они его дают, так как все равно ничего проверить не могут.