Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

articles:exp-sec [2017/09/05 02:55] (текущий)
Строка 1: Строка 1:
 +====== exp-sec ======
 +<​sub>​{{exp-sec.odt|Original file}}</​sub>​
 +
 +====== мнение экспертов/​безопасность сети ======
 +
 +**A:**** Как сделать корпоративную сеть безопасной?​**
 +
 +вписать "​безопасность"​ в графу расходов и нанять лучших специалистов из всех имеющихся,​ а для подтверждения их компетентности периодически устраивать проверки в виде "​тестов на проникновение",​ включающих в себя не только непосредственные сетевые атаки, но так же социальную инженерию,​ попытку подкупа сотрудников,​ и т. д. это, конечно,​ не гарантирует 100% защищенности,​ но по крайней мере ликвидирует наиболее слабые места в линии обороны.
 +
 +**A:**** Где баланс между простотой и надежностью?​**
 +
 +чем проще система,​ тем меньше шансов у нее сломаться,​ с другой стороны,​ отказ предельно простой системы как правило фатален,​ а система с избыточностью способна выдержать даже значительные разрушения,​ сохраняя работоспособность при выходе из строя одного или нескольких узлов. в полной мере это относится и к безопасности. если сеть разделена на несколько зон, то атаковать ее намного сложнее,​ чем если в системе имеется только один брандмауэр,​ защищающий внешний периметр. с другой стороны,​ всякий защитный комплекс (брандмауэр,​ антивирус,​ etc) сам по себе является потенциальным объектом атаки. чем сложнее система защиты,​ тем сложнее убедиться,​ что в ней нет дыр, и тем выше вероятность проникновения хакеров сквозь охраняемый периметр. поиск баланса — очень сложная задача,​ не имеющая решений "​общего вида"​ и требующая,​ чтобы каждый случай рассматривался индивидуально. популярные решение "из коробки"​ зарекомендовали себя не самым лучшим образом,​ а все потому,​ что в каждом конкретном случае они оказываются либо недостаточными,​ либо избыточными.
 +
 +**A: ****Достаточно ли защиты по периметру с использованием фаерволов и VPN-устройств?​**
 +
 +ответ отрицательный. если мы говорим о корпоративной сети, то никакого "​периметра"​ у нее не существует и приходится иметь дело со сложной гетерогенной структурой,​ практически не поддающейся централизованному управлению и практически всегда в такой сети обнаруживаются уязвимые узлы, администраторы которых вовремя не установили заплатки или допустили другие фатальные ошибки.
 +
 +**A:**** Как бороться с "​инсайдерами"?​**
 +
 +бороться — сложно,​ можно даже сказать,​ практически невозможно. легче не допустить их появления. лояльность сотрудников к компании в значительной мере зависит от отношения компании к сотрудникам и если в них видят безликую рабочую силу, то и "​рабочая сила"​ видит в компании только безликое сооружение из стекла и бетона,​ "​сливая"​ конфиденциальную информацию при первой возможности на "​сторону"​. причем,​ инсайдеры зачастую обнаруживаются в самых верхних эшелонах власти. бороться с ними? под их руководством?​ это, случайно,​ не первоапрельский номер?
 +
 +**A: ****Что сейчас представляет основную угрозу сетям?​**
 +
 +Windows Vista, полностью переписанный сетевой стек которой таит множество еще неизвестных дыр, а поддержка инкапсуляции IPv6 "​ослепляет"​ множество существующих защитных систем и брандмауэры в том числе. В Висте уже обнаружен целый ряд фатальных дыр, вынудивших Microsoft на досрочный выпуск пакета обновлений и это при том, что Виста только-только появилась и хакеры ей только начали заниматься.
 +
 +