Аэрофлот все?

это все опенсорс, это колоссальные риски по ИБ имхо.

 

Сам по себе опенсорс, это хорошо.
Но риск в том, что многие уверовали, что там в интернетах для нас уже все написали и выложили.

Докер и Кубернетис, два очень сложно написанных примера.
Но на них все наши облака построены. При чем, Кубернетис написанный Гуглом, опубликованный как оперсорс, не совсем тоже самое, что используется самим Гуглом.

 

В техническом отношении ничего не дает гарантий, но открытый код для сертификации ФСТЭК дает возможность работать над ним и последовательно закрывать уязвимости. Это накладывает дополнительную ответственность на качество дебагинга (для производственников понятно как ОТК) Вендора ПО.
И такая работа ФСТЭКа и у вендоров того же Astra Linux, RedOS или 1С системно ведется.

 

Дык кто неволит то? Вперед писать ядро с нуля. Импортозамещай.
У нас в войсках используется форк RHEL - МСВС и, сопсно, Астра Линукс. Это ладно ещё системы, там до исходников перелопачено, но софт точно такой же опенсорс. В состав МСВС входит, внимание, мозилла.

Все это импортозамещение это лютое очковтирательство. Потому что фактически оно невозможно.

 

со всеми согласен.
но. аэрофлот это стратегическая считай гос контора. опенсорс там с точки зрения иб это лютые приседания, и то без гарантий.

 

Именно поэтому речь не opensource, а о продуктах российских вендоров которые продающие коммерческий продукт и отвечающие за его качество.
Да, на основе открыто распространяемого ПО с открытым кодом.
* Про "уверовали, что там в интернетах для нас уже все написали" читать смешно. Вы что не умеете читать конфиги linuxa, не понимаете ни grub, ни basha?
Чему там верить, можно самому все посмотреть и сконфигурировать как вам надо.

 

В корпоративном сегменте Российских компаний облака используются очень ограничено. Там где Я сам работал или сотрудничал политики компаний ограничивают размещение корпоративных ресурсов в облаках. Возможно использование только для не критичных сервисов.
Кстати есть очень крутое полностью отечественное облако. Сервис «1С:Фреш» (1С:Fresh).

 

Вероятно так и было, так и должно было быть.

Но, чтобы закрывать уязвимости, нужны свои собственные хакеры/пентестеры, спецы соответствующего уровня (частные исследователи, при этом, у нас рискуют попасть на зону, запрещено).
В любой нашей конторе, они просто ресурсы/персонал и т.п. с соответствующим отношением (как ко всем остальным).
Даже если такие и заводятся в штате, долго не работают (в госах это вообще исключено).

Сертификация ФСТЭК используется в основном, для преодоления созданных ограничений поставки продуктов в госорганы, критически важные системы и т.п.

p.s. Думаете у сабжа не было сертификатов, на все у них внедренное?

 

ну Sabre думаю остался, там же информация о старых бронированиях, просто поддержки нет вот от него и отказались, а сами БД никуда не делись, их и грохнули, я как то настраивал его лет 20 назад, очень муторная система.

 

Конфиги читать умею, и написанной лапше кода могу разобраться, и доработать.
Поэтому и говорю, что одними конфигами не обойтись. Оно часто не умеет того странного, что у нас изобретают.
Поэтому обвешивают скриптами на соплях, ибо так "быстрее" (и понятнее для принимателей решений).

Сам участвовал в такой разработке, в одном очень зеленом месте.
Оно кстати, похоже, будет фигурировать в расследовании.

 

Пентестеры официально работают в России. Компании о которых я знаю регулярно пользуются их услугами. Но тут надо сказать не все, а зря кмк.
Так вот по результатам white хаккеров системы ломаются в 95% случаях утечкой доступов, использованием паролей несоответствующих регламенту, компрометацией хэша, небезопасной настройкой интеграций и прочим не профессионализмом ИТ команды. И только 5% у серьезных корпораций занимают проблемы с уязвимостями самого ПО.

 

Тут соглашусь, но это проблема лечится только временем. Нужно время для формирования культуры разработки.

 

Время мы уже потратили.
На Аджайл, на Скрам, Канбан и т.п. неплохие методы для устранения конкуренции в разработке ПО.

Скрам, с его бесконечными авральными спринтами, не оставляет специалисту времени на подумать, устранить известные "долги".
В итоге, мы как на пожаре, гнали больше 10 лет. Выросли специалисты по скоростной лепнине.
Теперь нет людей которые могут собирать, анализировать требования, изучать смежные области (ох как надо сейчас), проектировать архитектуру ПО.

 

Не скажу, что нет. Но тема очень проблемная - это да.
Специалисты есть, но надо их правильно использовать.
Корпоративной культуры в разработке нет - это факт.

 

Все. Заканчивая, про разработку, хочу отметить еще пару проблем.

Первая, пришло поколение с клиповым мышлением, что значит, отсутствие аналитического мышления в голове.
Вторая, AI. Генерация кода с помощью агентов, прекрасное продолжение Скрама.

 

Пишут, восстановил аэрофлот работу. Как я и говорил, бэкапы у них есть.

 

это потому что они на LTO работали, по старинке, считай западные технологии спасли от краха, пусть хьюлет пакарду бонус зашлют.

 

Прилетел в 7.00 из Калининграда, задержка минимальная была на полчаса.

 

Было бы совсем позорно если бы не восстановили. Бонусом для НР всегда была стоимость их оборудования и система резервирования это еще и комплекс ПО (скорее всего не НР).

 

По моему ленты сейчас везде в любой приличной крупной компании. Самое главное, их не удалишь.
Но может и куда более оперативным бэкапом обошлись.
Коллеги молодцы.

 

Главное теперь не прилечь снова, через пару дней.

 

в чём они молодцы ? по хорошему там всех в шею гнать, профнепригодные.

 

Ебуронишь сегодня?
Молодцы - группа виртуализации. DRP-планы видимо отработали качественно.
ИБшники - да должны сделать выводы.

 

Какая ещё группа виртуализации ?)
Для этого люди специальные нужны?

 

Когда инфраструктура больше 100 физических серверов и больше 1000 виртуальных машин необходимо деление на группы поддержки.
Группа СХД, группа виртуализации, группа поддержки сетевых сервисов, группа антивирусной защиты, группа AD. и так далее.

 

Сб обосралась, а не технари.

 

Да, в таких компаниях узкая специализация.

 

С чего ты это взял? Там абсолютно все скомпрометировано.

Слушай, 100 серверов это не так много, могу предположить что большинство для хранения аудио\видео, сейчас всё автоматизировано, какие группы поддержки, ну вы прикалывайтесь что ли.
Антивирусная защита сейчас потоковая, любой межсетевой экран обеспечивает на лету. А вот AD у них действительно было, скорее всего ещё на древних серверах и через него всё и сделали, иначе и быть не могло.

 

Во первых, 100 это много. И дело не только в количестве, а в том что там конкретно, как оно устроено и как распределено. Во вторых, они лучше знают что конкретно у них увели, а никак не СМИ.
AD есть у всех. Она предоставляет все инструменты для своей защиты.