Чи є параноїком необхідна «якість» для адміністраторів Sys / Net?

• Чи вважається те, що Paranoid (невизначена) "вимога" для адміністратора Sys / Net (очевидно, з міркувань безпеки)?

• Чи є така річ, як бути надмірно параноїчною? Або ми повинні довіряти оточуючим і не повністю зупинятися на опитуванні сценаріїв через шизофренічні окуляри?

  Чи є "середина" для цієї характеристики, коли мова йде про безпеку? (в основному, я запитую, кого б ви найняли?)

ОНОВЛЕННЯ: Я не очікував, що люди так сильно наголошують на слові "PARANOIA" . Будь ласка, не зупиняйтесь надто на цьому, я міг би використати інше слово, але Параноїя - це слово, яке ми зазвичай використовуємо із захистом. Я чув "занадто параноїдальний" і "потрібно бути більш параноїчним" від групи ІТ-фолк.

Параноїя - це нефункціональна риса особистості, коли людина є безсумнівною або недовірливою. Діяти без причини - це антитеза хорошого СА.

Системному адміністратору необхідно глибоко розібратися в системах, які вони підтримують, і бути в змозі швидко проаналізувати проблеми відповідно до вимог бізнесу, оцінити ризики та прописати дії для зменшення проблем / ризиків / тощо. SA також потребує розуміння систем, щоб швидко розробити теорії, щоб керувати процесом усунення несправностей, але також повинен приймати рішення на основі зібраних фактів.

Іноді ці обов'язки змушують виглядати параноїдними на поверхні.

Ти лише параноїк, поки це НЕ ПОВЕРНЕНО ... після цього ти просто "добре підготувався". ;-)

Критичне мислення - це необхідна якість для хорошого СА. Очевидно, що клінічне визначення параної не є тим, що просили ОП, але навіть загальне визначення не є "необхідним".

Для некваліфікованих очей може бути незначна різниця між параноїдальним СА та тим, хто критично мислить такі питання, як безпека.

Приклад: Я блокую вихідний SSH, оскільки я розумію, що можна зробити з тунелюванням SSH. Мені відомі SA, які блокують його, оскільки "це ризик для безпеки", не знаючи, у чому полягає специфіка цього ризику. Чи я кращий SA для розуміння ризику? Можливо, але наприкінці дня ми обоє вчинили однакові дії.

Частина мистецтва бути SA - це знати, коли те, що вам сказали, вимагає більшого розслідування, перш ніж діяти, і коли інформація достатньо достовірна, щоб негайно діяти.

Я вважаю, що прагматична параноїя є здоровою рисою у сисадміна. Думати про погані речі, які можуть статися, і як їх уникнути, може бути надзвичайно корисним - думка про безпеку та інші потенційні проблеми робить систему більш надійною.

Хитрість полягає в тому, щоб присвоїти ваги та ймовірності можливим результатам. Ви повинні вміти оцінювати ймовірність проблеми, ступінь тяжкості результату, якщо вона виникає, та вартість її уникнення, а потім приймати прагматичні рішення, виходячи з цих доходів. Бути розумним параноїком щодо основних даних компанії - це розумно. Нерозумно параноїзувати те, що хтось потрапляє до списку корпоративних свят компанії, здається нездоровим.

Ви повинні збалансувати безпеку та зручність використання.

Якщо ви керуєте мережевою інфраструктурою банку, вам потрібен більший захист, але ви також можете дозволити собі більшу безпеку, оскільки це коштує грошей на навчання користувачів, придбання та встановлення нової технології тощо. Якщо ви використовуєте мережу студентів університету, ви можете легко дозволити собі, скажімо, не роздавати студентам RSA SecurID (маркери часу) для входу в систему. Це просто не потрібно.

Так, я використовую повне дискове шифрування на всіх моїх (робочих, несерверних) машинах із включеними доступними функціями знищення даних, навіть на моєму iPod. Чому? У мене є конфіденційний список контактів, електронні листи, комерційні таємниці та матеріали, на які поширюються угоди про нерозголошення деяких машин.

Однак, коли я був студентом магістратури, що не мав нічого, крім моїх (не для публікації) паперів, щоб зберегти, я ніколи не пішов би до таких обставин. Однак у середній школі з можливими новельними / патентованими документами чи публікаціями для публікації ви можете скористатися дещо безпечнішим підходом.

Soapbox: Я також знаю небагатьох людей, які використовують великі інструменти, такі як 256-бітове шифрування повного диска, а потім використовують механізм резервного копіювання, який зберігає їх дані в явному або гіршому випадку на деякому випадковому ненадійному віддаленому сервері. Весь ланцюжок важливий!

Це вимагає вміння думати з точки зору того, що може піти не так, а не з того, що ви хочете піти правильно. Цей стиль мислення часто здається параноїчним для тих, кому не потрібно займатися цим. Професійна небезпека.

Якщо ваші практики адміністрування систем насправді ґрунтуються на ідеї, що люди активно змовляються нанести вам шкоду, хоча ви, можливо, занадто параноїчні. :)

У будь-якій організації, що має значні масштаби, довіра неминуче делегується далеко від системного адміністратора з практичних (а іноді й інших) причин. Наприклад, надати службі довідки можливість обробляти скидання паролів та блокування облікових записів або дозволяти автоматизації управління ідентифікацією обробляти вмикання / відключення облікового запису, що вимагає делегування цієї здатності до типів HR. Коли ви приводите нового адміністратора на борт, добре бачити, наскільки вони комфортні з рівнем делегації вашої організації.

Зрештою, у системного адміністратора повинно бути достатньо настрою для безпеки, щоб зателефонувати на щось, що звучить підозріло, навіть якщо воно походить від керівника вищого рівня. Те, що ми робимо, є частиною апарату інформаційної безпеки, де ми працюємо, і це повинно бути частиною нашої роботи [1]. Існує рівень довіри, який потрібно встановити між особами, які приймають рішення, та виконавцями, інакше все може опуститися в жорстку параною.

Адміністратори, які не довіряють квасолі, напевно, не повинні бути у більших організаціях, де технологією займаються кілька людей.

[1] Якщо це не так. Деякі організації делегували InfoSec у спеціалізований відділ, з якого видаються доручення на марш відповідним сторонам.

Якщо ви думаєте про безпеку, то немає такої речі, як занадто велика параноїя.

Окрім цього, я намагаюся "злегка параноїдальний реалізм" над песимізмом (я буду оптимістичним, коли є підстави бути таким, песимістичним інакше, і можу принести користь сумніву при нагоді і підвищити легкий песимізм до нейтралітету чи нейтралітет до м'якого оптимізму).

Хоча стара приказка, ніж песиміст, ніколи не розчаровується, зазвичай не помиляється.

Параноя, з точки зору вашого питання, виправдана.

Занадто параноїя може бути проблемою. Оцінка ризику повинна стати рушійним фактором безпеки. Ви не завжди можете просто зафіксувати все задля його блокування. Ви повинні виміряти ризик з точки зору:

• Конфіденційність - наскільки важливо зберігати щось таємне?
• Наявність - наскільки важливо, щоб люди могли працювати з чимось у будь-який момент?

Конфіденційність - це легка. Ми маємо свою інформацію. Це наше, а не ваше. Тримайте свої миші від цього і не тримайтеся поза моєю мережею.

Доступність часто не помічається і зазвичай є жертвою у разі надмірної параної. Якщо ви встановите заходи, настільки обмежуючі та забороняючі, що ваші власні люди навіть не можуть робити речі зі своїми даними, то це може бути так само погано, як і втрата даних, що призводить до втрати часу, ресурсів, виробництва тощо.

Має бути середня пара для параної, стільки оксиморону, скільки це звучить. Ви не можете мати надмірно параної та займатися бізнесом. Надпараноїя належить до теоретичних та наукових наук, де можна розробити та представити доказові концепції. Здорова параноїя приймає ці поняття і фільтрує їх за допомогою спеціальних оцінок ризику, щоб забезпечити ефективне рішення.

Так.

Я думаю, те, що ви насправді отримували, - це те, що мозок людини переходить у режим довіри чи недовіра? Сисадмін бореться зосередженим, непомітним потоком аферистів довіри. З веб-сайту, який намагається роздавати зловмисним програмам вашим користувачам, до малюнків ботів та малюнків скриптів на вашому брандмауері, все полягає в тому, щоб утримати організацію не переконувати ваші системи та користувачів, що вони надійні .

Ми не встановлюємо за замовчуванням, натискаємо кнопку "спеціальна". Ми не надаємо доступу, а потім звужуємо «відомі погані» порти, закриваємо все це, а потім відкриваємо все необхідне, поки воно не працює. Ми не натискаємо "Так", якщо для цього немає вагомих причин. Ми відмовляємось.

Є багато полів, де ви повинні вважати найгірше. Правові та медичні працівники також не можуть сприймати те, що кажуть люди за номіналом.

Наша полярна протилежність - це дорогий довірливий користувач, який бачить, що поле спливає зі страшними попередженнями і припускає, що поле призначене для того, щоб допомогти їм.

І коли хтось задається питанням, чи потрібно це - скільки інших ділових функцій отримують, щоб заборонити першочерговий доступ власникам / віце-компаніям компанії? Для нашого власника було б цілком розумно мати ключі від кожної двері та шафи в цій будівлі, але він не може мати права адміністратора домену. Для мене це визначає відповідну «параноїю».

відмова від відповідальності: можливо, можуть бути довірливі типи, які є ідеально зоряними адміністраторами, але ті, кого я зустрів, які справді виділяються, усі мали дуже здорову тенденцію у зворотному напрямку

Те, що ви називаєте параноїєю, ймовірно, пов’язане з тим, що Брюс Шнайер називає «Безпекою розуму» . Цитуючи його допис у блозі:

Безпека вимагає певного мислення. Фахівці з безпеки - принаймні хороші - бачать світ інакше. Вони не можуть зайти в магазин, не помітивши, як вони можуть покупитись. Вони не можуть користуватися комп’ютером, не замислюючись про вразливості безпеки. Вони не можуть голосувати, не намагаючись придумати, як голосувати двічі. Вони просто не можуть у цьому допомогти.

Особисто це залежить від вашого параноїка, як DBA мої побоювання стосуються втрати даних, простоїв та якості даних. Тож я вважаю себе параноїком щодо того, що може піти не так, а створення планів на випадок надзвичайних ситуацій просто означає, що я витрачаю менше часу на значні проблеми пожеж.

Але, як говорить 3-вплив, це питання пошуку правильного балансу між ризиками, очікуваними втратами та ресурсами для захисту від будь-якої сприйнятої чи реальної загрози.

Я не зовсім впевнений, що параноїя - це правильне слово. Ми всі, в різній мірі, знаємо про погане, що може і трапиться з нашими дорогоцінними мережами. Все, починаючи від згубних дітей-скриптів до добре значущих користувачів, існують там, щоб викликати хаос і заворушення, тим самим зробивши нашу роботу жорсткішою і змусивши начальника зазирнути в ту аутсорсингову фірму, про яку він так багато чує (кажучи про параноїдальних ...: - )

У своїй кар'єрі я виявив, що довіра надходить лише настільки, наскільки вона зловживала (наприклад, молодший сисадмін, який надає пароль адміністратора обмінним серверам менеджеру, який "просто хоче оглянути"). Люди, які раніше зловживали їхньою довірою, набагато рідше повторюють її. Застосуйте це до організацій, і ви можете побачити, коли вперше хтось знімає мережу з погано приуроченим гафом, спричиняє падіння регуляторів зверху, на відміну від дощу, який падає з тихого північно-західного неба (англійський майор повернув Tech тут).

Взагалі кажучи, короткий вислів про психологію, технології та управління короткою фразою: Найбільше плутає параноїя - це сильне почуття обережності, укріплене знаннями про те, що може (і швидше за все HAS) піти не так.

Якщо ви використовуєте це визначення:

параноїя: психологічний розлад, що характеризується маренням переслідування чи величі

.. тоді ні, параноя - це не те, що ти хочеш у сисадміні.

Що ви хочете, імхо, це системний адміністратор, який розуміє кілька речей щодо безпеки:

• Системи та дані мають різну цінність для постійного добробуту організації.
• Розуміння цих відносних значень є першою частиною рівняння безпеки. Чим вище значення, тим важливішим є усвідомлення ризиків для системи та / або даних.
• Усунення ризиків зазвичай передбачає компроміс. Комп'ютер, укладений у цемент, настільки "захищений", що ніхто не може ним користуватися. Тож "безпека шляхом введення в цемент" є чудовим прикладом забезпечення активів настільки сильно, що він втрачає всю цінність для організації.
• Власні практики адміністратора є частиною цього рівняння компромісу. Простий приклад: адміністратор, який зберігає всі важливі паролі в голові, є відповідальністю: що робити, якщо його голова вибухне? Як компанія продовжить вигідне використання активів тепер, коли ліквідований sysadmin = видалені ключі від королівства.

"Параноїя", як визначено, вражає мене нездатністю належним чином підтримувати баланс ризик / винагорода. Я не хочу працювати з параноїдними колегами. Я хочу працювати з людьми, які вміють передавати ризики, балансувати проти винагород та формулювати чітко сформульовані плани та політику для досягнення оптимального балансу між безпекою та вигідним використанням активів.

Це, звичайно, надто параноїчні люди. Це ті, які фіксують кожен крихітний шматочок і перешкоджають продуктивності всіх інших для забезпечення максимальної безпеки.

Але я, звичайно, вважаю, що потрібна кількість параноїї вигідна.

Справа не стільки в тому, щоб бути параноїком, скільки зрозуміти, кому ви довіряєте, і наскільки ви їм довіряєте.

Чи я / ми виконуємо повний аудит безпеки вихідного коду на кожному патчі до моїх систем Linux? Ні, тому що я їм довіряю, а також тому, що те, що я захищаю, не гарантує такого рівня зусиль. Чи варто тестувати виправлення в тестовій системі, щоб знайти які-небудь приховані проблеми, перш ніж оновити живі сервери? Так, тому що є обмеження в тому, наскільки я їм довіряю (і я сам їх правильно застосувати з першого разу).

У мене / у нас є міжмережевий екран між нами та Інтернетом? Так, оскільки людей там багато, я явно не вірю.

Я думаю, що ви повинні бути в курсі всіх можливих ризиків для безпеки, від паролів користувачів до соціальних інженерій до зовнішніх спроб злому. Ви називаєте це. Мало того, але ви також повинні бути готові до "наступної великої речі" ... завжди думайте наперед. Це зробить вас різними, але це ваша робота.

Поліцейський більше знає, що відбувається навколо нього, ніж представник служби обслуговування клієнтів. Ви повинні бути однаковими. Це ваша відповідальність, і коли все йде в пекло, то це сталося на вашому годиннику.

Ні, це не так, але ми всі бажаємо, щоб це було.

Пам’ятайте, що безпека багато в чому залежить від доступності - що включає забезпечення доступності того, що користувачеві потребує доступу. Йдеться не лише про те, щоб заборонити все.

Кожен, хто в даний час здійснює безпеку в мережевих комп'ютерних системах, повинен бути лише трохи параноїком - якщо ви цього не зробили, ви не звертали уваги. Однак, це може бути занесено занадто далеко. Ви повинні знайти баланс між безпекою та зручністю використання.

Ще один спосіб подумати над темою: ви не тільки запобігаєте зловмисній діяльності, ви запобігаєте випадковій діяльності. Аварії набагато частіше, ніж вторгнення.

Зрештою, зводиться до одного: ви відповідаєте за захист систем і даних свого роботодавця, і вам потрібно зробити все необхідне для досягнення цієї мети, незалежно від того, що можуть позначати інші.

Я не впевнений, чи потрібна параноїя риса ... але це, мабуть, допомагає. Але я думаю, що важливо, щоб хтось міг визначити потенційні проблеми безпеки, вектори нападу / порушення тощо.

Існує рівень довіри між працівником та роботодавцем, але в той же час я є великим шанувальником моделі захисту найменших привілеїв. Тож довіра йде лише настільки далеко. Після того, як трапляються всі нещасні випадки ... користувачі випадково видалять або переміщуватимуть цілі дерева каталогів, якщо у них є дозволи на це.

Але слід досягти рівноваги між безпекою та відстороненням людей, які роблять свою роботу.

Я більш параноїчний щодо чогось невдалого, що обіцяв мануф, що не зірветься. тож у мене завжди є кілька резервних копій за межами сайтів, і я перетинаю резервну копію на інші файлові сервери для надмірності. Наприклад, гарячий сервер вийшов з ладу. гд

par · a · noi · a (pr-noi) n. 1. Психотичний розлад, який характеризується маренням переслідування з величчю або без неї, часто наполегливо захищається очевидною логікою та розумом. 2. Надзвичайна, ірраціональна недовіра до оточуючих.

Тепер, якщо ви параноїк чи параноя, ви, мабуть, не знаєте про все, що можна зробити, щоб забезпечити безпеку.

Моя рекомендація:

Патчі! Патчі! Патчі! Патч все, від робочих станцій до серверів! Особливо, якщо вони стикаються в Інтернеті! Переповнення - це звичайний спосіб отримати контроль над системами, і надто часто вони трапляються лише на критичних веб-серверах. Застосовуйте патчі для всіх систем за допомогою GPO та ще краще розгортайте внутрішній сервер WSUS, який часто оновлюється, і таким чином ви можете відслідковувати ті проблемні ПК, які не повідомляють про виправлення.

Резервні копії! Резервні копії! Резервні копії! Завжди знайте, що виконуються ваші резервні копії всіх важливих даних, що є надзвичайно важливими для корпорації. Резервне копіювання ваших системно-критичних серверів, а також надмірне рішення.

Антивірус! Один (1) на машину та кероване рішення для виконання широкомасштабних переглядів мережі та звітування на центральний сервер Допомагає при зараженні господарями та проблемних машинах / користувачів. Пам’ятайте, що антивірус полягає в тому, щоб утримувати систему в чистоті від звичайних «інфекцій», а не проникнення, а також підтримувати швидкий і безперебійний роботу ПК. Занадто багато поразки є основною причиною розгортання.

Антиреклама! Один (1) на машину та для робочих станцій Windows, Windows Defender чудово працює. Будучи MSI, його можна розгорнути за допомогою групової політики та контролювати через журнали подій! Тримає комп'ютер і швидко працює.

Брандмауери! Я кажу про дійсні брандмауери, а не брандмауер на базі ОС для ПК або навіть програмний брандмауер для краю вашої мережі. Люди користуються такими приладами, як Cisco Pix або ASA. тому що це не залежить від ОС і робить вхід і вихід, і за цим syslog можна стежити за самою стіною. Інші хороші рішення - Checkpoint & Juniper / Nokia для корпоративних рішень. Перший крок, який насправді ЗНАЄТЬСЯ про те, що відбувається в мережі.

Проксі! Попросіть усіх своїх користувачів проксі-сервер, щоб ви могли заблокувати їх вихід на брандмауер! Прекрасне місце для того, щоб ваші користувачі перевіряли або принаймні мали змогу виконувати криміналістику, коли хтось робить щось дурне, ви можете визначити, хто і що.

Не в останню чергу ... Система виявлення вторгнень або система запобігання вторгнень (IDS або IPS) Ці системи схожі на антивірусні хости, за винятком того, що вони працюють у мережах. Весь трафік слід дублювати, щоб за ним можна було контролювати порти перемикачів на комутаторі або ставити їх вбудованими зовні або всередині вашого брандмауера. Люди, які завдають реальної шкоди, найчастіше будуть помічені цими системами, чи то тестування / сканування вразливості на великих сегментах мережі, чи відбудеться справжнє вторгнення, і хтось зможе виконати величезне сканування з внутрішньої сторони вашої мережі, ви можете визначити їх і закрити їх.

Якщо все це можна розгорнути, то нехай ваша параноїя згасає, тому що ви робите одну пекельну роботу.

У них є така приказка "бути параноїком не означає, що ніхто не переслідує тебе". І я з цим згоден. Будьте параноїком, але знайте, що в цьому є більше. Будьте напоготові і намагайтеся насолоджуватися своєю роллю.