Tisk

Prosíme přihlašte se nebo zaregistrujte.
1 hodina 1 den 1 týden 1 měsíc nastálo
Přihlašte se svým uživatelským jménem a heslem.

[mcsoap]

Google, Microsoft i mensi poskytovatele emailovych reseni pro spolecnosti (treba pronajem serveru od Forpsi atp) pouzivaji a prispivaji do ratingovych sluzeb tretich stran (treba Spamhaus) a dale sami vyhodnocuji, jak se odesilatel chova. Neni pravda, ze vina je pouze na strane prijemce. Cili pokud nekdo pouziva custom domains pod hlavickou nejakeho velkeho poskytovatele, tyhle politiky na nej dopadnou taky a vubec nic s tim neudela. Neni potreba se kvuli tomu hadat.

Proc to resite? Vypada to, ze po presunu k teto diskusi chybi kontext. Urad nekomu odmita prebirat emailovou postu?

[hh]

pk202: Mícháte jabka s hruškami. V tom geniálně jednoduchém receptu řešíte všechno možné, ale bezpečnost ani omylem. Spoléhat na to, že když na stanici/notebooku nemá uživatel admin práva, nemůže se nic stát, je hodně optimistické až naivní (sehnat local escalation exploit na nějakou neopravenou chybu v běžných windows bych zvládnul i já, a to se tím jinak zvlášť nezbývám). Jak řešíte BYOD?

Jestli celý recept na řešení security incidentu spočívá v existenci záloh, tak potěš koště.

A ještě jedno rýpnutí. Jestli jste tady brojil proti přehnanému security-nazi přístupu, tak ten váš geniálně jednoduchý recept mi tedy přijde restriktivní až dost. Navíc mi nepřipadá ani jednoduchý, natož geniálně jednoduchý ...

[pk202]

Rozhodně lepší než nějaké restrikce posílání souborů emailem.
Samozřejmě - pokud Vám někdo zevnitř bude chtít cíleně ublížit, tak to udělá a nic s tím nenaděláte.
Co se týče BYOD jsou dvě řešení - buď je vše firemní a pod IT kuratelou, nebo se (stejně je to třeba) nadefinují přístupy jakoby zvenku (stejně jako pracují z domova) pouze se ve firmě udělá druhá wifina - nebo VLAN pro tyhle zařízení, která nemá přímý přístup do vnitřní sítě.
Těch možností je mnoho - ale jestli Vás to uklidní tak jsem výše uvedeným způsobem v letech 2001-2005 administroval síť s cca 200 PC na nichž se střídalo cca 300 uživatelů na 5 pracovištích po celé ČR - už tenkrát vše propojeno v jedné síti vše na nenáviděných Win2000 (stanice i servery). Cloud sice ještě nebyl, ale dva servery jsme měli na páteři - takže vlastně byl. Cca 50 zaměstnanců mohlo páchat homeworking - resp. měli notebooky a kdekoliv se připojili na síť tak fungovali. Na stanicích (krom těch externích NB) jsme neměli nainstalován žádný antivir a za celou dobu jsme neztratili ani bajtík a chytli jeden trapný virus (už si nepamatuji jméno), který jsme během  hodiny detekovali a odstranili aniž by cokoli stačil napáchat. Byli jsme na to 3 včetně částečného rozvoje ERP. Firma měla obrat cca třičtvtě miliardy ročně.
Dneska už to nedělám - ale na principech se nic nezměnilo - pokud má BFU uživatel administrátorská práva, je otázkou času kdy něco posere. Čím dále ty jeho práva sahají - tím toho posere více.

[medved]

Tuhle diskusi jsem slyšel už asi 100x, je to stále jako přes kopírák. Nechodí pošta z A do B. A je nějaká podniková síť, webová stránka/server/systém/whatever, B je velký provider či masivně využívaná služba. Admin či někdo podobný, kdo je odpovědný za stranu A, věc prověří a zjistí, že od nich vše odchází a odmítá to až strana B (přičemž důvod může ale taky nemusí být naznačen v příslušné SMTP 5xx hlášce či DSN). Po dalších peripetiích se zjistí, že strana B požaduje nějaký nesmysl (který vůbec neplyne z obecných standardů nebo je s nimi dokonce v rozporu, případně že se řídí nějakým blacklistem poskytovaným třetí stranou). Následuje vztekání se admina A, načež je dotyčný donucen se požadavkům strany B přizpůsobit bez ohledu na cokoliv. Konec představení.

Tesat do mramoru ... specialne pokud je strana B Google nebo jiny zmrd podobneho razeni. Mam s tim sve bohate zkusenosti jak z pozice strany A, tak z pozice strany C, ktera je mezi A a B :-).