CityCat4

Любой, по которому есть рядом гуру.

Как обычно.

Все существующие машины - фтопку. Развернуть новые, раскатать бэкап. Не ставить никаких панелей - панели - зло! Управление только по ssh, с ограничением по списку IP и по ключам, никаких паролей.

Какие шаги вы могли бы порекомендовать

Построить модель нарушителя. То есть от каких угроз со стороны кого Вы хотите себя обезопасить. И уже после построения этой модели решать, что делать. Вполне может быть, что делать ничего не надо, потому что все уже сделано. А может оказаться, что делать ничего не надо, потому что ничего сделать нельзя :)

В HTTPS условно невозможны атаки типа MITM

С х.. ли баня-то сгорела? В https атаки типа MitM цветут пышным цветом и даже не всегда считаются атаками. Например, берем корпоративный прокси с бампингом. Он выполняет, фактически именно MitM - установив тебе свой корневой сертификат, он "на лету" подменяет целевой сертификат своим, получает shared secret и спокойно себе расшифровывает соединение.
То же самое весьма скоро будет у нас всех на компах - когда всех обязуют поставить госсертификат, без которого в тырнет просто не выйдешь.

мы в любом случае чувствуем себя небезопасно и неаноимно

Мы - это кто? Даже если провайдер (РКН, тащмайор) умудрится как-то узнать, что я смотрю порнуху - мне это в общем-то поуху. А политоту я в тырнет не тащу - ученый...

но сами данные никто увидеть не сможет?

Кроме самих даных есть еще множество косвенной информации, по которой можно достаточно точно судить о том, что "внутри". Кстати, защита некоторых протоколов на этом и базируется - убедить, что "внутри" безобидный https с котиками.

как тогда это стыкуется с безопасностью и шифрованием данных в HTTPS, если DPI может блочить по контенту?

на основе предположений. Например:
1. Вася каждый день ходит на сайт 1.2.3.45 и прокачивает стопицот метров трафика
2. На сайте 1.2.3.45 отвечает простейший сайт с котиками, который не в состоянии генерить такой трафик
Вывод: сайт 1.2.3.45 - VPN, а сайт с котиками - заглушка, Васю вызвать на беседу.

В Вашем вопросе два качественных определения. Чтобы на него ответить, сначала пожалуйста определите, что такое "достаточно безопасный" и что такое "без бубна".
Оператор мессенджера по определению имеет доступ ко всей переписке (а вся трепотня про end-to-end encryption - это всего лишь трепотня - кто ее проверял-то?). Поэтому если Вас так заботит факт "нечитаемости" - подымайте свой сервак.

Я рассматриваю 2 сценария:

С реально ценными данными есть только один сценарий - я держу их в щифрованном архиве (rar, openssl) и никому никогда не даю. Архив шифрую сам и никогда этого не делаю на винде.
Все остальное - в том числе и криптоконтейнеры - компромисс между безопасностью и удобством.

JFYI: Много лет назад у меня был случай сделать 18+ фотосет одной подружки (прям ваще 18+, дальше некуда). Камеры в телефонах тогда были так себе, я взял конторский фотик. А чтобы решить вопрос с возможностью восстановления удаленных файлов - просто купил в него другую карту памяти :)

Здесь вообще какая-то странная ситуация. Вы, простите, кто - парень или девушка? С чего это Вас какие-то непонятные люди возле метро останавливают и сфотаться просят - Вы медиаличность? Вы на экран телефона смотрели без отрыва - прям вот ни разу не отводя глаза! - или как? Потому что есть предположение, что вся эта шляпа затеяна ради того, чтобы закинуть в тело пару фоточек (с ЦП или арийскими рунами, например), а потом шантажировать.

Нормальный работодатель никогда не посягнет на "территорию клиента". Есть оооочень много засад, в которые можно так вляпаться, что потом будешь долго бегать по судам :) особенно если нарваться на сотрудника с опытом хождения по оным.
Нормальный работодатель вручает ноут, на котором у Вас прав с воробьиный ... клюв (а Вы что подумали?), где все действия мониторятся - и работай на нем.

Гражданский и Уголовный Кодексы :)

Не только "можно". Почта - очень популярный канал доставки "контента".

Телефон лучше всего сбросить к заводу и заново все восстановить. С другого компа скачать и развернуть на флэшку Др.Веба или Каспера, загрузиться и просканировать комп на предмет рыжих и усатых...

Не просто возможно, а является одним из хорошо известных каналов доставки "контента" :)

IP - из сканера. Запустили сканер на весь мир и перебирают понемногу. RDP работает на специфичном порту, его обычно не меняют.
Логин - обычно перебором. Да-да, простым тупым перебором. Ты конечно скажешь - интересно как это хакер найдет мог логин hren_morzhovyii? Ну, такой может быть и не найдет, но вообще говоря есть два момента:
- юзера тупы и зачастую используют примитивные логины типа user, admin, alex, sam, buh, boss и т.д.
- "какеры" тупы и ищут тупые логины типа описанных выше (это вовсе не шутка - если судить по попыткам подобрать пароль к почте - у нас боты долбящие запрос на юзера admin делают это годами :) Разные разумеется, банишь одних, приходят другие)

ИБ - это обычно про "умение учиться", то есть быстро и самостоятельно находить ответы на вопросы. Вышка - это тоже про "умение учиться" (попутно дающая кое-какие знания). Без вышки шанс получить работу в ИБ - parvus parvissimus.
Если у вас саппорт отделен от эникеев - имеет смысл пробиваться в него. Пентестер - это такой "анти-админ", ему по большей части требуются те же знания :)

Идеальное шифрование бывает только в идеальном мире. А мы живем в мире реальном, где внедрению идеального шифрования обычно мешает слабость человеческой природы :) обычно именуеная как "терморектальный криптоанализ" .

Хм... полнолуние вроде не скоро...

Есть интересная закономерность. Время от времени сюда набигает некто, рассказывает жуткую историю о том, что его взломали и он никак не может понять, кто и как это сделал - но упорно отказывается дать какие-либо детали, доказывающие то, что это было на самом деле, а не приглючилось ему по укурке :)

Технически, описанное провернуть возможно. Наверное. Но это требует нехилых таких компетенций и не менее нехилых расходов - из-за обычного человека на такое вряд ли пойдут :)

Какие, как говорится, Ваши доказательства? Все, что Вам "намекали" - вполне могли получить другими путями.

Неверное понимание. Каждого абонента каждого провайдера отслеживает СОРМ (Содействие Оперативно-Розыскным Мероприятиям), которую пров обязан у себя поставить, самому прову на Ваш трафик наср... (ну в РФ, хотя и в других местах есть наверняка что-то похожее).
При использовании VPN/Proxy пров увидит, что идет подключение к какому-то IP где-то там. Да, он не увидит содержимого трафика, но если им (прокси/vpn) пользоваться активно - увидит, что трафик идет в основном куда-то там и, в случае повышенного интереса со стороны "людей в сером" - к Вам придут просто по этому факту :)
Анонимность (более чем менее) достигается только при использовании своего VPN, потому что в противном случае факт, что VPN не ведет логи (где уже отражен реальный трафик!) недоказуем.

Ну ина всякий случай - провайдер не решает, что блокировать, а что нет. Решения принимает РКН и централизованно рассылает по своим "черным ящикам".

Ну, тут надо начать с того - а действительно ли вы КИИ и действительно ли письмо пришло оттуда, откуда написано? А то на заборе написано XYZ, а за забором почему-то .wood

Стоит ли приобретать NGFW железку иностранных брендов, если заранее известно, что плюшки подписок невозможны?

Разве только попонтоваться. Сегодня не подпадаете, завтра подпадете - кто знает, что там придумают завтра?

если железо куплено на юрлицо в РФ, а подписки на другое юрлицо?

Работать может и будет. А вот как это будет проводить ваша бухгалтерия - это уже совершенно отдельный вопрос...

Если посмотреть в сторону отечественных решений (Usergate, Eltex, Ideco)

Только не ideco :) Однажды меня попросили написать обзор на одну из моделей ideco, дали образ виртуалки, чтобы погонять. Ну я погонял, посмотрел, из чего оно состоит... и честно предупредил заказчика (а это был не ideco) - что положительный образ на это merde я написать не смогу, а отрицательный им наверное не нужен :D
Это была куча обычных приложений типа squid, strongswan etc, слепленная в одно и сверху покрытая тооооооненьким слоем их оболочки.

если в организации отсутствует отдел ИБ

На двести рыл по идее он должен уже появиться. И как раз маршрутизаторы, средства удаленного доступа, всевозможные раздачи и задачи прав - это будет по его части.

svg - текстовый файл, в который очень просто вставить обращение к контролируемому сайту (даже безрезультатное, главное - строчка в логе).