CityCat4

Самая практически возможная проблема - отсутствие поддержки программ. Многие программы не будут ставиться, перестанут работать или не будут обновляться.
Что касается каких-то браузерных клонов - никто не будет проверять совместимость с ними в популярных сервисах - если он (сервис) не работает - пиши в Спортлото. Не говоря уже о том, что реально никто не проверял этот браузер на безопасность - инди-проект он и есть инди-проект.
Еще конечно же отсутствие поддержки нового железа.
Все остальные сценарии реальны независимо от версии винды.

Предполагаю что самое слабое звено - это то что всегда торчит наружу, т.е. сайт.

Нет.
Самое слабое звено - это человек.

Сайт не обижается, что ему не повысили зп.
Сайт не мечтает "Я вам всем покажу!"
Сайт не оставляет закладок на неавторизованный доступ при увольнении.

Хотите живой пример? Настоящий, не придуманный?

Контора N увольняет админа Васю и нанимает вместо него админа Петю. Петя ответственно меняет рутовые пароли на всех серверах, но в детали их настройки не погружается так как слишком много нужно проаудировать. Через несколько месяцев Петя замечает, что вдруг примерно несколько дней назад почта директора стала форвардиться на некий адрес на гмыле.
Петя форвард прибил, провел форензику и выяснил, что Вася перед увольнением оставил закладку - демона pppd, к которому можно было подключиться терминалом, что Вася и сделал (last это четко показал). Рута у него уже не было, но нагадить Вася все-таким смог, создав запись о перенаправлении почты в postfix, который использовал mysql.
В итоге все внешние серваки времен Васи были снесены нафиг и перестановлены.

Вопрос скорее не технический, а организационный. Хотя техническая часть в нем есть.
Технически:
- привязка mac к порту
- укладка провода так, чтобы просто так не добраться (человек ленив, если надо лезть под стол - точно не полезет)
- отобрать админские права на винду у тех, кому они не нужны
- arpwatch всюду

Организационный:
- общий приказ по конторе о запрете домашних устройств, под роспись каждому
- информирование о введении режима привязки маков
- тем, кому админские права нужны для работы - отдельная бумага об ответственности с подписью
- показательная порка первого пойманного - лишение премии, выговор, увольнение в режиме "два часа на сбор личных вещей"

Отдельное замечание про умников с клонированием мака. Здесь, как и везде, роялит намерение. Клонирование мака - это явно деструктивное действие, направленное на обход систем защиты. Значит ты кто - ты нарушитель, и с тобой не админы будут говорить, а безопасники иди руководство.

В 2015-м вроде как один такой чел у нас решил "попробовать" Tor. Ну, директор по безопасности вызвал его и его начальника, поговорил... Челу как бабка отшептала что-то пробовать, до сих пор у нас работает...

или другие источники,

Без проблем
Уголовный Кодекс РФ

Да как обычно...

Схема сети, расположение серверов, применяемое средство резервного копирования, доступ к файволлам/роутерам, сетевая документация - если конечно она есть :)

Все зависит от того, склько там юзеров, как построена сеть, был ли раньше ИБ-шник или Вы приходите на "пустое место". Многое также зависит от умения контролировать работу админов. Фактически ИБ-шник, когда он в единственном лице - это этакий "супер-админ", у него прав не меньше, чем у админов, а иногда и поболее будет.

Что там с виртуализацией, есть-нет, что используется, кто отвечает.
Почта, сайт, доменные имена - где, как , кто отвечает.
Собственный CA - есть, нет, нужен или нет, кто отвечает
Доступ в Интернет - контролируется или нет, нужно корнтролировать или нет, если есть , кто отвечает
СМП - есть, нет, нужен или нет. Внедрение СМП - штука весьма недешевая, так что инициатива должна идти сверху.
Грамотность пользователей в отношении фишинга в почте и прочих приемов (но обычно прилетает в почту)
Наличие и актуальность политики безопасности (она есть далеко не всегда, да и не всегда нужна на самом деле)
Удаленный доступ - есть, нет, как сделано
Лицензирование софта, импортозамещение, политические моменты - если хоть как раком-боком-попереком к КИИ, неизбежно столкнетесь

С админами не ссориться, особенно если админских знаний не хватает для контроля их работы.

Есть ли достоверная возможность визуально определить является ли файл обычным документом\таблицей\картинкой, а не замаскированным исполняемым файлом

В винде - нет.

Можно ли замаскировать исполняемый файл таким образом, что даже в его свойствах будет указано, что это pdf?

В винде - да.

Кроме того, существует возможность "исполнения" скриптов (макросов) программами, для которых существует собственный скриптовый язык - pdf, офисные пакеты, svg...

Десять лет назад сервак в конторе бывший админ-обиженка пытался поломать через коннект по pppd :) Пароль рута к тому времени уже поменяли, но немного нагадить он все же смог :)
Смотрите все сервисы, которые способны авторизовывать пользователя.
Поменяйте права на файл, сделайте максимально узкими.

1) Стоит ли вообще переживать по поводу этого?

Нет Тупые боты тупо сканят наличие веба, другие тупые боты будут искать на нем уязвимости (которых у тебя конепчно же нет :) у тебя же ни cms ни базы )

3) Если все-таки переживать стоит - какие простые базовые вещи вы бы посоветовали?

ssh - c ограниченного набора ip, остальное в сад
без ограничений пропускать только на сайт, все остальные соединения - только с ограниченного набора IP, всех остальных в сад.

Если дома - никак, особенно если "нехороший чел" остается с компом без Вас. Если контора - см ответ SunTechnik

Не понял - раздали корпоративные ноуты с правами админа? Ну, в таком случае говорят "Сам дурак". Если юзер работает на корпоративной технике - никаких прав админа, пароль на BIOS, загрузку с внешних носителей отключить, поставить антивирус и агент СМП.
Очень полезно будет п.1 из того, что предлагает pindschik

Никакой.

Я тебе навскидку предложу сразу два варианта обойти всю на свете защиту: запуск "сервиса" в виртуалке (и скрин виртуалки средствами хоста) и банальное фото экрана с телефона. Если от первого условно можно защититься детектом виртуалки, то второе - не обходится вообще нигде и никак (теоретически, Стахановец с камерой на компе способен зафиксировать момент сьемки экрана, практически это означает, что на каждом рабочем месте должна быть камера)

Думаю обзавестися сертификатами по ИБ, подтянуть инглиш и идти на upwork

Думаю, что на апворке ты нахрен никому не впилился. Тем более, что в РФ апворк давно уже не работает (а если ты не в РФ - то довольно глупо спрашивать здесь).

Получать его не хочу, слишком долго и слишком мало мне это даст.

Ага, типичный продукт пятилетней давности. Когда палка и пионер, когда апворк лежа под пальмой... С разморозкой, человече! Мир давно уехал черт-де куда, а ты и не заметил...

В ИБ, где все строго и регламентировано, в ИБ, где как правило ответственность делегируется (потому что не
можно управлять системой, будучи внутри ее) - тебе никогда не вырасти никуда с подходом

нет высшего образования. Получать его не хочу, слишком долго

Вышка - это такой тест на способность самостоятельного решения задачи. Знания, которые при этом типо получаются - вторичны, хотя некоторые пригождаются. Но в основном вышка - это про умение учиться :) Да-да, вышка учит учиться и не более того. Не одолел - ну вот провалил первый тест на профпригодность. В ИБ, где люди как правило работают на доверии, таких точно не берут (ну разве что в крупных конторах на самые низовые должности)

Могу написать скрипты для PowerShell и Bash, но с chatGpt

То есть "освоил Ctrl-C/Ctrl-V, но смысла не понимаю, ибо абизьян

В целом, могу поднять и настроить любую прогрумму или сервер на Win и Unix.

По данному заявлению сразу можно сказать, что уровень джуна не преодолен.

Год не выпускаю из рук ноутбук с KaliLinux,

Ты ничего не говорил, мы ничего не слышали. Никогда не говори про это в серьезной компании - оборжут и затроллят

Думаю, что как сисадмин Windows/Linux я почти Middle,

Ты ошибаешься :)

Любой, по которому есть рядом гуру.

Как обычно.

Все существующие машины - фтопку. Развернуть новые, раскатать бэкап. Не ставить никаких панелей - панели - зло! Управление только по ssh, с ограничением по списку IP и по ключам, никаких паролей.

Какие шаги вы могли бы порекомендовать

Построить модель нарушителя. То есть от каких угроз со стороны кого Вы хотите себя обезопасить. И уже после построения этой модели решать, что делать. Вполне может быть, что делать ничего не надо, потому что все уже сделано. А может оказаться, что делать ничего не надо, потому что ничего сделать нельзя :)

В HTTPS условно невозможны атаки типа MITM

С х.. ли баня-то сгорела? В https атаки типа MitM цветут пышным цветом и даже не всегда считаются атаками. Например, берем корпоративный прокси с бампингом. Он выполняет, фактически именно MitM - установив тебе свой корневой сертификат, он "на лету" подменяет целевой сертификат своим, получает shared secret и спокойно себе расшифровывает соединение.
То же самое весьма скоро будет у нас всех на компах - когда всех обязуют поставить госсертификат, без которого в тырнет просто не выйдешь.

мы в любом случае чувствуем себя небезопасно и неаноимно

Мы - это кто? Даже если провайдер (РКН, тащмайор) умудрится как-то узнать, что я смотрю порнуху - мне это в общем-то поуху. А политоту я в тырнет не тащу - ученый...

но сами данные никто увидеть не сможет?

Кроме самих даных есть еще множество косвенной информации, по которой можно достаточно точно судить о том, что "внутри". Кстати, защита некоторых протоколов на этом и базируется - убедить, что "внутри" безобидный https с котиками.

как тогда это стыкуется с безопасностью и шифрованием данных в HTTPS, если DPI может блочить по контенту?

на основе предположений. Например:
1. Вася каждый день ходит на сайт 1.2.3.45 и прокачивает стопицот метров трафика
2. На сайте 1.2.3.45 отвечает простейший сайт с котиками, который не в состоянии генерить такой трафик
Вывод: сайт 1.2.3.45 - VPN, а сайт с котиками - заглушка, Васю вызвать на беседу.

В Вашем вопросе два качественных определения. Чтобы на него ответить, сначала пожалуйста определите, что такое "достаточно безопасный" и что такое "без бубна".
Оператор мессенджера по определению имеет доступ ко всей переписке (а вся трепотня про end-to-end encryption - это всего лишь трепотня - кто ее проверял-то?). Поэтому если Вас так заботит факт "нечитаемости" - подымайте свой сервак.

Я рассматриваю 2 сценария:

С реально ценными данными есть только один сценарий - я держу их в щифрованном архиве (rar, openssl) и никому никогда не даю. Архив шифрую сам и никогда этого не делаю на винде.
Все остальное - в том числе и криптоконтейнеры - компромисс между безопасностью и удобством.

JFYI: Много лет назад у меня был случай сделать 18+ фотосет одной подружки (прям ваще 18+, дальше некуда). Камеры в телефонах тогда были так себе, я взял конторский фотик. А чтобы решить вопрос с возможностью восстановления удаленных файлов - просто купил в него другую карту памяти :)