Алекс

Нет такого. Зачем контейнер? используй EncFS. Ну ок, это нечто другое но возможно смоделировав возможные атаки вы придете к выводу что контейнер не нужен.

Если вы имеете в виду любые сервисы (не google) . То Наличие того или иного метода двух-факторной аутентификации само по себе не делает его автоматически более защищенным. Необходимо рассмотреть модель угроз.
Например, там где есть 2ФА там автоматически если обход 2ФА через тотже email, вопрос ответ, звонок админу - сбрось мой 2ФА, почемуто не логиниться...

Ок, Давайте сравним SMS и T-OTP. (Google Auth) :

- SMS можно считать более безопасным поскольку секретный ключ OTP храниться только на сервере. Моделирование атаки включает : 1) Узнать номер моб телефона и первый фактор аутентификации, 2) подделка SIM карты или перехват SMS . Но если атакующий - инсайдер со связями с Телекоме, уже горячо)). Поэтому главное тут выбрать оператора который слабо подвержен SMS-атакам либо выбор Email доставки в качестве альтернативы.

- В случае с Google Auth - секретный ключ может хранитьс я в Почте у юзера, в том же СМС, еще гдето где не уследили, поскольку чтобы настроить Google Auth нужно вводить на телефоне этот Ключ или сканировать QRcod что еще опаснее. И уже можно больше "более дешевых" атак смоделировать. Поэтому главное в Google Auth - настраивать телефон сотрудника в кабинете у Админа.

Хочу сперва отметить что оценка ИБ Рисков должна входить в "Программу Информационной Безопасности" вашей компании. Поскольку в разделе "Политика ИБ" закладываются основные правила и ценности и роли которые далее вы будете оперировать в "Оценке Рисков". Если этого нет, то необходимо оценивать риски из расчета некого Оптимистического или пессимистического сценария.

Примерная методика подсчета Риска в информационной системме:

1. Посчитать стоимость\значимость всех Ценностей (Assets) в вашей информационной системме. Чтобы определить важность ценностей по порядку.

2. Определить всевозможные угрозы и сценарии атак. Инсайдеры, Вирусы, Конкуренты, Поломка оборудования и т.д.

3. Посчитать численно Риск для каждой Ценности в случае каждой Угрозы. в числах по формулум ALE, MTD, ARO, SLE
ALE = SLE * ARO
(посмотрите мои раниие посты для примера)
MTD - сколько времени ваш бизнес протянет при исчезновании Ценности XX ??
ALE - какой урон в денежном выражении , в среднем в году , вам будет наносить угроза XX?
(есть ряд угроз которые случаются закономерно раз в год, раз в два года и т.д.)

4. Таким образом оценить самые значимые Угрозы.

5. Оценить что можно сделать для минимизации последствий действия угроз на саммые значимые Ценности. Это означает Какую защиту необходимо дополнительно купить\установить\обучить\проверить\наладить.
Возможно в каком то из решений будет встроенная защиты он некоторых угрох. На этом этапе вы получите расходы в деньгах чтобы покрыть недостающую защиту.
А возможно вы выясните что у вас есть некоторые расходы которые не зависят от типа Решения. например все равно надо обучить персонал не передавать пароль по почте:)

Далее проделываете такой анализ для Первого решения и Второго решения и сравниваете денежные показатели.

Есть общая методика в ИБ , называетс это Risk Management. То что ты хочеш сделать тоже можно расчитать используя приемы этой методики. Это скажем будет Risk management на этапе проэктироввания ТЗ к некой инф. системме.

Посмотри на :
Risk Management Framework NIST SP800-37
Оценки риска по методу Quantitative vs Qualitative
Разработка Threat Analysis т.е. исходя из известных угроз, например если это передача данных по открытому каналу- то максимальная угроза это перехват и анализ трафика за XX время.
Asset Classification - Архитектор конечно не совсем в курсе значимости\стоимости данных которыми его ИС будет оперировать. но он в курсе, например если это Ключ шифрования (это ассет) - то это ресурс №1 который нужно защищать. значит нужно затратить больше времени на разработку ТЗ по его защите в пямяти, хранении и передаче.

MTD метрику например можно взять как - сколько твоя ИС спобона функционировать при потере канала связи \ с сервером \ отказа БД? При компрометации Ключа Шифрования - сколько у тебя времени перед тем как им смогут воспользоватья ?
ARO - это могут быть средние значения по последним случаям Взломов\Проникновений, которые показывают частоту экспуатации тех или иных типов уязвимостей. Скажем если ты собрался использовать библиотеку OpenSSL - то за всю ее историю в ней находили много различного типа тяжести уязвимостей -
https://www.openssl.org/news/vulnerabilities.html
это примерно 2 в год (тяжких в среднем). Можеш смело заложить в свою формулу в ТЗ этот параметр :)
ALE = SLE X ARO
Это урон который нанесет твоей ИС закономерное появление уязвимостей в OpenSSL = SLE * 0.5
Далее SLE - это что надо предпринять чтобы закрыть брешь ? (разовые затраты на выход из конкретной ситуации vulnerable IS когда твоя IS будет в эксплуатации) - Обновить OpenSSL . А Установленная копия твоей ИС готова пережить мажорное обновление OpenSSL ?? Как архитектор оцени от 0 до 10 эту готовность по возможным проблемам\затратам\зависимостям в твоих протоколах шифрования.

Соответственно если твой "архитектурный" SLE ближе к 10 то ALE будет большим и можно уже на этапе Проэктирования спрогнозировать затраты на эксплуатацию твоей системмы в условиях когда OpenSSL надо обновлять два раза в год.

И так дале..
И да ты правильно мыслиш что Риск так или иначе должен быть высчитан в виде чисел.

Александр посмотри в сторону сертификации CISSP.
Я здавал ее и могу сказать что там в принципе упоминается обо всем что должен знать ИБ спец.

Можно CISSP экзамен не здавать а просто прочитать Руководства к нему а также пройти несколько тестовых экзаменов.
https://habr.com/company/it/blog/196638/

Далее просмотри что сейчас учать в Вузах по этой теме Информационной безопасности.
Я был на магистратуре по ИБ и могу сказать что там примерно тоже что и в CISSP но с другим уклоном.
Вот например магистратура по Информационной безопасности, 2 года:
https://www.ltu.se/edu/program/FMISA/FMISA-Informa...

Почитай ее Силабис , Самый лучший курс на этой программе это: Critical Infrastructure Protection
И Посмотри какую литературу надо прочитать на этом курсе.

Ну и так далее) Удачи!

1. Rohos Disk с контейнером размещенным в "C:\Users\Alex\Google Drive"\
Это 1) бакап, 2) зашифрованный бакап и 3) все в облаке доступно на любом ПК и Андроид.

в Rohos можно настроить как часто Google Drive будет синхронизировать контейнер, а в veracrypt - каждая запись на диск - порождает запись в контейнер с изменением даты модификации файла контейнера и в итоге Google Drive бесконечно "заливает" 5 гб в облако.

2. пароли в LastPass (используется на 4х устройствах) и к нему U2F ключ доступа.

Подискиваю сейчас чем шифровать отдельные файлы на google drive . Потомучто контейнер не удобен когда надо работать с файлами на Android и обратно на Windows. нет хорошего решения сейчас.

Надо понять что Все клинеры и оптимизаторы памяти - зарабатывают на своей Аудитории путем продажи ее данных\кликов\ресурсов\просмотры Другим лицам\ресурсам.

Крайне мало сейчас freeware программ осталось в полном понимании этого слова.

Если мне нужен какойто freeware - я ставлю ее в VirtualBox контейнере - делаю свое дело. и затем делаю сброс virtual machine. При таком способе - клинеры уже не нужны.

Можно также полность зашифровать профиль Скайпа, Chrome, Firefox -
www.rohos.ru/products/rohos-disk/encrypt-skype

Это реальный вопрос. При краже ноута например из папки профиля браузера C:\Users\Alex\AppData\Roaming\Mozilla\Firefox
вынимаются много приватных данных

Решение: шифровать ноут полностью либо если надо защитить от Посторонных программ - шифровать только профиль браузера скайпа и др программы -
www.rohos.ru/2012/02/google-encryption (платно)

Согласен с мнением, что от системного администратора можно уйти во всякие ветки. Но сейчас очевидно что Админы должны хорошо разбираться в вопросах Информационной Безопасности. Знать о существовании всех ее аспектов и хорошо разбираться хотябы в одном аспекте ИБ, например Network Security.

Владимир как только ты копнеш в мир ИБ ты поймеш куда Рости Дальше! :) Удачи.

> А что с системным администрированием в целом и linux админами в частности?
Все зависит от Индустрии в которой ты работаеш. везде Нужны толковые и опытные админы. Но в некоторых местах просто "Болото" и твой талант там умрет так и родясь))

Вывод: Поэтому иногда надо сменить место)

Staffcounter DLP (платно) - программа клиент у которой есть функционал запрещающий приложениям (firefox, chrome) отправлять Атачи по почте. так вот в настройках можно указать Приложение "Explorer" и запретить ему доступ к данным на D:\ E: F... дисках. В результате проводник не сможет считать (скопировать) файлы с флешки, насчет записи я не проверял. Но возможно заработает. А также в программе есть отдельный функционал по запрету записи на флэшки. Программа с сервером, настройки управляются центрально.

Не совсем то но может и подойдет, Например Rohos Mini Drive (бесплатно)- создаеш зашифрованный виртуальный диск - и затем подключаеш его как removable drive. Виртуальный диск будет виден в системме как флешка с заданым размером.

Можно купить и дешевле. По поводу реальной безопасности - все зависит от производителя. По стандарту каждый может делать криптографическую начинку как хочет. лучше купить миниатюрный формат чтобы не торчал из usb порта. Поскольку его можно держать всегда подключенным. Он работает \ авторизует только при нажатии.
Как и все остальное - для двух-факторной авторизации - Это не Удобно для пользователя :) Каждый раз необходимо его предоставлять для входа на новом устройстве. Но зато есть хорошая степеть защиты - без ключа в твой Gmail никто не залезет на другом ПК. Но если твой ноут украли - все равно есть шанс что прочитают твой Gmail , если вовремя не выполнить "выход" из всех устройств в самом gmail.
U2F Может не работать или барахлить на какой либо платформе или приложении. Всетаки это USB \NFC устройство, для него не требуется особый драйвер но весьма вероятно возможны проблемы. Например мак пока не поддерживает его. в Android usb ключ тоже не подключиш. Через Remote Desktop его также невозможно использовать.

Считыватели RFIdeas, KCY-125. RFID карты подойдут любые. продукт rohos logon key.

Есть програмка (платно) - www.rohos.ru/2014/10/phone
Но без touch-id. просто в смартфоне будет кнопка - разблокировать ПК. Работает через Wifi/bluetooth.

Есть сторонее решение (платно) - www.rohos.ru/2017/10/windows-logon-rfid-hitag-inda...

Можно,
www.rohos.ru/2017/10/windows-logon-rfid-hitag-inda...
Программа может полность заменить логин на Em Карту. Либо карта + ПИН либо Карта + Пароль Windows. В Active Directory работает.
Но можно использовать только RFID ридеры которые передают данные карты по USB. Но Через клавиатуру и 5 символов - это Уже дыра в безопасности. Не рекомендуется так использовать.

Самое быстрое и недорогое решение - Rohos Logon Key (rohos.ru). из плюсов - поддержка любых типов токенов, не требует сертификатов, Консоль управления списком Ключей на весь домен, переход на другие методы аутентификации такие как U2F ключи, OTP, Linux есть в поддержке.

Контроль использования USB дисков и флешей можно организовать через staffcounter dlp ( платно, облачное управления доступом к флешкам) , шифрование через тот же bitlocker.
В итоге сотрудник будет пользоваться только зашифрованным устройствами, которые не читаются вне офиса.

Rohos Disk Encryption, шифрует папки и целиком приложения. Всю базу 1с надо разместить на контейнере Rohos. Включение и выключение контейнера при помощи электроного ключа rutoken. Двойная защита. Пароль никто не знает, только ключ включает доступ.