athacker

Плюсую предыдущих ораторов. Встряли вы конкретно, и своими силами не управиться, привлекайте серьёзных интеграторов для решения. И готовьте денег, конечно -- на оплату их услуг, на новое оборудование.

Сеть должна быть сегментирована. На как можно более мелкие сегменты, чтобы легче было резать всё к чёртовой матери, не дожидаясь перитонитов. Как конкретно резать -- пусть вам расскажет интегратор после анализа карты информационных потоков в вашей сети. Есть железо, которое строит такие карты на основании данных с сетевого оборудования -- кто, куда и по каким протоколам ходит, на основании этой карты будет понятно, как сегментировать сеть и как нарезать ACL между сетями.

Возможно, придётся внедрять некий анализатор трафика, который по определённым сигнатурам в пакетах будет блочить порты -- это, наверное, единственный способ сохранить ваши старые ОС и при этом иметь хоть какое-то подобие защиты от сетевых червей. Ну и все остальные комплексные меры тоже -- расстановка файрволов, жесточайший контроль за появлением новых устройств в сети и новых типов трафика (такого, например, как игровые сервера ;-) ).

Вот неплохие переводы двух CIS-овских регламентов, начинайте внедрять:

https://habrahabr.ru/company/pentestit/blog/338532/
https://habrahabr.ru/company/pentestit/blog/339206/

Наши пентестеры вяло попинали его -- прогнали автоматическими анализаторами уязвимостей. С разбегу оно не сломалось, так что использовать можно относительно спокойно.

Другой вопрос, что это сложный комбайн, и если на нашем сайте и с нашим составом модулей оно более или менее (это не интернет-магазин, если что), то с другим набором модулей проблемы могут возникнуть очень даже запросто. В общем, безопасность -- это не некий результат, которого можно достичь и расслабиться, безопасность -- это процесс :-) Это справедливо не только в отношении битрикса.

Если прямо очень за безопасность переживаете -- организуйте рабочий процесс должным образом. Своевременные обновления, периодически аудиты сервисов и периметра и т. п.

P/S/: https://www.1c-bitrix.ru/products/cms/security/aud...

Якобы, аудит приложения регулярно выполняет Positive Technologies.

Максимум анонимности в сети -- это не ходить в сеть вообще.

Опишите полностью, чего вы хотите достичь и при каких условиях. А то ваш вопрос мало чем отличается от пресловутого "подземного стука".

Очень даже подходящий инструмент.

Как гласит народная мудрость, "S" в аббревиатуре IoT обозначает "безопасность". Вы видите там "S"? Вот и я нет :-)

Иными словами -- там всё плохо. Когда появится хоть какая-то безопасность -- по ней уже можно писать литературу, а пока там конь не валялся.

В описании фигурирует классический криптоконтейнер. Знаешь пароль -- можешь его смонтировать и получить доступ к файлам. Не знаешь -- гуляешь мимо.

С точки зрения безопасности и эксплуатации CMS -- идея разделения доступа однозначно здравая. С точки зрения разработчика -- идея бредовая (так как разрабам, как правило, лень возиться :-) ).

Есть ли закладки от google в чистом андроиде?

100%. Они могут быть неактивны, но будьте уверены, что там есть и средства доставки, и средства активации.

ИБ в АСУ ТП -- тоже очень актуальная тема, причём не очень-то охваченная на текущий момент. Особенно в части разбора промышленных протоколов.

www.securitylab.ru/software/405340.php

А что будет делать отдельный антивирусный сервер? :-)

www.kaspersky.ru/business-security/linux-file-server

Атака на сайт Брайана Кребса (KrebsOnSecurity ), 620 Gbps, в сентябре 2016-го.

Такие (или похожие) продукты уже есть. См., например, XSpider или MaxPatrol.

Не знаю, как насчёт линуха, но во фре в chsh никакого списка нет. Можете указать в качестве оболочки что угодно.

Также есть команда usermod, которой тоже можно в качестве оболочки прописать что угодно. Хотя б даже и шельный скрипт. У меня сделан тупой терминал, чисто для подключения по SSH и проброса портов внутрь локалки. В качестве шелла для подключающегося пользователя указан скрипт следующего содержания:

#!/bin/sh

main() {
echo
echo
echo
echo
echo
echo
echo
echo
echo "Dumb terminal enabled"
while true; do
sleep 5
done
}

# Assign noop for Ctrl+C and run main
trap true INT
main $@

Соответственно, этот скрипт просто крутится со sleep 5 и не даёт выйти по Ctrl-C. Но точно также в цикл ожидания можно повесить ожидание какого-либо ввода от пользователя, с последующей обработкой этого ввода по case на предмет -- нужные это команды или нет. Если ненужные, то слать, если нужные -- выполнять с необходимыми параметрами.

Если сертификат не подписан доверенными центрами, то браузеры будут ругаться, что "а сертификат-то паленый!":


На шифровании это никак не сказывается. Если соединением будешь пользоваться только "сам и мои друзья", которым можно объяснить, что "тыкайте "разрешить", и всё будет ровно", то можно пользоваться самоподписанными сертификатами.

Если же это публичный сервис, то клиентов такие сообщения про недостоверный сертификат будут отпугивать. Тогда имеет смысл купить сертификат, подписанный приличным УЦ.

Let's encrypt я бы из принципа использовать не стал (собственно, я и не стал :-) ), даже для домашнего сайта с котиками. Очень сомнительная модель, когда нужно ставить некий "клиент", который тебе генерит и обновляет сертификаты. Нет гарантии, что он твой секретный ключ при этом товарищу майору за бугор не отправляет. А то может и ещё что, смотря до чего дотянуться сможет.