» »

Security ali devops?

Security ali devops?

«
1
2

kariera445 ::

Sem 3 leta po faksu, star 28 in tuhtam kam naprej karierno.
Na FRI-ju sem bil sicer bolj usmerjen v programiranje, služba po faksu pa se je po spletu okoliščin prelevila v sistemskega administratorja.

Trenutno se tako ukvarjam z Windows server platformo, MS365 in Azure, trenutno je dobro plačano, se mi pa zdi na dolgi rok da to ni to. Glede plače kot gledam tiste redke oglase se mi zdi da je že blizu vrha, pa tudi zaposlitvene možnosti na dolgi rok se mi zdijo problematične.

Znotraj podjetja imam možnost da se obrnem v smer security-a, spet predvsem okoli MS rešitev, druga opcija pa je da zamenjam firmo in grem v kak devops ali platform engineering. To slednje se mi zdi da je bolj iskan profil in tudi plače so vsaj zdaj zelo konkurenčne.

Problem je ker se mi zdi oboje zanimivo in se nikakor ne morem odločit kaj bi. Tako da sem se odločil še tu povprašat za malo nasveta predvsem z mnenji kaj je na dolgi rok bolj zanesljiva opcija glede zaposlitve, kaki so zaslužki in možnosti da potencialno počneš to kot freelancer.

kariera445 ::

Security (okoli MS rešitev)
+ dobro poznam windows server okolje in bi bila usmeritev v security samo neka nadgradnja
+ pogledal sem material od Cqure - Advanced Windows Security Course for 2022, in mi izgleda zanimivo
+ vroča tema in posledično možnost dobrega zaslužka. Že v isti firmi bi glede plače napredoval za 800 bruto.
- lokalna windows domena in windows strežniki, mislim da dolgoročno ne bodo obstali, torej bo vedno bolj nišna pozicija omejena na neke večje konglomerate
- vsa ta varnost se mi zdi nekako lažna. Slediš neki dokumentaciji in priporočilom, nimaš pa zares vpogleda pod pokrov ker je koda zaprta in konec dneva si samo en 0-day exploit stran da ti še vedno pohekajo vse
- potencialno stresno ker kot branitelj si vedno na slabšem saj moraš pokrivati vse luknje, še tiste za katere sploh ne veš. Napadalec pa najde eno ranljivost in je konec

Devops
+ pogledal sem par predavanj na udemy, testno sem postavil kubernetes in neko svojo spletno stran sem spravil v kontejner - vse skupaj mi deluje zanimivo
+ programiranje mi je zanimivo in kljub potencialni avtomatizaciji le tega se mi zdi dobro to tudi sam znat
+ zelo iskano tako v domačih firmah kot v tujini, dobre plače
- z linuxom nisem tako domač
- zavrgel bi neke nabrane izkušnje in štartal na novo precej iz nule
- samo modna muha?

Invictus ::

devops ni samo kubernetes

DevOps je tudi na Windowsih, Azure, itn... Nimaš dobro razčiščenih pojmov.. In ne veš kaj znaš in kaj bi sploh rad...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

kariera445 ::

Invictus je izjavil:

devops ni samo kubernetes

DevOps je tudi na Windowsih, Azure, itn... Nimaš dobro razčiščenih pojmov.. In ne veš kaj znaš in kaj bi sploh rad...


Vem da je tudi na windows in Azure.
Sem gledal tudi certifikacijo Designing and Implementing Microsoft DevOps Solutions, samo v praksi na tržišču se mi zdi to precej nišna zadeva. Po mojih skromnih opažanjih sta kar se tiče SW firm najbolj popularna AWS in GCP.
Azure pa je v uporabi predvsem pri bolj tradicionalnih korporacijah, ki že imajo večino okolja na Windows ekosistemu in so potem preselili email na O365 in kasneje potipali še Azure.

In ne veš kaj znaš in kaj bi sploh rad...


Vem kaj znam. In to poznam dobro.

Kaj pa bi rad, to pa res niem prepričan :)
Sem napisal zgoraj kaj vidim kot + ali - za posamezno stvar. Lahko mi poveš še kak + ali -, oziroma kje se motim.

Zgodovina sprememb…

l0g1t3ch ::

Torej na eni strani imaš področje, ki ga imaš že poznaš ampak se bojiš glede prihodnosti le tega, zdi se ti celo zlagano. Ampak bi dobro zaslužil.

Na drugi strani pa imaš področje, kjer bi moral začeti iz nule ampak vidiš več perspektive.

Tako nekako?

Invictus ::

Windows področje služi kar v redu. Sploh, če to nadgradiš z Azure zadevami. Služb kolikor hočeš (tujina).

Če nimaš pojma o Linuxu/Unixu, se raje drži Windows sfere. Ne bo propadla, poleg tega se pa nauči PowerShell. Znaš dobiti kak job lažje...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

secops ::

Če se boš usmeril v MS Security je to še vedno ista zadeva, kot to kar počneš sedaj. Samo namesto ADja in mail serverja, boš študiral MS rešitev za skeniranje ranljivosti, zaščito delovnih postaj itd. Tvoj delavnik bo verjetno izgledal tako, da boš visel po sestankih s ne-IT strankami in jim prodajal čudežne škatle ali pa cloud platforme, ki jim bojo rešile svet. Če pa ne boš pa malo nižje na prehranjevalni verigi v firmi, boš pa na sestankih tiho in boš na koncu moral vse te bučke zimplementirat. Kako se postavi niti ni važno, ker stranka tako ali tako tega ne na koncu tudi ne bo rabila. Plus tukaj je, da poznaš način dela, poznaš ekosistem. Minus pa to, da vse kar te moti do sedaj, te bo motilo tudi naprej.

Pri DevOpsu pa boš verjetno zaposlen v firmi, ki izdeluje nek produkt, ki ga kot storitev ponuja svojim strankam (B2B ali B2C). V osnovi boš odgovoren za to, da bo storitev delovala stabilno. Ukvarjal se boš s tem kako in kdaj bodo nove verzije prišle do strank. Ni to samo kubernetes, verjetno ga večina firm v Sloveniji sploh ne uporablja, ker je dokaj zakompliciran in moraš pretehtati ali ti prednosti pretehtajo. Dejansko bo važno kaj narediš, ker če kaj zajebaš.

PrimoZ_ ::

secops je izjavil:

Če se boš usmeril v MS Security je to še vedno ista zadeva, kot to kar počneš sedaj. Samo namesto ADja in mail serverja, boš študiral MS rešitev za skeniranje ranljivosti, zaščito delovnih postaj itd. Tvoj delavnik bo verjetno izgledal tako, da boš visel po sestankih s ne-IT strankami in jim prodajal čudežne škatle ali pa cloud platforme, ki jim bojo rešile svet. Če pa ne boš pa malo nižje na prehranjevalni verigi v firmi, boš pa na sestankih tiho in boš na koncu moral vse te bučke zimplementirat. Kako se postavi niti ni važno, ker stranka tako ali tako tega ne na koncu tudi ne bo rabila. Plus tukaj je, da poznaš način dela, poznaš ekosistem. Minus pa to, da vse kar te moti do sedaj, te bo motilo tudi naprej.

MS security je precej več kot prodajanje defender licenc.
Razlika med zares varno skonfiguriranim domenskim okoljem in tistim z privzeto konfiguracijo je kot dan in noč. secops pač nima ravno pojma kaj govori.

secops je izjavil:


Pri DevOpsu pa boš verjetno zaposlen v firmi, ki izdeluje nek produkt, ki ga kot storitev ponuja svojim strankam (B2B ali B2C). V osnovi boš odgovoren za to, da bo storitev delovala stabilno. Ukvarjal se boš s tem kako in kdaj bodo nove verzije prišle do strank. Ni to samo kubernetes, verjetno ga večina firm v Sloveniji sploh ne uporablja, ker je dokaj zakompliciran in moraš pretehtati ali ti prednosti pretehtajo. Dejansko bo važno kaj narediš, ker če kaj zajebaš.


Večje firme kar lepo uporabljajo kubernetes.
Seveda pa ne self hosted.

Zgodovina sprememb…

  • spremenilo: PrimoZ_ ()

Invictus ::

Tudi self hosted, pač odvisno od politike firme...

Se je že nekaj velikih firm nasralo z zunanjim cloudom, pa so spet bolj naklonjeni internim rešitvam.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

secops ::

MS security je precej več kot prodajanje defender licenc.
Razlika med zares varno skonfiguriranim domenskim okoljem in tistim z privzeto konfiguracijo je kot dan in noč. secops pač nima ravno pojma kaj govori.

Zgleda sem stopil na žulj nekemu integratorju.


Večje firme kar lepo uporabljajo kubernetes.
Seveda pa ne self hosted.

Veliko firm je v hypu šlo na k8s in sedaj migrirajo na bolj enostavne service, recimo ECS. Veliko pa je tudi firm, ki samo pravijo, da ga uporabljajo, da izpadejo boljše, v bistvu imajo pa imajo zadaj nek legacy custom sistem, ki ga nihče ne pozna v celoti.

Invictus ::

secops je izjavil:

MS security je precej več kot prodajanje defender licenc.
Razlika med zares varno skonfiguriranim domenskim okoljem in tistim z privzeto konfiguracijo je kot dan in noč. secops pač nima ravno pojma kaj govori.

Zgleda sem stopil na žulj nekemu integratorju.

Integratorji imajo/mo vedno problem s secopsi, ker oni vse prepovedo brez razloga.

Takoj, ko ne vedo zaa kaj se gre, prepovedo.

V večini pa bluzijo in iščejo namišljene nevarnosti, pozabijo pa dostikrat na osnove...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

PrimoZ_ ::

secops je izjavil:

MS security je precej več kot prodajanje defender licenc.
Razlika med zares varno skonfiguriranim domenskim okoljem in tistim z privzeto konfiguracijo je kot dan in noč. secops pač nima ravno pojma kaj govori.

Zgleda sem stopil na žulj nekemu integratorju.


Jaz ne delam s tem, poznam pa fante, ki to delajo in imajo konkretno znanje drobovja winsev in večino časa preživijo dejansko na implementacijah, ker ko prideš do zategovanja varnosti hitro naletiš na probleme s kakimi aplikacijami ki jemljejo vse za samoumevno.
Lahko pa ti poveš kake reference imaš, da vidimo če je vredno upoštevati tvoje mnenje.

Ne maram MS, ker je zlobna korporacija pač ni zadosti.

kariera445 ::

secops je izjavil:

Če se boš usmeril v MS Security je to še vedno ista zadeva, kot to kar počneš sedaj. Samo namesto ADja in mail serverja, boš študiral MS rešitev za skeniranje ranljivosti, zaščito delovnih postaj itd. Tvoj delavnik bo verjetno izgledal tako, da boš visel po sestankih s ne-IT strankami in jim prodajal čudežne škatle ali pa cloud platforme, ki jim bojo rešile svet. Če pa ne boš pa malo nižje na prehranjevalni verigi v firmi, boš pa na sestankih tiho in boš na koncu moral vse te bučke zimplementirat. Kako se postavi niti ni važno, ker stranka tako ali tako tega ne na koncu tudi ne bo rabila. Plus tukaj je, da poznaš način dela, poznaš ekosistem. Minus pa to, da vse kar te moti do sedaj, te bo motilo tudi naprej.

To me malo skrbi, da bi končal kot prodajalec čudežnih rešitev.
Po drugi strani pa imaš tudi zelo konkretne strokovnjake, ki v nulo poznajo drobovje Windows OS in kako narediti vse skupaj čimbolj varno. To slednje bi bil recimo moj cilj.

secops je izjavil:


Pri DevOpsu pa boš verjetno zaposlen v firmi, ki izdeluje nek produkt, ki ga kot storitev ponuja svojim strankam (B2B ali B2C). V osnovi boš odgovoren za to, da bo storitev delovala stabilno. Ukvarjal se boš s tem kako in kdaj bodo nove verzije prišle do strank. Ni to samo kubernetes, verjetno ga večina firm v Sloveniji sploh ne uporablja, ker je dokaj zakompliciran in moraš pretehtati ali ti prednosti pretehtajo. Dejansko bo važno kaj narediš, ker če kaj zajebaš.


Mogoče si ne znam predstavljat kaj vse zares dela devops. Verjetno je precej marketinga in megle okoli naziva.

kariera445 ::

secops je izjavil:



Večje firme kar lepo uporabljajo kubernetes.
Seveda pa ne self hosted.

Veliko firm je v hypu šlo na k8s in sedaj migrirajo na bolj enostavne service, recimo ECS. Veliko pa je tudi firm, ki samo pravijo, da ga uporabljajo, da izpadejo boljše, v bistvu imajo pa imajo zadaj nek legacy custom sistem, ki ga nihče ne pozna v celoti.


Se zavedam, da je tu okoli veliko megle in še več marketinga.

Invictus ::

kariera445 je izjavil:


Mogoče si ne znam predstavljat kaj vse zares dela devops. Verjetno je precej marketinga in megle okoli naziva.

Ravno toliko kot za vse druge nazive... Sploh za secops...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

kariera445 ::

Invictus je izjavil:

secops je izjavil:

MS security je precej več kot prodajanje defender licenc.
Razlika med zares varno skonfiguriranim domenskim okoljem in tistim z privzeto konfiguracijo je kot dan in noč. secops pač nima ravno pojma kaj govori.

Zgleda sem stopil na žulj nekemu integratorju.

Integratorji imajo/mo vedno problem s secopsi, ker oni vse prepovedo brez razloga.

Takoj, ko ne vedo zaa kaj se gre, prepovedo.

V večini pa bluzijo in iščejo namišljene nevarnosti, pozabijo pa dostikrat na osnove...


Jaz ne ciljam na neko CISO vlogo. Sem že delal s takim, ki nam je samo citiral ISO 27001 in CIS Benchmarks, brez da bi vedel kaj kake zahteve zares pomenijo in brez najmanše ideje o čemerkoli, da bi se sploh lahko pogovarjali kaka tveganja se zares rešujejo in če mogoče lahko sprejmemo tveganje, ker potencialna rešitev je še slabša.

kariera445 ::

Invictus je izjavil:

kariera445 je izjavil:


Mogoče si ne znam predstavljat kaj vse zares dela devops. Verjetno je precej marketinga in megle okoli naziva.

Ravno toliko kot za vse druge nazive... Sploh za secops...


Security kot gledam je zelo široko področje in jaz sem ga popredalčkal nekako takole
- razni etični hekerji -> 95% jih je samo marketing, znajo dobro govorit in na raznih eventih kažejo kako se nekaj poheka, čeprav so v resnici samo uporabili recept iz interneta. Potem jim prodajo SOC ali nek varnostni produkt.
- pen testing,reverse engineering, hacking -> to je tisto pravo, samo če se primerjam z enim znancem in sem malo samokritičen, to presega moje zmožnosti. Človek razume strojno kodo kot jaz Python, razne RFC-je pa zna na pamet naprej in še nazaj
- security admin -> konfiguracija sistemov z mislijo na vrnost, torej namesto privzetega setupa, konfiguracija zadev tako, da se maksimizira varnost brez prevelikega poseganja v uporabnost. Seveda ne uide tudi deploy raznih varnostnih rešitev od AV, EDR, SIEM in ostalih rešitev...

secops ::

Seveda obstajajo MS experti, ki so vredni svojega denarja, ampak v večjih slovenskih firmah, kjer pokrivajo predvsem domači trg, teh ljudi ni. To pa zato, ker se pri nas na security gleda kot na odvečen strošek. Zato tudi firme ne morejo teh ljudi primerno plačati, niti ne rabijo njihovega ekspertnega znanja. In ker ti ljudje niso zadovoljni s 4k bruto gredo po navadi na svoje.

Enake težave so pri pentesterjih oziroma etičnih hekerjih. Pač premalo denarja je v teh vodah v Sloveniji.

Zgodovina sprememb…

  • spremenilo: secops ()

kariera445 ::

secops je izjavil:

Seveda obstajajo MS experti, ki so vredni svojega denarja, ampak v večjih slovenskih firmah, kjer pokrivajo predvsem domači trg, teh ljudi ni. To pa zato, ker se pri nas na security gleda kot na odvečen strošek. Zato tudi firme ne morejo teh ljudi primerno plačati, niti ne rabijo njihovega ekspertnega znanja. In ker ti ljudje niso zadovoljni s 4k bruto gredo po navadi na svoje.

Enake težave so pri pentesterjih oziroma etičnih hekerjih. Pač premalo denarja je v teh vodah v Sloveniji.


Čeprav naj bi šlo na bolje?
Pač kar nekaj večjih firm je v zadnjih letih fasalo kriptoviruse in to ni več samo neka teoretična grožna (nam se to ne more zgodit). Vsaj tako se govori.

Je pa definitivno veliko več oglasov za devops in z bolj konkretnimi plačami.

Pač razmišljam.
Pri 28ih imam še vse opcije da zamenjam področje.

Zgodovina sprememb…

c3p0 ::

Kriptovirus je le manjši disturbance, če so zadeve urejene kot treba.

Pri Devops je precej iskano tudi CI/CD znanje, kubernetes je en kolešček mašine, včasih še to ne.

Zgodovina sprememb…

  • spremenil: c3p0 ()

l0g1t3ch ::

Devops je v veliki meri skriptanje/avtomatizacija raznih postopkov. Bash, python, powershell.
Docker kontejnerje.
CI/CD kot npr Jenkins, CircleCI.
Prav pride tudi poznavanje OS-a, podatkovnih baz, omrežja, web serverjev itd.

Pod črto si sistemc, ki skrbi da lahko razvijalci delajo. In namesto da vsak strežnik posebaj konfiguriraš na roke, to opraviš preko skript, da je ponovljivo in avtomatizirano.

HotBurek ::

Evo, moje mnenje.


Poklic sistemskega administratorja je dbest, v primerjavi s programerjem. Plače bi rekel, da so nekje v razmerju 2800/3200, tako da si blizu, a hkrati je dobro programiranje veliko težje, kot dobra sistemska administracija. Seveda, kot mnogo drugje, je marsikaj odvisno od tega ali onega...


Security. To bi se jst izogibal na veliko. Ti ljudi načeloma ne dodajo nič k biznisu (money making), na vse možne načine se krčevito bojujejo dokazovat kako oh-in-sploh so pomembni (pa so v resnici povsem nepomebni igralci), "vsi" te sovražijo, ker jim težiš z dolgimi in kompleksnimi gesli. Skratka, če si po duši in telesu SS-ovc, si rojen za tak job. Sicer pa avoid.


Microsot. To bi prvo razdelil na dve obdobje. Dogajanje pred Windows Vista, ter po.

PRE: Obdobje Windows 2000/XP/2003 ter Office 2000 je bilo solid, praktično vse on-premis, na novoju. Software oz. računalnik je bil takrat dojet kot stroj. A teh časov ni več. Danes je računalnik dojet bolj kot modni dodatek...

POST: Vse od izida (ali se beseda izid piše z dvema z-jema?) Windows Vista pa grejo stvari navzdol. Vmesnik Windows 10/11 je sekret, cel OS je all-in-one bloatware, vse se rine v cloud misleč, da če lastne smeti prestaviš iz ene hiše (on-premis) v drugo hišo (tako zvani cloud), da boš rešil problem in bodo smeti magično izginle. Rešitev takega problema je v tem, da zamenjaš ljudi, ki so te smeti postavile in the first place.

Skratka, Microsot danes je bloatware garbage. In državljanska dolžnost je, da se temu izogneš, kolikor lahko.


Zgdej glede linuxa. Jst sem bil podobno kot ti nekoč nekdaj "v Microsoftu", a nezadovoljstvo se je v POST obdobju začelo nabirat in nalagat, ker je Microsoft šel tja, kamor men pač ni bilo za it.
No, proti koncu te poti sem prišel tako daleč, da sem naredil prehod iz Windows 7 na Windows 10, tam obstal nekaj malega časa in čisto padel ven zaradi totalnega šit vmesnika. In sem šel nazaj na Windows 7.

Potem pa sem si rekel, da če bom ostal "na Microsoft-u", da moram uporabljat najnoveši software, ali pa grem na nekaj drugega.

In sem. Pogledal sem internet, izbral in namestil Debian (zvporedno sem imel še laptop, da sem lahko po internetu iskal rešitve). Pa brez goljufanja z raznimi dual boot-i, live cd/usb in podobne pussy variante.

V vsega 2 dneh mi je uspelo Debian (in takrat GNOME) naštudirat do te mere, da sem bil ready to go in sem računalnik lahko normalno uporabljal, tako kot prej. In to na podlago absolutnega ničelnega poznanja česar koli o linux-ih (če uporabljaš linux-e, ti je dovoljena uporaba množine). Nula. Niti ssh-jat se nisem znal. Nič. Niente.

Letos februraja mislim, da bo 6 let, odkar sem na tem sistemu. In ko danes pomislim na Winblows 10/11 smeti, sem happy happy, da sem pravi čas šel stran. Namreč, uporaba Windows 10/11 je za žile rezat. Ne hvala.

Zraven seveda še prehod na programerskem delu, iz C# na Python. Isto, C# bloatware, Python simpl, the best.


Tako, kaj bi jst naredil če bi bil tam nekje, kot si ti.

1: Odločil bi se za poklic Sistemski administrator. Brez bulšit nazivov... DevOps je bulšit marketinška skovanka. DevOps ni nič drugega, kot sistemski administrator, ki postavi in skrbi za sistem, ter (v idealnem svetu) konstruktivno sodeluje s programerji. Plain and simple. (Vprašanje je, ali sistemski administrator lahko konstrutkivno sodeluje s programerjem, ki je v c šarp sprogramiral software, kateri uporablja MSSQL sa account in ti je naročil, da to spraviš v produkcijo. Če firma dela za denar, gre tak software seveda takoj v produkcijo, delat denar, ti se moreš pa pač delat, da to, kar se je ravnokal zgodilo, se v resnici sploh ni zgodilo. Razen če se želiš sekirat zaradi brezveznih bedarij, ki jih drugi počnejo. Odvisno od karakterja.)
2: Naredil bi prehod na Debian na "glavnem" računalniku. Strah neznanja je odveč. Če je meni ratalo z nič predznanja, pol imaš tudi ti kr velike šanse, da ti rata. Če ne probaš, pa tudi vedel ne boš.
3: Iz spletne strani CNCF ( link ) bi se naučil vse komponente, ki so v seznamu Graduated Projects (slikca spodaj). Kam se posamezna komponenta umešča v celotno sliko, ter kaj počne. Postavil bi si sistem, ki bi vseboval vse naštete komponente, in jih povezal v smiselno celoto. In to v home made lab-u, da si neodvisen od raznih tavelikih.

To se (na)učiš v 2 letih, potem pa pripraviš CV, v kateremu napišeš, kaj si se učil in naučil, ter da iščeš delo kot sistemski administrator. Za potrebe kadrovskega kokošnjaka notri vključiš še #cloud, da te lažje najdejo. Ter obvezno ne omeniš Mikrosoft-a, da te slučajno (spet) ne porinejo v to greznico.

Potem pa to pošiljaš okrog. V roku 6 mesecev si že lahko v švici/nemčiji/belgiji na solidni plači.

To je to. Naj ti rata, kakrkol se boš že odločil. Tudi, če se boš na koncu odločil za kariero Mikrosoft Evangelista. LOL

root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

Zgodovina sprememb…

  • spremenilo: HotBurek ()

Kayzon ::

Slis se k load of crap,v dneh dneh nastudirat linux? :|:))

tony1 ::

Zakaj pa ne? Danes imamo nekaj, čemur se reče Google (to je bila ena zastarela reč, še pred ChatGPTjem... you kids wouldn't understand.), in ni hudič, da ne zrihtaš delovanja wifija in naložiš non-košer kodeke, da ti youtube dela. Dva dni nimaš kaj delati...

(Ko ti Windows admin razloži, da se on s CLIjem ne misli ukvarjati, je to tudi load of crap, samo mu ne moreš tega razložiti tako, da bo razumel... )

HotBurek je izjavil:

Evo, moje mnenje.
Poklic sistemskega administratorja je dbest, v primerjavi s programerjem.


Daj tole še razloži. Kaj pa plusi programerskega dela, da se ne ukvarjaš z debilnimi strankami ob 2h ponoči, ko "jim vse neha delat"?

Zgodovina sprememb…

  • spremenil: tony1 ()

imagodei ::

secops je izjavil:

Seveda obstajajo MS experti, ki so vredni svojega denarja, ampak v večjih slovenskih firmah, kjer pokrivajo predvsem domači trg, teh ljudi ni. To pa zato, ker se pri nas na security gleda kot na odvečen strošek.

Zanimivo, da kljub temu stališču pri večini slovenskih podjetij, da je security odvečen strošek, nekako ne beležimo grozljivo veliko varnostnih incidentov, vdorov, vsakotedenskih obvestil o tem, kako je bila ta ali ona firma žrtev kriptovirusa, ne vidimo obsežnih kraj denarja zaradi hekerjev, obsežnih odtekanj osebnih podatkov ...

Kaj to pove o področju IT securityja? Gre v veliki meri za strašenje in za umetno povečevanje trga? Resno - kako lahko večina slovenskih podjetij preživi en sam dan na internetsih, ki so polni nevarnosti, če pa jih 90% uporablja zgolj zastarele L3/L4 firewalle ali celo slabše, outofthebox praktično nekonfigurirane TP-Link Archerje, domeno, če jo sploh imajo postavljeno, pa imajo na starih Win Server 2012, ki niso bili posodobljeni od kar so bili postavljeni, seveda s privzetim Administrator accountom in geslom, ki je že od postavitve dalje nespremenjeno in je izpeljanka imena njihovega podjetja?

Mislim, da bi bila za večino slovenskih podjetij največja reklama za security ta, da bi se krajšem obdobju nekaj deset podjetij pri nas ali v neposredni bližini hudo opeklo zaradi nezadostnega vlaganja v področje IT securityja. Dokler se pa direktorji na poslovnih kosilih med sabo ne pogovarjajo o tem, koliko škode so lani imeli zaradi nezadostne zaščite, ali pa, kako se je njihov kolega komaj izognil stečaju in je moral odpustiti 50 zaposlenih zaradi krčenja poslovanja, ker so komaj preživeli hekerski napad in so jim izpraznili bančni račun, toliko časa pač IT security ni resna tema.

In res se je treba vprašat, če ni do neke mere napihnjena izven vseh proporcev. Saj veste: ko človeku daš kladivo v roke, povsod začne opažati žeblje, ki bi jih lahko zabijal. In ko človeku poveš, da je zdaj on strokovnjak za internetno varnost, povsod vidi pakete, ki bi jih bilo treba "globinsko pregledati" (DPI) in servise, ki bi jih bilo treba ukiniti.
- Hoc est qui sumus -

DamijanD ::

tony1 je izjavil:


Daj tole še razloži. Kaj pa plusi programerskega dela, da se ne ukvarjaš z debilnimi strankami ob 2h ponoči, ko "jim vse neha delat"?

Ampak če podjetje ni zelo veliko, je dokaj velika možnost, da bo programer fural tudi support in potem je možnost, da se bo tudi programer s tako situacijo moral ukvarjati - mogoče še bolj pogosto kot sistemc...

tony1 ::

Takšna pozicija je pa totalno sranje, in se je raje izogni.

imagodei: kar počneš je tiščanje glave v pesek.

žal ti manjka izkušenj z targetiranimi napadi na slo firme, ki naredijo po 100 mio eur letno prometa. Ko jih "uhvati" minimalno premišljen napada s kripto lockerjem se izkaže:
-80% naprav je v istem VLANu, ker je segmentacija tako zoprna
-ni nadzora nad updejtanjem win sistemov (drugih ni, ker drugega nihče ne pozna)
-kup nepopečanih winsev je dosegljivih iz celega interneta prek porta za RDP (to ranljivost izrabijo in pridejo noter brez vpisa kredenšlov)
-vzamejo si 14 dni in zbirajo gesla
-nato neke lepe sobote zvečer začnejo kriptirati, da je nekaj narobe se opazi šele popoldne naslednji dan
-zakriptirajo vse win serverje, vse esx serverje z nadzornimi sistemi in tudi bekape, ker jih je postavil nekdo, ki ni sekjuritaš in mu je security samo odveč (uni iz sekjuritija samo na suho zaje6avajo slovenski narod :D)
-zanimivo postane, ko se ugotovi, da so žive le še omrežne naprave in nek security sistem, ki je bil postavljen v cloudu (ker je bilo tako ceneje)
-firma nato panično išče strokovnjake, ki se ukvarjajo samo z reševanjem takih problemov, vse zaposlene v proizvodnji pošljejo na izredni dopust za 1 dan, nato 2 dni, nato 14 dni
-vmes morajo na novo postaviti vso strežniško infrastrukturo, česar ne zmorejo in ne znajo sami, in kar bo stalo več sto tisoč eur samo za storitve zunanji firmi.

Zdaj pa zakaj se o tem CEOti ne pogovorjajo? Zato, ker jih je sram. Sram, da so tako nesposobni, sram, ker so morali v pon. zjutraj poklicati v BMW in povedati, da so jih pof?kali indonezijski kripto pirati in da nekaj časa ne bo dobav. Sram, da ne bi kaj prišlo v medije.

V varnost je pogosto lažje zmetati milijone, kot pa reči, da bomo pol leta preventivno delali vse vikende, posegmentirali in preštevilčili mrežo in napisali firewall politike. Že takšne osnove, ki jih poznamo dobrih 20 let bi vsako firmo naredile nezaželjeno tarčo - ker je je toliko lažjih in manj poštimanih na internetih. Varnost se mora delati na (neprijetnih) osnovah, ne na metanju denarja na gnojni kup s taveliko šaflo.

Kayzon ::

Zna kdo tukaj Assembly/C pa reverse engineering? Ali je to prevec za slotech junake?

HotBurek ::

ton1, to kar ti naštevaš (updejtatnje windowse, odprt rdp na public, itn.) je posledica malomarnosti (ali neznanja) tistega, ki je odgovoren za sistemsko administracijo njihovega sistema.

Skratka, zgoraj naštete napake (in odprava le teh) spadajo pod delo sistemskega administratorja, ne pa nekih specializiranih security SS komandosov.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

strawman ::

V teoriji ja. V praksi pa nekaj naštrikajo sistemci, malo po svoje nastavijo networkaši, naredi se par izjem za developerje, dodan je nek zunanji dostop za integracije za marketing, kak IT arhitekt se gre vzporeden shadow IT, in na koncu res potrebuješ dediciran oddelek ki bo imel celovit pogled na varnost iT infastrukture podjetja ko gre število zaposlenih v stotine.
Še slabše je v ne-IT podjetjih, kjer je ponavadi en in edini preobremenjeni ITjevec na nivoju hišnika in se mora namesto z patchanjem serverjev ukvarjati s pametno hišo direktorja podjetja.

tony1 ::

Tako je, v bistvu je grozno, da sistemci niti osnov vatnosti ne poznajo, ali pa jih nalasc igorirajo. Potem jim morajo pa pamet na nnihovdm podrocju soliti sekjuritasi, ker se drugace nic ne spremeni.

HotBurek ::

Haha, no ja, taka je pa potem še realnost.

Je kar težka situacija, na eni strani nujno zlo (Winblows), na drugi pa ni interesa pri uporabnikih, da osnovno spoznajo ta stroj (računalnik), ter kako delat z njim (operacijski sistem).
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

imagodei ::

tony1 je izjavil:

imagodei: kar počneš je tiščanje glave v pesek.

tony1, če bi dobro prebral, kaj sem napisal, bi nemara ugotovil, da nikakor nisem proti zdravorazumskim varnostnim rešitvam. Ampak moje vprašanje je, ali za implementacijo tega (v bistvu točno tega, kar navajaš ti) res potrebuješ cybersecurity strokovnjaka in zares potrebuješ nesramno visoke investicije v varnostne rešitve? Npr. NGFW-je, ki stanejo 1000 in več € ter vsakoletno obnavljanje licenc, ki stanejo toliko kot sam firewall oziroma še več?

tony1 je izjavil:

žal ti manjka izkušenj z targetiranimi napadi na slo firme, ki naredijo po 100 mio eur letno prometa.

Morda mi res manjka izkušenj s targetiranimi napadi na velike firme, ampak če so vdori posledica tega, kar potem v nadaljevanju navajaš, potem bi njim 99% problemov rešilo že zdravorazumsko načrtovanje varnosti, ki ga bi moral biti sposoben vsak, ki se drzne podpisovati kot Network oziroma System Engineer. Takim firmam, kjer imajo nepopatchane Windowse dosegljive preko RDP porta iz celega interneta, ne pomaga noben NGFW z vsemi naprednimi funkcijami vred. Tudi to je treba znati nastaviti in vzdrževati.

tony1 je izjavil:

Zdaj pa zakaj se o tem CEOti ne pogovorjajo? Zato, ker jih je sram. Sram, da so tako nesposobni, sram, ker so morali v pon. zjutraj poklicati v BMW in povedati, da so jih pof?kali indonezijski kripto pirati in da nekaj časa ne bo dobav. Sram, da ne bi kaj prišlo v medije.

Huh, firma, ki je 14 dni na prisilnem dopustu, tako kot navajaš ti, hitro pride v medije. Pri več 10 ali več 100 zaposlenih se hitro najde nekdo, ki spregovori. Ne vem, oprosti - ampak vesel bi bil, če bi mi nekdo z neovrgljivimi podatki pokazal, da se takšne prigode redno dogajajo v Sloveniji in okoliški regiji. Težko verjamem, da se takšne informacije ne bi razširile; če ne v trenutku nastanka škode, pa čez mesec ali dva. Ali pa čez eno leto.

tony1 je izjavil:

Že takšne osnove, ki jih poznamo dobrih 20 let bi vsako firmo naredile nezaželjeno tarčo

My point exactly.
- Hoc est qui sumus -

imagodei ::

imagodei je izjavil:

...zares potrebuješ nesramno visoke investicije v varnostne rešitve? Npr. NGFW-je, ki stanejo 1000 in več € ter vsakoletno obnavljanje licenc, ki stanejo toliko kot sam firewall oziroma še več?

Seveda bi moral napisati: "Začenši z NGFW-ji, ki stanejo 1000 in več € ...", ker vemo, da je HW na koncu poceni. Levji delež stroška odpade na delo varnostnega inženirja, ki pregleda ter konfigurira sisteme in pa na vsakoletne preglede in ocene, saj kot vemo, IT security ni izdelek, ampak proces.
- Hoc est qui sumus -

l0g1t3ch ::

imagodei je izjavil:

secops je izjavil:

Seveda obstajajo MS experti, ki so vredni svojega denarja, ampak v večjih slovenskih firmah, kjer pokrivajo predvsem domači trg, teh ljudi ni. To pa zato, ker se pri nas na security gleda kot na odvečen strošek.

Zanimivo, da kljub temu stališču pri večini slovenskih podjetij, da je security odvečen strošek, nekako ne beležimo grozljivo veliko varnostnih incidentov, vdorov, vsakotedenskih obvestil o tem, kako je bila ta ali ona firma žrtev kriptovirusa, ne vidimo obsežnih kraj denarja zaradi hekerjev, obsežnih odtekanj osebnih podatkov ...

Kaj to pove o področju IT securityja? Gre v veliki meri za strašenje in za umetno povečevanje trga? Resno - kako lahko večina slovenskih podjetij preživi en sam dan na internetsih, ki so polni nevarnosti, če pa jih 90% uporablja zgolj zastarele L3/L4 firewalle ali celo slabše, outofthebox praktično nekonfigurirane TP-Link Archerje, domeno, če jo sploh imajo postavljeno, pa imajo na starih Win Server 2012, ki niso bili posodobljeni od kar so bili postavljeni, seveda s privzetim Administrator accountom in geslom, ki je že od postavitve dalje nespremenjeno in je izpeljanka imena njihovega podjetja?

Mislim, da bi bila za večino slovenskih podjetij največja reklama za security ta, da bi se krajšem obdobju nekaj deset podjetij pri nas ali v neposredni bližini hudo opeklo zaradi nezadostnega vlaganja v področje IT securityja. Dokler se pa direktorji na poslovnih kosilih med sabo ne pogovarjajo o tem, koliko škode so lani imeli zaradi nezadostne zaščite, ali pa, kako se je njihov kolega komaj izognil stečaju in je moral odpustiti 50 zaposlenih zaradi krčenja poslovanja, ker so komaj preživeli hekerski napad in so jim izpraznili bančni račun, toliko časa pač IT security ni resna tema.

In res se je treba vprašat, če ni do neke mere napihnjena izven vseh proporcev. Saj veste: ko človeku daš kladivo v roke, povsod začne opažati žeblje, ki bi jih lahko zabijal. In ko človeku poveš, da je zdaj on strokovnjak za internetno varnost, povsod vidi pakete, ki bi jih bilo treba "globinsko pregledati" (DPI) in servise, ki bi jih bilo treba ukiniti.


Security je napihnjen, oz. je tu veliko napihnjencev v podobi etičnih "hekerjev", ki ne znajo kaj več kot preprodajat od drugih odkrite exploite, ki so ponavadi že precej časa pokrpani.

Vseeno pa varnosti kot take ni za jemat z levo roko, ker samo v 2022 vem za 2 firmi, veliki za slovenske razmere, ki sta bili par dni praktično čist ustavljeni in je potem trajalo še par tednov da so bili nazaj v pogonu.
Obakrat se je izkazalo, da še kako drži sledeče: backup ni problem, restore po drugi strani... >:D

imagodei je izjavil:

imagodei je izjavil:

...zares potrebuješ nesramno visoke investicije v varnostne rešitve? Npr. NGFW-je, ki stanejo 1000 in več € ter vsakoletno obnavljanje licenc, ki stanejo toliko kot sam firewall oziroma še več?

Seveda bi moral napisati: "Začenši z NGFW-ji, ki stanejo 1000 in več € ...", ker vemo, da je HW na koncu poceni. Levji delež stroška odpade na delo varnostnega inženirja, ki pregleda ter konfigurira sisteme in pa na vsakoletne preglede in ocene, saj kot vemo, IT security ni izdelek, ampak proces.


NGFW je precej brezveze.
Najmanj varnostnega efekta imajo danes razne rešitve mrežkarjev, ki so ostali v 90ih in še vedno mislijo, da je podjetje nek balonček in da bo vse super in varno če ščitijo kaj gre notr in ven.

Največ za varnost narediš danes na samih operacijskih sistemih od serverjev do klientov, pa identity management. Varno omrežje seveda pripomore k varnosti, ni pa to še zdaleč ne najboljši in najbolj pomemben ukrep.

Zgodovina sprememb…

  • spremenilo: l0g1t3ch ()

PrimoZ_ ::

imagodei je izjavil:

tony1 je izjavil:

imagodei: kar počneš je tiščanje glave v pesek.

tony1, če bi dobro prebral, kaj sem napisal, bi nemara ugotovil, da nikakor nisem proti zdravorazumskim varnostnim rešitvam. Ampak moje vprašanje je, ali za implementacijo tega (v bistvu točno tega, kar navajaš ti) res potrebuješ cybersecurity strokovnjaka in zares potrebuješ nesramno visoke investicije v varnostne rešitve? Npr. NGFW-je, ki stanejo 1000 in več € ter vsakoletno obnavljanje licenc, ki stanejo toliko kot sam firewall oziroma še več?

tony1 je izjavil:

žal ti manjka izkušenj z targetiranimi napadi na slo firme, ki naredijo po 100 mio eur letno prometa.

Morda mi res manjka izkušenj s targetiranimi napadi na velike firme, ampak če so vdori posledica tega, kar potem v nadaljevanju navajaš, potem bi njim 99% problemov rešilo že zdravorazumsko načrtovanje varnosti, ki ga bi moral biti sposoben vsak, ki se drzne podpisovati kot Network oziroma System Engineer. Takim firmam, kjer imajo nepopatchane Windowse dosegljive preko RDP porta iz celega interneta, ne pomaga noben NGFW z vsemi naprednimi funkcijami vred. Tudi to je treba znati nastaviti in vzdrževati.


Varnost je zajebana, ker napadalec mora najti samo en luknjo, sistemci morajo pa ščitit cel sistem in upat da niso česa spregledali.
Firma zmeče deset tisoče EUR v magične internetne NGFW škatle, potem pa jih ownajo preko phising email-a.

P.S. Za privzeto postavitev Active directorya z najnovejšim server 2022 in windows 11 klienti, polno posodobljeno oboje, obstajajo vsaj 4je povsem različni načini kako iz klienta brez administratorskih pravic na domeni ali lokalni mašini prideš do domain admin računa.

Sedaj pa se zamislite, kdo ima zares varno postavljeno windows domeno. In tega noben NGFW ne bo rešil.

P.P.S. Kdor misli da je varen ker na internet nima odprtega RDP, živi na sposojenem času. Naj mu bo sreča še dolgo naklonjena :D

l0g1t3ch ::

HotBurek je izjavil:

Evo, moje mnenje.
Poklic sistemskega administratorja je dbest, v primerjavi s programerjem. Plače bi rekel, da so nekje v razmerju 2800/3200, tako da si blizu, a hkrati je dobro programiranje veliko težje, kot dobra sistemska administracija. Seveda, kot mnogo drugje, je marsikaj odvisno od tega ali onega...

Zelo pavšalna ocena. Dosti sistemskih administratorjev tudi životari na nekih brezveznih pozicijah, kjer jih vodstvo gleda kot hišnike in nepotrebni strošek in se ukvarjajo z težavami z wordom od tajnice pa do nekega amaterskega wifi-ja in vse umes.

HotBurek je izjavil:


Security. To bi se jst izogibal na veliko. Ti ljudi načeloma ne dodajo nič k biznisu (money making), na vse možne načine se krčevito bojujejo dokazovat kako oh-in-sploh so pomembni (pa so v resnici povsem nepomebni igralci), "vsi" te sovražijo, ker jim težiš z dolgimi in kompleksnimi gesli. Skratka, če si po duši in telesu SS-ovc, si rojen za tak job. Sicer pa avoid.

Poznam vsaj dve firmi, ki sta lani plačali toliko kot sta prej v 10ih letih "privarčvevali", ker so jih pojebal z nekim malwerom.
Tvoj pogled k doprinosu pozicij je pač omejen.
Če je teženje z dolžino gesel tvoj edini domet, potem razumem da te sovražijo in si pač omejenec. Sposoben admin/sec inžinir bo uredil passwordless okolje, ali pa vsaj MFA.

HotBurek je izjavil:


Vmesnik Windows 10/11 je sekret, cel OS je all-in-one bloatware, vse se rine v cloud misleč, da če lastne smeti prestaviš iz ene hiše (on-premis) v drugo hišo (tako zvani cloud), da boš rešil problem in bodo smeti magično izginle.
Rešitev takega problema je v tem, da zamenjaš ljudi, ki so te smeti postavile in the first place.

Letos februraja mislim, da bo 6 let, odkar sem na tem sistemu. In ko danes pomislim na Winblows 10/11 smeti, sem happy happy, da sem pravi čas šel stran. Namreč, uporaba Windows 10/11 je za žile rezat. Ne hvala.
Zraven seveda še prehod na programerskem delu, iz C# na Python. Isto, C# bloatware, Python simpl, the best.

10 in 11 sta dejansko še najbolj uporabni verziji od win7 dalje. 8 in 8.1 sta bili pa zares katastrofi.
Dejansko je MS od server 2012 naprej naredil veliko izboljšav pod pokrovom. Tudi uporabnost zaradi upravljanja preko PS je šla krepko gor. Pa možnost serverskega sistema brez GUI in še in še.
Glavni problem ste omejenci, ki se še vedno RDP-jate na serverje, da bi tam nekaj poklikali.

Uporabljam python, ker pač je v modi in ga uporabljamo "vsi" ampak ni nek presežek. Je super fino fajn za quick&dirty rešitve, za večje kose SW-ja pa 10x raje vzamem c#.
Glavni problem MS-ja je zame telemtrija, fuj. Ni važno če ne zlorabljajo mojih podatkov, že sam to da jih zbirajo je nesprejemljivo.
In podpiranje ameriške korporocaije, jebi ga sem malo idealist in bi rad videl da bi več uporabljali lokalni SW. Foss, je načeloma še najbližje temu, če ne vzameš potem RH-ja :))

HotBurek je izjavil:


Tako, kaj bi jst naredil če bi bil tam nekje, kot si ti.

1: Odločil bi se za poklic Sistemski administrator. Brez bulšit nazivov... DevOps je bulšit marketinška skovanka. DevOps ni nič drugega, kot sistemski administrator, ki postavi in skrbi za sistem, ter (v idealnem svetu) konstruktivno sodeluje s programerji. Plain and simple.

Devops je marketing in veliko megle, se strinjam.
Vseeno pa nekako razločuje različne "tipe" sistemskih administratorjev. Na eni strani imaš tist klasičen IT zaprt v svoji čumnati ki skrbi za mrežno opremo, strežnike, laptope uporabnikov,... Ponavadi jim je vse muka karkoli rabiš od njih, vse traja en teden, vsak server ali virtualka je sveta krava, ki jo ljubeče patchajo in nadgrajujejo že 10 let.
Za kako skriptanje in avtomatizacijo še slišat nočejo,...
Po drugi strani pa imaš pa to kar se reklamira kot devops, kjer ponavadi si del skupine skupaj z razvojnoki in skrbiš za CI/CD sistem, delaš na avtomatizaciji raznih konfiguracij in deploymentov, sodeluješ pri odločanju glede komponent in arhitekture nove aplikacije,... Pogosto tudi večina produkcije teče v AWS, GCP, Azure, ker se ne uporabljajo virtulake in gre za ponujanje nekih storitev, ki naj bi bile globalno dostopne in ima javni oblak celo smisel.

Invictus ::

l0g1t3ch je izjavil:


Poznam vsaj dve firmi, ki sta lani plačali toliko kot sta prej v 10ih letih "privarčvevali", ker so jih pojebal z nekim malwerom.
Tvoj pogled k doprinosu pozicij je pač omejen.
Če je teženje z dolžino gesel tvoj edini domet, potem razumem da te sovražijo in si pač omejenec. Sposoben admin/sec inžinir bo uredil passwordless okolje, ali pa vsaj MFA.

Lansko leto je kar precej firm imelo zaklenjene serverje. V Sloveniji...

Samo o tem se ne piše.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

HotBurek ::

Glavni problem MS-ja je zame telemtrija, fuj. Ni važno če ne zlorabljajo mojih podatkov, že sam to da jih zbirajo je nesprejemljivo.
In podpiranje ameriške korporocaije, jebi ga sem malo idealist in bi rad videl da bi več uporabljali lokalni SW. Foss, je načeloma še najbližje temu, če ne vzameš potem RH-ja


Evo, še ena opcija (za OP-ja): Postani sistemski administrator za SUSE.

Naštudiraš vse produkte iz seznama: https://www.suse.com/products/

Pa še certifikate imajo: https://www.suse.com/training/exam/
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

l0g1t3ch ::

Invictus je izjavil:

l0g1t3ch je izjavil:


Poznam vsaj dve firmi, ki sta lani plačali toliko kot sta prej v 10ih letih "privarčvevali", ker so jih pojebal z nekim malwerom.
Tvoj pogled k doprinosu pozicij je pač omejen.
Če je teženje z dolžino gesel tvoj edini domet, potem razumem da te sovražijo in si pač omejenec. Sposoben admin/sec inžinir bo uredil passwordless okolje, ali pa vsaj MFA.

Lansko leto je kar precej firm imelo zaklenjene serverje. V Sloveniji...

Samo o tem se ne piše.


Zanimivo, da jim je tako uspelo pomesti pod preprogo. Zdej je že več kot pol leta od obeh incidentov in še ni nič prišlo na plano.
Zdaj ko je zunaj zvop-2, bo verjetno bolj pestro, če se spet kaj takega zgodi.

Bostjan_321 ::

l0g1t3ch je izjavil:


Devops je marketing in veliko megle, se strinjam.
Vseeno pa nekako razločuje različne "tipe" sistemskih administratorjev. Na eni strani imaš tist klasičen IT zaprt v svoji čumnati ki skrbi za mrežno opremo, strežnike, laptope uporabnikov,... Ponavadi jim je vse muka karkoli rabiš od njih, vse traja en teden, vsak server ali virtualka je sveta krava, ki jo ljubeče patchajo in nadgrajujejo že 10 let.
Za kako skriptanje in avtomatizacijo še slišat nočejo,...

Po drugi strani pa imaš pa to kar se reklamira kot devops, kjer ponavadi si del skupine skupaj z razvojnoki in skrbiš za CI/CD sistem, delaš na avtomatizaciji raznih konfiguracij in deploymentov, sodeluješ pri odločanju glede komponent in arhitekture nove aplikacije,... Pogosto tudi večina produkcije teče v AWS, GCP, Azure, ker se ne uporabljajo virtulake in gre za ponujanje nekih storitev, ki naj bi bile globalno dostopne in ima javni oblak celo smisel.


Odličen opis marsikaterega IT oddelka :D

tony1 ::

" tony1, če bi dobro prebral, kaj sem napisal, bi nemara ugotovil, da nikakor nisem proti zdravorazumskim varnostnim rešitvam. Ampak moje vprašanje je, ali za implementacijo tega (v bistvu točno tega, kar navajaš ti) res potrebuješ cybersecurity strokovnjaka in zares potrebuješ nesramno visoke investicije v varnostne rešitve? Npr. NGFW-je, ki stanejo 1000 in več € ter vsakoletno obnavljanje licenc, ki stanejo toliko kot sam firewall oziroma še več?"

Je 1000 EUR za FW preveč za fizično osebo? Je. Za firmo, ki naredi 100k letnega prometa? Nikakor. Običajna cena letnih licenc je nekje 40% cene hardvera. Če rabiš strokovnjaka? Ne rabiš, če imaš kader, ki se bo sam naučil upravljati sistem. Pa imaš tak kader? Nimaš ga, torej plačaš nekoga ki to zna. (Če samo kupiš škatlo, da ta kuri štrom je še mnogo bolj brezveze.)

"Morda mi res manjka izkušenj s targetiranimi napadi na velike firme, ampak če so vdori posledica tega, kar potem v nadaljevanju navajaš, potem bi njim 99% problemov rešilo že zdravorazumsko načrtovanje varnosti, ki ga bi moral biti sposoben vsak, ki se drzne podpisovati kot Network oziroma System Engineer. Takim firmam, kjer imajo nepopatchane Windowse dosegljive preko RDP porta iz celega interneta, ne pomaga noben NGFW z vsemi naprednimi funkcijami vred. Tudi to je treba znati nastaviti in vzdrževati."

Jaz ne vem zakaj, ampak preprosto dejstvo je, da večine sistemcev varnost ne zanima, je ne razumejo ali pa zanjo ne najdejo časa. NGFW bi jim še kako pomagal, ker bi ali z IPSom preprečil izrabo ranljivosti ali pa ustavil C&C komunikacijo ransomwara. Ampak mora pa biti pravilno nastavljen, sicer je le kup... opeke.

" Huh, firma, ki je 14 dni na prisilnem dopustu, tako kot navajaš ti, hitro pride v medije. Pri več 10 ali več 100 zaposlenih se hitro najde nekdo, ki spregovori. Ne vem, oprosti - ampak vesel bi bil, če bi mi nekdo z neovrgljivimi podatki pokazal, da se takšne prigode redno dogajajo v Sloveniji in okoliški regiji. Težko verjamem, da se takšne informacije ne bi razširile; če ne v trenutku nastanka škode, pa čez mesec ali dva. Ali pa čez eno leto."

Verjemi mi na besedo. ;) Ko se obravnava incidente je prva stvar, da se vklopi Signal. Ker je stranko sram do neba.

"Security je napihnjen, oz. je tu veliko napihnjencev v podobi etičnih "hekerjev", ki ne znajo kaj več kot preprodajat od drugih odkrite exploite, ki so ponavadi že precej časa pokrpani."

Take ljudi je treba samo vprašati: koliko segmentacij firm s 100 ali več uporabniki (za Slo razmere je to povsem dovolj) ste že sami izpeljali od začetka do konca? In nato slišiš čričke, kar je vse kar rabiš vedeti.

"NGFW je precej brezveze.
Najmanj varnostnega efekta imajo danes razne rešitve mrežkarjev, ki so ostali v 90ih in še vedno mislijo, da je podjetje nek balonček in da bo vse super in varno če ščitijo kaj gre notr in ven.

Največ za varnost narediš danes na samih operacijskih sistemih od serverjev do klientov, pa identity management. Varno omrežje seveda pripomore k varnosti, ni pa to še zdaleč ne najboljši in najbolj pomemben ukrep."

Stop making up words! :))

Tukaj bom začel zveneti kot tisti forumaš, ki reklamira Watchguard, ampak: nisem jaz NGFW krilatice privlekel v temo. Dejstvo pa je, da je varnost brez firewalla nemogoče graditi. Če to ni poštimano, imaš avto brez koles. (Aja, vsi moderni enterprise firewalli so NGFW.)

In ja, saj razumem, da si hotel povedati, da so EDR in ZTNA dandanes the hot stuff - in to drži, obramba perimetra only je preživeta - vendar se obrambe tudi s temi orodji brez poštimanega firewalla ne da narediti. In seveda, identiteto userjev uporabljaš na firewallu.

" Firma zmeče deset tisoče EUR v magične internetne NGFW škatle, potem pa jih ownajo preko phising email-a. " in " Sedaj pa se zamislite, kdo ima zares varno postavljeno windows domeno. In tega noben NGFW ne bo rešil."

Ker jim je škoda plačati nekoga, ki bo iz kupa opeke naredil bajto. Spet bom zvenel kot pokvarjena plošča: absolutne varnosti ni, in nima se smisla prerekati o najbolj osnovnem orodju varnosti. To je tako, kot če bi bil zidar, ki piše, da se da zidati brez ceglov ali pa brez malte. Daj no.

Če pa si dovolj dobro varovana tarča, si manj dojemljiv za najbolj primitivne napade (ki jih je ogromna večina), in zato statistično bolj varen.

" Zelo pavšalna ocena. Dosti sistemskih administratorjev tudi životari na nekih brezveznih pozicijah, kjer jih vodstvo gleda kot hišnike in nepotrebni strošek in se ukvarjajo z težavami z wordom od tajnice pa do nekega amaterskega wifi-ja in vse umes."

Ogromno jih je zgaranih in preobremenjenih... tudi z zanje povsem neprimernimi nalogami tipa menjava baterij v miškah, ker vodstva ni dovolj v hlačah, da bi svojim zaposlenim reklo, naj nehajo biti razvajeni otroci. Danes sem imel enega takega nesrečnika na telefonu, klical me je med laufanjem iz enega štuka v drugega...

"vsak server ali virtualka je sveta krava, ki jo ljubeče patchajo in nadgrajujejo že 10 let."

Če patchajo je super... Javne ustanove imajo še win serverjev 2008 R2 še preveč živih, in nihče jih ne upa poupdejtat. Morda čakajo penzijo, da jim ta prehiti inevitable štalo...

tony1 ::

"Glavni problem ste omejenci, ki se še vedno RDP-jate na serverje, da bi tam nekaj poklikali."

To je realnost SLO ITja, žal. Gre počasi na bolje, ampak pač... počasi.

Invictus ::

l0g1t3ch je izjavil:


Devops je marketing in veliko megle, se strinjam.
Vseeno pa nekako razločuje različne "tipe" sistemskih administratorjev. Na eni strani imaš tist klasičen IT zaprt v svoji čumnati ki skrbi za mrežno opremo, strežnike, laptope uporabnikov,... Ponavadi jim je vse muka karkoli rabiš od njih, vse traja en teden, vsak server ali virtualka je sveta krava, ki jo ljubeče patchajo in nadgrajujejo že 10 let.
Za kako skriptanje in avtomatizacijo še slišat nočejo,...
Po drugi strani pa imaš pa to kar se reklamira kot devops, kjer ponavadi si del skupine skupaj z razvojnoki in skrbiš za CI/CD sistem, delaš na avtomatizaciji raznih konfiguracij in deploymentov, sodeluješ pri odločanju glede komponent in arhitekture nove aplikacije,... Pogosto tudi večina produkcije teče v AWS, GCP, Azure, ker se ne uporabljajo virtulake in gre za ponujanje nekih storitev, ki naj bi bile globalno dostopne in ima javni oblak celo smisel.

Je in ni. Tako kot cloud...

Pameten DevOps lahko marsikaj avtomatizira in poenostavi. Ampak to se je delalo že včasih. V pametnih firmah...

Kar se lokalnih serverjev tiče, to je danes pase. Me čudi, da imajo firme še vedno Exchange serverje. Ali sploh katerekoli serverje. Za osnovne zadeve ala mail in Office. Dovolj je storitev v oblaku, kjer samo dodajaš userje, pa na koncu ni nič dražje. Normalen ITjevec stane firmo letno cirka 25k. Za relativno slabo plačo. To ti kupi cel kup oblačnih storitev. Če bi naredili analizo podjetij, bi ugotovili, da jih 90% lahko ukine kakršen koli lokalen aerver, pa tudi cloud server.

Cloud je včasih koristen, vendar se že kažejo pasti. Predvsem cenovno in kar se tile ponudbe storitev. Poznam že par primerov iz Nemčije, pa tudi pri nas, ko je cloud ponidnik preprosto za 3x dvingil cenme, ali pa ukinil kako storitev na kateri bazira tovja aplikacija.

Danes je z DevOps tako kot z vsakih nazivom. Hitro je vsak Senior ali Arhitekt, ali SecOps. Vsi pač nabijajo, da si pač dvignejo ceno.

tony1 je izjavil:


Ogromno jih je zgaranih in preobremenjenih... tudi z zanje povsem neprimernimi nalogami tipa menjava baterij v miškah, ker vodstva ni dovolj v hlačah, da bi svojim zaposlenim reklo, naj nehajo biti razvajeni otroci. Danes sem imel enega takega nesrečnika na telefonu, klical me je med laufanjem iz enega štuka v drugega...

Niso zgarani, samo naveličani, ker delajo eno in isto že zadnjih 15 let, pa ne napredujejo.

Dostikrat krivi kar sami.

tony1 je izjavil:

Če patchajo je super... Javne ustanove imajo še win serverjev 2008 R2 še preveč živih, in nihče jih ne upa poupdejtat. Morda čakajo penzijo, da jim ta prehiti inevitable štalo...

Saj ni treba vedno imeti "latest and greatest". Pravzaprav je dobro, če imaš v produkciji softver, ki je kake 2 verziji zadaj, da je vse popatchano in spucano. Ali pa je zadnja verzija vsaj kake 2 leti zunaj, da so našli že večino bugov...

Zadnje verzije so vedno shit. Ampak Slovenija je tako ali tako samo ena velika beta test država...

Je pa postal IT zdaj tako draga zadeva, z internimi zanič zaposlenimi v večini, ker so tam že 10-15 let, da si ne upajo narediti kakega večjega koraka, ker so povsem brez idej in znanja, kar se tiče migracij podatkov. In potem ne nadgrajuješ. Poznam firmo, ki laufa nek GIS softver na Oracle, pa ne morejo nadgraditi nobenega. GISa ne, ker je Oracle verzija prestara in nepodprta, Oracla si nihče ne upa nadgraditi. Čas pa teče...

Danes se ponujajo službe, kjer posebej piše, da se ti mora dati ukvarjati s staro tehnologijo...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Zgodovina sprememb…

  • spremenil: Invictus ()

Tiger ::

l0g1t3ch je izjavil:

Zanimivo, da jim je tako uspelo pomesti pod preprogo. Zdej je že več kot pol leta od obeh incidentov in še ni nič prišlo na plano. Zdaj ko je zunaj zvop-2, bo verjetno bolj pestro, če se spet kaj takega zgodi.

Verjetno zato, ker se niso držali zlatega pravila, da se "teroristom in ugrabiteljem" ne plačuje.

tony1 ::

Ne, niso plačali. Pa ne vem zakaj, morda se je zdelo predrago ali pa iz balkanskega inata ne.

To postane po kakšnem tednu kar zanimivo, ko direktor ITja dobi (čisto rutinski) izsiljevalski klic od Indijanca, ki mu pove, da ve, da imajo vse serverje zakriptirane in da ve, da so nato zaprli internetne linke do amena, ter vpraša, kdaj mislijo plačati :))

"Saj ni treba vedno imeti "latest and greatest". Pravzaprav je dobro, če imaš v produkciji softver, ki je kake 2 verziji zadaj, da je vse popatchano in spucano. Ali pa je zadnja verzija vsaj kake 2 leti zunaj, da so našli že večino bugov..."

Tako je, je pa včasih zelo težko dopovedati, da ima tudi 2 major verziji star softver vse varnostne luknje popečirane. Jim naredi tilt, ker so še vedno v Windows 3.11 mentaliteti...

"Zadnje verzije so vedno shit. Ampak Slovenija je tako ali tako samo ena velika beta test država..."

Še huje je, da tričert od prodajalca obljubljenih featurjev v super duper novem produktu itak nikoli ne zimplementirajo...

Zgodovina sprememb…

  • spremenil: tony1 ()

Invictus ::

Nekateri so plačali. Par 10k EUR... Pa čodvisno od velikosti firme.

Nekateri niso, ker so potegnili ven tedenski backup. In izgubili nekaj podatkov. ki so jih imeli tako na papirju... Ampak to ni bila taka količina, pa ni bilo panike...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

secops ::

Največja razlika med internem kadrom (sistemci, devopsi, developerji) in integratorji (česar koli pač že) je to, da morajo prvi z odločitvami živeti in vzdrževati produkcijo, drugi pa po "uspešno končanem projektu" poberejo šila in kopita.

HotBurek ::

Migrirat v cloud, kjer je cloud mišljen kot strežnik nekje v ameriki, je totalno wrong. A močan marketing + ovce naredijo svoje. Če že imaš podatke izven svoje hiše, jih imej vsaj nekje v bližini.

Ter, če imaš fail IT team, ki je postavil slab lokalni sistem, in greš ta sistem z isto ekipo migrirat v cloud, nisi s tem rešil nič. Še vedno imaš slab sistem.

Rešitev je, da zamenjaš ekipo.
root@debian:/# iptraf-ng
fatal: This program requires a screen size of at least 80 columns by 24 lines
Please resize your window

secops ::

HotBurek je izjavil:

Migrirat v cloud, kjer je cloud mišljen kot strežnik nekje v ameriki, je totalno wrong. A močan marketing + ovce naredijo svoje. Če že imaš podatke izven svoje hiše, jih imej vsaj nekje v bližini.

Ter, če imaš fail IT team, ki je postavil slab lokalni sistem, in greš ta sistem z isto ekipo migrirat v cloud, nisi s tem rešil nič. Še vedno imaš slab sistem.

Rešitev je, da zamenjaš ekipo.


Se pravi je po tvoje boljše imeti svoj datacenter, kot pa stvari v GCPju ali AWSju? Razmišljanje dinozavrov 20 let nazaj, no nekaterih še danes. Lepo se je slepiti, da znaš stvari narediti boljše in ceneje od cloud providerjev.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Samo resni - Infrastructure , Cyber Sec, DevOp...

Oddelek: Znanost in tehnologija
306532 (1150) SmeskoSnezak
»

Kako začeti kot sistemski administrator?

Oddelek: Pomoč in nasveti
414994 (3694) Invictus
»

Kako začeti v IT/pripravništvo itd. ?

Oddelek: Šola
344519 (3600) PrimoZ_
»

Vzdrževalec računalniške opreme (strani: 1 2 )

Oddelek: Loža
8416691 (13260) GummyBear
»

So sys admini "mrtvi"? (strani: 1 2 3 4 )

Oddelek: Loža
19830297 (24279) spegli

Več podobnih tem