נראה לי שהקב"ה רוצה שאהיה קב"ט
(ארוך)
אין לי דרך אחרת להסביר את זה...
סיפרתי בעבר איך הר"צ לשעבר שלי רצה לשכנע אותי לעבור לחברה אצלו בתור מה שהבנתי שהוא security analysts שזה מאין סוג של קב"ט מבחינתי איזה "קרצייה" שמסתכל על ההבטים הטכנולוגים של דברים חשוב על פגיעות אפשריות, מתקין תכונות סריקה ומתווה מדיניות אבטחת מידע ,הוא שהתפקיד ההוא בעצם משני למנכ"ל (כי אמרתי שכזה טיפוס לא יכול להיות חפ"ש)
סירבתי מכמה סיבות אחת מהן הייתה שאין לי כוח לריב עם אנשים וזה מנסיון קודם שלי שכל פעם שאתה מנסה או מצביע על בעיה טכנולוגית שלא קשורה חזקה למה שאתה עושה באותו (החור של השקל) אנשים מסתכלים עליך בתור טרחן. ואני לא פוליטיקאי (או מנהל) אין לי עמוד שידרה לעמוד על מה שאני רוצה ולגרום לאנשים לעשות את זה כי יש מערך התנהגויות וסביבה שקל ללעוג לה (שזה סיבה שניה למה אני לא עובר בין מקומות. הר"צ שלי אמר לי שהוא יטפל בנושאים האלה ובכל אחד שינסה לבטל אותי, אבל אני לא חושב שאדם בעמדה כזו בכירה צריך "מגן אנושי" שיילחם עבורו.
לכן סירבתי. וחשבתי שזה סוף סיפור.
No.
אנחנו עורכים על הVM שלנו סריקות אבטחה ליליות (רק בגלל שלקוח אחד עשה ואיים לבטל את הכל אם לא נתקן את זה, דבר שתמיד עיצבן אותי כי אמרתי מראש שאם לא נעשה מדיניות מוצהרת או סטנדרט קיים על אבטחת מידע הלקוחות יעשו את זה עבורנו לפי מה שבא להם , וכך יצא , אזהרות שאצל מוצר אחד נחשבו כל low כגון self signed cert, באות כhigh מלקוח אחר. )
ואז יום אחד המוצר שלנו מפיק אזהרה שאנחנו תומכים בTLS 1.0 ,כי תוך יומיים סטנדרט כרטיסי אשראי אוסר על כזה פרוטקול להימצא.. חוץ מ"יופי נחמה, למה אתה אומר לי יומיים לפני כן" , ומלבד שהמכונות שלנו בכלל לא קרובות להחזיק כרטיסי אשראי וכל הידוע לי מעולם לא הצהרנו על כזה , אני לא hacker, ולא יודע כלום על security , התחלתי לחפור כמה ימים איזה cipher suite אני כן אמור להשתמש, קיבלתי חררה על איך יכול להיות שדברים שנחשבים כחזקים כגון TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 עדיין יכולים להופיע כחלשים בסריקות מסויימות ושוב רטנתי על כך שאין לנו מדיניות לכאלה דברים (לקח לי זמן להבין שזה נחשב חלש רק אם הוא קיים בשרתי microsoft כי לא ניתן לקנפג שם מפתחות).
אז בתום כמה ימים קינפגתי את העסק והאזהרה נעלמה.
יום לאחר מכן המנהל מוצר שלנו חזר מחופשה ושלח מייל "אני לא מודאג שלקוחות יהיה להם את הHigh"
(לא חושב שקיבלתי מיילים היסטריים מהם על כל הspectre ו Meltdown שהתבררו כmedium אח"כ)
לאחרונה התמנה security analyst בחברה (אני חושב שהוא כזה) אני לא סגור בדיוק מה הוא עושה הבנתי שהוא אמור לוודא שדברים נעשים, אבל הוא ביקש ממני קובץ excel על חולשות מסויימות במוצר שלנו , הקרצתי איזה 10 פריטים ממוחי הקודח... עכשיו הר"צ (הנוכחי) שואל אם אני אקח את כל "הנושא security " בתוכנה אצלנו.
אין לי מושג מה זה אומר כי אני אפילו לא יודע אם אני אמור להתוות סטנדרט או לחכות למי שאומר אחרת, חיפשתי קצת, ראיתי שלISO יש אפילו סטנדרט לאבטחה (27001ׂׂ) אבל אין לי מושג אם זה נוגע אלינו.
וכן, אמרתי שהדרך היחידה להתחיל עם זה , היא לדבר ממש עם לקוחות, לפרסם מסמכים שמתווים את המדיניות שלנו לתסריטים מסויימים והמענה שלנו אליהם (ולתת אותם ללקוחות תחת NDA)
הבעיה שרוב מוחלט של הלקוחות גם לא יודע.
נראה לי שזה עוד סוג של devops...
אין לי דרך אחרת להסביר את זה...
סיפרתי בעבר איך הר"צ לשעבר שלי רצה לשכנע אותי לעבור לחברה אצלו בתור מה שהבנתי שהוא security analysts שזה מאין סוג של קב"ט מבחינתי איזה "קרצייה" שמסתכל על ההבטים הטכנולוגים של דברים חשוב על פגיעות אפשריות, מתקין תכונות סריקה ומתווה מדיניות אבטחת מידע ,הוא שהתפקיד ההוא בעצם משני למנכ"ל (כי אמרתי שכזה טיפוס לא יכול להיות חפ"ש)
סירבתי מכמה סיבות אחת מהן הייתה שאין לי כוח לריב עם אנשים וזה מנסיון קודם שלי שכל פעם שאתה מנסה או מצביע על בעיה טכנולוגית שלא קשורה חזקה למה שאתה עושה באותו (החור של השקל) אנשים מסתכלים עליך בתור טרחן. ואני לא פוליטיקאי (או מנהל) אין לי עמוד שידרה לעמוד על מה שאני רוצה ולגרום לאנשים לעשות את זה כי יש מערך התנהגויות וסביבה שקל ללעוג לה (שזה סיבה שניה למה אני לא עובר בין מקומות. הר"צ שלי אמר לי שהוא יטפל בנושאים האלה ובכל אחד שינסה לבטל אותי, אבל אני לא חושב שאדם בעמדה כזו בכירה צריך "מגן אנושי" שיילחם עבורו.
לכן סירבתי. וחשבתי שזה סוף סיפור.
No.
אנחנו עורכים על הVM שלנו סריקות אבטחה ליליות (רק בגלל שלקוח אחד עשה ואיים לבטל את הכל אם לא נתקן את זה, דבר שתמיד עיצבן אותי כי אמרתי מראש שאם לא נעשה מדיניות מוצהרת או סטנדרט קיים על אבטחת מידע הלקוחות יעשו את זה עבורנו לפי מה שבא להם , וכך יצא , אזהרות שאצל מוצר אחד נחשבו כל low כגון self signed cert, באות כhigh מלקוח אחר. )
ואז יום אחד המוצר שלנו מפיק אזהרה שאנחנו תומכים בTLS 1.0 ,כי תוך יומיים סטנדרט כרטיסי אשראי אוסר על כזה פרוטקול להימצא.. חוץ מ"יופי נחמה, למה אתה אומר לי יומיים לפני כן" , ומלבד שהמכונות שלנו בכלל לא קרובות להחזיק כרטיסי אשראי וכל הידוע לי מעולם לא הצהרנו על כזה , אני לא hacker, ולא יודע כלום על security , התחלתי לחפור כמה ימים איזה cipher suite אני כן אמור להשתמש, קיבלתי חררה על איך יכול להיות שדברים שנחשבים כחזקים כגון TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 עדיין יכולים להופיע כחלשים בסריקות מסויימות ושוב רטנתי על כך שאין לנו מדיניות לכאלה דברים (לקח לי זמן להבין שזה נחשב חלש רק אם הוא קיים בשרתי microsoft כי לא ניתן לקנפג שם מפתחות).
אז בתום כמה ימים קינפגתי את העסק והאזהרה נעלמה.
יום לאחר מכן המנהל מוצר שלנו חזר מחופשה ושלח מייל "אני לא מודאג שלקוחות יהיה להם את הHigh"
(לא חושב שקיבלתי מיילים היסטריים מהם על כל הspectre ו Meltdown שהתבררו כmedium אח"כ)
לאחרונה התמנה security analyst בחברה (אני חושב שהוא כזה) אני לא סגור בדיוק מה הוא עושה הבנתי שהוא אמור לוודא שדברים נעשים, אבל הוא ביקש ממני קובץ excel על חולשות מסויימות במוצר שלנו , הקרצתי איזה 10 פריטים ממוחי הקודח... עכשיו הר"צ (הנוכחי) שואל אם אני אקח את כל "הנושא security " בתוכנה אצלנו.
אין לי מושג מה זה אומר כי אני אפילו לא יודע אם אני אמור להתוות סטנדרט או לחכות למי שאומר אחרת, חיפשתי קצת, ראיתי שלISO יש אפילו סטנדרט לאבטחה (27001ׂׂ) אבל אין לי מושג אם זה נוגע אלינו.
וכן, אמרתי שהדרך היחידה להתחיל עם זה , היא לדבר ממש עם לקוחות, לפרסם מסמכים שמתווים את המדיניות שלנו לתסריטים מסויימים והמענה שלנו אליהם (ולתת אותם ללקוחות תחת NDA)
הבעיה שרוב מוחלט של הלקוחות גם לא יודע.
נראה לי שזה עוד סוג של devops...