( willy | 2022. 08. 12., p – 10:53 )

Nézd, nekem ebben a szálban ez az utolsó hozzászólásom, folyamatosan változtatgatod  épp mi a fontos neked.

Először kijelented, hogy a Cisco szarul csinálta, felhozol egy listát amibe 99.9% hogy a Cisco-nak egy zöld pipát adtál volna _saját magad_ _mielőtt_ ez az eset megtörténik ha téged kérnek fel auditra. (ebben szinte 100% biztos vagyok)

De oké, hisz nem előtte, utána vagyunk a dolognak, ilyenkor mindenki okosabb. Ekkor rákérdezek jó pár dologra (tételesen, hogy gondolod), majd _te kiemeled_ a PA rendszereket, ironikusan érzékeltetve, hogy van itt valami amit igazán megnézhetnénk már:

Biztosan te és willy is hallottatok már Privileged Access Management-ről. Egy komplett iparág lassan.

Ha nem, akkor lehet utána kéne nézni.

Én erre elmondtam, hogy az EMBER a gyenge láncszem:

Attól hogy van PA, a dolgok nem fognak változni, az ember a gyenge láncszem. Attól, hogy (ahogy láthatóan tudják mi történt) van erről log...
 

Erre te felmondod a könyvet:

Tehát, semmi felelőssége nem volt annak, aki ezt megtervezte, dokumentálta, ISO 27001 vagy akármi folyamatokba foglalta, auditálta, aláírta, ellenőrizte, pentest-eltette .

Erre elmondom, hogy a technológiába vetett hited picit túlzó:

Gyanús nekem, hogy marketing alapon van PA rendszer ismereted, de legalábbis túl nagy bizalmat fektetsz beléjük. 

Erre te megkérdezted, hogy _ezért_ _teljesen felesleges_-e:

Annyira tetszik, hogy a biztonság layereit egy ilyen legyintéssel intézed, hogy ez is meglesz meg az is meglesz :D Feleslegesen minek is bonyolítsák, mi? :D

Erre én elmondtam, hogy személyes tapasztalataim alapján, a PA rendszerek arra vannak, hogy dokumentálva legyen hogyan védjük magunkat, de azt amit _te elvársz_ (utalván a marketingre) azt nem teljesítik:

Ha nem láttam volna hogy működik ez élőben, akkor nem mondtam volna neked, hogy hogy működik. A PA layer csak VSP szerepet tölt be többnyire (védd a segged papírral) 

Erre, valamiért úgy érzed, hogy meg kell tudnod, mégis milyen rendszereket láttam működni. Ezt megírom neked, majd ezt lefordítod arra, hogy "akkor szerinted ezek nem érnek semmit?". Amire én közlöm, de, érnek, de a helyén kell kezelni őket. Erre hirtelen dobod a PA rendszereket holott _te kötöttél ebbe bele, és kérdőjelezted meg ennek tekintetében a véleményem erősségét_:

Számtalan dolgot soroltam, ami nem "csupán technológiai eszköz". Ha nem szeretnéd érteni, hogy miről beszélek, azon nem tudok segíteni.

Majd belefogsz terelésbe, hogy hát arról van szó igazából, hogy én teljesen feleslegesnek tartom a PA rendszereket és haszontalanok és milyen full gáz, hogy a Cisco-tól sem elvárható, hogy ilyen ne történjen meg, holott a KKV-któl is elvárt.

Szóval miért írnék ebbe valamit? Eddig csak azt nem írtad le szerinted hogy te ismered az XYZ rendszereket és ennek használatával, ezt ilyen és ilyen módon simán kivédték volna. Te most vissza fogsz hivatkozni arra a listára amire én _tételes_ kérdéseket tettem fel, de te _tudatosan_ kipécézték egyet.

Ezzel ellentéteben én leírtam, hogy ezt úgy próbálják megoldani sok helyen, hogy automatizálják az ilyen munkát és vékony réteget tartanak fenn akinek ilyen jog kell. Azt is leírtam azonban, hogy sajnos ez enterprise filozófiával ezen embereket nem becsülik meg.