freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    如何安全管理企业终端;网闸还有用吗 | FB甲方群话题讨论
    2024-02-29 15:06:22
    所属地 上海
    各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 231期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

    话题抢先看

    1. 企业应该如何制定和执行有效的移动设备管理政策?

    2. 当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?

    3. 公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?

    4. 外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?

    话题一:卡巴斯基的调查发现,2023 年针对移动设备的攻击数量比上一年暴增了50%,但目前移动办公正成为常态,为了平衡员工的移动性需求和企业的安全要求,应该如何制定和执行有效的移动设备管理政策?

    A1:

    这里的移动设备指的是什么,手机、笔记本电脑、平板或者其他?

    A2:

    BYOD吧。

    A3:

    移动设备数据不落地,禁止截屏监,隐藏水印,笔记本链接业务走VPN安全通道,访问日志全纪录,浏览器通过域控管理管理,安装日志插件,安装统一控制软件。禁止私自卸载,制度跟上,日志齐全,每月信息安全宣贯,违规处罚。

    A4:

    禁用APP外复制粘贴,隐藏水印,禁止截屏,数据不落地,敏感数据脱敏禁止明文保存,统一账号登陆,API归一化管理,后端角色做好权限矩阵设计。

    A5:

    技术上有些很有难度,比如手机系统的权限问题,不同手机厂家的又大不一样,都要有不同的定制优化。总的来说,能达到易用、可用平衡的,我还没看到过。

    A6:

    适配性测试得搞,这个讨论总要有个业务场景限制才行,要不也没法定位。

    A7:

    有钱上MDM平台,否则就是管理政策+培训。

    A8:

    先不说有钱了,今年绝大部分公司都缺钱, 直接就权限管控、账号发放管控、定期审计。

    Q:移动办公在远程办公中,可采取哪些措施维护设备的安全性并保证效率?

    A9:

    云电脑,所有安全软件都装在云电脑里面,这些使用者可能更容易接受一点,单位有啥安全需求,都往云电脑里面塞。

    A10:

    云桌面是不是控制台能直接监控你在干啥,不需要其他的软件?

    A11:

    我没实施过内部的云桌面,看家里人用的公有云电脑想到的。

    A12:

    远程的话效果比较好两种方式:

    1.零信任体系,从终端、网络、用户、系统、数据层面进行管控,在终端层面就完成设备的安全型检测;

    2.云电脑体系,所有办公数据存在公司云电脑的服务器中,安全风险会落在接入网关、服务器上,做好安全管理即可。

    Q:当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?

    A13:

    断网、确认影响范围、溯源、开展事件调查、整改加固。

    A14:

    说实话,一般终端被入侵,除非太初级的脚本小子,本机的日志必定都被清理了,本机能查的东西很少,流量分析设备与中间链路安全设备可能是溯源最好的倚仗了。如果平时安全基础建设很差,那只能全面铺开查全部的设备,耗时耗力但无其他更好手段。

    A15:

    日志服务器是用来干啥的,再说日志只是一种方法而已,比如内存,抓包等等。

    A16:

    终端设备不会转存日志的。

    A17:

    得看什么情况,一般日志来源还是蛮多的,宿主机日志,应用日志,中间件日志,流量分析设备日志,AV杀毒日志,一般清除日志绝大部分还是集中在宿主机日志这一块。

    A18:

    电脑日志不会转存吧,大部分也装个火绒就结束了。

    A19:

    如果是终端的话,一般不会,服务器还可能会搞个日志服务器备份。

    Q:请教一下,公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?

    A20:

    禁用。入职就配发公司电脑,个人电脑不允许带入公司。

    A21:

    对,禁止个人电脑,要么就上云桌面,个人电脑合规问题扛不住。

    A22:

    建议不要用私人电脑,要不然管控起来,人家一句话:“你凭啥管控我的个人电脑”。已经踩过雷。

    A23:

    1. 想办法让数据暴露的口子缩小,比方说上面大佬们说的限制外部设备连入;
    2. 想办法梳理下系统上面的账号权限,下载数据等权限需要审批等;
    3. 限制数据落盘,使用云盘等手段;
    4. 数据脱离网络环境不可读或者外发途径可审。

    A24:

    谁负责谁管理,材料是谁写的,泄露就是谁的责任。为什么别人写的没泄露就你写的泄露了。

    A25:

    你这种怕是制度没发出来,业务就把你捶死了。合着IT不投入,还不让我用个人电脑了。想办法堵,也要给人家疏的选择。

    A26:

    所以还需要一些技术手段监控,主要有一些文件流转范围还蛮大的。

    A27:

    公司要有制度规定,把原因说清楚,或者给配电脑,办公本也没多少钱,至少给个选择。

    A28:

    个人电脑要界定属性,所有权是员工,使用权归公司,某种程度使用期间所属为公司,应当仅用于公司,是为“公司电脑”,所以不应用于个人用途,数据也为公司的。在离职时候,洗机之后,才是重新归属个人,并签更多协议防止数据恢复的风险。但总的来讲,对于敏感数据一定要把控,非必要不往这种“个人电脑公用的电脑”上存。

    话题二:外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?

    A1:

    隔离了流量型攻击。

    A2:

    网络隔离,没有路由,你要是做了摆渡策略,它该进还是进。

    A3:

    内部服务器若有WEB漏洞、RCE漏洞,就被网闸挡住了。

    A4:

    就是不明白为什么会挡住,摆渡完要保证数据没变的吧,那原来有威胁,进来还是有威胁吧,清楚威胁应该是检测设备的功能吧,不是传统意义上网闸的功能了吧。

    A5:

    路由不可达就挡住了。比如你全网扫描,但你扫不到网闸后面的网段。

    A6:

    防主动型攻击,相比防火墙走的TCP/IP协议有更窄的攻击面。

    A7:

    网闸类似物理断网,路由只要对端网络设备不配置就可以了。

    A8:

    我也不明白网闸的意义。这拦截端口用防火墙就行,而且做得更好。

    A9:

    防火墙是基于ACL(TCP/IP),网闸是内部自定义协议。

    防火墙:网络访问控制产品;
    网闸:网络隔离产品;
    光闸:单向导入产品。

    安全机制:
    防火墙:传统包过滤+部分应用层内容检查;
    网闸:专用隔离部件+协议转换、信息流访问控制、内容过滤等;
    光闸:光单向传输部件+协议转换、信息流访问控制、内容过滤等。

    A10:

    主要是不明白他实际的隔离原理,就像上面说的如果应用层面有漏洞,数据摆之后还是会被攻击。

    A11:

    其实是多种协议拆包器+匹配字符串+重放器。比较有技术含量就是拆包器的种类多以及匹配字符串规则库大。弱点比较明显,对于需要大缓存的请求处理速度慢或者不支持。

    A12:

    如果是狭义的网闸,并不是任何场景都能部署的。比如A网段和B网段,交互文件、媒体,用网闸摆渡过去,B网段是不能直接访问A网段的IP的,你用EXP、POC,根本没有目标去打。当然了,如果文件本身带有恶意代码,这个靠基础的摆渡也是无法防范的。

    A13:

    我觉得这东西可以看做就是个隔离设备,毕竟可以达到隔离效果的设备和软件有很多,不必太纠结。


    本期观点总结

    针对移动设备安全管理政策,讨论中提到了多种有效措施,包括禁止截屏、数据不落地、统一账号登陆等技术性措施,以及云电脑、零信任体系等整体方案。在员工设备被入侵后,建议断网、溯源、开展事件调查等步骤来保证企业内网数据安全。对于私人电脑在办公中可能导致的数据泄露问题,建议禁止个人电脑或者采用云桌面等方案,同时强调建立明确的制度规定和监控手段。综合而言,维护设备安全性需要综合考虑技术手段、管理政策和人员培训,确保移动办公既满足员工需求又保障企业数据安全。

    在关于网闸的意义的讨论中,其作用主要体现在隔离流量型攻击、防止网络中的漏洞被利用、防止主动型攻击、实现网络隔离等方面。虽然在讨论中对网闸的实际隔离意义表示疑惑,认为在某些情况下仍可能存在安全漏洞,但总体来说,网闸作为一种网络隔离设备,在特定场景下仍能发挥一定的安全作用。

    近期群内答疑解惑

    Q:涉及到某组件有反序列化漏洞,但是实际项目中不涉及反序列化操作,这个反序列化漏洞成立不?

    A1:

    这个不涉及反序列化操作的结论怎么得出的?

    A2:

    没有用到相关的功能。

    A3:

    要判断能不能被利用,漏洞被利用才是威胁。

    A4:

    有漏洞,被利用,有损害,才算数。

    A5:

    前端数据传后端都要进行反序列化。

    A6:

    两个端传输都要啊,怎么可能没有,要不为什么要用相关组件呢。

    A7:

    很明显,其实准备接受风险了,就看你的判断了。

    A8:

    用哪个组件除非有很强的执行力,很难阻止,做的都是事后补救。

    A9:

    让报告方给报告吧,没报告很难分析的。

    A10:

    如果代码层控制, 要怎么做?

    A11:

    要分析利用链,打断就行。

    A12:

    设置代码审计门禁,哪一级风险不允许上线,能做到?

    A13:

    参数过滤,或者强制把类进行转换,这个要和研发沟通,一般是过滤参数。

    A14:

    展开讲讲?

    A15:

    这个就是打断利用链,可能之前的类可以调用相关漏洞,转了之后就过不去了,但是又不影响业务,这个是要研发分析的。

    Q:你们公司有规范员工使用一些工具,指定版本么,包括开发编辑器、远程协助软件等?

    A1:

    标准清单外的软件使用需要申请、审批。

    A2:

    我们是规定的不能用。

    A3:

    你们的通知咋发的,就这种禁止某类型软件使用固定的,或者禁止哪些的文案有么?

    A4:

    您好:

    按照《XXXX软件管理制度》规定,办公软件禁止安装列表,如XXX软件为公司电脑禁止安装的软件。具体禁止安装列表请参考附件。
    烦请尽快自查您的电脑,如有安装以上不合规软件,请立即卸载!继续使用的,存在法律风险!卸载完成后,烦请回复本邮箱确认已卸载。
    若您的电脑终端中未安装相关软件,也请回复告知,以便更新记录,谢谢配合
    如有任何疑问请联络我们,谢谢

    提醒:
    IT部门将设定软件限制使用策略,定期检查终端软件合规性并上报公司;
    《XXXX软件管理制度》见附件或参考链接;

    如有任何疑问,可以咨询XXXX。

    本邮件涉及公司商业秘密,适用公司有关规定,禁止外传,谢谢配合。

    Q:大家服务器基线一般要求多久修复,有什么国家行业标准吗?

    A1:

    安全基线一般系统上线前就要满足,如果是存量的话,这个没有时间要求吧。

    A2:

    每台机器的情况不一样,用时也不一样 ,有人维护的、 熟悉的就快,如果机器长时间没人维护,一些基线修改也可能影响业务,这种就慢。

    甲方群最新动态

    上期话题回顾:

    如何保障日志完整性;JS代码深度混淆

    活动预告:

    议题征集&报名开启 | FreeBuf企业安全俱乐部·广州站起航

    活动回顾:

    内含惊喜赠书活动,FreeBuf 甲方社群直播完整回顾来啦!

    近期热点资讯

    LockBit官宣复活,表示将更多针对政府部门

    微软发布针对AIGC的红队测试开源工具

    图片也带”毒“了? 黑客使用新技术推送 Remcos RAT

    NIST发布里程碑式网络安全框架2.0版本

    许多主要新闻媒体正屏蔽 OpenAI 爬虫

    FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

    1637910517_61a087f564a8754ee18be.png!small

    【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

    注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

    “FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。

    # events
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录