各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 231期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 企业应该如何制定和执行有效的移动设备管理政策?
2. 当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?
3. 公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?
4. 外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?
话题一:卡巴斯基的调查发现,2023 年针对移动设备的攻击数量比上一年暴增了50%,但目前移动办公正成为常态,为了平衡员工的移动性需求和企业的安全要求,应该如何制定和执行有效的移动设备管理政策?
A1:
这里的移动设备指的是什么,手机、笔记本电脑、平板或者其他?
A2:
BYOD吧。
A3:
移动设备数据不落地,禁止截屏监,隐藏水印,笔记本链接业务走VPN安全通道,访问日志全纪录,浏览器通过域控管理管理,安装日志插件,安装统一控制软件。禁止私自卸载,制度跟上,日志齐全,每月信息安全宣贯,违规处罚。
A4:
禁用APP外复制粘贴,隐藏水印,禁止截屏,数据不落地,敏感数据脱敏禁止明文保存,统一账号登陆,API归一化管理,后端角色做好权限矩阵设计。
A5:
技术上有些很有难度,比如手机系统的权限问题,不同手机厂家的又大不一样,都要有不同的定制优化。总的来说,能达到易用、可用平衡的,我还没看到过。
A6:
适配性测试得搞,这个讨论总要有个业务场景限制才行,要不也没法定位。
A7:
有钱上MDM平台,否则就是管理政策+培训。
A8:
先不说有钱了,今年绝大部分公司都缺钱, 直接就权限管控、账号发放管控、定期审计。
Q:移动办公在远程办公中,可采取哪些措施维护设备的安全性并保证效率?
A9:
云电脑,所有安全软件都装在云电脑里面,这些使用者可能更容易接受一点,单位有啥安全需求,都往云电脑里面塞。
A10:
云桌面是不是控制台能直接监控你在干啥,不需要其他的软件?
A11:
我没实施过内部的云桌面,看家里人用的公有云电脑想到的。
A12:
远程的话效果比较好两种方式:
1.零信任体系,从终端、网络、用户、系统、数据层面进行管控,在终端层面就完成设备的安全型检测;
2.云电脑体系,所有办公数据存在公司云电脑的服务器中,安全风险会落在接入网关、服务器上,做好安全管理即可。
Q:当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?
A13:
断网、确认影响范围、溯源、开展事件调查、整改加固。
A14:
说实话,一般终端被入侵,除非太初级的脚本小子,本机的日志必定都被清理了,本机能查的东西很少,流量分析设备与中间链路安全设备可能是溯源最好的倚仗了。如果平时安全基础建设很差,那只能全面铺开查全部的设备,耗时耗力但无其他更好手段。
A15:
日志服务器是用来干啥的,再说日志只是一种方法而已,比如内存,抓包等等。
A16:
终端设备不会转存日志的。
A17:
得看什么情况,一般日志来源还是蛮多的,宿主机日志,应用日志,中间件日志,流量分析设备日志,AV杀毒日志,一般清除日志绝大部分还是集中在宿主机日志这一块。
A18:
电脑日志不会转存吧,大部分也装个火绒就结束了。
A19:
如果是终端的话,一般不会,服务器还可能会搞个日志服务器备份。
Q:请教一下,公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?
A20:
禁用。入职就配发公司电脑,个人电脑不允许带入公司。
A21:
对,禁止个人电脑,要么就上云桌面,个人电脑合规问题扛不住。
A22:
建议不要用私人电脑,要不然管控起来,人家一句话:“你凭啥管控我的个人电脑”。已经踩过雷。
A23:
1. 想办法让数据暴露的口子缩小,比方说上面大佬们说的限制外部设备连入;
2. 想办法梳理下系统上面的账号权限,下载数据等权限需要审批等;
3. 限制数据落盘,使用云盘等手段;
4. 数据脱离网络环境不可读或者外发途径可审。
A24:
谁负责谁管理,材料是谁写的,泄露就是谁的责任。为什么别人写的没泄露就你写的泄露了。
A25:
你这种怕是制度没发出来,业务就把你捶死了。合着IT不投入,还不让我用个人电脑了。想办法堵,也要给人家疏的选择。
A26:
所以还需要一些技术手段监控,主要有一些文件流转范围还蛮大的。
A27:
公司要有制度规定,把原因说清楚,或者给配电脑,办公本也没多少钱,至少给个选择。
A28:
个人电脑要界定属性,所有权是员工,使用权归公司,某种程度使用期间所属为公司,应当仅用于公司,是为“公司电脑”,所以不应用于个人用途,数据也为公司的。在离职时候,洗机之后,才是重新归属个人,并签更多协议防止数据恢复的风险。但总的来讲,对于敏感数据一定要把控,非必要不往这种“个人电脑公用的电脑”上存。
话题二:外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?
A1:
隔离了流量型攻击。
A2:
网络隔离,没有路由,你要是做了摆渡策略,它该进还是进。
A3:
内部服务器若有WEB漏洞、RCE漏洞,就被网闸挡住了。
A4:
就是不明白为什么会挡住,摆渡完要保证数据没变的吧,那原来有威胁,进来还是有威胁吧,清楚威胁应该是检测设备的功能吧,不是传统意义上网闸的功能了吧。
A5:
路由不可达就挡住了。比如你全网扫描,但你扫不到网闸后面的网段。
A6:
防主动型攻击,相比防火墙走的TCP/IP协议有更窄的攻击面。
A7:
网闸类似物理断网,路由只要对端网络设备不配置就可以了。
A8:
我也不明白网闸的意义。这拦截端口用防火墙就行,而且做得更好。
A9:
防火墙是基于ACL(TCP/IP),网闸是内部自定义协议。
防火墙:网络访问控制产品;
网闸:网络隔离产品;
光闸:单向导入产品。安全机制:
防火墙:传统包过滤+部分应用层内容检查;
网闸:专用隔离部件+协议转换、信息流访问控制、内容过滤等;
光闸:光单向传输部件+协议转换、信息流访问控制、内容过滤等。
A10:
主要是不明白他实际的隔离原理,就像上面说的如果应用层面有漏洞,数据摆之后还是会被攻击。
A11:
其实是多种协议拆包器+匹配字符串+重放器。比较有技术含量就是拆包器的种类多以及匹配字符串规则库大。弱点比较明显,对于需要大缓存的请求处理速度慢或者不支持。
A12:
如果是狭义的网闸,并不是任何场景都能部署的。比如A网段和B网段,交互文件、媒体,用网闸摆渡过去,B网段是不能直接访问A网段的IP的,你用EXP、POC,根本没有目标去打。当然了,如果文件本身带有恶意代码,这个靠基础的摆渡也是无法防范的。
A13:
我觉得这东西可以看做就是个隔离设备,毕竟可以达到隔离效果的设备和软件有很多,不必太纠结。
本期观点总结
针对移动设备安全管理政策,讨论中提到了多种有效措施,包括禁止截屏、数据不落地、统一账号登陆等技术性措施,以及云电脑、零信任体系等整体方案。在员工设备被入侵后,建议断网、溯源、开展事件调查等步骤来保证企业内网数据安全。对于私人电脑在办公中可能导致的数据泄露问题,建议禁止个人电脑或者采用云桌面等方案,同时强调建立明确的制度规定和监控手段。综合而言,维护设备安全性需要综合考虑技术手段、管理政策和人员培训,确保移动办公既满足员工需求又保障企业数据安全。
在关于网闸的意义的讨论中,其作用主要体现在隔离流量型攻击、防止网络中的漏洞被利用、防止主动型攻击、实现网络隔离等方面。虽然在讨论中对网闸的实际隔离意义表示疑惑,认为在某些情况下仍可能存在安全漏洞,但总体来说,网闸作为一种网络隔离设备,在特定场景下仍能发挥一定的安全作用。
近期群内答疑解惑
Q:涉及到某组件有反序列化漏洞,但是实际项目中不涉及反序列化操作,这个反序列化漏洞成立不?
A1:
这个不涉及反序列化操作的结论怎么得出的?
A2:
没有用到相关的功能。
A3:
要判断能不能被利用,漏洞被利用才是威胁。
A4:
有漏洞,被利用,有损害,才算数。
A5:
前端数据传后端都要进行反序列化。
A6:
两个端传输都要啊,怎么可能没有,要不为什么要用相关组件呢。
A7:
很明显,其实准备接受风险了,就看你的判断了。
A8:
用哪个组件除非有很强的执行力,很难阻止,做的都是事后补救。
A9:
让报告方给报告吧,没报告很难分析的。
A10:
如果代码层控制, 要怎么做?
A11:
要分析利用链,打断就行。
A12:
设置代码审计门禁,哪一级风险不允许上线,能做到?
A13:
参数过滤,或者强制把类进行转换,这个要和研发沟通,一般是过滤参数。
A14:
展开讲讲?
A15:
这个就是打断利用链,可能之前的类可以调用相关漏洞,转了之后就过不去了,但是又不影响业务,这个是要研发分析的。
Q:你们公司有规范员工使用一些工具,指定版本么,包括开发编辑器、远程协助软件等?
A1:
标准清单外的软件使用需要申请、审批。
A2:
我们是规定的不能用。
A3:
你们的通知咋发的,就这种禁止某类型软件使用固定的,或者禁止哪些的文案有么?
A4:
您好:
按照《XXXX软件管理制度》规定,办公软件禁止安装列表,如XXX软件为公司电脑禁止安装的软件。具体禁止安装列表请参考附件。
烦请尽快自查您的电脑,如有安装以上不合规软件,请立即卸载!继续使用的,存在法律风险!卸载完成后,烦请回复本邮箱确认已卸载。
若您的电脑终端中未安装相关软件,也请回复告知,以便更新记录,谢谢配合
如有任何疑问请联络我们,谢谢提醒:
IT部门将设定软件限制使用策略,定期检查终端软件合规性并上报公司;
《XXXX软件管理制度》见附件或参考链接;如有任何疑问,可以咨询XXXX。
本邮件涉及公司商业秘密,适用公司有关规定,禁止外传,谢谢配合。
Q:大家服务器基线一般要求多久修复,有什么国家行业标准吗?
A1:
安全基线一般系统上线前就要满足,如果是存量的话,这个没有时间要求吧。
A2:
每台机器的情况不一样,用时也不一样 ,有人维护的、 熟悉的就快,如果机器长时间没人维护,一些基线修改也可能影响业务,这种就慢。
甲方群最新动态
上期话题回顾:
活动预告:
议题征集&报名开启 | FreeBuf企业安全俱乐部·广州站起航
活动回顾:
近期热点资讯
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。