各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 238期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. MSS服务过程中,有可能需要提供资产信息、架构信息、或者提供多个安全设备访问权限等,大家与厂商共享资源范围如何确定?
2. MSS服务往往要采集不限于安全设备、应用日志、系统日志等,如何确认MSS服务要采集的日志范围?
3. 如何评估不同MSS供应商之间在服务质量、响应速度和专业知识上的差异?
4. 企业存在很多高危漏洞的情况下是否每一个都需要处置?
话题一:MSS服务过程中,有可能需要提供资产信息、架构信息、或者提供多个安全设备访问权限等,大家与厂商共享资源范围如何确定?
A1:
我们是请外部安服团队来进行安全运营,所以安服团队是必须详细了解资产情况和内部网络架构,同步也会把需要7*24监控的资产清单提供给MSS。
A2:
服务前先签好相关的协议,特别是MSS的保密协议以及MSS人员的保密协议,设备、架构、运营相关的权限都可以分享给MSS,操作要有对应的操作日志。另外,要确保过程中涉及业务数据的日志、文件、备份的安全,减少内部数据泄露的风险。
A3:
总结一下,就是:
1.签保密协议;
2.核心资产和非核心资产分开, 限定;
3.不断评估审计。
A4:
根据最小化原则,只提供MSS提供商绝对需要的信息和访问权限。避免共享过多的敏感信息或授予过多的访问权限。
A5:
厂商可以构建类似SOC的平台,通过平台来收集信息进行分析和告警。
A6:
签协议,别的都不管,签署协议最重要。而且厂商经常人员变动,协议里面要写清楚。
A7:
我们采购MSS托管,第一就是合同规定,第二就是SLA服务协议,主要还是托管服务商能够访问接入哪些服务,一般根据你们的需求来授权设备的权限。例如我这边主要安全设备都是XXX的,采购了XXX的MSS托管,基本所有的设备都授权给到了那边运营中心,基本就是你这边需要监控的资产地址,还有设备的访问权限,他们需要接入日志来进行分析以及设备权限来进行阻断操作。
A8:
多久对他们审计一次?
A9:
一年一次,要不然你们没有SOC,没有人员驻场,MSS主要还是远程的方式,多品牌的设备,都没必要采购这种远程的托管服务,还不如买一些驻场。我这边已经第二个年了,刚进行续费了,还是有用的,在人力资源缺乏,设备品牌大多数为一家的情况下,效果还是可以的。
A10:
既然选择了MSS,那就是对服务商信任,资产的界定取决服务范围,这是服务合同的问题。在实际工作中,我们的MSS,是按需提供最小的必要访问权限,在每次需要访问的资产和权限时进行授权,而MSS拥有最外部的集中安全平台,根据安全中心提供的日志进行处置,在处置时遇到的问题会提交给我们内部的安全人员,内部的安全人员就会根据需要提供相应支持。
Q:MSS服务往往要采集不限于安全设备、应用日志、系统日志等,如何确认MSS服务要采集的日志范围?
A11:
我们不直接将日志给MSS,会先集中到内部的SIP上后,再传递给MSS。
A12:
这个要看托管服务能够接入哪些日志吧,一般都是安全设备日志接管,你A厂的设备,B厂肯定没有权限和技术接入日志,除非你授权远程登入查看或者做了SOC平台。
A13:
1.初步沟通:先和MSS厂商沟通一下,了解他们需要采集哪些日志,厂商会有经验,可以建议采集哪些重要日志;
2.内部评估:评估一下内部有哪些关键设备、系统和应用,确认哪些日志是必须的,哪些是可选的;
3.合规性:看看行业有没有什么合规性要求,必须采集哪些日志,确保符合这些要求;
4.具体执行:先按最小必要原则来,尽量只采集必要的日志。定期和厂商沟通,评估采集效果,有需要再调整。
A14:
一是限制包含敏感信息的日志,二是确实很有必要的业务日志,可以做脱敏处理。
Q:对于MSS服务可能涉及敏感内容的数据,如何保证数据安全性?
A15:
除了保密协议,也没啥能约束了,内部资源加密,带不走。
A16:
不开放过去,脱敏后的数据我个人觉得其实没必要再分析,能提取出有效信息也比较少,还不如不开放授权,既然在开放那就信任厂商吧。
A17:
感觉真正敏感的不会上MSS。
Q:如何评估不同MSS供应商之间在服务质量、响应速度和专业知识上的差异?
A18:
这个要取决于内部的原有安全产品和威胁监控产品(如态感),服务质量、响应速度这些其实各家大差不差,很难去客观衡量。
A19:
先看看其他客户对这些供应商的评价,有没有什么特别好的或者不好的反馈,还有他们的SLA条款,看看对服务质量、响应时间这些是怎么承诺的,了解一下他们用的技术和工具,看看是不是先进,能不能应对最新的安全威胁。
A20:
其实这个问题没有太大意义, 都差不多,不管是大厂还是小厂都一样, 都是外包。真正的厉害的黑客不会当安服仔,都在甲方做CIO,所以就看谁便宜。
A21:
多试用一下吧,这种东西也很难说,主要还是看厂家人力够不够充足。
话题二:我这里现在高危漏洞很多,领导觉得并不是每一个高危漏洞都要处置,能够给业务系统造成毁灭性打击的才要去处置,比如是远程代码执行、提权这些他觉得问题都不大。
A1:
漏洞重评估,把通用漏洞重新定义成事件型漏洞。
A2:
没毛病,重新评估提权后能做什么和不能做什么,会不会造成重大风险。
A3:
领导这么说也没错,漏洞具体还是得看业务这边是否能受影响,如果修复难度不大,无论高危还是低危都可以修了,修复难度大就得看对于业务的风险程度了。当然,监管风险也是风险。
A4:
只要是个漏洞,或多或少都有风险。如果以危害不大为理由不修复,多半是说不通的,至少要结合业务、修复难度等因素确定。
A5:
如何定义毁灭性打击?领导的意思就是说只要业务能跑,哪怕因为漏洞而造成巨大损失也能接受吗?
A6:
就是这个意思,业务不停就好。
A7:
如果做过风险评估就知道领导这个想法没啥大问题,风险的高低本身就不能单看脆弱性的影响程度,要结合利用难度、威胁发生可能性、资产重要性来综合评估。
A8:
你只要证明领导说过这个话就行了,其他的不重要,工作主打一个留痕。
A9:
建议:
1.如果有合规需求,从合规角度去说明,毕竟这都是高风险;
2.如果既没有合规压力,公司也没有明确管理办法,那就说明风险,汇报留痕吧,出了事不在自己这边。
A10:
危害可以按照自己企业的标准改,可以接受的风险确实也不是高危。
A11:
领导的原话是:信息安全要评估一下,哪些风险会给公司造成毁灭性打击的。比如前几天中的勒索病毒,如果在生产环境,那就是毁灭性搭建,你要有一个方案来防御。之前那么多高危漏洞,是每个漏洞都会造成这种毁灭性打击吗,不一定的,你要重新去评估一下漏洞带来的危害。信息安全的投入,还是主要在这些毁灭性防御上面,你再看看。
A12:
有没有给足够的支撑去做漏洞评估,这个事情真的很好,但是很多都是一刀切的。漏洞价值评估体系这个做好了,以后吃的很香。
A13:
要不就扩展一下吧,这个时候我感觉TARA就很合适,资产—资产的安全属性—资产价值—资产损坏场景—攻击路径—攻击可行性评级—风险值—风险等级,稍微变动一下,给领导量化一下。
A14:
没错,最后的风险折算成价值,是最能理解的,而且这个做好了,以后绩效就大大的好,每次都是减少损失XX万,防护价值XX万。
A15:
你领导的话偏口语了,用术语来说是先区分风险,再判断脆弱性,然后去判断CIA三性和资产价值,最后判断投入,然后优先处置脆弱性较高的风险,这么看就合理很多。
本周话题总结
本期话题在讨论MSS的过程中,为确保信息安全,应签署保密协议、限制资产信息和访问权限的共享、最小化日志采集范围并加密敏感数据。评估MSS供应商时,需考虑服务质量、响应速度、专业知识和成本,通过客户评价、SLA条款和技术工具进行综合评估,以选择最合适的合作伙伴。
在围绕企业处理高危漏洞的讨论中,主要认为需要平衡漏洞修复的业务影响、投入成本、风险等级以及合规要求。安全团队在漏洞管理时,不仅要考虑漏洞的技术严重性,还要结合业务影响、修复成本、资产重要性等因素进行综合评估。
近期群内答疑解惑
Q:有无终端电脑修复的漏洞等级和修复时间的表或标准?
A1:
终端的很少有这种要求吧,一般开启Windows 自动更新,杀软啥的必须安装,零信任Agent就行了。一般都没啥漏洞,有啥服务弱口令直接按服务器漏洞处理。
A2:
可以按照风险管理标准来或者引用国家漏洞标准,看是什么终端,重要终端高危直接按高风险来处理。
Q:钓鱼网站识别有什么好的办法吗?
A:
基于威胁情报吧。钓鱼网站一般都是跟邮件捆绑的吧,现在可行的解决方案是在邮件中增加外部邮件的提醒,或直接把外部发件人的邮件直接移动到一个新的文件夹中,我司用的微软的邮件网关感觉能过滤掉99%的钓鱼邮件。
Q:对于公司网盘空间, 你们都是怎么清理的?设置数据生命周期还是?
A1:
看你们网盘上放什么东西,根据数据重要程度,对数据进行清理。
A2:
拿老旧服务器把几年以上的历史数据单独存储。
A3:
有审计要求的,什么数据要存3年、5年、10年或者永久存。
A4:
定规则(法律法规要求长期存储的、近X年的、活跃度XX时间内的、不活跃的僵尸内容....)公示期间自行处理,公示期结束强制处理。
A5:
我这基本都是扩容,CDP也是,无限扩容,磁盘不够,加,授权不够,加。
甲方群最新动态
上期话题回顾:
常态化HVV有哪些特性,该如何应对活动回顾:
碰撞AI安全的火花,探索企业安全建设新路径 | FreeBuf企业安全俱乐部广州站
活动预告:
近期热点资讯
华硕曝出高危漏洞,影响 7 款路由器
黑客竟能用表情符号控制恶意软件
虚假的谷歌浏览器错误正诱导用户运行恶意PowerShell脚本
出于安全考虑,拜登下令禁用卡巴斯基杀毒软件
CrowdStrike市值将破千亿美元
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。