各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 203期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
上期精彩内容请点击:密码的安全管理;OA登录锁定策略及特权账号管理方案
话题抢先看
1.针对终端安全风险专项排查,应该如何排查,如何发现终端安全的风险敞口,如数据泄露等问题?
2.对于全员采用macOS系统办公的企业来说,是否就一定比采用Windows系统为主的企业更加安全?有没有一些macOS系统特有的安全风险?
3.注册接口第三方验证码被绕过,在WAF规则做了IP限制、不想批量封IP影响正常业务的情况下有何止损办法?
4.春节期间的企业安全值守怎么做?有没有好的思路或者应急预案?
话题一:针对终端安全风险专项排查,应该如何排查,如何发现终端安全的风险敞口,如数据泄露等问题?
A1:
终端没有安全管理软件吗?看看有没有违反安全策略的行为,看看日志啥的。
A2:
领导让我做这个专项排查,办公用的,有天qin,有DLP,现在是要把内鬼作案也考虑进去,如何考虑终端安全的风险敞口。
A3:
目前只想到DLP白名单可能导致的文件解密以及如QQ远程桌面登录导致的信息泄露。
A4:
这个不是内审的活儿吗?
A5:
是啊,因为DLP和防病毒都在其他部门手里,他们只管建设,所以会留下安全敞口,现在领导想安全去内审这些东西,是否存在新的安全敞口。
A6:
有既定的策略或者规则吧?有的话,就做告警处理就好了;告警误报多,常规运营不就出来了嘛。碰到事件再对应处理。
Q:请问安全合规检查类如等保、27001、安全自评估等发现的风险闭环管理大家是怎么归类记录的?一般来说渗透漏扫发现的安全漏洞有系统去记录跟踪闭环,这些安全漏洞比较客观,合规风险类的问题有点偏主观和结合业务场景(一般涉及多个团队),这类的问题大家是怎么去闭环管理的?
A7:
前期调研,然后匹配规范或者法规,手动记录归档,有管理平台就录入管理平台。
A8:
27001(2022)告诉你了啊,组织、流程、人、技术,就这四类。
A9:
笔记本电脑 把硬盘拆卸下来,拷贝数据,再安装回去,这个风险,业界的安全软件能监控到吗?有记录这个的日志吗?是否需要Bios层面的日志?
A10:
这是物理安全范畴, 我们有两种做法:
1.是把磁盘锁了,密钥保存在云端,定期自动修改,用户通过物理读取硬盘资料需要提交申请后获得密钥解密才可读;
2.使用文件加密系统,文件需要解密才可读,文件的流转和读取就可以通过日志去捕获。
A11:
会不会影响工作效率,以及部门间、公司外的交流与合作?
A12:
效率这个要看你们的做法和领导的喜好了,我们当前的情况是:
磁盘锁:使用操作系统登录会自动解锁磁盘内容,不会影响使用效率,这块用的是bitlocker;
文档加密:解密申请需要一定时效,部分部门是委托部门管理员解密,部分文件和部门是自动解密,日志记录,这块使用的是IPG。
Q:请问绕过堡垒机属于哪类不合规项?是逻辑访问控制吗?
A13:
对操作行为缺失监控和审计。
A14:
绕过安全控制系统,主要看你们内部怎么定义违规类型的吧。
A15:
根据实际情况判断比较合适;如员工通过技术手段或利用漏洞绕过堡垒机访问业务系统,应当算故意违规场景;如果是业务系统本身没有经过任何访问控制措施,员工可以不受限的绕过堡垒机访问业务系统,这种情况处罚员工估计员工也不会服气。
A16:
根据实际情况判断比较合适;如员工通过技术手段或利用漏洞绕过堡垒机访问业务系统,应当算故意违规场景;如果是业务系统本身没有经过任何访问控制措施,员工可以不受限的绕过堡垒机访问业务系统,这种情况处罚员工估计员工也不会服气。
A17:
其实我是在看SOX404,普遍的都有堡垒机以及其他安全控制措施的检查项,要求在审计周期内提供是否绕过的截图和举证,那么我就在想,如果绕过了,或者没有,那对应的,是不符合SOX404的哪些条款,该怎么做才能让SOX404报告“好看”。
A18:
如果开发自留隐秘通道、只要网络通就能绕过、配置态势感知基线监控。
A19:
我们的开发比靠谱,是外包部署应用的时候,申请了台服务器,然后在服务器上安装了向日葵、ToDesk、TV这些,比较头疼。
A20:
这算啥,我们之前采购哪家的app检测设备,然后在流量端看到上面有反向代理流量,还以为被黑了,结果设备原厂说那是他们装的。我们当时部署在测试网段,测试网段是可以外联的。
A21:
我们曾经也有一台语音拨号设备,供应商送的,然后自建了一条VPN隧道到他们本地,某天,供应商本地被黑了,黑客利用这条隧道,使用我们的语音设备拨号,当月,我们的话费花了20个W。
A22:
所以厂家上东西一定要盯着。
A23:
到供应商隧道和专线其实不可控地方确实多,很难做到全面、有点拼人品。我有发生供应商员工自己电脑远程端口放公网、还设111111这种密码,结果可想而知。
话题二:对于全员采用macOS系统办公的企业来说,是否就一定比采用Windows系统为主的企业更加安全?有没有一些macOS系统特有的安全风险?
A1:
Mac更不好管理,全员苹果电脑得是啥单位啊。
A2:
设计院吧,或者某个项目的ios研发团队。我感觉这种就是要么非常安全,要么被盯上了,一中就一大片。
A3:
不能说比Win安全,Mac版本管控也困难些,有很多管理软件都拿不到授权。如果有黑客木马越狱啥的,恶意软件反而可以突破系统防护,正常安全软件是不能这样干的(同时也得不到授权)。
Mac正常来说就有WIFI、蓝牙等外发,USB端口等不好管控,另外还有越狱,还有恶意病毒和木马。
A4:
Mac没有默认杀毒和检测,算不算就是特有风险了?Win还有个Defender。关于外发那些,其实都有产品能实现管控。最近几年针对Mac的木马啥的也在不断增多,因为现在基本上随便编译跨平台的程序了。
然后针对Mac的MDM管控,像老牌的Jamf之类的都很贵很贵,相对而言性价比不高,而传统的软仓桌管不一定能管到Mac的东西。首先这里会有个产品兼容性的问题,其次不买的话,单靠苹果的Apple Configurator能限制的东西不多,但是像iCloud禁用之类的是可以的。
A5:
还有一块,就是Mac权限没有特别好的办法回收,Win还能有域管理员,员工没办法自己安装软件和调设置。Mac自己都是管理员,啥都能改和下载使用,有使用未经授权的软件,甚至盗版软件的风险。
A6:
我觉得风险是相对的,全员使用MacOS,一方面体现这个公司的绝大多数资产都会在知识领域上,对于这样的公司,风险可能是从外部到内部的业务/应用系统上,MacOS系统的的问题相对少很多,但也不是绝对,高价值的目标,风险不能以使用什么系统来定。
另外就是安全应该会更严格,既然全部是MacOS,那么就不会差钱,可以上整套MacOS的安全管理,针对MacOS的安全风险,更多的会是企业风险吧。
A7:
现在大多数杀毒软件厂商都没有Mac客户端Agent, 导致Mac更危险, 少部分有Mac客户端 ,但Mac的机制是无法常驻后台运行,根本就是个摆设,而且病毒库更新可能几个月半年才更新那么一次。
A8:
都作为操作系统,通用的风险都会有,我更烦的是苹果的系统一些Agent不好装。
A9:
从可用性来说,Mac有过奇葩的升级带来了Bug导致VPN报文乱序不能正常工作,用户反馈给我们头都大了。
Q:说到这,有谁见过MacOS的安全配置基线吗?
A10:
从来没有,只有LINUX安全配置基线。因为Mac是类UNIX系统,命令和LINUX 90%一样的,当LINUX来处理。
Q:在不考虑设备预算的情况下,大家是否愿意利用MacOS系统从事网络安全相关工作?
A11:
完全不适合。
1:最关键的一点:安全人员平时做的最多的事就是写报告, Mac上的Office格式兼容都是有问题的,怎么写报告?
2. Mac尤其是用了M1、M2处理器,很多软件兼容性问题,很多安全工具都没法装;
3. WIN+虚拟机装KALI更适合安全研究人员。
A12:
我觉得MacOS更清爽方便,我的选择是Mac>Linux>Windows。
优点:MacOS采用命令行操作,shell原生支持,更方便写脚本代码。更利于提升渗透和攻击效率。颜值高。
缺点:很多小工具和驱动只有window支持,需要借助虚拟化进行配合。最新版M芯片兼容性差。
A13:
最新版M芯片兼容性差,Wireshark都装不了。
A14:
办法总比困难多,没有Gui命令行一样的,一看你就是Gui用的多了,日志分析,渗透数据处理等,用Windows都很恶心的。
A15:
我们公司办公电脑95% Mac,剩下5%是财务,要支持金蝶之类的软件。目前是MDM(计划还没做) + DLP。
刚好我有问过IT为什么用Mac,他们答复是Mac维修率比较低,长期来看综合成本比Win要低,所以还是因为成本而用的Mac。
A16:
之前全公司都是某品牌的PC终端,安装加密软件各种蓝屏,代码都不一样,搞死人了。
话题三:请教下,现在有个场景,注册接口, 公司对接的某厂商验证码被绕过,现在能刷短信,这个除了业务更改逻辑(成本高,添加参数等等),目前WAF规则做了IP限制(目前攻击批量换IP、UA,所以WAF作用不太大),但业务不想批量封IP影响正常业务,这个情况下还有什么方法可以止损呢?
A1:
单个手机号一个小时只能发M次,一天发N次?
A2:
单个手机号有规则,一分钟一次,现在是不同手机号恶意注册。
A3:
一般来说,感觉那种复杂一点的图形验证码,如果别人不是盯着你搞,都还好的。
A4:
有知道是在哪个位置被绕过了吗?另外恶意注册能获得什么好处?
A5:
就是恶意消耗短信费用,被盯上了。
A6:
有没有可能是验证码平台本身没问题,而是你们调用的逻辑有缺陷。
A7:
也有可能是没有跑去验证,我们之前给开发提需求要加验证码,他们就搞个假的验证码(有前端,但不到三方验签),最后被拉出来在开发部门通报了。
A8:
业务安全测试过,校验逻辑没啥问题,还是一直刷。
A9:
先排查一下,恶意的手机号对应调用的接口日志,再去找厂商日志看看是否有对应记录,确定一下是接口问题,还是真正验证码被绕过了。一般这种第三方验证码都比较难绕过。
Q:请问内网穿透工具都是怎么进行管理的呀,除了使用软件管理工具(覆盖不全且管控没有那么严格)本地禁止安装外,还有什么其它的控制手段吗?
A10:
核心层上行为管理设备,在网络层面上控制流量。
A11:
我的确是不懂,所以想要问一下远程登陆工具和内网穿透工具的风险是一样的吗,需要同样的管理,如果不管理远程登录工具,管理内网穿透工具是否就是无意义的。我之所以认为内网穿透工具和远程登录工具不同,是因为态感对于内网穿透工具会报高危报警,而对于远程登录工具没有报警,所以内网穿透工具和远程控制工具都是同样的管理手段吗?
A12:
远程登录工具:可控的,由IT部门或者安全部门维护的。
内网穿透工具:不可控的,由开发人员或内部员工私自搭建的。
A13:
内网穿透如FRP等可以理解为黑客工具吧。而远程工具如TeamViewer、QQ远程、ToDesk等,确实是有可能有业务需要使用的,这块可以从终端按需给权限运行。
A14:
远程工具多用于PC终端办公,内网穿透工具大多是研发自己瞎搞,类比菜刀原本是用来切菜的,行凶不算是正当用途。
话题四:春节期间的企业安全值守想知道大家都是怎么做的?有没有好的思路或者应急预案?
A1:
和日常周末一样,7*24准备处理高危告警,其他不重要的就稍稍慢点。
A2:
安全设备日志联动上手机告警,不行的话,买的安全设备一般都支持邮件发送吧,只不过体验不咋样。
A3:
ISO27001不要求有应急预案的嘛?可基于那个细分拓展,基本都是按应急预案处理,具体要看安全事件的严重性去处理,重大级别的基本都是要回公司处理。
A4:
也要看看行业,国企和央企,工信部有自己的管理规定,银行金融有网监的,他们都不怎理, ISO27001也就是公安,在一些政府和私营企业用用。
A5:
其实假期真出了比较大的问题,应急响应肯定还是要去现场支援,这个运维必须得有人配合。
FreeBuf 观点总结
在关于终端的安全风险,乃至安全合规类风险闭环的管理讨论中,有群友认为前者可通过常规既有策略或规则进行告警处理,后者可依托管理平台通过制定、匹配规范或者法规进行管理。至于绕过堡垒机属于哪类不合规项,有人认为是对操作行为缺失监控和审计,有人也认为主要需要看内部如何定义违规类型。
对于MacOS系统的安全性是否真的优于Windows等其它系统,大家众说纷纭,虽然总体而言Mac所遭遇的恶意软件比Windows要少,但也存在WIFI、蓝牙等外发,USB端口等不好管控等特有风险,而近来针对Mac系统的恶意攻击也有逐渐抬头之势。对于安全从业人员是否可以选择Mac,有人认为完全不能,MacOS的兼容性对许多安全工具还做不到兼容,也有人认为MacOS更加清爽,采用命令行操作、Shell原生支持,更方便写脚本代码,也有从长期来看,Mac维修率比较低,综合成本由于Windows。总结下来虽然Mac还存在诸多不足,但也不乏行业使用者,关键是要适合自己,同时不影响自己所属职位的工作开展。
在春节假日的安全值守中,安全似乎也不能怠慢,除了7*24准备处理高危告警,也需要根据情况安排运维人员现场处理,当然,各个企业也会根据相关行业指导采取更细致的安全策略。
本期话题讨论到此结束啦~此外,FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf2022,备注:甲方会员