各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 213期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

上期精彩内容请点击：MSS服务效果怎么样；ChatGPT在安全工作中用到了吗

话题抢先看

1. 针对勒索软件、网络钓鱼和员工账户接管，大家认为目前各自防范的重点工作是什么？

2. 针对钓鱼有没有可以分享的钓鱼案例？以及员工安全意识培训大家是怎么做的？

3. 在针对容器的攻击中，容器镜像中包含的复杂的开发组件以及他们之间的依赖关系，导致容器安全最终的攻击面大于其漏洞总和。针对这一情况有什么解决办法？

4. 如何发现自己电脑被监控（监听）？

话题一：在刚过去不久的RSAC 2023上，除了备受瞩目的人工智能，宏观趋势方面，勒索软件、网络钓鱼和员工账户接管(ATO ) 仍然是最主要的威胁，对容器的集中攻击成为今年的热门话题。针对勒索软件、网络钓鱼和员工账户接管，大家认为目前各自防范的重点工作是什么？ 

A1：

钓鱼勒索这种很难完全防得住，重点工作还是要放在如何防止扩散上。

A2：

钓鱼邮件这事的矛盾在于因为员工多、攻击面大，安全人员觉得难解决。而老板作为“个体”有时候觉得一般不会有人真的会中招，非大力气搞这个没价值。

A3：

勒索： 服务器补丁应打尽打；
钓鱼：员工意识培训、垃圾邮件过滤系统；
账户接管： 封掉弱口令账户，其他定期更改密码。

Q：针对钓鱼有没有可以分享的钓鱼案例？以及员工安全意识培训大家是怎么做的？

A4：

一个典型的钓鱼样本：

A5：

我们已经不受这个影响了，设备加规则干掉了。

A6：

怎么干掉的？学习一下。他们不断换发件邮箱，邮件内容是图片。伪造的人社部官网看起来比真的要大气上档次。

A7：

样本下载下来，给邮箱的反垃圾网关的技术，现在匹配到规则直接拒收。

A8：

安全意识这块，定期培训、培训完考核，考核完宣传，谁没通过通报谁。能做到扣钩绩效更好，很多公司安全弱势，别说绩效了，就是通报领导都还要想一下。

A9：

我做过三次钓鱼，第一次在2022年6月，当时疫情严重，通过模拟收集表，收集防疫信息（公司内部，不涉及违规）；第二次，主题为公司得企业邮箱登入页面，通过异地登入风险强制用户登入更换密码；第三次模拟汽车摇号进行针对部分用户钓取用户汽车摇号账密（不收集账密），通过提交进行判断。总体中招比例在32% : 5.7% : 7.7%，所以效果还是比较明显的。

A10：

你这个周期估计比较短，再拉长会更好。

A11：

周期最长我拉长到两天，因为在第一次发现一个问题，那就是大家都收到邮件会互相询问，所以后面我都是随机部门人员发送加间隔多少分钟进行发送，自定义。

A12：

在我司，信息安全可以出考核单，用户违规外联，考核1K。

A13：

我们领导今天突发奇想，想用外部邮箱地址来发一个钓鱼邮件，检测有没有人扫码或者提供个人信息，跟他说外部邮箱不能群发内部所有人，收件人地址就是异常的，说了好久，总算是说服他放弃这个想法了。

A14：

未来企业安全建设工作中，要做到有效提升员工安全意识，就需要做到网络钓鱼演习标准化、指标化，员工安全意识可度量。企业在安全方面做培训工作后还是要让员工养成防钓鱼的潜意识以及不同场景下的思考决策能力。综合学习整理安全意识培训公司的方案，可以给出课程完成率、知识吸收转换率、非测试期间活动检测率等指标。

A15：

员工安全意识分三块，从针对高管层面的法律法规培训，全员普及的安全意识及宣传（钓鱼、防勒索、乱下软件、使用规范等多方面），针对技术人员开发人员得运维规范宣导，开发宣导、还有常见的漏洞说明及危害说明。

Q：在针对容器的攻击中，容器镜像中包含的复杂的开发组件以及他们之间的依赖关系，导致容器安全最终的攻击面大于其漏洞总和。针对这一情况大家有什么解决办法？

A16：

这只是理论上的现象，跟实际有很多差距的。不管是容器还是Server，真正的利用风险也就是攻击面取决于暴露面。当然互相依赖在同等程度下风险会比较大。
其实实战中场景很多的，并不是所有的管理员都喜欢集成环境，容器也有可能是每种服务一个容器的。我觉得这种情况其实没必要分容器还是Server，漏洞本质是差不多的。通过外部扫描和业务内部漏扫结合情报，统一处置就行。一般我们会有使用的程序和组件库。针对性扫描和提醒。

A17：

安全左移，在初始阶段就进行供应链和依赖包的安全定制，以及时时进行依赖安全检测。

A18：

今天上午也和别人聊了一下云原生安全，后面形成一个共识，就是云原生安全不是靠产品解决，应该从架构方面入手，当然我没怎么做过这些。

A19：

供应链，依赖关系这些就算不用容器技术，用虚拟机也存在。主要是现在使用容器之后系统快速部署，快速上线绕过了以前的安全卡点。以前的很多安全流程，办法不适用了。

A20：

把安全措施嵌入到Devops流程中，安全左移在开发阶段解决漏洞，使用IAST识别漏洞。如果还是像以前那样系统上线前留几天时间出来做渗透测试，然后再修复漏洞黄花菜都凉了。

A21：

我觉得这个情况在传统架构也是存在吧，反倒在云原生的架构下，无论是Docker这种容器的创建还是k8s的应用编排，他们都是基于配置文件去开展的，这为其实才是更契合了安全里说的可审计以及可跟踪的，也是契合了安全左移的观念，在容器创建和编排之前就对配置文件去审计，解决思路也是加大这个审计力度吧。

A22：

开发阶段不能解决所有漏洞，也不能全部解决提权等问题，更重要的是上线一段时间以后出现的新漏洞新问题咋办。

A23：

镜像扫描和组件扫描都可以在发布的时候做。组件漏洞分系统组件和应用组件。系统组件好解决，镜像环境基本都是统一的，运维直接升基础镜像就好。应用组件的问题就难搞了，主要是推动研发升级组件比较难，各种兼容性问题，按照CVSS 3.1标准，一个Java应用存在高危以上漏洞的组件就几十个。

A24：

现在有针对镜像的漏扫吗，介绍下，没怎么接触过？

A25：

如果不介意性能影响可以在生产系统上IAST。

A26：

微服务架构的用IAST很难受，桩可以再生产上转成RASP 。

A27：

Trivy，我们接到Devops流程了，每次发布，镜像都会拉过来扫一次，扫到漏洞就推送给运维。

话题二：我们如何发现自己电脑被监控（监听），有什么方法可以知道？

A1：

PC上用Procmonitor分析下进程活动，看看访问了哪些目录和注册表。

A2：

流量、端口、服务、外联、协议、异常进程，不外乎这几种方式来排查。

A3：

有All in box的工具没有？

A4：

这个工具很强大，但是我在使用的时候，需要对监控工具的了解才能很好的使用它。思路是这个思路，基本都写完了，如果不知道是什么监控软件，那还有其他方式吗，比如IPG？

A5：

你是想上IP Guard 又不想被员工发现吗？

A6：

不，只是探讨下，可以怎么快速识别电脑存在类似IPG的软件。起因是因为某位朋友找我，他担心自己电脑被监控，让我检查下，我排查了小半天的时间，感觉不高效，而且在一些未知的情况下，似乎又很难发觉。

A7：

这类似应急排查，手工排查就好了。

A8：

手工排查赶上他不活跃也没办法，建议Sysmon装上去，然后用chatGPT帮你写配置，帮你分析日志。

A9：

或许是否有更高效的方法？比如一键排查，一键识别？

A10：

做不到啊，比如不活跃的、隐藏的、伪装的，也许等微软的Copilot出来就能搞定了。

FreeBuf 观点总结

本期话题讨论了在RSAC上提到的当前网络安全风险趋势，虽然无外乎还是勒索、钓鱼等常见类型，但攻击手法正逐渐复杂化、多样化。有群友认为，钓鱼和勒索也许很难进行彻底防范，工作重点是要防止威胁的扩散，这需要企业建立完善的检测及应急流程机制。对于企业员工的安全意识培养，除了常规的培训，甚至可以根据不同岗位，和考核、绩效强绑定，出台相应的惩罚措施。

在关于容器复杂组件及依赖项导致攻击面大的问题上，可以通过安全左移，在初始阶段对相关组件及依赖进行安全定制，把安全措施嵌入到Devops流程中，及早发现其中的漏洞及其他安全风险。

本期话题讨论到此结束啦~此外，FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1100+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。