各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 214期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1.应用程序白名单的方式对比杀毒软件的黑名单都有哪些优缺点?
2.哪些场景适合通过白名单的方式来进行应用控制,有什么好的落地方案和建议?
3.针对最近的AI视频诈骗,除了打电话以外,该如何有效进行辨别?
4.针对此类AI骗局,有没有好的反诈措施,以及一些实用的Tips?另外是否有一些技术手段可以预防此类骗局?比如在常用的社交媒介软件中,内嵌入声纹、人脸识别的身份核验模块等。
话题一:请教一下,应用程序白名单的方式对比杀毒软件的黑名单都有哪些优缺点?
A1:
应用程序白名单一般工控机上用吧,有可能病毒程序也加白,还是需要先杀毒保证。
A2:
用途不同,环境不同,优缺点不同。如果环境内只是用来运行特定的软件,比如银行的ATM机,白名单策略优于黑名单策略,可控范围小;如果这个环境针对的是Laptop,使用杀软的黑名单策略比白名单策略容易控制,工作量最小。
A3:
黑白名单机制其实就是根据实际情况选择的,杀毒软件也有白名单,不然做不了例外。应用程序方面一般都优先选用白名单,主打就是精准防护。
A4:
应用程序白名单和杀毒软件的黑名单是两种不同的安全策略,应用程序白名单只允许明确列出的应用程序运行,从而提供更高的安全性;杀毒软件的黑名单依靠已知的恶意软件签名或行为特征来识别和阻止潜在的威胁。
在管理和维护上,白名单需要管理员确保只有受信任的应用程序被添加,并定期审查和更新白名单内容。这可能需要一定的人力和时间投入;而黑名单相对容易维护,只需要关注已知的恶意软件和威胁,杀毒软件通常也会提供定期更新的病毒库。
A5:
白名单确实需要定期评估和更新,及时删除不再使用的程序,同时还要对新程序进行审查并加入到可信程序名单中。
A6:
应用程序白名单需要定的技术水和专业识如果企业没有足够的IT资源和经验,可以考虑借助第三方提供商的专业服务来实现白名单机制。
A7:
杀毒软件黑名单依赖于已知的恶意软件定义,它无法阻止或删除未知的威胁。新的恶意软件或变种可能会绕过黑名单的检测。
A8:
理论上白名单比黑名单有效,但是白名单实施的难度很高。
Q:哪些场景适合通过白名单的方式来进行应用控制,大家有什么好的落地方案和建议?
A9:
1.高度敏感的系统:对于承载关键业务和敏感数据的系统,采用白名单控制可以提供更严格的安全保障,确保只有经过验证和授权的应用程序可以运行。
2.遵守合规要求:一些行业或法规对应用程序的控制有明确要求。白名单机制可以帮助组织遵守合规性要求,确保只有符合标准的应用程序被允许运行。
3.防止未知威胁:黑名单机制通常只能识别已知的恶意软件或病毒,而无法应对新的未知威胁。通过白名单控制,可以阻止未经授权的应用程序运行,有效减少对未知威胁的风险。
A10:
主要还是集中在办公方面,一是制定明确的白名单规则,包括哪些软件或服务可以被信任,哪些不可以被信任,以及每个软件或服务的具体权限和访问级别;二是通过管理员权限,为用户提供白名单软件的下载和安装服务,并进行安全性检测和确认;三是通过监控和警报机制,及时发现和处理白名单异常情况,保证系统安全性和稳定性。
A11:
1.定义清晰的白名单策略: 在制定白名单策略时,要明确定义哪些应用程序被允许运行,以及其他限制条件,如文件路径、数字签名等。策略应该基于业务需求和安全要求;
2.优先考虑核心系统和关键应用程序: 将重点放在关键的系统和应用程序上,确保它们受到白名单控制的保护。这样可以确保核心业务不受未经授权的应用程序的干扰;
3.逐步实施和测试:可以选择逐步实施白名单控制,从一些关键系统开始,并逐渐扩展到其他系统。在实施过程中,进行充分的测试和验证,确保系统的正常运行;
4.自动化和集中管理: 考虑使用应用程序白名单管理工具或解决方案,以简化白名单的创建、更新和管理过程。这样可以节省时间和人力,并确保白名单的一致性和准确性。
5.监控和审计: 建立监控和审计机制,对白名单机制进行实时监测,并记录相关事件和活动,这有助于检测异常行为、及时发现违规操作,并进行适当的响应和调整;
6.培训和沟通: 对系统管理员、用户和相关人员进行培训,提高他们对白名单控制的理解和操作。与相关利益相关者进行有效的沟通,解释白名单控制的重要性和安全效益。
A12:
落地方案和建议因具体情况而异,但是可以考虑以下几个方面:
1.了解组织内部的业务流程和安全需求,以确定哪些应用程序是必需的;
2.评估组织内部的安全风险,以确定哪些应用程序可能会导致安全问题;
3.选择适当的白名单技术和工具,以确保只有受信任的应用程序才能运行;
4.定期审查白名单并更新其内容,以确保它们仍然符合组织的业务流程和安全需求。
话题二:针对最近的AI视频诈骗,除了打电话以外,我们该如何有效进行辨别?
A1:
1.注意观察破绽,换脸的破绽,拟声的语气;
2.对话中加入只有对方和自己知道的一些问题,或者直接用谎言验证谎言,比如上周一起吃的XX饭不错,对方没有识别就是假的。
A2:
我们小区就有一个人中招,才公示了,很多短视频直播平台也开始用AI直播,感觉是亟待管控的盲区。
A3:
关于钱的事还是要反复确认,没什么事是需要秒交易的。
A4:
最简单的办法,遇到和钱相关的事情,先挂断,然后回拨。
A5:
1.注意声音、画质细节:AI合成的声音和视频在细节上可能会出现问题,比如有一些不太自然的波动或者停顿。同时,AI合成的视频也可能会有些不自然的地方,比如眼神的交流和表情的变化等;
2.注意对话内容:如果对方在对话中使用了过于华丽或夸大的语言或词汇,或者对于某个领域的知识了解得过于详细,那么可能存在AI骗局的风险。在这种情况下,可以通过一些具体的问题来测试对方的真实水平;
3.注意环境声音:在微信语音、视频聊天中,对方的声音和环境背景声也很容易暴露其真实身份。如果对方的声音与环境背景声不一致,或者环境背景声与对方所处的地方不一致,那么可能存在AI骗局的风险;
4.多方确认:如果有多个朋友与对方进行微信语音、视频聊天,那么可以通过多方确认对方的身份。如果多个朋友都认为对方的身份可疑,那么就需要提高警惕了。
Q:针对此类AI骗局,有没有好的反诈措施,以及一些实用的Tips?另外是否有一些技术手段可以预防此类骗局?比如在常用的社交媒介软件中,内嵌入声纹、人脸识别的身份核验模块等。
A6:
其实我查了半天,AI换脸最主要的还是结合微信和QQ被盗。
A7:
1. 声纹识别:通过对对方的语音进行声纹分析和识别,验证对方的真实身份。声纹识别技术可以对比语音特征,判断是否与注册的声纹信息匹配;
2. 人脸识别:通过使用摄像头进行人脸识别,验证对方是否与注册的人脸信息匹配。人脸识别技术可以判断对方的真实身份;
3. 双重认证:在进行敏感操作或重要交易时,采用双重认证机制。除了密码或账号,还需要使用其他验证手段,如指纹识别、短信验证码等;
4. 强化加密通信:社交媒体软件可以加强对通信内容的加密保护,确保用户的隐私和安全。采用先进的加密算法,如AES加密算法,保障通信的安全性;
5. 强化用户隐私保护:社交媒体平台应加强对用户隐私的保护,不随意泄露用户的个人信息,并采取措施防止用户信息被恶意利用;
6. 技术更新和监测:社交媒体平台应及时更新技术手段,应对不断演进的网络诈骗方式。同时,建立监测系统,及时发现和阻止可疑活动。
A8:
现在AI不是可以采集人的声纹来生成AI语音吗,这种情况下还能用声纹来判断是真人还是AI生成的吗?
A9:
应该有一些难度。喉咙哑的概率比较高,估计认证失败的概率比较大。
A10:
有个思路不知道能行吗?以后在互联网加密传输的音频、视频、图像等的编码中,加入一个扰乱码,影响AI的学习,就跟数据投毒一样,是不是能防止下AI fake的问题。昨天看的一个AI防骗的视频,将的视频通话的时候,让对方的手指在面部走一遍,如果是fake的,就会有波纹形成。
A11:
我觉得可以有,类似花指令绕WAF或做免杀一样。
A12:
多因素验证。CISSP里定义的三种验证类型:
“你知道什么”
“你拥有什么”
“你是什么”AI这个直接到了第三部:“你是什么“,不过第1个和第2个它不一定有啊。
A13:
识别AI诈骗可以通过专属暗号或者聊只有双方知道的密码,以及手过脸、转头,眨眼来看破绽,还有通过另一种通讯方式确认身份。
A14:
1.长期不联系的任何人,只要有金钱往来,一律先搁置,或与相近的人联系真假
2.找个权威的认证源进行身份认证,这里可以选择微警认证,国家政务服务平台,让对方提供相应的识别码去识别就是本人。
本期观点总结
在关于应用程序白名单和杀毒软件黑名单的讨论中,二者可谓各有千秋,需要根据用途和环境来做选择,黑名单更容易维护,策略容易控制,工作量小;白名单虽然需要投入更多精力和技术进行维护,但同时也能够提供更加精准的防护。至于白名单的应用场景和落地方案,需要企业了解业务和安全需求,选择适当工具并定期审查更新。
随着利用AI进行诈骗的兴起,本期讨论认为,除了加强自身防骗意识,涉及金钱往来的尽量通过多方确认核实,也可以对骗局本身多进行观察,比如通过手过脸、转头,眨眼等来识别其中的破绽,但对于日后可能更加难以辨别的AI,也同样需要开发相应的技术进行检测识别。
近期群内答疑解惑
Q:诈骗邮件也属于安全人员的管理范围吗?
A1:
属于。邮件业务系统是第一负责人,安全是第二。安全人员对应企业邮件系统的事前风险控制措施或管理方法是:安全意识培训、邮件网关配置、弱口令排查。
A2:
有两个你要负责:一个是安全教育,一个是邮件网关策略配置。
Q:涉及个人信息保护合规方面的问题,需要调隐私政策的内容,有些方面内容条款可能涉及业务?有些数据项可能涉及IT,在实操中,一般是谁来动、谁来确认、谁来审比较好?
A:
隐私政策:法务,合规,产品、消保;
业务技术:安全、研发;
这些人应该都可以发起,评审的话最好都参与邮件确认,或者流程审批,毕竟一旦出事情,不能一个团队背锅啊。审计的话,一般看你公司体系架构,如果有内部审计,可以通过内审来发现风险点,也可以引入第三方的外审机构,更有认证效力。
Q:央企海外机构使用国内邮箱是否会涉及违反GDPR和国外网络安全法的问题?
A1:
GDPR规定的是个人数据,涉及个人数据的,无论是用哪里的邮箱,都不能发往国内,并不是说不能用国内的邮箱。
A2:
上面说得对,GDPR只是规定PII数据,涉及的其他的法人数据是不在管辖范围内的。
Q:三方SDK执行系统shell命令,需要在三方SDK收集使用信息说明中明确吗?
A1:
肯定要说明啊。
Q:
在考虑的一点是执行的shell命令是否会涉及用户的个人信息,如果命令不涉及是不就不用特意明确?
A2:
你的功能要说明为什么要使用shell命令会有什么影响,如果不需要也尽量注明。在隐私协议里面,一般会诠释你的功能及用途。
Q:采购部门如果在系统上标注错了采购价格,同时这个记录已经归档,采购要求修改原始数据值,这个在合规角度上看是否合理,是否可以支持操作?
A1:
是不合理,违反数据完整性。
A2:
写单吧,流程解决。
Q:
意思是用流程来控制?让各位大佬审批后修改原始数据吗?
A3:
是的,由主管领导定。
A4:
从合规角度来说,不能破坏数据完整性,违规了,但是可以在该单据下面重新添加一条修改记录,走审批。
A5:
走审批流程,落地一份记录,不管是邮件审批还是OA流程,这样是为了保证出事以后可查。
甲方群最新动态
上期话题回顾:
活动回顾:
活动预告:
近期热点资讯
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1100+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。