各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 220期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
话题抢先看
1. 攻防演练开始前,要对监测设备的告警规则进行调优,大家有没有一些比较好的调优策略?
2. 关于告警如何排查是不是误报,大家的研判流程一般是什么样的,怎么协调业务同事配合相应的工作?
3. 现在传输加密是否有新的解决方案?
4. 安全团队怎么分组比较好?
话题一:攻防演练开始前,要对监测设备的告警规则进行调优,大家有没有一些比较好的调优策略?
A1:
优化规则:看能不能禁IP。不能禁IP就不用优化了。
A2:
我的疑问是,开始前的准备,优化的不应该是防护设备规则吗,怎么优化的是监测设备的规则?
A3:
可能是担心告警太多,想提升研判组的人员的工作效率吧。
A4:
我们这边是把误报的告警规则加白。
A5:
有一些产品会在特殊时期开启加强功能,这个也可以考虑找供应商沟通升级一下能力。另外还有就是关于配置和规则,有些供应商也会有演练的调优手册,帮助在演练前查漏补缺以及调优。
A6:
1.模拟攻击验证各家设备规则准确性,不准的规则加白,不告警;
2.根据前述情况设置各检测设备的可信度,然后聚合各设备的告警信息选取并集;
3.引入威胁情报平台对攻击IP进行甄别,如有命中,且不是CDN骨干网出口地址、基站地址的,自动或半自动告警提示;
4.基于攻击链或者资产漏洞情况、请求返回信息等进行攻击是否成功的优提醒。
A7:
感觉在这个时候要做一下有效性测试,查漏补缺。
A8:
1.更新到最新版本;
2.明显误报或者告警等级,离谱的关掉;
3.通过SOC做多来源告警的聚合分析;
4.根据自己的网络拓扑新增一些基于内网横向的规则。
A9:
HW前,我们会集中精力把所有的告警都清理,确保不留下历史告警影响判断。优化的告警内容我们会调整敏感级别,将重点与内部相关横向相关的系统加入到专用告警服务中,如果有异常访问抵达将直接通知所有人,包括运维管理之上的人员。
在攻击面的监控上,降低阈值,提高拦截率,提高扫描器的敏感度,只要判断请求是扫描器,工具类的,请求IP较多的,直接封杀。
Q:关于告警如何排查是不是误报,大家的研判流程一般是什么样的,怎么协调业务同事配合相应的工作?
A10:
一般不都是找乙方承担研判组的角色么?而且高危的宁错杀不放过,先处置再看日志。
A11:
先看Payload是不是设备自己的问题,可疑的话就找到对应业务排查。
A12:
一方面看访问频次,另外一方面看访问内容吧,最后参考结合下时间看看,多数情况下应该可以判断出来。其实更建议甲方自己设置恶意地址库,可以做比对处理。
A13:
告警分层,可以按准确率分,非常确定的,一般嫌疑的。也按照风险等级分。
A14:
1. 看请求包,响应包内容;
2. 通过请求响应内容复现;
3. 看设备动作,拦截就不管了。
A15:
1.我们有自己的标准化告警研判流程,具体分成多个场景,每个场景细分各岗位工作内容和处置规程;
2.我们一般会通过告警通报账号,内部联系系统运维负责人,进行告警验证和处置;
3.我们以管理制度去推进和约束告警+处置的安全运营工作,不配合就直接全公司通报他们。
A16:
我的做法就是复现,在告警中提取请求的内容进行甄别,如果没有拦截,但是有告警,我们会将告警内容按照业务系统进行分类,筛选明显不是这个系统所使用的组件的告警条目,降级处理这些条目,按照风险排序,看返回数据。
话题二:现在传输加密是有新的解决方案了吗,API安全。
A1:
没有,量子加密已经算最新的了吧。
A2:
只能RASP了。你是整个Body加密呢还是字段级加密呢?
A3:
字段级。最近遇到两次被问,C端业务想做传输加密,有啥解决方案,我以为落伍了,出啥新玩意了。
A4:
那些从流量测做等于白费(现在很多商业API解决方案都是这个样子),而且字段级加密,WAF等于瞎了,如果打的上下游穿过来的话直接等于瞎子。
A5:
有些WAF支持 SDK接入,业务解密之后调 WAF接口判断是否攻击。
A6:
个人觉得传输Https就可以了,严格点做个双向证书校验。 其他措施,多了没啥好处,群里大佬有啥补充吗?
A7:
Https是不是已经不够用了?双向证书咋管理?
A8:
客户端啊。
A9:
如果是固定的访问,可以考虑IPSEC做隧道加密。
A10:
原则上不会是固定访问。
A11:
一般就用Https,或者做下证书校验,或者AES,如果IPSEC隧道不放心的话,再来一层。
Q:使用了https不满足合规要求,被工信部通报,要求个人数据做到API层字段级的加密, 有谁遇到过这种情况吗?
A12:
Https只是网络安全啊,数据是数据安全,得脱敏和匿名化。
A13:
点的是传输加密,存储另说。
A14:
敏感数据传输需要协议加密+字段加密。
A15:
字段加密怎么解决密钥问题的?C端业务。不方便透露的话可以给个方向不?
A16:
可以从后端返回密钥,定时刷新密钥,用非对称算法,就算密钥写死在C端,风险也降低很多了。
A17:
之前有遇到过SRC提报漏洞,你们C端硬编码密钥,给我个高危。
A18:
对称加密,密钥写死在C端,也可以算是明文传输的高危了,各个平台厂商对高危定义都不统一。
A19:
看起来思路基本上都是,端上固定非对称密钥,每次生成会话时服务端生成对密钥,存在残余风险,密钥硬编码以及安全设备失效。换个角度,又是高危风险,继续整改。
A20:
你们按照Https的模式来,密钥协商就符合标准了。
A21:
现在合规要求除了SSL以外,还要再做加密了吗?
A22:
金融有些业务会要求内容加密。不过To C的确实是不是很好改,也没那么高要求吧?
A23:
现在不仅仅国密SSL通道加密,敏感信息传输报文的机密性和完整性。
A24:
我们采用客户端写死SM2公钥,后端私钥密管系统托管,每次回话生成一对SM4密钥,保证机密性。同时这个密钥也能作为SM3-HMAC的密钥保证完整性。
A25:
逻辑上能按照数字信封的模式解释通就行。
话题三:安全团队怎么分组比较好?
A1:
技术、合规,技术还能分的就多了。
A2:
技术分为上线前的开发安全和上线后的安全运营,再加个安全管理进行监督、流程改进。
A3:
监管与合规、用户安全(终端办公、IT服务、业务与数据、供应链)、基础网络安全。
A4:
你不得再搞一个审计这几个组的行为吗?
A5:
设计安全团队,应该是看团队负责的业务范围(责任范围)吧,这得和老板、HR等确认清楚,责任范围清晰了,团队组成也清晰了。
Q:应用安全和安全开发的边界是什么,和安全运营的边界又是什么?
A6:
应用安全主要做SDL,攻防演练,安全运营就是日常告警处理,安全事件应急处置等。安全开发是安全体系中用到的产品不是都能买买的,要自研。
A7:
这玩意主要是老板认,自己也好管理,没有对错之分。
A8:
攻防应该在安全运营吧?
A9:
我们是SDL人员能力更强,作为安全运营的技术支撑。
A10:
你们的安全,不考虑搞一个单独的数据团队吗,数据驱动安全。我的数据安全里面专门有一个庞大的数据驱动小组,就研究数据安全检测,是整个团队的基石。
A11:
公司有个CDO虚拟组织牵头,我们是安全技术支持角色,其实网络安全,讲影响面都会层层递进,往数据安全上去讲。
A12:
专业数据分析团队,和攻防团队玩票搞数据,不同能量级别。数据团队一开始人也很少,但是能做的Scope很大,于是就逐渐扩充规模,产出也大。
A13:
数据大佬都跑去做风控和算法了,看不上安全。
A14:
那是因为安全做的搓,在我这里,数据安全的数据地位可能更高一些。
A15:
其实内部安全做的好,能发现大的隐患(应用漏洞,隔离等访问控制缺失,数据获取门槛低等)或安全事件(入侵等),攻防演练能拿拿奖,业务方有需求也能高标准搞定,老板也是非常认可和重视安全的。
监管检查都能OK,外面也没有说有数据泄露,基本上就差不多了。
本期观点总结
关于优化监测设备的告警规则,讨论的结果包括禁止IP地址、调整误报规则,加白明显误报的内容,利用威胁情报平台甄别攻击IP,并根据攻击链和漏洞情况优化告警提示。同时,与业务同事协调配合,进行告警的排查和复现,通过观察设备动作和检查请求响应内容来判断告警是否误报。
关于传输加密和API安全的解决方案,根据讨论和建议,可通过使用HTTPS协议进行传输加密,并进行双向证书校验;针对固定访问,考虑IPSEC隧道加密;敏感数据传输可以采用协议加密和字段加密相结合;在API层实现字段级加密时,可以使用定时刷新密钥、非对称算法等方式,并注意存储和传输的区别;合规要求除了符合SSL协议外,还可能需要加密和机密性保证。
至于安全团队的分组,除了监管与合规、用户安全、基础网络安全等大的分组,还需要参考团队的具体业务,划清责任范围。
近期群内答疑解惑
Q:一直想一个问题,如果哪天ChatGPT信息泄露,知道每一个用户都搜索了哪些问题,这个才是炸雷?
A1:
GPT没实名,也就泄露个邮箱,还是不那么容易知道哪个人问了什么不可描述的问题。
A2:
邮箱要是有关联到真实信息呢?
A3:
我拿个不重要没特征的邮箱来注册,你关联不到。
A4:
核心不就是ChatGPT本质上不是匿名的,是关联用户的搜索,反过来可以分析每一个账号的兴趣,爱好,行为。
A5:
然后就精准推销啊,好像也不能干什么。
A6:
很多啊,当年很多刑事案件,抓证据的时候,就是看他的搜索记录。
Q:终端和服务器弄同一套EDR ,还是弄两套EDR好呢?
A1:
你的终端是办公终端还是啥?我们是两套,因为有两个不同的团队运营,责任清晰。
A2:
我们也是两套,业务场景不同,还是分开管比较好。
A3:
要两套,因为治理的方向不同。
Q:有没人把分级分类的工具的结果与自研的系统对接上,工具接口上提供的是表名和字段的分类分级。如果要对接,还要业务系统提供表名和字段?
A1:
我把数据类型算到分类的类别里面去了,完整应该是:分类类别 -> 数据类型 -> 数据特征 -> 数据字段/数据内容。
A2:
这里的数据类型是指类似电话号码?数据特征是指是否脱敏?数据字段/数据内容,指具体的号码数值?
A3:
举例子就是
类型:电话号码
电话号码的特征:字段名 = tel,phone; 注释 = 电话号码;数据内容=<电话号码正则>
甲方群最新动态
上期话题回顾:
活动回顾:
活动预告:
近期热点资讯
新型攻击可从所有CPU中窃取数据,但英特尔、AMD一点都不慌
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1200+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。