freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

演习前监测设备如何调优;传输加密有无新方案 | FB甲方群话题讨论
2023-08-04 11:42:24
所属地 上海
各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 220期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

话题抢先看

1. 攻防演练开始前,要对监测设备的告警规则进行调优,大家有没有一些比较好的调优策略?

2. 关于告警如何排查是不是误报,大家的研判流程一般是什么样的,怎么协调业务同事配合相应的工作?

3. 现在传输加密是否有新的解决方案?

4. 安全团队怎么分组比较好?

话题一:攻防演练开始前,要对监测设备的告警规则进行调优,大家有没有一些比较好的调优策略?

A1:

优化规则:看能不能禁IP。不能禁IP就不用优化了。

A2:

我的疑问是,开始前的准备,优化的不应该是防护设备规则吗,怎么优化的是监测设备的规则?

A3:

可能是担心告警太多,想提升研判组的人员的工作效率吧。

A4:

我们这边是把误报的告警规则加白。

A5:

有一些产品会在特殊时期开启加强功能,这个也可以考虑找供应商沟通升级一下能力。另外还有就是关于配置和规则,有些供应商也会有演练的调优手册,帮助在演练前查漏补缺以及调优。

A6:

1.模拟攻击验证各家设备规则准确性,不准的规则加白,不告警;
2.根据前述情况设置各检测设备的可信度,然后聚合各设备的告警信息选取并集;
3.引入威胁情报平台对攻击IP进行甄别,如有命中,且不是CDN骨干网出口地址、基站地址的,自动或半自动告警提示;
4.基于攻击链或者资产漏洞情况、请求返回信息等进行攻击是否成功的优提醒。

A7:

感觉在这个时候要做一下有效性测试,查漏补缺。

A8:

1.更新到最新版本;

2.明显误报或者告警等级,离谱的关掉;

3.通过SOC做多来源告警的聚合分析;

4.根据自己的网络拓扑新增一些基于内网横向的规则。

A9:

HW前,我们会集中精力把所有的告警都清理,确保不留下历史告警影响判断。优化的告警内容我们会调整敏感级别,将重点与内部相关横向相关的系统加入到专用告警服务中,如果有异常访问抵达将直接通知所有人,包括运维管理之上的人员。

在攻击面的监控上,降低阈值,提高拦截率,提高扫描器的敏感度,只要判断请求是扫描器,工具类的,请求IP较多的,直接封杀。

Q:关于告警如何排查是不是误报,大家的研判流程一般是什么样的,怎么协调业务同事配合相应的工作?

A10:

一般不都是找乙方承担研判组的角色么?而且高危的宁错杀不放过,先处置再看日志。

A11:

先看Payload是不是设备自己的问题,可疑的话就找到对应业务排查。

A12:

一方面看访问频次,另外一方面看访问内容吧,最后参考结合下时间看看,多数情况下应该可以判断出来。其实更建议甲方自己设置恶意地址库,可以做比对处理。

A13:

告警分层,可以按准确率分,非常确定的,一般嫌疑的。也按照风险等级分。

A14:

1. 看请求包,响应包内容;
2. 通过请求响应内容复现;
3. 看设备动作,拦截就不管了。

A15:

1.我们有自己的标准化告警研判流程,具体分成多个场景,每个场景细分各岗位工作内容和处置规程;
2.我们一般会通过告警通报账号,内部联系系统运维负责人,进行告警验证和处置;
3.我们以管理制度去推进和约束告警+处置的安全运营工作,不配合就直接全公司通报他们。

A16:

我的做法就是复现,在告警中提取请求的内容进行甄别,如果没有拦截,但是有告警,我们会将告警内容按照业务系统进行分类,筛选明显不是这个系统所使用的组件的告警条目,降级处理这些条目,按照风险排序,看返回数据。

话题二:现在传输加密是有新的解决方案了吗,API安全。

A1:

没有,量子加密已经算最新的了吧。

A2:

只能RASP了。你是整个Body加密呢还是字段级加密呢?

A3:

字段级。最近遇到两次被问,C端业务想做传输加密,有啥解决方案,我以为落伍了,出啥新玩意了。

A4:

那些从流量测做等于白费(现在很多商业API解决方案都是这个样子),而且字段级加密,WAF等于瞎了,如果打的上下游穿过来的话直接等于瞎子。

A5:

有些WAF支持 SDK接入,业务解密之后调 WAF接口判断是否攻击。

A6:

个人觉得传输Https就可以了,严格点做个双向证书校验。 其他措施,多了没啥好处,群里大佬有啥补充吗?

A7:

Https是不是已经不够用了?双向证书咋管理?

A8:

客户端啊。

A9:

如果是固定的访问,可以考虑IPSEC做隧道加密。

A10:

原则上不会是固定访问。

A11:

一般就用Https,或者做下证书校验,或者AES,如果IPSEC隧道不放心的话,再来一层。

Q:使用了https不满足合规要求,被工信部通报,要求个人数据做到API层字段级的加密, 有谁遇到过这种情况吗?

A12:

Https只是网络安全啊,数据是数据安全,得脱敏和匿名化。

A13:

点的是传输加密,存储另说。

A14:

敏感数据传输需要协议加密+字段加密。

A15:

字段加密怎么解决密钥问题的?C端业务。不方便透露的话可以给个方向不?

A16:

可以从后端返回密钥,定时刷新密钥,用非对称算法,就算密钥写死在C端,风险也降低很多了。

A17:

之前有遇到过SRC提报漏洞,你们C端硬编码密钥,给我个高危。

A18:

对称加密,密钥写死在C端,也可以算是明文传输的高危了,各个平台厂商对高危定义都不统一。

A19:

看起来思路基本上都是,端上固定非对称密钥,每次生成会话时服务端生成对密钥,存在残余风险,密钥硬编码以及安全设备失效。换个角度,又是高危风险,继续整改。

A20:

你们按照Https的模式来,密钥协商就符合标准了。

A21:

现在合规要求除了SSL以外,还要再做加密了吗?

A22:

金融有些业务会要求内容加密。不过To C的确实是不是很好改,也没那么高要求吧?

A23:

现在不仅仅国密SSL通道加密,敏感信息传输报文的机密性和完整性。

A24:

我们采用客户端写死SM2公钥,后端私钥密管系统托管,每次回话生成一对SM4密钥,保证机密性。同时这个密钥也能作为SM3-HMAC的密钥保证完整性。

A25:

逻辑上能按照数字信封的模式解释通就行。

话题三:安全团队怎么分组比较好?

A1:

技术、合规,技术还能分的就多了。

A2:

技术分为上线前的开发安全和上线后的安全运营,再加个安全管理进行监督、流程改进。

A3:

监管与合规、用户安全(终端办公、IT服务、业务与数据、供应链)、基础网络安全。

A4:

你不得再搞一个审计这几个组的行为吗?

A5:

设计安全团队,应该是看团队负责的业务范围(责任范围)吧,这得和老板、HR等确认清楚,责任范围清晰了,团队组成也清晰了。

Q:应用安全和安全开发的边界是什么,和安全运营的边界又是什么?

A6:

应用安全主要做SDL,攻防演练,安全运营就是日常告警处理,安全事件应急处置等。安全开发是安全体系中用到的产品不是都能买买的,要自研。

A7:

这玩意主要是老板认,自己也好管理,没有对错之分。

A8:

攻防应该在安全运营吧?

A9:

我们是SDL人员能力更强,作为安全运营的技术支撑。

A10:

你们的安全,不考虑搞一个单独的数据团队吗,数据驱动安全。我的数据安全里面专门有一个庞大的数据驱动小组,就研究数据安全检测,是整个团队的基石。

A11:

公司有个CDO虚拟组织牵头,我们是安全技术支持角色,其实网络安全,讲影响面都会层层递进,往数据安全上去讲。

A12:

专业数据分析团队,和攻防团队玩票搞数据,不同能量级别。数据团队一开始人也很少,但是能做的Scope很大,于是就逐渐扩充规模,产出也大。

A13:

数据大佬都跑去做风控和算法了,看不上安全。

A14:

那是因为安全做的搓,在我这里,数据安全的数据地位可能更高一些。

A15:

其实内部安全做的好,能发现大的隐患(应用漏洞,隔离等访问控制缺失,数据获取门槛低等)或安全事件(入侵等),攻防演练能拿拿奖,业务方有需求也能高标准搞定,老板也是非常认可和重视安全的。

监管检查都能OK,外面也没有说有数据泄露,基本上就差不多了。

本期观点总结

关于优化监测设备的告警规则,讨论的结果包括禁止IP地址、调整误报规则,加白明显误报的内容,利用威胁情报平台甄别攻击IP,并根据攻击链和漏洞情况优化告警提示。同时,与业务同事协调配合,进行告警的排查和复现,通过观察设备动作和检查请求响应内容来判断告警是否误报。

关于传输加密和API安全的解决方案,根据讨论和建议,可通过使用HTTPS协议进行传输加密,并进行双向证书校验;针对固定访问,考虑IPSEC隧道加密;敏感数据传输可以采用协议加密和字段加密相结合;在API层实现字段级加密时,可以使用定时刷新密钥、非对称算法等方式,并注意存储和传输的区别;合规要求除了符合SSL协议外,还可能需要加密和机密性保证。

至于安全团队的分组,除了监管与合规、用户安全、基础网络安全等大的分组,还需要参考团队的具体业务,划清责任范围。

近期群内答疑解惑

Q:一直想一个问题,如果哪天ChatGPT信息泄露,知道每一个用户都搜索了哪些问题,这个才是炸雷?

A1:

GPT没实名,也就泄露个邮箱,还是不那么容易知道哪个人问了什么不可描述的问题。

A2:

邮箱要是有关联到真实信息呢?

A3:

我拿个不重要没特征的邮箱来注册,你关联不到。

A4:

核心不就是ChatGPT本质上不是匿名的,是关联用户的搜索,反过来可以分析每一个账号的兴趣,爱好,行为。

A5:

然后就精准推销啊,好像也不能干什么。

A6:

很多啊,当年很多刑事案件,抓证据的时候,就是看他的搜索记录。

Q:终端和服务器弄同一套EDR ,还是弄两套EDR好呢?

A1:

你的终端是办公终端还是啥?我们是两套,因为有两个不同的团队运营,责任清晰。

A2:

我们也是两套,业务场景不同,还是分开管比较好。

A3:

要两套,因为治理的方向不同。

Q:有没人把分级分类的工具的结果与自研的系统对接上,工具接口上提供的是表名和字段的分类分级。如果要对接,还要业务系统提供表名和字段?

A1:

我把数据类型算到分类的类别里面去了,完整应该是:分类类别 -> 数据类型 -> 数据特征 -> 数据字段/数据内容。

A2:

这里的数据类型是指类似电话号码?数据特征是指是否脱敏?数据字段/数据内容,指具体的号码数值?

A3:

举例子就是
类型:电话号码
电话号码的特征:字段名 = tel,phone; 注释 = 电话号码;数据内容=<电话号码正则>

甲方群最新动态

上期话题回顾:

SOAR该独立建还是被集成;公司门店数据安全该怎么管理

活动回顾:

浅谈云安全 | FreeBuf甲方社群直播回顾

SDL实践分享丨FreeBuf甲方私享会深圳站回顾

活动预告:

议题征集 | 金融科技安全与数据安全高峰论坛·上海站启航

近期热点资讯

新型攻击可从所有CPU中窃取数据,但英特尔、AMD一点都不慌

《2023年恶意软件准备和防御报告》:20%的恶意软件攻击绕过反病毒保护

绿盟换届:创始人沈继业退休,总裁胡忠华接任董事长

美空军工程师窃取军方通信设备,五角大楼紧急调查“安全事件”

App Store发布新规,限制调用API

FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

1637910517_61a087f564a8754ee18be.png!small

【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1200+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。

# events
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录