此篇文章发布距今已超过598天,您需要注意文章的内容或图片是否可用!
话题1:咨询一个问题,像dba和虚拟化管理员这样的人员,靠技术能管住吗?A1:通过运维管理系统设置强复核管控,A录入,由B确认操作。A3:那安全不得背下所有的效率低下和成本高昂的锅。A4:这不叫背锅吧,这个是监管要求,也是风险管控措施,安全是采取合适的方式满足监管要求,防控风险。Q:他们真想干坏事,这系统有用吗?写脚本、通过逃生通道进入、加个定时任务等等。你能管得住他的动机吗?A5:我觉得可能管不了,最多能审计追查,还得靠人性和运气。A6:实际上,什么叫管得住,这是个问题,一个角度看,不出事儿,换个角度看,说得清,我觉得就算管住了,不能搞绝对,世事无绝对。成本效益原则。分级分类上手段砸银子。Q:在这里,管的住的定义是“想干的坏事的人干不了”。在这个背景下,这个原则的具体表述应该是什么,才比较合适呢?A7:只能具体情况具体问题。不计较,没太大所谓的情况,和不计成本非常绝对的情况,不一样。A8:对,难道你家怕被偷,也装一套金库用的安防系统嘛。A9:数据宿主是研发团队,不是DBA。我系统解释下。- 数据宿主是研发团队,不是DBA。所以发起方不能是dba。
- 现在都是靠数据库变更系统进行变更操作的,杜绝人工操作的风险。
- dba要做的事情是复核开发写的sql脚本,通过后,进行变更操作。
- 正常dba规范里面是禁止删字段的。数据也是一样,主要是做修改,数据修改前置条件是,业务方发起,运营团队审批通过,开发编写脚本,dba执行。
- 做的好点的,db账号都是特权管理平台管控的。安全运营会赋权给dba做人工操作。
堡垒机也是,但是原则上来说,这些账号信息绕不过dba负责人,dba负责人要搞事,还是有办法的。A10:所以可以默认dba是自己人,可以信任的人了。信任是安全的基础及出发点。安全是九门提督,dba是大内侍卫,可以对dba提点要求,但是想管估计管不住。Q:GitOps能应用到这种场景么?把手工命令改成脚本,脚本提交到git ,git审批发布后,后台系统执行脚本。A12:安全不是东厂吗。以前在老东家抓了几个内鬼,然后CEO内部会议对我们评价,也不知道是褒是贬。A13:和黑产相关。可以找时间私下交流,不太适合在外讲哈。A15:嗯,送到ga局有一个关键环节是,是否获利,如果有获利行为基本可以认定,但这个确实是最难处理的。A16:特别对于业务数据,隐私现在有法律保护,业务没人管需要自己举证这些数据值多少,为什么值,又很难被认可。A17:如果真是拿了隐私数据倒是好事,这个很好定量。也是风头上,ga更愿意打击。A18:DBA全部要求必须党员,家庭背调,根正苗红。拉征信,无犯罪记录。无犯罪证明是目前入职的基本要求吧。尤其是金融业。A19:不一定吧,不过背调公司可能能调查过了。我们公司入职体检要求都没有。按照这个角度来讲,SRE也得是党员了,SRE不能背研发的锅,研发也得有个高身份…研发出来的东西给运营来搞,运营的要求不怎么高,至少怎么也得是个团员吧。A20:确实,记得有次和一SRE哥们访谈操作风险,他信誓旦旦和我说他是多年老党员,还有多年优秀党员奖状做证明。他老板招人也会主动考虑有党员背景和考察人品。话题2:群友杂谈:一次Windows电脑木马告警分析。A1:打了mtsc的补丁了吧,这个很明显是想多开mstsc打的补丁。A2:mimikatz 默认Windows报毒,他这个是抓密码的工具。跟多开rdp那个没关系吧?A3:我问问,笔记本电脑,突然弹出来的,装了个某国内免费防病毒没提示,Windows安全中心弹出来了。说是蓝屏了,重启后就弹出来这个。https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=HackTool:Win32/MimikatzA4:如果不是你自己下载的,那这电脑就是被黑了,赶紧应急处置:Q:断了网了,正在查杀病毒。还好没怎么输密码,但是浏览器保存了不少密码。A6:查杀没用啊,mimikatz不算毒,他就是个获取密码的安全工具啊。不是输入密码,是你本机存储的一些密码mimikatz可以获取到。浏览器的密码mimikatz应该获取不到。mimikatz获取的应该是系统层面的,比如链接共享的认证密码,rdp远程的账户密码。既然能被远程安装软件了,那应该有shell或者后面建立了。保险起见另存一下必要资料,剩下的直接格式化系统盘重装吧。另外看文件路径在哪。A7:win10也拿不到密码,密码只能读没打补丁的win7及以下,其他都只能读个hash。Q:Windows defender可以看到路径在哪里。A8:有意思,通过某软件管家下载的。有可能就是patch rdp的,该软件升级搞得,那个dll传到vt上看看呢。看一下那个dll hash和签名吧,两个杀毒软件有可能互相误报。A9:某杀软安全云的木马查杀还是没扫到。但是这个mimikatz应该是真实存在了,这种应该不是误报吧。A10不好说,所以让你先传vt(https://www.virustotal.com/gui/home/upload)判断一下。有可能该杀软抄了一点minikatz的源码。被判定了。所以先判断是不是再看后面的。A11:这个目录还有名字是某杀软系统防黑加固模块,被误报了吧。话题3:某制造业财务系统中勒索,有没有什么基础的防护方式的?防火墙+数据备份系统够吗?A1:财务系统应该不会直接放公网吧,再加个主机安全。A2:这个还是建立一个安全防护体系,按规划一步一步来,如果勒索是痛点,那先从痛点开干。东一榔头西一棍子,效果不好,不利于向领导汇报,更不好申请钱和人。A3:不是我们企业,人家就勒索了几万人民币,投入太大不好吧。A4:这个主机防护和防火墙拦截就好了。最简单就是做好ACL,网络层次的管控比较有效。A5:我也觉得,直接交钱了事,然后稍微加固一下:终端防护,访问规则策略,互连线接入防护,离线备份。做好基础工作,应该可以防护一点。然后结合培训,员工不要随便点不明来历的文件。--------------------------------------------------------------------------------【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。如何进群?
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com
还没有评论,来说两句吧...