关于企业移动办公场景下如何管控数据安全的杂谈暨近期漏洞情报共享｜总第202周

‍‍

0x1本周话题TOP1

话题：有了移动办公、im办公，信息安全人员真的能管理控制企业的数据安全吗？监守自盗、违规操作，信息安全能防住吗？要为此承担责任吗？

A1：安全只能提高操作门槛，避免批量泄露机会，不能彻底防止。手机上都能看到了，回家慢慢抄也可以。安全不是风险决策者。

A2：这个就和有了法律还是有人犯法一样，增加威慑和违法成本，明白违法的后果。

Q：这思路跟堵路就加红绿灯有什么区别？

A3：红区靠技术控制，保持绝对投入，没有妥协余地；黄区看数据价值，评估泄露了会如何，评估投入；蓝区做好宣导，属于泄露了也影响不大，责任从高到低对应到区域长。

A4：红黄蓝区域有几个公司能好好落地的，比如坦克装甲具有非常好的防护效果，但是在汽车安全设计中，绝对不会采用。

Q：我觉得未来员工的手机的安全管控，也要纳入到管理范畴。手机这是个人资产，但在安装了公司的信息系统的时候，又有公司资产的性质，如何管理中间的度不好把握。

A5：手机资产是管不了的，能管的是针对安装的公司App做安全加固和数据防泄漏，手机远程访问行为做监控和处置。

A6：还是需要根据移动办公所涉及数据机密程度来决策，密级足够高配备专用手机，现在做移动办公软件数据封装的也很多。

Q：不一定是移动办公业务系统的数据敏感性，移动im里传播的数据谁能控制呢？

A7：这不是MDM之类的活吗？只是这些玩意的兼容可用性都还不是很成熟的样子。

A8：我之前接触的是定制化国产手机，做芯片级加密，连IM工具都自研了。

A9：一般企业只要对APP进行封装，确保数据不能落本地就行；同时不允许手机接入公司内部网络就行。否则成本太高了。

A10：专配手机，我们原来发过android机，负反馈太多了，会影响覆盖推进。自研im，打开文件，如doc，会触发第三方app，系统会自动落盘文件。怎么解决？不允许im调用第三方app吗？但是有常规办公场景。比如修改个excel数据。

A11：部分管理，非电子数据就很难管，仍然会有普遍的数据泄漏，比如专家访谈。但也有些办法解，就是ROI的问题，值不值得安全和业务投入。再比如供应链的数据泄漏，移动办公，im办公，网络和主机dlp都覆盖不到上下游。举例公司做一个明星合作的项目需要很多下游供应商搞宣发，信息肯定需要给出去，供应商员工拿到后转手就给了饭圈，活动没开始就在饭圈传开了，活动效果大打折扣还影响明星的行程安排。违规操作这个需要针对场景上手段，光移动办公不足够。

A12：以前上了MDM，还是某榜单排第一的国际品牌。发现巨难用，为了装个公司APP，要先装5个MDM的APP。最后直接废弃，自己在APP做安全加固。文档这块，在 IM 和 APP 提供预览，不让编辑。

A13：我们也是，以前上了MDM，后面废弃，现在各个办公app直接做安全加固。

A14：MDM/EMM在人多的企业太难搞，单是终端各类型号设备兼容性适配就会搞吐血。不同平台，MDM 提供的功能也不一样。比如安卓可以防止截屏，ios 就不行。

A15：公司领导并不是要把所有的信息都管住，也没有绝对的安全。但有保障安全，兼顾效率，保障业务正常运行的最优解选择。移动办公，专家，供应链等都是场景，关键还是把企业最核心的信息识别出来，再把所有相关场景识别出来，保护住。聚焦核心，分级管控。

移动办公势在必行，但有些最敏感的是不是可以不上？最核心的实在要上，建议可以考虑留完备日志做超出授权范围的监测。对于上了移动办公的，我们也是做了安全加固，设备绑定，水印，文档预览不落地，完备日志。

A16：还是源头做好分级，高敏感级别业务的移动化得不偿失，在很多企业里可能是个别管理层的效率有限提升，但增加了暴露面和风险。这里也考验安全怎么给业务或管理层去影响和灌输，比如从共赢的角度。

A17：适度保护，分级分类保护。再用BAS验证下有效性，企业里指望完全细颗粒的管控，很难实现。

0x2 本周精粹

0x3 群友分享

【安全管理】

【漏洞情报】

东方通 tongweb 应用服务器 未授权远程代码执行漏洞（XVE-2023-17221）Apache ActiveMQ 远程命令执行漏洞（XVE-2023-6852）Nginx配置错误导致的路径穿越漏洞WPS 远程代码执行漏洞（XVE-2023-17624）HiKVISION 综合安防管理平台 files 任意文件上传漏洞Metabase validate 远程命令执行漏洞OfficeWeb365 SaveDraw文件上传漏洞安恒明御运维审计与风险控制系统 xmlrpc.sock 任意用户添加漏洞傲盾信息安全管理系统前台远程命令执行漏洞nginxWebUI 远程命令执行漏洞（XVE-2023-2934）百卓Smart S85F importhtml.php SQL注入漏洞企业微信（私有化版本）敏感信息泄露漏洞（XVE-2023-24844）大华智慧园区综合管理平台 searchJson SQL注入漏洞大华智慧园区综合管理平台文件上传漏洞泛微 E-Cology ifNewsCheckOutByCurrentUser SQL注入漏洞泛微E-Office9文件上传漏洞 CVE-2023-2523广联达OA GetIMDictionary处存在sql注入漏洞广联达OA 后台文件上传漏洞海康威视综合安防管理平台 report 任意文件上传漏洞汉得SRM tomcat.jsp 登录绕过漏洞汉得SRM tomcat.jsp 登录绕过漏洞 红帆iOffice zyy_AttFile.asmx SQL注入漏洞宏景 HCM管理系统 OfficeServer.jsp 任意文件上传漏洞华天动力 OA workFlowService SQL注入漏洞金蝶云星空 CommonFileserver 任意文件读取漏洞金和OA C6-GetSqlData.aspx SQL注入漏洞金和OA C6-GetSqlData.aspx SQL注入漏洞 金和OA GetTreeDate.aspxSQL 注入漏洞联软安界UniSDP 软件定义边界系统 commondRetSt 命令执行漏洞绿盟 SAS堡垒机 Exec 远程命令执行漏洞绿盟 SAS堡垒机 GetFile 任意文件读取漏洞绿盟 SAS堡垒机 local_user.php 任意用户登录漏洞企望制造 ERP comboxstore.action 远程命令执行漏洞启明星辰-4A 统一安全管控平台 getMater 信息泄漏契约锁电子签章系统 /code/upload文件上传漏洞任我行 CRM SmsDataList SQL注入锐捷 NBR 路由器 fileupload.php 任意文件上传漏洞锐捷交换机WEB管理系统EXCU_SHELL命令执行深信服应用交付系统 /rep/login 远程命令执行漏洞苏州科达科技Kedacom系统任意文件上传漏洞GitLab 目录遍历漏洞（XVE-2023-16170）通达OA moare 远程代码执行漏洞通达OA SQL注入漏洞(CVE-2023-4165)网神 SecGate 3600 防火墙 obj_app_upfile 任意文件上传漏洞新开普智慧校园系统代码执行漏洞亿赛通电子文档安全管理系统 importFileType 文件上传漏洞用友 U8 CRM客户关系管理系统 getemaildata.php 任意文件上传漏洞用友NC-Cloud jsinvoke命令执行用友时空KSOA PayBill SQL注入漏洞用友时空KSOA QueryService SQL语句执行漏洞用友时空KSOA TaskRequestServlet SQL注入漏洞用友移动管理系统 uploadApk.do 任意文件上传漏洞