关于网络安全人才缺口达327万的讨论、个人IM的内容审计如何合规又合法？windows服务器后门如何排查和取证？| 总第164周

0x1 本周话题TOP4

话题1：

A1:这被搞了，想起来招人了。非事业编，外包吗？另一个问题：这临时起意，能有多少预算买设备？

A2:事件驱动，网络安全三同步呢？

A3:非事业编，什么时候被攻击这事不会被当作zz事件素材后，岗位可能就撤了。

A4：高校的安全建设貌似都没怎么跟上，攻防演习，高校是重灾区。这么大事件都没开放个事业编出来，唏嘘。可以理解成派遣。

A5：大多数企业都没有资源，高校这样更正常。以前应该都是网安学院的老师监管吧，然后老师就分给学生。

A6：党委党组网络安全责任制形同虚设，教育厅应该定期对重点院校定期督察，层层压实责任。

A7：大多数校园网对于安全性，业务连续性要求都不高，所以安全更不重视。非事业编，估退休工资肯定低点，干活时拿高薪还是有可能的么？

A8：想多了，主要是大学在这方面没有啥经费，都给科研了。

A9：年年喊缺人：2022年国家网络安全宣传周到2027年我国网络安全人员缺口达327万

https://content-static.cctvnews.cctv.com/snow-book/video.html?item_id=15288404898811343097&t=1662541321845&toc_style_id=video_default&share_to=wechat&track_id=0377b56f-82b1-4d38-9e7b-66c233324fba

A10：高校不在乎搞这块，而且搞一个项目都是你看我校，我看你校，都希望对方先搞的这种心态。

A11：昨天我们算了一下，如果说目前这600亿的产业，缺300万人，那现在就算变出300万人，平均每人能摊到2万块钱。嗯，群友自觉降薪吧。

A12：300万人进来，产业可能是3万亿了。

A13：谁为3万亿买单?信息安全是奢侈品。

A14：主要不是大众消费，规模难起来。安全市场先赶上小龙虾市场。

A15：曾经的大众消费品，现在免费了。

A16：地位未来将看齐公司财务人员、行政人员，肯定会有，但是规模和待遇嘛。低啊，现在it还占着个工资高，公司老板每每看到it的工资规模、人员规模、预算规模，估计都恨的牙痒痒。看看以前网络安全工程师。

A17：啥行业干的人多了就变白菜行业了；另外公司三角，老板/财务/HR。

A18：安全待遇目前看起来还行，等到后面入场的人多了，价格就下来了....不产生直接利润啊，你要开公司你也恨得牙痒痒.. 巴不得裁一点才好。

A19：财务负责人怎么都是董事会成员。安全还早..

A20：安全部门都是企业必备、独立部门，有话语权再说。

A21：如果是扎根，安全是最贴近数字孪生的，因为安全需要底层技术，比较稳定，比较深，这个总体趋势肯定是好的，薪酬也会涨。如果不扎根，就是个撒网的，比较浅薄的，堆人力的，被淘汰的概率比较高，成本下降也是规律。

要想改变整个全社会对于信息安全的认识，还有很长的路要走，毕竟，安全不直接产生利润，大量的投入，没法看到明显地效益，是个老板都坐不住…换个角度思考下就能明白了。

A22：不产生利润，能把安全风险的管控做到业务风险管控的级别也行。

A23：以后安全部门的生存状态，大部分资源有限的都是合规驱动，满足合规要求型。

A24：个人愚见：安全产业如果没有解决普惠安全的问题，人才资源只集中在头部领域/机构，腰部及尾部领域资源两极分化的问题，靠头部拉动安全产业，产业规模容量和业务增长必然还需要漫长的时间。

A25：感觉我们还是站着IT和技术的角度看安全认知的重要性和难处。听过一个说法，AI后公司裁员，财务，法务等等统统可以裁掉。如果只留下一名员工，是销售。

A26：当企业老板吃了信息安全的亏，系统被搞，数据被偷，损失惨重，后面他自然就能做好了，事情不落到自己头上，是不会有认知的。

企业都快活不下去了，要中后台有啥用..必保的必须是利润来源，销售...

A27：感觉群里的CEO们更有感悟和发言权。

A28：不是安全不产生价值，是安全人员（做的不好）不产生价值，这两个还是有很大区别的。

A29：做的好，价值不容易体现。没出事，领导觉得你工作很轻松嘛，也没啥事，价值在哪里。做得不好，出事了，给你那么多钱，你还给我搞出事故，要你何用。

A30：好和不好，标准不清晰，如果网络安全可以参考生产安全范畴，那这个标准就不一样了。

A31：没出事，领导觉得你很轻松，那是运气好，哪里是做得好。做得好，领导不会觉得安全可有可无。根本原因：评价体系不清晰。

A32：安全跟运维一个样。安全做的好的时候，其实工作往往不轻松。在安全被需要或依赖的时候，安全人员在细节上倍感压力。

A33：安全人员的能力，一般企事业单位似乎确实不太好评估啊。如果从业人员快速扩张，可能新增人员大部分都是对着监管条款机械提要求的人，不贴近业务，不给具体解决方案。

A33：安全做的好就像空气，平时感觉不到存在，但是一刻也离不开。让领导这么理解安全，可能会好一些。

A34：想要干得好，确实不轻松，问题是你得让上层领导觉得你不轻松才行，但是上层领导的认知里往往就是，不出事=没事干。所以安全跟运维都一个样，唉有苦说不出，这周网络安全周，我还在写宣传稿，报送监管....

A35：周报、月报、可视化卷起来，还要有日报。

A36：可以搞个调研，安全老大升任科技老总或副总的样本有多少？安全独立与科技平级的样本有多少？这样更能说明安全的处境与地位。

A37：大部分情况是自己觉得做的好，其实做的不怎么样。不要觉得老大没有分辨能力，自己做的好，领导看不出来。大多数情况是自己做的好，而不是老大没看出来自己做的好。

话题2：最近是不是IPV6的地址也出了那个云函数了……最近封了几百个IPV6的扫描地址。扫我们好几天了，还一直在扫。

A1:云函数这个怎么封呢？作代理池类似秒播可以一直换ip吧？

A2:部分hids有。

A3:没法子，一直在换ip。我写了一个小程序，一旦计算出一个段的IP地址大于32个IP，直接封一个C类段。针对ipv4，这样也只是封个大概。这些地址池进行扫描，连接头还没有规律，真心是麻烦。

A4:不是自动化封禁的？正常扫描不是触发同一条策略吗？这个策略是防火墙的封禁策略？

A5:你说的没错是自动化，几千几万个IP，但是你要搞几千几万条策略。

A6:这么大资源池？

A7:不是的，那些不是扫描，是各种各样的黑客工具探测。几百个还吃得消，几千几万是吃不消的。还有弱密码扫描，所以我只好搞个小程序，收敛地址段。不然的话你和发现很多策略只匹配了几次就再没有匹配了，别人这样很容易搞死你的防火墙之类的设备。

A8:是云上的不？可以记录个缓存，做个上限，覆盖旧的。不过好奇具体是啥云函数？如果对方真有几万个ip的资源池，封禁都是事后，于事无补。攻击成功的你不会封，你封掉的都是你已知的。

A9:我是查询出10分钟前，那些连接数少于某个值的acl清理掉。这个对旁路设备容量有要求。

A10:旁路阻断设备比防火墙容量大，速度也快。

A11:Deny策略就一条，关联多个地址簿，封禁时把ip加到地址簿，地址簿满了转到下一个地址簿。

A12:封ip的逻辑基于两个假设：攻击者的ip资源是有限的，且他要找到我的突破口需要大量尝试,在这两个前提失效了的情况下，封ip的行为属于自戳双目，甚至不如标记出攻击者都干了啥。对防火墙而言，地址簿也有上限。比较大就是了，但上10万也不是忽略不计的，每条请求都要遍历地址簿。

A13:封ip不是唯一的出路,有一些ip是共享ip,比如铁通鹏博士。封的影响太大了。封IP只能是在网络层解决问题，一旦应用层出了问题，还是没啥用的。

A14:具体问题是，别人换了一个不在ACL列表里的IP地址还是能攻击成功。讨论的是那些探测的IP，每天都大量这种IP。攻击不成功，但是也占用你的流量，小型DDOS。

A15:封完，一般多久释放？业务上云不？还是在自己机房？如果在自己的机房，那就只能封着了。

A16:防爬是一个重运营的对抗，得多个维度着手。传输层会话层应用层。传输层利用Ip，指纹（IP头指纹，tls指纹），应用上对抗更多了。《网站安全攻防秘笈:防御黑客和保护用户的100条超级策略》，这本书里面讲了不少，都是基于modsecurity策略讲的。

A17:我们的策略是10分钟左右查询一次，匹配的ACL数小于一个阀值的就释放。现在很多东西指纹很不明显。在应用里解决最彻底。可是有几个应用开发商能干好。

A18:把入口上云转发能省去大量工作，这些他们都做过了。

A19:行业规定了很多应用不能上云。

A20:策略也不一样。不同ip domain url user的权重不一样。买私有云啊，有钱的话，某云都可以私有化。

A21:为啥你们总认为防爬的一等策略是封ip....?防爬在事前是一个架构设计安全评估和落地方案的问题，真要落到事中对抗就是技战术问题，光封ip这种是最懒也是最烂的技战术策略。

话题3：请教大家一个问题，关于银保监会要求对投资管理人员和交易人员，交易时间的即时聊天通讯内容审计。现在对个人IM的内容审计都多少存在个保合规的问题，不知道是如何既要合规又要合法的？

A1:这个只针对交易时间中，办公pc登录的即时聊天通讯吧。

A2:不是，是所有。我非常确定，不仅是办公PC。

A3:进交易室都交手机啊。还要审计个人微信？这也没法审计吧，手机中的微信之类的。

A4:这无法作为理由，我试过了。

A5:手机装软件。不让带个人手机，给公司手机。某work的软件就可以。手机的所有信息都会被记录。

A5:其实我想问的是，个人IM是否允许用于办公？MDM方案是很全的，成本也略高。其实华为儿童手表也可以上微信。要全审计，就得用企业级IM。但话又说回来审计个人聊天工具，这行为就确实有点河边走的感觉。

交了手机，笔记本电脑要交么？电脑交了，儿童手表要交么？以后还会有更多具有即时通讯功能的穿戴设备。终端没法管住啊各种漏出。

A6:你可以出制度禁止，I T只是一个执行部门。

A7:制度归制度的，但是他要的是实际支持的。要是公司用企业级im，还要审计个人的么。

A8:这个策略比较高屋建瓴且是业务合规范畴。PC上dlp上网行为，进门手机柜。监管的要求。就拉上内控去推，IT配合上手段就好。

A9:我理解，公司提供的网络中不允许个人IM。不够的，我已经跟有关部门沟通了许多次了。我其实不太理解作为纯IT，不太理解监管出这些要进柜子啊，要内容审计，距离他们的目的近不近。很难搞的，因为里面有很多逻辑bug。

另外，我尝试了一下华为的儿童手表感觉可以规避掉好多现有的措施。苹果手表也可以发微信。不用交手机柜、自带sim卡、可以上微信QQ打电话，还有高清双摄。

A10:应该是，公司不能审计没有接入自己网络的设备。那上面情况，投管和交易人员上班不能戴苹果手表么？

A11:上手持金属探测仪吧。既然要求这么严格，类似于苹果工厂管理的模式。

A12:法律，银保监，人行，工信部，网信办的法规。所以这些要求的目的是什么呢？IT很为难。买了俩，双摄的，还联网，如果不注意真的可以带走很多数据。

A13:目的是禁止内幕交易，具体落实会比较难。如果可以通过IT技术手段管道德风险，那倒是蛮有意思。

A14:但是IT手段可以增加犯罪难度。信号屏蔽，办公网络隔离。

话题4:windows服务器被人远控了，有没有什么后门排查方法，系统不能格式化。

A1:被搞了就别想了，清不干净的，想办法重装吧。数据分离出来，重新部署吧，讲道理你们没有高可用嘛？

A2:不是生产系统，是办公系统。

A3:一样的，oa有啥不能重装的。

Q:那这种横向扩散的范围怎么排查呢？不见得所有办公终端都重装吧？

A4:看你日志留存情况了，再就是看一下同区域的，如果你们没做分区的话就难受了。oa vpn这类外采，最好一个系统一个分区，基于端口的放行策略。

A5:办公系统上地域墙啊。内部有流量记录吗？

A6:之前要上x莱，还没搞就中招了。我们是虚机，有快照，服务器恢复一下就好了。就是不知道有没有感染其他终端，所以想搞清楚，这种怎么查呢。

A10:终端的话看日志，看他有没有做水坑，再就是这段时间那些机器访问了系统。有其他基于流量检测的系统没有，先把代码整出来，跟之前备份版本做diff看一下有没有改动，访问日志看中间件的acesslog，有流量检测的话就看流量日志就分离大流量记录拆分出文件看看，有没有可执行文件投递，再就单独给这个时段内的机器上单独的高敏感策略，维持一到两周，观察一下。

A11:查日志查账号查服务查端口查外联查进程查计划任务自启动查驱动文件，查各种。远控木马的你查流量情况就知道机器有没有失控了。查到了果断断网处理。

A12:他可以回滚版本，这些可以不查，就是需要确定失陷范围。我估计他这么问，应该是没有这种系统，以我以前应急经验，就是先按我那套整一把看看，先diff代码看看有没有做水坑。

A13:自己本机开个dns转发程序，把排查的服务器的dns指定过去，看dns查询访问信息，暂时不投入系统设备的排查一下。用teapot可以，想查清楚没设备就找厂家的服务。

A14:ndr,aisa之类的流量设备，内网没有，我们只在边界上。

A15:应该没有，如果有这些一般也有hids。内网只能靠edr, 没有edr就上sysmon, dns转到teapot, 这是目前能最简单的做法了。但一样需要有threat hunter才可以，没有的话，也找不到。sysmon要慢慢优化规则，也是件长期头疼的事。

A16:嗯，优化规则问题不大，有优化过的配置文件，但是，如果没有威胁猎人，他也是没有能力验证和发现的。毕竟，如果有威胁狩猎能力，就不会问这些问题了。

A17:每个终端上装sysmon，然后将日志转到大数据平台建模分析。难度不小的，你可以找厂商借edr装，靠edr的能力来做。

A18:我只在进来的跳板机装sysmon看了下。

A19:难度不小的，你可以找厂商借edr装，靠edr的能力来做。没有的话就没有意义了。出名的就是SwiftOnSecurity。已经配置优化好的，尤其是现在的最新版sysmon老强了。我很早以前在freebuf写过一篇文章叫手工打造EDR系统，里面就是利用sysmon做的方法，时间比较长了，只能做参考了，需要比较大的调整。

A20:被入侵会做权限维持，做的权限维持，一般不会bypass autorun: