金融业企业安全建设实践群
第100期0607-0620
上周群里共有 212 位群友参与讨论
21 个话题分为以下6类
安全管理:6 个
安全技术:4 个
求文档:3 个
产品推荐:4个
法规解读:3 个
行业思考:1 个
【安全管理】
1、OA就不能放外网吧,套个vpn在外面隔离起来。OA放外网,要么安全很强,要么安全很一般。国内市场占有率高的几家ERP、OA厂商经过这几年hw洗礼,已经开始逐渐提升其产品安全了,这确实是hw的直接效果。但是技术债欠的太多,估计各家攻击队手里漏洞不少。
2、“据彭博社报道,上个月美国最大的燃油管道公司遭到勒索软件攻击……最初,这个VPN账户是为了让Colonial 管道公司的员工远程访问网络而设立的。据Carmakal称,尽管该账户已不再使用,但仍活跃,黑客可以访问该账户。这个已被停用的VPN账户没有使用多因素认证……”这么大的公司,居然没有二次vpn认证?所以安全有时不是什么高大上,往往一些细枝末节就可能导致沦陷;包括云原生安全,关键词还是通常那些:隔离、认证、授权、默认配置等。想起李克强总理在记者招待会上的一句话:不管将来从事什么职业,有什么样的志向,一定要注意加强基础知识的学习,打牢基本功和培育创新能力是并行不悖的,所谓树高千尺,营养还在根部。我们把基础打牢了,将来可以触类旁通,行行都可以精彩。安全的基础还是那些,万变不离其宗。想起在朋友圈看到一张图,说现在的网络学习者,有两道门,一道门是计算机基础知识,还有一道门是权限维持,横向渗透等名词,计算机基础知识这道门无人关心,另一道门挤满了人。
3、user recertification没做啊。虽然这是基本的用户管理不过确实是苦差事。见过业务部门甩给运维做的,也见过it部门强势让业务部门自己做的。这是我之前针对账号安全拟定的几点内容:
4、各位大佬,请教一下邮件自动转发功能有哪些危害,有何预防措施?
5、业务谁主管,安全谁负责。 在运作上,安全出了要求,各业务按要求做了,如果出了事安全兜底;如果安全出了要求,业务失职渎职,或自己风险接受,出了事业务就要被安全处罚。 不过这个前提是安全要能根据业务、投入产出、风险做平衡做合适的安全策略。而且安全也得有一票否决的权利来应对不可偏离项。行业也有规定“谁运营,谁负责;谁使用,谁负责”,但安全部门的实际情况一般是保障,而不是类似合规、风险等实权管理部门,所以没权利、还得保障不出事。
6、最近新接个数据合规的坑无法自拔,有没有道友也在苦苦挣扎的,交流下啊!隐私合规是最大的坑,跨境流转,数据源合规,采集与处理过程的合规,还有在路上的行业标准。我记得之前在群里问过安全该不该接DPO的职责,得到了众道友的一致劝阻……找咨询机构和测评机构买服务,出监管解读。找内部标准做差距分析。找业务部门为新出台的数据保护政策做背书。出内部数据保护标准。申请预算,推系统建设/整改,设定长期和短期合规目标。推业务和法务对合规结果批准和签字。建立数据合规BAU。做事情最先要考虑的定职定责,以一个岗位推进跨部门的工作很难,所以需要一定的资源支持,往往能授权的人并不清楚该怎么做,需要有专业的,有参考意义的方案设计。
【安全技术】
1、云waf一定要把私钥给出去才行吗?
2、今天waf问题讨论挺好的,单从web防护角度,waf接入业务总是会遇到各种问题,还有https和大流量性能问题,导致无法全面覆盖web服务,不知各位大佬有没有准备开始放弃waf路线,只走rasp路线的,毕竟rasp技术也比早几年稳定成熟多了。不可,WAF和RASP是互补的,这是两个纬度的东西。两者的核心区别还是rasp可以更准确的拦截漏洞,甚至能拦0day,而waf机制基于流量决定了他并不能完整的了解业务内部运转逻辑,且容易被绕过,另外waf大多也只是http协议的,rasp可以不关心协议也能拦截。RASP的解决问题场景,还没有那么直接。更像疫苗,构建的是基于体内信号的免疫力,WAF更像是口罩防护服,很多场景立竿见影,在应用外面包一层盔甲来防御。现阶段waf考验钱,rasp考验人,长期互补并存吧。
3、我一直在考虑一个问题,就是自己在A公司做做,在B公司做做,做来做去都只是保护一家公司,先不说云平台这种大平台,就说群里的很多金融机构,有很多建设从社会资源上来说是重复建设的,有没有一些东西是可以拿出来节约社会成本的 这个话题不是今天的主题,我也还没想好答案 但是我注意到,waf,hids,零信任,大家都有包装好的产品,对于缺编制的金融甲方而言,买,也算是降低社会总成本的一种可行途径,但是rasp我是没有看到什么商业产品,多是自己搞,即使是开源了openrasp的百度,也不拿线上rasp做商业化,宁可卖IAST,也不支持技术投入不多的甲方,肯定有它的不可行之处 在我司,waf和hids都是安全兜底的东西,就是安全来负责,但是rasp不是,rasp是一个赋能,如果应用想做好一道防线,我推荐你这个技术,提供部署支持,协助你性能测试,帮你维护规则,但是埋点兼容性都是应用自己最清楚,rasp是应用运行自保护,这个组件归应用,sop也是他写,就像hids一样,组件提供能力,但是监控告警通过另一个途径阻断还是事中阻断这是应用sop里的策略,而不是组件定死的,我了解有不少公司也不强推rasp,至少核心业务不推,我感觉rasp现今缺少的主要是“社区活跃度”,导致大家尤其尤其是开发人员的信心不足,一点反思,请大佬批评!
4、大家测试环境重置账号密码,一般是怎么处理的?因为不能同步生产环境的邮箱、手机号码信息,涉及身份确认,这块该怎么验证呢?
【求文档】
1、想问问各位大神有没有容器安全的总体推荐架构或者介绍材料啊?
2、各位同学咨询一下,网信办或者国家有没有对一些敏感词的列表或者标准。可以用来做产品的时候参考一下,屏蔽掉。
3、各位大佬,请问下谁有《2020我国互联网网络安全态势综述》?
【产品推荐】
1、如果没买维保服务的话,厂商有没有义务负责提供补丁呢?看合同怎么写的吧,一般过维保期了,是不提供任何技术支持的,包括安全漏洞。没有商业合同就没有义务。
2、请大佬们推荐下国内比较好用的云waf!
3、请问各位大牛,服务器安全管理系统有好的推荐吗?要求兼容多种虚拟化架构和操作系统,实现混合数据中心架构下的服务器安全。
4、https://forum.butian.net/share/177《多家防火墙设备存在信息泄露漏洞安全通告》都OEM的同一套吗?为什么一起出问题?
【法规解读】
1、《被罚 500 万元、6 人被判、主犯十年六个月:营收 9320 万、订单 3.48 亿条、用户 476 万的全能车犯破坏计算机罪》这个案件大家咋看?我个人领悟到的是薅羊毛可以,组织集体薅羊毛并从中牟利不可以。我也得到了一样的体会,散户薅羊毛建议你们保护好信息系统,没保护好要有担当,单位薅直接破坏信息系统。
2、请教大佬们一个问题,就是目前有见到过有类似的,明确禁止外包服务商或者开发商通过VPN访问访问甲方独立测试系统(环境)的制度或者条款吗?
3、各位大佬请教下。计划对私有云做个风险评估。请问针对企业内部的私有云,依据什么规范进行评估比较好?《信息安全技术 网络安全等级保护基本要求》云计算安全扩展要求 《云计算服务安全评估办法》 那个更合适?或者是否还有其他的规范?金融行业内是否有专门针对私有云的要求?
【行业思考】
1、吴洪声:我翻了一下媒体分析报告,随着互联网的发展,人们对网络安全的产品和服务需求持续增长,企业网络安全市场的发展前景一直很可观,预计2021年中国网络安全市场规模将超过900亿元。但与电商、教育、金融等行业万亿的市场规模相比,网络安全的市场规模数字要小的太多太多,所以我想问,这是不是意味着网络安全市场的技术价值与社会价值很大,但商业价值比较小?这个领域的创业天花板会不会比较低?5G与新基建的到来会不会催生出更大规模的网络安全市场?你怎么看待这几个问题?
谭晓生:首先,我旗下的产业研究机构数说安全的研究成果显示,2019年中国网络安全市场规模只有480亿,2021年恐怕也难以达到900亿产值。虽然在过去的六年中这个数字保持每年15%-20%的复合增长,但在未来的很长时间看,还是没有办法和万亿级市场比。您的问题很犀利,网络安全市场确实存在技术价值、社会价值和商业价值背离的问题,虽然过去今年市场逐渐在修正这个问题,但截至今天网络安全市场的总产值还是严重偏低,在这个领域创业还是需要更有耐性。
--------------------------------------------------------------------------------------------
企业安全建设实践群
第25期0607-0620
上周群里共有 222 位群友参与讨论
26 个话题分为以下6类
安全管理:2个
安全技术:7个
求文档:12个
产品推荐:1个
法规解读:3个
行业思考:1个
【安全管理】
1、各位有没有遇到过,上线前各种流程检查ok了,版本变更做了操作,又出问题了。有发布流程管控节点检查么?版本边变更的时候,我们会再做一次检查。增加个页面这种小功能都要做?增加页面不算小功能。需要看增加的内容是什么,如果是页面可以填写内容、上传资料,肯定是要做的。这个其实需要跟项目管理结合,前期对项目级别有明确定义,并设定一些判断规则和标准,安全也需要参与进去。
2、各位大佬,请教一下,银行托管的系统的安全责任该如何划分?托管方提供SASS服务,银行只提供API接口与托管系统对接。
【安全技术】
1、《InForSec学术交流会 参会小计DAY1》第一个议题,谷歌有个vulncode-db在更新,专门关注漏洞补丁的采集和分析。Automatic Policy Generation for Inter-Service Access Control of Microservices 也很赞,微服务之间的上下游调用分析、权限访问默认很复杂,现在统计是基于打点和流量的,如果基于代码预计分析关联会有帮助,安全一定要可视化、有关联!引入图数据库会是安全场景比较好的切入点,已经看到代码扫描、时间分析、策略扫描在用了。软件安全有什么好的实践吗?我个人认为最能落地的是代码静态分析领域,这里建议是学习路径:
(1)国外某些软件分析引擎,底层有图数据技术,看官网介绍。
(2)ieee论文,国内的可以关注国防科技和北大的。
(3)参考图在入侵检测领域的实践。
2、《利用「爬虫软件」获取某 TOP 级平台 11.8 亿条数据,包含手机号码等:被判刑》很多疑点:黑产通过订单评价接口绕过风控爬取加密数据。1)API接口授权没做好?2)都加密了,怎么解得开的?3)渗透没做好?不然怎么被绕过了?
3、有技术手段监控或发现研发上线新API的方法吗?
4、请教大佬: 公有云上的访问控制应该怎么落?安全组策略,网络ACL的条目数量都有限制,怎么满足按需开权限呢?
5、根据公司密码管理规则,研发人员访问服务器只能通过堡垒机登录,服务器密码不下发。但经常有研发人员需要服务器密码的场景,大家是怎么处理的?
6、各位咨询一个问题,对于第三方想要植入一些检测代码到我们的页面(主要监控一些页面曝光、点击方面的数据),方式可能是通过js引入,这种情况下无法对代码进行审计,大家有遇到过吗?还是说这种情况本身就不允许,在代码可以审计的情况下我觉得问题不大,主要是通过远程加载的,这个就不太好控制了。
7、想咨询一个关于root账号管理的问题,之前在实施时候由于安全团队没有介入导致应用安装都在root账号下,现在我们安全团队感觉这样风险很大,也不符合各种合规要求,和运维团队商量了很久他们也不知道该怎么改变现状,所以想请教下各位大佬有没有办法改变这种现状?比如安装在一个指定用户下之类的。
【求文档】
1、有弱密码字典库?
2、GB/T 37002-2018 信息安全技术 电子邮件系统安全技术要求 这份文档谁能支援一下,谢谢~
3、[文件:标准规范list.txt]这是我手里有的标准和规范,有需要的可以@我,其实好多我自己也没看过。链接:
https://pan.baidu.com/s/15I2mYjqCyVPP7vJvp8wFJQ 提取码: xkgi
4、大佬们有没有漏洞管理制度,求一份,感谢!
5、关于一些数据分类分级的标准文件,群里之前有发过吗?
6、有没有关于专门针对安全开发的资料,可以借鉴一下么?
7、《ISO 22313:2012》请问谁有这个文档么?
8、请问各位大佬,有没有App备案的指引材料呀?
9、各位大佬,想咨询一下,有没有关于防火墙(或安全设备)推荐异构部署的政策文件,或类似行标的东西?
10、大佬们有社工、钓鱼类的宣传教育类材料吗?
11、大佬们有关于app加固的文档么?
12、供各位专家参考[文件:数据安全法解读.pdf]
【产品推荐】
1、请教下各位大佬,终端安全大家都用的哪家产品?我在用一个产品,感觉不太好,想请教下大佬们的选型。
【法规解读】
1、请教一下,通常各单位的信息安全管理第一责任人是定为公司boss的,这个说法有法律法规的依据吗?网络安全法当中只是说主要负责人为第一责任人,但是主要负责人这个范围还是很大。
2、请教下各位,朋友问我,他公司法务说等报标准是gbt不是强制性的,建议用自己内部标准代替,不找外部做测评,这个怎么破好?
3、数据安全法通过了。相应的检查也要多了。数安法出台是利好啊,可以借着这个提升企业安全团队的话语权和影响力。各位大佬,看到新出好的“数据安全法”解读,群里分享一下哦~
【行业思考】
1、大家有没有碰到白帽子把漏洞提交到厂商src没有被接收,又把漏洞提交cnvd,被cnvd接收了的情况啊,这种情况厂商应该怎么办?能否决这个漏洞吗?
------------------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
... ...
如何进群?
如何下载群周报完整版?
请见下图:
关注本公众号,实践出真知。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...