关于勒索防护的探讨（防入侵+数据恢复）；EDR主机安全管理、漏洞管理、资产管理的日报如何汇总统计；对威胁情报的讨论｜总第271周

0x1本周话题

话题一：最近和一位银行专家交流，勒索防护简言之就是：防入侵+数据恢复。防入侵其实跟日常的安全工作没有区别。数据恢复这里，银行业一般都有数据备份。有些还有磁带、光盘这种离线存储。有的行搞了一个事情，就是弄了一套数据备份系统，这套系统1对外接口数据只能新增写，不能覆盖写；2系统独立控制面，异构，不容易被入侵控制。再配合数据恢复演练，帮行里的备份系统做一个异常的兜底。这个系统做好之后，也能缓释另外一个风险：dba删库跑路。

A1：谁搞了，谁有价值。当然也有便宜的，每天让dba把备份数据复制到光盘上，就是废人费时费力。搞一套备份库库是终极方案。

A2：磁带本身就有一次写的，不用这么麻烦。最基本的逻辑就是防止数据被覆盖或者改写。离线备份就是防这个风险的。

勒索问题是系统工程，要多个部门联合防治，现在是安全特别重视，越往后，越缺乏主动。管理上也存在一定空白。

A3：是啊，感觉防勒索病毒就是网络侧清理攻击路径，数据侧数据的快速恢复方案，后者和安全的关系不大，需要给运维提供演练场景。

勒索还伴随脱库，按要求敏感数据都要字段级加密存储，为啥还怕勒索组织公布数据呢？

A4：能说和日常一样，是没错的，但大背景是落地得很好了，而对于很多公司可能是这样：老板平时不重视安全，看到别人被勒索了，不放心了，于是让评估。

安全一看，好机会呀，终于能让老板听我说话了：

我的资产怎么样，还有哪些资产被勒索或不勒索是管不到的，但影响组织的(比如供应链委托处理)；

我的安全防护怎么样，基于知识的IPS WAF可防不住0day，我有没有基于行为的措施守住底线，主机上有没有抓手；

我的访问控制怎么样，能进到多深；我的监控怎么样，有没有人看；应急预案怎么样，大家认不认识，会不会处理；

离线备份怎么样，恢复得了吗？

这些是很常规，甚至不超出等保范围，但也很实战，能说不用做啥那是做得很好了。离线备份亲自干或牵头干都不重要，老板关心了，终于有价值了。

A5：比如我花了几千万搞了一个数据备份系统，这里的数据是勒索不了的，但有的数据资产根本不走这套系统。数据加密也不容易，影响效率，业务侧还要也需要资源投入。治理层要分清责任，安全可以搭建能力，业务要有使用。职责分清。

A6：大家可能习惯了按照主机或设备“资产”角度去评估风险、做监测，但数据保护角度，必须梳理业务，数据资产可能经过API，可能经过供应链，我的“资产”一点儿问题都没有，没被入侵，但“我”还是被勒索了。

A7：数据加密、数据脱敏、数据流转这种方式，我真的建议大家看看“切面”这个思路，不用改业务系统，安全团队就能说了算。某石、某途、某格，我看到都是落地的解决方案。

A8：数据备份极其重要，在线备份+离线备份可以恢复演练半年度或者年度做一次。其实这个想法和方案很不错，也很容易实现，区别就是：是否有实力投入。

A9：双管齐下，防护是大头，备份恢复是应急措施，备份数据有个老大难的问题是和实时数据之间的GAP，数据恢复点指标RPO。

A10：勒索分可用性勒索和数据窃取类勒索，所以还有个细分关键点是要监控数据异常外传。

A11：RPO和RTO可以向数据属主部门征求意见并沟通确定，这属于业务连续性的范畴内容，每年一次复核。最终结果是结合数据属主部门的业务需求、科技能力、人员力量、IT投入等情况综合考虑，并走流程留痕。

Q：为什么总喜欢自研？这么不信任商业产品？

A12：因为幸存者偏差呀，如果是买的商业产品，有啥好说的，太low，自研的才会出来说，被你看到。

而且自研的灵活度更高吧，商业化产品大部分是标准通用的，与企业没有自研那么贴合。自研也可以提高自主掌控能力，把控供应链风险。

A13：民营企业，除了那些大型互联网，很难看到有自研的。大型互联网和大型央企是自研最容易发生的地方。

在路线选择上，自研有自研的优势，外包有外包的优势，但大趋势肯定不是“总喜欢”自研，实际还是外包的多，问为啥总是自研，主要原因还是幸存者偏差。

Q：我觉得很多时候是不是把不合理当成自己的独特需求了？或者认为人力成本不是成本？

A14：有人力的情况下，不算，没编制的话算。自研内部好沟通，有些定制化的需求厂商实现起来慢。

A15：外采：有啥我用啥（相对便宜），个性化需求得定制开发（相对较贵且不一定能实现）。自研：要杀我开发啥。（个性化定制，能和自有基础设施，自有系统无缝衔接，需要一定研发能力、研发人手的企业）

A16：有人有钱的，通用需求外采，个性化需求自研。没资源的，外采至少满足核心需求的。

A17：自研灵活性高很多，产品后续的生命周期有保证，不会像商业化产品受外部厂商的各种影响。但自研需要的人力、投入很高，对个人能力要求也很高，内部也需要提供一个容错环境才行。

A18：主要看roi，如果厂商在这块做的很专业、成熟、API丰富，就没必要自研。像一些监测类平台，很少自研，因为研发完运营成本也很高，买厂商的监测服务，会更划算。原因很多，灵活性、供应链安全、后期维护、迭代升级、钞能力有限。

A19：分情况讨论：

某些产品不适合自研，要么成本太高、人力投入产出比很低，要么是泛通用性很好。比如典型的av edr，还有堡垒机这种；
但是有些泛通用性不好的产品，只能自研。比如dlp abm mdm 这种，有些也有价格因素在里面。

不一定自研很贵，还有些要自研的就是市面没有的技术方案。比如我们现在，windows电脑被人偷走之后，怎么样无论刷bios还是格式化全盘重装系统，我们仍然可以远程控制。

A20：那这相当于员工所有的隐私都暴露了，你们员工不闹么？

A21：这个东西目前方案已经有了，看老板拍不拍，我理解公司对属于的资产拥有最终解释权，本来私人数据就不应该出现在公司电脑上啊。

Q：如果别人隔绝网络呢？你怎么远程清除？我只听过是数据加密，拿了也开不了，很少有远程清除的方案。

A22：如果别人在隔离网里使用，它有本事一辈子都在隔离网里，不要连接公网。苹果的方案我们用abm+mdm做了，windows也要有类似的方案。

A23：私人数据，其实很难定义。比如互联网公司里用电脑登录个人的账户，这些其实很常见的行为，很难避免不产生个人的信息，有没有可能另一种解决方案是，文档不落地就能解决大部分问题？

A24：所以数据要加密，现在电脑都是用硬盘锁，丢了只是锁失电脑这个硬件，数据是安全的。我们有上过加密锁，文件发给其他人，无法打开。

A25：真的安全吗？以我之前开发操作系统、加密系统的经验来说，绕过点很多。举个例子：

你的全盘加密支不支持安全模式吧？

支持安全模式dlp在安全模式下不工作怎么办？

数据漏了吧，如果不支持安全模式系统安全模式进不去应急情况下怎么办？

再说一个方案管理bitlocker 你要不要上ad，用了之后要不要收回管理员权限？

不收回管理员权限，本地用户用管理员下掉bitlocker怎么办？

我都不说这些全盘加密带来的问题了，光一个it服务台更换电脑就已经很痛苦，数据全部解密再放到安全硬盘里，再转移到新的电脑上，问题更多。

我倾向于文件数据不落地。国内那些做全盘加密的那个不是veracrypr，自己改吧。之前我在前司写透明加解密系统也是问题一大堆，加密系统的业务痛点就是不出事还好，出了事一堆人都要苦瓜脸。

还是数据不落地方案好，加密系统从客户端研发侧的经验来看，实在是太痛了。

A26：加密程序是黑名单机制，需要不断补充受控的进程名和文件类型，进程名永远统计不完，而且可以将管控的进程改名为黑名单以外的进程名，用来逃脱管理，因此就会存在绕过的漏洞。

安全治理来说，白名单机制要比黑名单更为有效。不落地或者在可控环境落地是比较好的解决方案。边界扎紧了，用白名单加审批的方式管控文件流出，更为高效。

A27：bitlocker加密本身密钥管理是问题，不用ad用三方桌管工具的话还得保证桌管的可用性，回收管理员权限桌面一堆事，这个实施大规模推有点复杂。

A28：Bitlocker最大的问题在于本地不回收管理员的话，用户可以在本地把key，弄出来自己做解密，所以bitlocker如果用必须要收回ad的本地用户的管理员权限。ad这个东西再有强终端管理的情况下带来的收益远远小于他带来的问题，这么多年hw有多少公司死在了ad被打穿上面，如果说考虑安全性可以考虑用intune这种azuread，当然合规和价格可能不太友好。