关于勒索防护的探讨（防入侵+数据恢复）；EDR主机安全管理、漏洞管理、资产管理的日报如何汇总统计；对威胁情报的讨论｜总第271周

0x1本周话题

话题一：最近和一位银行专家交流，勒索防护简言之就是：防入侵+数据恢复。防入侵其实跟日常的安全工作没有区别。数据恢复这里，银行业一般都有数据备份。有些还有磁带、光盘这种离线存储。有的行搞了一个事情，就是弄了一套数据备份系统，这套系统1对外接口数据只能新增写，不能覆盖写；2系统独立控制面，异构，不容易被入侵控制。再配合数据恢复演练，帮行里的备份系统做一个异常的兜底。这个系统做好之后，也能缓释另外一个风险：dba删库跑路。

A1：谁搞了，谁有价值。当然也有便宜的，每天让dba把备份数据复制到光盘上，就是废人费时费力。搞一套备份库库是终极方案。

A2：磁带本身就有一次写的，不用这么麻烦。最基本的逻辑就是防止数据被覆盖或者改写。离线备份就是防这个风险的。

勒索问题是系统工程，要多个部门联合防治，现在是安全特别重视，越往后，越缺乏主动。管理上也存在一定空白。

A3：是啊，感觉防勒索病毒就是网络侧清理攻击路径，数据侧数据的快速恢复方案，后者和安全的关系不大，需要给运维提供演练场景。

勒索还伴随脱库，按要求敏感数据都要字段级加密存储，为啥还怕勒索组织公布数据呢？

A4：能说和日常一样，是没错的，但大背景是落地得很好了，而对于很多公司可能是这样： 老板平时不重视安全，看到别人被勒索了，不放心了，于是让评估。

安全一看，好机会呀，终于能让老板听我说话了：

我的资产怎么样，还有哪些资产被勒索或不勒索是管不到的，但影响组织的(比如供应链委托处理)；

我的安全防护怎么样，基于知识的IPS WAF可防不住0day，我有没有基于行为的措施守住底线，主机上有没有抓手；

我的访问控制怎么样，能进到多深；我的监控怎么样，有没有人看；应急预案怎么样，大家认不认识，会不会处理；

离线备份怎么样，恢复得了吗？

这些是很常规，甚至不超出等保范围，但也很实战，能说不用做啥那是做得很好了。离线备份亲自干或牵头干都不重要，老板关心了，终于有价值了。

A5：比如我花了几千万搞了一个数据备份系统，这里的数据是勒索不了的，但有的数据资产根本不走这套系统。数据加密也不容易，影响效率，业务侧还要也需要资源投入。治理层要分清责任，安全可以搭建能力，业务要有使用。职责分清。

A6：大家可能习惯了按照主机或设备“资产”角度去评估风险、做监测，但数据保护角度，必须梳理业务，数据资产可能经过API，可能经过供应链，我的“资产”一点儿问题都没有，没被入侵，但“我”还是被勒索了。

A7：数据加密、数据脱敏、数据流转这种方式，我真的建议大家看看“切面”这个思路，不用改业务系统，安全团队就能说了算。某石、某途、某格，我看到都是落地的解决方案。

A8：数据备份极其重要，在线备份+离线备份可以恢复演练半年度或者年度做一次。其实这个想法和方案很不错，也很容易实现，区别就是：是否有实力投入。

A9：双管齐下，防护是大头，备份恢复是应急措施，备份数据有个老大难的问题是和实时数据之间的GAP，数据恢复点指标RPO。

A10：勒索分可用性勒索和数据窃取类勒索，所以还有个细分关键点是要监控数据异常外传。

A11：RPO和RTO可以向数据属主部门征求意见并沟通确定，这属于业务连续性的范畴内容，每年一次复核。最终结果是结合数据属主部门的业务需求、科技能力、人员力量、IT投入等情况综合考虑，并走流程留痕。

Q：为什么总喜欢自研？这么不信任商业产品？

A12：因为幸存者偏差呀，如果是买的商业产品，有啥好说的，太low，自研的才会出来说，被你看到。

而且自研的灵活度更高吧，商业化产品大部分是标准通用的，与企业没有自研那么贴合。自研也可以提高自主掌控能力，把控供应链风险。

A13：民营企业，除了那些大型互联网，很难看到有自研的。大型互联网和大型央企是自研最容易发生的地方。

在路线选择上，自研有自研的优势，外包有外包的优势，但大趋势肯定不是“总喜欢”自研，实际还是外包的多，问为啥总是自研，主要原因还是幸存者偏差。

Q：我觉得很多时候是不是把不合理当成自己的独特需求了？或者认为人力成本不是成本？

A14：有人力的情况下，不算，没编制的话算。自研内部好沟通，有些定制化的需求厂商实现起来慢。

A15：外采：有啥我用啥（相对便宜），个性化需求得定制开发（相对较贵且不一定能实现）。自研：要杀我开发啥。（个性化定制，能和自有基础设施，自有系统无缝衔接，需要一定研发能力、研发人手的企业）

A16：有人有钱的，通用需求外采，个性化需求自研。没资源的，外采至少满足核心需求的。

A17：自研灵活性高很多，产品后续的生命周期有保证，不会像商业化产品受外部厂商的各种影响。但自研需要的人力、投入很高，对个人能力要求也很高，内部也需要提供一个容错环境才行。

A18：主要看roi，如果厂商在这块做的很专业、成熟、API丰富，就没必要自研。像一些监测类平台，很少自研，因为研发完运营成本也很高，买厂商的监测服务，会更划算。原因很多，灵活性、供应链安全、后期维护、迭代升级、钞能力有限。

A19：分情况讨论：

• 某些产品不适合自研，要么成本太高、人力投入产出比很低，要么是泛通用性很好。比如典型的av edr，还有堡垒机这种；

• 但是有些泛通用性不好的产品，只能自研。比如dlp abm mdm 这种，有些也有价格因素在里面。

不一定自研很贵，还有些要自研的就是市面没有的技术方案。比如我们现在，windows电脑被人偷走之后，怎么样无论刷bios还是格式化全盘重装系统，我们仍然可以远程控制。

A20：那这相当于员工所有的隐私都暴露了，你们员工不闹么？

A21：这个东西目前方案已经有了，看老板拍不拍，我理解公司对属于的资产拥有最终解释权，本来私人数据就不应该出现在公司电脑上啊。

Q：如果别人隔绝网络呢？你怎么远程清除？我只听过是数据加密，拿了也开不了，很少有远程清除的方案。

A22：如果别人在隔离网里使用，它有本事一辈子都在隔离网里，不要连接公网。苹果的方案我们用abm+mdm做了，windows也要有类似的方案。

A23：私人数据，其实很难定义。比如互联网公司里用电脑登录个人的账户，这些其实很常见的行为，很难避免不产生个人的信息，有没有可能另一种解决方案是，文档不落地就能解决大部分问题？

A24：所以数据要加密，现在电脑都是用硬盘锁，丢了只是锁失电脑这个硬件，数据是安全的。我们有上过加密锁，文件发给其他人，无法打开。

A25：真的安全吗？以我之前开发操作系统、加密系统的经验来说，绕过点很多。举个例子：

你的全盘加密支不支持安全模式吧？

支持安全模式dlp在安全模式下不工作怎么办？

数据漏了吧，如果不支持安全模式系统安全模式进不去应急情况下怎么办？

再说一个方案管理bitlocker 你要不要上ad，用了之后要不要收回管理员权限？

不收回管理员权限，本地用户用管理员下掉bitlocker怎么办？

我都不说这些全盘加密带来的问题了，光一个it服务台更换电脑就已经很痛苦，数据全部解密再放到安全硬盘里，再转移到新的电脑上，问题更多。

我倾向于文件数据不落地。国内那些做全盘加密的那个不是veracrypr，自己改吧。之前我在前司写透明加解密系统也是问题一大堆，加密系统的业务痛点就是不出事还好，出了事一堆人都要苦瓜脸。

还是数据不落地方案好，加密系统从客户端研发侧的经验来看，实在是太痛了。

A26：加密程序是黑名单机制，需要不断补充受控的进程名和文件类型，进程名永远统计不完，而且可以将管控的进程改名为黑名单以外的进程名，用来逃脱管理，因此就会存在绕过的漏洞。

安全治理来说，白名单机制要比黑名单更为有效。不落地或者在可控环境落地是比较好的解决方案。边界扎紧了，用白名单加审批的方式管控文件流出，更为高效。

A27：bitlocker加密本身密钥管理是问题，不用ad用三方桌管工具的话还得保证桌管的可用性，回收管理员权限桌面一堆事，这个实施大规模推有点复杂。

A28：Bitlocker最大的问题在于本地不回收管理员的话，用户可以在本地把key，弄出来自己做解密，所以bitlocker如果用必须要收回ad的本地用户的管理员权限。ad这个东西再有强终端管理的情况下带来的收益远远小于他带来的问题，这么多年hw有多少公司死在了ad被打穿上面，如果说考虑安全性可以考虑用intune这种azuread，当然合规和价格可能不太友好。

A29：微软现在的方案就是让你们用纯aad join，不要再搞线下了。线下的东西都要慢慢淘汰。

A30：苹果方案的mdm用的国外的JAMF？

A31：自研的 micromdm做的。

A32：Intune一样可以管apple，Intune脱离了AD域基础就是一个摆设。

A33：add这个东西本来就应该在云上，太容易被打穿了，一旦穿了整个办公网就瘫痪了，微软自己对于ad都信心不足。之前问他们怎么样解决ad的凭证类攻击，他们说也没有很好的方案。我还在前司的时候，最后那两年前司下了ad，就是因为ad在有强终端管理软件下，优势不再那么明显了。

A34：win的凭据防御主要还是靠defender那套，mdi mde mdcg。aad国内吃不开，要么就不用ad，尤其是很多公司的网络测管理不好，尤其容易横向移动。

A35：文档不落地，会让大家走向拍屏幕的道路。然后彻底没有防御手段。全局明水印，威慑一下就好。

Q：暗水印现在好使么？

A36：集团的，挺好用的。

Q：我用mac尝试截某个窗口的图，但是被一个透明的全屏窗口挡的死死的，是不是就是暗水印？

A37：不是。明的是警告，暗的是溯源。暗水印是在文件的无用字段插追踪值，这个文件泄露能定位人，除非被洗数据，就是隐写术。暗水印用的点阵，其实仔细看还是可以看到一些。

A38：说屏幕水印啊，这个算暗算明不重要了，需要加点阵，失真下就看不出了，除非截图，清晰度高，肉眼不可见，系统可读。

话题二：各位大佬，安全运营下各类运营场景，例如：EDR主机安全管理、漏洞管理、资产管理的日报，各位是如何下发任务和汇总统计的？我只是简单整个Excel表，把每天的结果填一下。各位有没有更好更快捷的方式完成？

A1：可以和厂商谈谈定制化日报报表。

A2：现在安全类投资压缩太多，管理流程上的投资能不投就不投啦。

A3：如果只是EDR，那用他的产品报表就行了，怕的是有多个产品，那就得有接口，然后开发脚本获取。

A4：可以soc做集成？把重点信息输出出来自己做筛选，定制日报周报。

A5：漏洞管理就一张电子表格。一般都有提供REST API ，自己写个脚本把数据拉下来再汇总不就行了。

A6：现在soc上级单位管理越来越广，越来越细，各种报表，各种日报，周报。就是想尽量减少这种无用的人力消耗。有精力搞点策略优化，多放点edr和蜜罐、流量探针，他不香啊。

A7：那基本只能写脚本取数了，那些要求很难靠产品默认满足。

A8：两个思路：

1、找数据团队帮忙，数仓+BI。

2、安全进入到研发管理流程，运维管理流程。两条腿都走，慢慢给它们串起来。

A9：开发个小的管理程序，集成报告，再输出统一格式报告。熟悉数据清洗ETL的话，用KETTLE直接导入Excel报告，入库，很方便，再导出类似Excel，统一格式，做成一个job定期干活。

话题三：请教各位一个问题，之前看到购买威胁情报，不太理解，购买这个的作用是不是将在本部门捕获到的IP地址和域名与威胁情报数据库进行对比，确认网内是否有与已知的恶意源建立的连接？也可以用于在边界设备上封禁这类IP吧？

A1：是的，ioc对比利用，也有串行的带威胁情报的防火墙。理论上是这样用，实际上自动化得看蟾皮能力。产品能力。看误封的可接受度。

A2：情报的比对主要是用于IP信誉库和非法外联的捕捉，最终要反映到边界设备的联动阻断上。如果网络攻击者通过发送病毒邮件在网内的电脑植入了木马，并且c&c服务器的ip不在威胁情报库中，网络管理员通过什么方式发现该终端被植入木马了？是不是主要靠edr发现？

Q：其实很多没有在情报里边，这个需要综合研判。如果没在情报中，要发现终端中毒，是不是很难？

A3：邮件网关是第一道防线，最后是终端安全防护。

A4：明白了。在做一个收集边界设备nat信息的工具，想把已知的威胁Ip和域名设置上，这样来发现他们之间的通讯。漏洞情报、文件hash、文件行为其实感觉更有用。

A5：情报也有免费的与收费的，比如Virustotal，一般都是把IP，哈希值，域名放到上面去查。

A6：威胁情报不一定只有ip edr的行为，hash也可以检出。ip情报封禁容易误封禁，封禁时长的设置也比较难确定一个合理值。中毒一般就是Hash命中，恶意行为要看日志判断，IP不固定，看你是白名单还是黑名单，很多公司是白名单制，基本不用封。

A7：ip情报用来辅助溯源更有“意义”。很多公司，可能Virustotal这种免费情报就够用了。

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

如何进群？