金融业企业安全建设实践群
第104期0712-0718
上周群里共有85位群友参与讨论
20个话题分为以下6类
安全管理:2 个
安全技术:8 个
求文档:4 个
甲方乙方:1 个
法规解读:5 个
行业思考:0 个
【安全管理】
1、各位大佬请教下,上市公司不同主体间的信息安全隔离政策,有要求必须完全隔离吗,特别是hr方面的?
2、不同企业主体之间的客户数据怎么隔离呢?怎么样共享?统一数据中台建设应该怎么考虑?
【安全技术】
1、《微软 Win10 KB5004945 更新后,带来打印机重大 Bug:已紧急修复》不管啥更新:
(1)能止血的先上,比如网络控制或关入站打印;
(2)灰度补丁,pc比服务器简单一点,安全-桌面-本部门-技术部门-业务部门这种,控制在n天内灰度完出个流程规避自己的责任,有影响就回滚,有影响让懂技术的先顶着。
另外就是漏洞修复在企业内要有个统一的评级标准,不能完全照着厂商评定的等级,像微软打印这个虽然高危,还是在内网提权、横向移动环节的漏洞,按灰度升级完全没问题win7管理工具里没有本地安全策略,和那些访问个网页就中招、啥都不干就被远程代码执行的真正的critical还是不在一个级别。或者根据漏洞危害评级,根据服务位置评事件等级,也是挺好的做法,这种就属于高危-普通事件,策略就是限期修复,但还到不了7×24应急。
2、有人搞过缓存集群增加密码的方案么?比如给redis加密码。
3、《跨平台蠕虫HolesWarm利用20余种漏洞武器攻击Windows、Linux系统,腾讯云防火墙可拦截》我有个疑问请教,我看到案例里都是http请求的样例,如果目标站点提供https服务,先完成了握手,再发送payload,还能检出吗?还有第二个话题,这篇文章提到了检出20余种漏洞武器 如果目标站点提供https服务,先完成了握手,再发送payload,还能检出吗?
4、大佬们,有大面积在生产部署超融合的实践吗?概念没问题,问题在打这个广告的一般提供一揽子超融合,所有组件都是他的,可能不兼容其他模块,核心就在这,当不能更换模块为其它厂商时,你就被他吃死了。超融合都是各厂商自己的专用设备,扩容基本就是一家的东西,没法降低成本。
5、某台物理服务器上运行着几十台虚拟机,这台物理机挂了,这几十台虚拟机不得在其他物理机重新起来吗?其他物理机突然增加了几十台虚拟机,如果本来资源就紧张,会出现什么情况?
一般集群会有个物理资源水位控制,比如vm运行占比70%,这样集群故障自动迁移才能稳定运转。现在基本都是计算存储分离,本地盘只跑vm,数据盘用nas云盘等。本地盘只存储os启动相关数据,定时做磁盘镜像,即使挂了瞬间迁移到新的物理宿主、如果VIP也做了分离,那对于业务来说可以做到无感切换。
在云环境下,从业务高可用角度来看,一个应用发布要通过负载均衡技术将业务流量分配到不同宿主机上的realserver的vm上,即使一个宿主机挂了,业务那边也有负载均衡保证,监控发现vm挂了再在新的宿主机上拉起新的vm加上来就好了。docker,k8s在云环境下也要能使实例均匀分布在不同物理宿主的问题,这样才能避免单宿主挂掉业务全挂。其实云环境和物理网络的一个单点交换机故障影响一堆交换机下的server是一样的,整个网络架构、资源水位上要有高可用的冗余设计,避免单点故障爆炸半径太大。
6、现在银行的核心系统都上容器了。
7、请教下,容器是个方向对于快速部署和标准化特别方便,行里的容器镜像维护以及标准化是有专门的容器团队吗?对于外采的系统使用容器化的又是怎么管理的?
8、《SIGMA与失陷指标》SIGMA的真正力量在于它如何使分析人员能够表达基于TTP/行为的检测,这些检测可以像基于IOC的数据一样优雅地共享和实现。感觉好像就是基于行为上下文的监测?(无意间发现的一篇好文………)
【求文档】
1、各位大佬,谁手里有《中国银监会办公厅关于客户信息安全有关风险提示的通知》银监办发 2013 211号文?
2、NIST最新发布的针对勒索软件攻击的新指南和网络安全框架草案《勒索软件风险管理网络安全框架》翻译版。如果到了一个百废待兴的企业,总裁问你,怎么保护我不被攻击,拿这个作为防攻击的体系框架也基本够了。这其中的识别、保护、检测、响应、恢复 这五大块功能, 参考了关键基础设施部门中常见的标准、指导方针和实践的特定部分,说明了实现每个子类别相关结果的方法。
3、请教一下群里各位大佬,银行业对数据库敏感字段加密要求这类型的监管发文有吗?
4、各位大佬,金融行业对验证码的时效性,频率有没有相关的文件规定指导呀?1分钟内不能重复发送,3分钟有效,这个肯定是合规的。突然要问规,我印象是具体的支付业检查办法这个级别的细则,不在大的办法里。
【甲方乙方】
1、很多厂商的产品给你定义一个高中低级别的威胁,这个定级的标准无从知道。标准有,但一方面是老,另外也有点脱离实际,第三是夹杂了不少商业上的欲望。所以我一直觉得rapid7的nexpose扫出来的漏洞会标记exploitable是非常不错的,可以输出actionable的报告。特别是商业欲望,吓唬了小白,可能会获得一些商业订单,但却给安全人员带来不少的麻烦,最后索性不用了。
【法规解读】
1、《工业和信息化部、国家互联网信息办公室、公安部关于印发网络产品安全漏洞管理规定的通知》以后岂不是看不见poc了?大方向,漏洞是战略武器,不要随便炫随便卖。自建SRC需要备案?这个是不是后面如果报国内厂商CVE的话属于违法的?“(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。”——情报厂商情何以堪。
2、请问《工业和信息化部、国家互联网信息办公室、公安部关于印发网络产品安全漏洞管理规定的通知》文中指的是网络产品(含硬件、软件),应用系统如oa、财务系统在不在此范围内?
3、经常看到很多src报别人的漏洞的时候还没有官方修复版本和措施,只有临时措施,后续是不是就不能了?
4、关于“网络产品安全漏洞管理规定”第七条(二)款,网络产品提供者“应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”,企业自己发现的内部安全漏洞,也要向相关部门报告吗?
5、按这个规定,那每年的大型网络互动活动中提前收0day漏洞和利用0day如何定性?
【行业思考】
无。
---------------------------------------------------------------------------------------
企业安全建设实践群
第29期0712-0718
上周群里共有125位群友参与讨论
24个话题分为以下6类
安全管理:6 个
安全技术:8 个
求文档:3 个
甲方乙方:1 个
法规解读:4 个
行业思考:2 个
【安全管理】
1、大家好,请教个问题,在公司内部的安全通告中,对于通报人员是否需要打码处理,不暴露真实的姓名等细节。这个有具体的法律条款依据吗?《最高人民法院关于审理名誉权案件若干问题的解释》第四条:国家机关、社会团体、企事业单位等部门对其管理的人员作出的结论或者处理决定,当事人以其侵害名誉权向人民法院提起诉讼的,人民法院不予受理。
2、请教各位大佬一个问题,对于历史遗留的离职人员但未删除各系统账户权限的情况,在量未知的情况下,有什么好办法处理吗?我们也正在弄这个问题,计划:
(1)梳理全部的应用系统和设备清单
(2)调研特权账号和超级账号
(3)定期(每月或者每季度)复核比对离职人员名单
(4)如果只是应用系统,最彻底的办法就是统一认证
3、各位大佬,遇见个问题请教。比方最近更新的tomcat nagix漏洞,运维部门要求如果修复就得安全出个POC或者说明风险,这个咋出啊?
风险和影响范围有必要说明一下,说明之前建议做一个内部影响漏洞扫描,明确告诉运维影响范围有哪些会产生哪些风险。说实话这种沟通有点浪费时间,建议从漏洞生命周期管理入手,否则这种沟通无穷无尽。POC没必要,真出了运维也没实力看得懂。你先定义好了参与的角色,指定漏洞标准以及SLA,规范处理流程和变更流程。然后和大佬们沟通,同意以后就照此执行。你先定义好了参与的角色,指定漏洞标准以及SLA,规范处理流程和变更流程。然后和大佬们沟通,同意以后就照此执行。
能对漏洞都做好除漏洞利用方式、危害性以外评估的安全人员,需要非常深厚的内力,理想情况下安全与应用是互相信任,共同协助的。但现实情况下,安全人员的信誉非常珍贵,一旦被质疑就容易陷入被动。
4、有没有这样一个工具,读取微信群中指定人员的信息,然后将信息转发至某个人,甚至拔打微信语音或电话?主要目的是,群消息太多,比如重要客户半夜发一个报障信息,那么及时抓取这内容,就可以快速叫醒运维人员来处理。
这个思路不对,故障信息需要监控系统或者系统本身发出邮件来,然后soar定制好策略去执行就好了,而非靠人力去处理。我们都有值班生,一方面监控系统,一方面处理客户反映的故障报错,有报错直接人工打电话。统一的报障电话或者邮件,顾客打这个电话进行身份确认后是处理事情最直接高效的。现在的工单系统都支持自动生成工单,企业微信里开发一个报障就可以实现了啊。
5、请教各位老师一个问题, 内网中的两个系统,通过金融专线连接。一个三级,一个二级,中间需要采取安全隔离措施吗?
6、遇到一个问题,私钥要求妥善保存,怎么理解妥善呢?什么方式算妥善?请教大家,谢谢。
【安全技术】
1、各位大佬,请教一个问题,现有的设备指纹算法,能做到重新刷机后指纹保持不变吗?如果能够做到,是不是有什么前提条件,比如通过终端其他app的sdk配合,或者大数据分析。
2、求问各位大佬,CVE-2021-34527补丁有打不上的么?电脑能连接互联网,安装补丁显示成功,就是在重启机器时候开机界面上显示更新失败,最后重启后看还是没打上……
刚给微软官方打电话了,说这次针对CVE-2021-34527的补丁,win7即使没有购买ESU也可以免费安装的,因为影响范围大且性质严重,安装不成功是因为前置补丁未安装。之前我也查过这个补丁的前置补丁,可是查到都是该补丁针对win10的前置补丁,没找到对win7的前置补丁。客服说他们那网络太慢,一会给我发邮件告诉我该补丁对应的win7 的前置补丁,稍后再和大家分享。
关于CVE-2021-34527,很抱歉的告诉大家昨天上午我从微软技术支持A那得到的“没 买ESU可以免费安装kb5004951补丁及其前置补丁”的消息的错误的。原因有两点,一 是经过实践,即使找到了若干个前置补丁,虽然安装成功,但在重启时依然显示安装 失败;二是昨天下午我又打微软技术支持电话,经过多次求证,得到了上午A说的是 错误的结论。然后我也没打第三次了……。现在我们这用的是缓解办法,即在注册表 里禁用“允许打印后台处理程序接受客户端连接”。面对几千台要加固的终端,我也用lgpo制作了bat打算以后顺便推送。现在赶紧来和大家做个说明,没想到微软技术 支持也会满嘴跑火车,以后我自己也得亲身实践了再来说,这次真是抱歉了,还请大家多多指教。
3、请问大家在做敏感字段存储加密的时候一般采用什么方案,是应用层加密,还是数据库层,或者是系统层面完成?
4、之前有幸参加了本群在深圳线下的IAST交流,发现IAST/RASP需求挺多的。欢迎使用Elkeid-RASP。
5、各位大佬,请问支持FIDO的移动终端TEE环境里面是不是出厂时已经内置好用来处理FIDO公私钥对的TA了?后期APP只要按照统一的接口标准来调用就可以实现FIDO认证的功能?
6、有大佬了解Sysmon哪个版本最稳定、低耗用不?
7、各位大佬,请教下对于企业遗忘的,被孤立的(未知的)资产有什么方法识别和加入安全管理吗?
8、大佬们,打扰咨询下,目前针对基于 Domain Fronting (域名前置)或 Domain Borrowing (域名借用)这种利用云平台特性充当恶意木马C&C信道的方式win7管理工具里没有本地安全策略,有什么好的检测手段么?网上查到的大都是攻击利用相关的,检测相关的暂没发现好的手段,所以请教下!
【求文档】
1、关于等级保护备案撤销,有相关的要求文件吗?
2、各位大佬,金融行业对验证码的时效性,频率有没有相关的文指导呀?
3、求数据安全法解读的材料,谢谢!
【甲方乙方】
1、EDR对新操作系统的,机器不能识别,漏洞不能识别,有遇到过这种情况吗?过渡性产品,18年19年一窝蜂的都上,没几家能用的。现在都是CWPP了。态势感知也一样,现在厂商自己都懒得推了。吹的好听,没法子联动起来。产品更新太快。新旧产品联动不了。哪怕是同一个品牌下的一系列产品也很难联动起来。想问一下,是基于何种原因大家都没有开放接口呢?一个产品,ppt可能比需求定稿更早。功能完成10%就可以拿去poc了,完成30%就可以直接卖了,剩下的?慢慢来,还有很多bug排队等着修复呢。接口的优先级可能是比较低的需求,不过这块,新产品线普遍做的比老的好。
【法规解读】
1、问个具体问题,远程通过专线 JDBC访问数据库,符合等保要求吗?
2、各位大佬,手机号+短信验证码这种登陆方式是不是不能满足等保三级里关于身份鉴别的要求?
3、哪位大佬了解等保2.0中,关于“可信验证”要怎么拿分数吗?
4、看到大家都在讨论src,想问个问题,挖到漏洞提交给漏洞收集平台,被漏洞方追责的概率大不大?只有少量的操作,万一漏洞方不讲武德怎么办?那个征求意见稿后就再没敢提交漏洞。
【行业思考】
1、今天安全股涨停了。
2、《上海:网络安全投入占比不低于10%,上海或率先给政企“划线”》这个10%是什么?年收入?IT不得低于整体6%,网络安全不得低于IT的10%。【工信部:到2023年网络安全产业规模超过2500亿元 年复合增长率超过15%】谨慎乐观,现在的盘子还是小,如果只是年复合15%,就谈不上爆发性的增长。
-----------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
... ...
... ...
如何进群?
如何下载群周报完整版?
请见下图:
版权声明
本文仅代表作者观点。
本文系作者授权发表,未经许可,不得转载。
发表评论