目录：

篇一：浅谈root账号安全管理

篇二：供应商及人员安全管理

篇三：职业欠钱理解的安全运营

篇四：测试环境安全管理漫谈

篇五：流量层检测的未来何去何从？

篇六：安全资产管理

篇七：操作系统补丁管理与代码扫描工具探讨

篇八：矛与盾，攻与防杂谈集锦

篇九：如何进行有效的安全规划与汇报？

篇十：小议数据安全场景应对之道

篇十一：众说纷纭聊安全弹性与韧性

1 另类信息安全攻击

在金融安全实践群里讨论信息安全攻击方式，说起一种比较开脑洞的攻击方法：攻击者将自己的账号提供给受害者使用，因为现在大家都比较警惕问你要帐号密码的方式，但如果是主动提供账号，受害者的警惕性就会大为降低，然后受害者在攻击者账号下做的操作，轻则泄露自己的隐私，重则会导致账号甚至资金被盗。

举一个典型的例子，黑产行业里发生过“黑吃黑”的案件，某些从事黑产或者灰产的人，需要身份证来注册银行卡，从而完成薅羊毛或者洗钱的目的，就有人专门销售身份证给他们，但有一些脑洞比较大的人，会在销售了身份证信息之后，实时监控这些身份证名下的新增银行卡的情况，发现有了银行卡并进入资金之后就拿着身份证挂失把钱转走，可谓是抛砖引玉、请君入瓮。其他类似的例子包括： 

• 通过免费提供网络代理或者虚拟专用网络连接，来监听用户的通讯隐私。 

• 免费或者低价提供充电服务来获取用户手机的隐私和权限。 

• 低价销售U盘，里面赠送了木马病毒。

结论：免费的有时候就是最贵的，无缘无故出现天上掉馅饼的情况，一定要问自己一下，这究竟是馅饼，还是馅饼状的黑锅？

2 有关蜜罐价值讨论

蜜罐是个非常好的东西，但是它的投资回报受到项目目标、部署位置、资源投入、解决方案质量、企业（安全）发展阶段的影响。在甲方安全范畴里，用蜜罐放在办公网，发现违规或者渗透行为，是一个不错的场景，不过得有相关的配套。例如办公网安全规范的，内部培训资源，资产管理，运营人员的配套，可以做投资回报不错的短中期项目。提前优化可能有一些原因，例如领导要求、特殊事件驱动、认知不到位之类。处理得好的话可以用来推动一些其他项目，例如终端标准化、终端准入，安全域，安全规范强化等，处理不好的话可能会浪费一些时间。

蜜罐在乙方这块价值比甲方小一些，另外主要聚焦运营能力、产品质量、解决方案上，输出方向一个是产品，另外一个是为其他产品提供能力。前者就是蜜罐产品了，后者就是为ddos、入侵，风控和研究提供能力支撑。

3 反APT方案对比

FireEye的反APT现在可以在国内销售了，已经有一些应用案例了。找同行了解了一些信息，供大家参考，在此隐去他们的身份。并有同行提供了FireEye和PalAlto的对比。

同行A：目前就用ex，放在反垃圾邮件服务器前的。目前看不是100%，但是钓鱼邮件确实少很多。漏过的就是内容有url的没有检出，但同时其他厂商也没有。

同行B：

1）之前评估过赛门、mcafee和其他一些国内品牌的，赛门的问题是要依靠终端SEP，而且对结果的优先级判断比较诡异且无法调整。mcafee的发现能力差了点，国产的基本没分清楚APT和WAF有什么区别。我们理解APT的第一威胁对象是客户端，国产的基本上都是拿waf出来混的。只有微步的比较靠谱，但是当时买fireeye的时候没测微步。 

2）用的是网络流量分析。目前没有SSLO的能力，打算部署DLP的时候把解密流量再发给火眼。效果目前来看C&C发现的能力不错，但是仅把在网络出口的流量发过去，其他内网传播的威胁看不见，这是我们部署的问题，不过也是火眼太贵，买不起。防火墙和IPS上的其他威胁fireeye不报，这个正在观察。另外明年可能上微步对比一下。还有就是没有SSLO的话，沙箱能看见的文件不多，估计以后加密流量会越来越多，火眼和其他流量分析的产品得考虑一下部署的方式。 

3）我们和FE交流时候，应该是可以卸载加密的。如果是FE卸载，据说要损耗20%性能；如果是自己卸载、再把流量打给FE，应该也是可行的。 

4）另外我们是旁路部署的，串进去影响比较大，所以打算用gigamon之类的产品管理SSL证书。这样就不用在主干出口串一堆设备。就是考虑到可用性，才考虑用gigamon的。这还只是APT，以后分析流量的设备都串进去的话hold不住了。

4 放弃waf路线，只走rasp路线？

单从web防护角度，waf接入业务总是会遇到各种问题，还有https和大流量性能问题，导致无法全面覆盖web服务。如果放弃waf，只采用rasp怎么样？毕竟rasp技术也比早几年稳定成熟多了，从未来发展看rasp覆盖的web攻击场景也越来越丰富。如果成本足够，都上肯定最好，只是在资源有限的情况下，直接推行rasp会不会投资回报率更高？以下做些讨论：

• WAF和RASP是互补的，这是两个维度的东西。waf就像小区保安，rasp就像家里的防盗门甚至是保险箱。不能说大家东西都放保险箱，小区的保安和监控就要撤掉。

• waf可以在内部建公共网关，要接入的业务只需过一层代理，成本已经很低了，而rasp需要推每个应用接入，涉及的风险阻力都大得多，两者的核心区别还是rasp可以更准确的拦截漏洞，甚至能拦截0day，而waf机制基于流量决定了他并不能完整的了解业务内部运转逻辑，且容易被绕过，另外waf大多也只是http协议的，rasp可以不关心协议也能拦截。waf和rasp还有一个核心点的不同，waf是对攻击过程的拦截，不管是否成功，rasp是基于攻击动作结果的拦截。

• WAF虽然可以统一接入，但是需要统一解密流量，部署起来还是有一定难度的。RASP目前有了一些统一接入的方案，可在每台主机安装agent，自动检测应用，自动安装。

• waf是在流量上做控制，跟应用服务本身关系不大，但rasp要适配应用容器，各个使用不一，有jetty，有tomcat，有apache，有weblogic。

• 业界waf和rasp多是串行，串行就容易成瓶颈。旁路部署更方便，也不容易被网络侧和业务侧拉下水。数据分析和处置类这种要求高算力和高实时性的场景，如果和业务、网络耦合太重，会相互影响。业务上量的时候，串行安全措施也会加大消耗处理数据包，两者叠加，容易造成延迟阻塞。

• 另外，不得不考虑的是应用对rasp的接受度，出了故障之后能不能回顾到真正原因，能不能收敛，到底是不是rasp带来的，安全能在这里面投入多少，在这方面，rasp的侵入性比waf高，不仅仅是策略上的。资源有限的情况下，我认为waf还是更容易做到全量接入一些，有了兜底、边界清晰、合作基础后，再上rasp。

• rasp没想想的那么恐怖，未来肯定rasp是安全标配。现在大家还不大接受，跟几年前安装hids一样。在金融行业api参数都是加密的，传统waf无能为力，只能靠rasp了，rasp肯定是大势所趋的。

最后，欢迎各位读者畅所欲言，您可以在留言区写下您的想法和建议，我们一起讨论。同时，小编也会在后续的群精彩话题中，尽可能结合您的建议来组织编辑，并会将您的问题向强大的群组织请教解题之法，期望能为您带来最大的帮助。

来源:企业安全建设实践群 | 作者：群友 

本期编辑:aerfa

因勒索软件攻击，数据被加密：IT主管和工程师被开除，并要求索赔 21.5 万元

如何进群？

请见下图：