金融实践群精华回顾之八-矛与盾,攻与防杂谈集锦

admin 2022年5月19日01:47:36企业安全评论10 views3067字阅读10分13秒阅读模式

目录:


篇一:浅谈root账号安全管理

篇二:供应商及人员安全管理

篇三:职业欠钱理解的安全运营

篇四:测试环境安全管理漫谈

篇五:流量层检测的未来何去何从?

篇六:安全资产管理

篇七:操作系统补丁管理与代码扫描工具探讨

篇八:矛与盾,攻与防杂谈集锦

篇九:如何进行有效的安全规划与汇报?

篇十:小议数据安全场景应对之道

篇十一:众说纷纭聊安全弹性与韧性


金融实践群精华回顾之八-矛与盾,攻与防杂谈集锦


1 另类信息安全攻击


在金融安全实践群里讨论信息安全攻击方式,说起一种比较开脑洞的攻击方法:攻击者将自己的账号提供给受害者使用,因为现在大家都比较警惕问你要帐号密码的方式,但如果是主动提供账号,受害者的警惕性就会大为降低,然后受害者在攻击者账号下做的操作,轻则泄露自己的隐私,重则会导致账号甚至资金被盗。


举一个典型的例子,黑产行业里发生过“黑吃黑”的案件,某些从事黑产或者灰产的人,需要身份证来注册银行卡,从而完成薅羊毛或者洗钱的目的,就有人专门销售身份证给他们,但有一些脑洞比较大的人,会在销售了身份证信息之后,实时监控这些身份证名下的新增银行卡的情况,发现有了银行卡并进入资金之后就拿着身份证挂失把钱转走,可谓是抛砖引玉、请君入瓮。其他类似的例子包括: 

  • 通过免费提供网络代理或者虚拟专用网络连接,来监听用户的通讯隐私。 

  • 免费或者低价提供充电服务来获取用户手机的隐私和权限。 

  • 低价销售U盘,里面赠送了木马病毒。


结论:免费的有时候就是最贵的,无缘无故出现天上掉馅饼的情况,一定要问自己一下,这究竟是馅饼,还是馅饼状的黑锅?


2 有关蜜罐价值讨论


蜜罐是个非常好的东西,但是它的投资回报受到项目目标、部署位置、资源投入、解决方案质量、企业(安全)发展阶段的影响。在甲方安全范畴里,用蜜罐放在办公网,发现违规或者渗透行为,是一个不错的场景,不过得有相关的配套。例如办公网安全规范的,内部培训资源,资产管理,运营人员的配套,可以做投资回报不错的短中期项目。提前优化可能有一些原因,例如领导要求、特殊事件驱动、认知不到位之类。处理得好的话可以用来推动一些其他项目,例如终端标准化、终端准入,安全域,安全规范强化等,处理不好的话可能会浪费一些时间。


蜜罐在乙方这块价值比甲方小一些,另外主要聚焦运营能力、产品质量、解决方案上,输出方向一个是产品,另外一个是为其他产品提供能力。前者就是蜜罐产品了,后者就是为ddos、入侵,风控和研究提供能力支撑。


3 反APT方案对比


FireEye的反APT现在可以在国内销售了,已经有一些应用案例了。找同行了解了一些信息,供大家参考,在此隐去他们的身份。并有同行提供了FireEye和PalAlto的对比。


同行A:目前就用ex,放在反垃圾邮件服务器前的。目前看不是100%,但是钓鱼邮件确实少很多。漏过的就是内容有url的没有检出,但同时其他厂商也没有。


同行B:

1)之前评估过赛门、mcafee和其他一些国内品牌的,赛门的问题是要依靠终端SEP,而且对结果的优先级判断比较诡异且无法调整。mcafee的发现能力差了点,国产的基本没分清楚APT和WAF有什么区别。我们理解APT的第一威胁对象是客户端,国产的基本上都是拿waf出来混的。只有微步的比较靠谱,但是当时买fireeye的时候没测微步。 


2)用的是网络流量分析。目前没有SSLO的能力,打算部署DLP的时候把解密流量再发给火眼。效果目前来看C&C发现的能力不错,但是仅把在网络出口的流量发过去,其他内网传播的威胁看不见,这是我们部署的问题,不过也是火眼太贵,买不起。防火墙和IPS上的其他威胁fireeye不报,这个正在观察。另外明年可能上微步对比一下。还有就是没有SSLO的话,沙箱能看见的文件不多,估计以后加密流量会越来越多,火眼和其他流量分析的产品得考虑一下部署的方式。 


3)我们和FE交流时候,应该是可以卸载加密的。如果是FE卸载,据说要损耗20%性能;如果是自己卸载、再把流量打给FE,应该也是可行的。 


4)另外我们是旁路部署的,串进去影响比较大,所以打算用gigamon之类的产品管理SSL证书。这样就不用在主干出口串一堆设备。就是考虑到可用性,才考虑用gigamon的。这还只是APT,以后分析流量的设备都串进去的话hold不住了。


4 放弃waf路线,只走rasp路线?


单从web防护角度,waf接入业务总是会遇到各种问题,还有https和大流量性能问题,导致无法全面覆盖web服务。如果放弃waf,只采用rasp怎么样?毕竟rasp技术也比早几年稳定成熟多了,从未来发展看rasp覆盖的web攻击场景也越来越丰富。如果成本足够,都上肯定最好,只是在资源有限的情况下,直接推行rasp会不会投资回报率更高?以下做些讨论:

  • WAF和RASP是互补的,这是两个维度的东西。waf就像小区保安,rasp就像家里的防盗门甚至是保险箱。不能说大家东西都放保险箱,小区的保安和监控就要撤掉。

  • waf可以在内部建公共网关,要接入的业务只需过一层代理,成本已经很低了,而rasp需要推每个应用接入,涉及的风险阻力都大得多,两者的核心区别还是rasp可以更准确的拦截漏洞,甚至能拦截0day,而waf机制基于流量决定了他并不能完整的了解业务内部运转逻辑,且容易被绕过另外waf大多也只是http协议的,rasp可以不关心协议也能拦截。waf和rasp还有一个核心点的不同,waf是对攻击过程的拦截,不管是否成功,rasp是基于攻击动作结果的拦截

  • WAF虽然可以统一接入,但是需要统一解密流量,部署起来还是有一定难度的。RASP目前有了一些统一接入的方案,可在每台主机安装agent,自动检测应用,自动安装。

  • waf是在流量上做控制,跟应用服务本身关系不大,但rasp要适配应用容器,各个使用不一,有jetty,有tomcat,有apache,有weblogic。

  • 业界waf和rasp多是串行,串行就容易成瓶颈。旁路部署更方便,也不容易被网络侧和业务侧拉下水。数据分析和处置类这种要求高算力和高实时性的场景,如果和业务、网络耦合太重,会相互影响。业务上量的时候,串行安全措施也会加大消耗处理数据包,两者叠加,容易造成延迟阻塞。

  • 另外,不得不考虑的是应用对rasp的接受度,出了故障之后能不能回顾到真正原因,能不能收敛,到底是不是rasp带来的,安全能在这里面投入多少,在这方面,rasp的侵入性比waf高,不仅仅是策略上的。资源有限的情况下,我认为waf还是更容易做到全量接入一些,有了兜底、边界清晰、合作基础后,再上rasp。

  • rasp没想想的那么恐怖,未来肯定rasp是安全标配。现在大家还不大接受,跟几年前安装hids一样。在金融行业api参数都是加密的,传统waf无能为力,只能靠rasp了,rasp肯定是大势所趋的。


最后,欢迎各位读者畅所欲言,您可以在留言区写下您的想法和建议,我们一起讨论。同时,小编也会在后续的群精彩话题中,尽可能结合您的建议来组织编辑,并会将您的问题向强大的群组织请教解题之法,期望能为您带来最大的帮助。



来源:企业安全建设实践群 | 作者:群友 

本期编辑:aerfa


往期精彩群话题

办公安全实践讨论:沙盒的用户体验、终端DLP+虚拟化浏览器+上网行为管理+网络DLP的互联网方案以及数据网关作用

因勒索软件攻击,数据被加密:IT主管和工程师被开除,并要求索赔 21.5 万元


SOC技术架构及运营讨论

更多精彩内容,点击阅读原文



如何进群?

请见下图


金融实践群精华回顾之八-矛与盾,攻与防杂谈集锦

原文始发于微信公众号(君哥的体历):金融实践群精华回顾之八-矛与盾,攻与防杂谈集锦

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月19日01:47:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  金融实践群精华回顾之八-矛与盾,攻与防杂谈集锦 http://cn-sec.com/archives/1019481.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: