0x1 本周话题TOP2
话题1:海通证券数据中心安全团队:构建邮件纵深安全体系,提升互联网重要入口安全运营水平
A1:这是买的还是自研呀?
A2:买的啊。
A3:买和自研不重要,主要还是运营吧。自研的灵活度可能更高,对个人的成长也是有很大好处。对个人成长有好处,对企业不一定。自研大部分的结果都只是对个人有好处。基本对企业是坏处。即便买来,运营好也是有挑战的。
A4:通用产品的规则和场景不适用于各家自己的情况。成熟产品+自研API对接也许双赢。
A5:邮件还能有特殊场景?选择带api能力的标准产品,然后通过api网关去标准化成企业内部成熟api接口,再通过低代码或者无代码平台赋能一线团队去做自己的场景,这才是正路。
A6:很多事情自己能掌握还是比较舒服的,改起来快。
A7:做平台团队的同学别因为自己的权力感和被别人供着和求着的爽快感,而把平台都拿在自己手上,从而形成企业的一个瓶颈。
A8:API化是趋势,不过现在很多产品其实API化做的特别差。在数据领域,这个瓶颈已经越来越明显了。两三个人自己做的东西,再怎么整也比乙方差。乙方再怎么搞十几个人总有的。所以才有无论是thoughtworks的datamash和gartner的datafabric,那就尽量不要选。
A9:国内造护城河,自己生态闭环,其他的来联动就很难,要么保护费。国内做soar的估计应该有体会到吧。
A10:贝索斯2002年就已经定义api就是一切,虽然说这是aws成功的前提可能有点夸张。
A11:20年后的现在,如果还在思考和疑问api,真心有点落后了。
A12:国内安全市场太小了,大家都想着搞点小动作,然后多扒几口饭。我们的soar只买平台app交给软件开发公司做。有钱砸钱就行,钱不多的还是希望有API可以调用的,API,收费。金融公司是可以这么搞,因为自己不养安全开发团队嘛,等于全部外包了。
A13:甲方搞安全能有多少人?自研能搞几个产品?搞一个产品对安全这种短板效应特别严重的行当有啥意义。
A14:互联网公司习惯。
A15:除了给个人去拿拿业绩,对于企业有啥用,老板更希望你把精力把买回来的东西用好,减少短板,而不是单独把一块短板做的足够长,而且这个长很多时候还只是那个研发者心目中的长。
A16:这个东西没十几年工作经验理解不了,我起码在5年前还是很喜欢自研的,互联网公司又因为安全会做很多业务安全的事情,自然而然的带上了业务风控的开发,你养着一只开发队伍,就会很自然的出现大量自研,这是很复杂的一个过程和问题。
A17:我在运维领域也是类似做法,安全领域就是买居多,然后自己做些场景。安全领域的通用性大过运维领域很多。
A18:怎么讲净利润超过同业,安全的价值。
A19:确实互联网业务有其特殊性,自研还是有优势的,规模太大,传统企业安全产品要不性能跟不上,要不需要大规模部署成本太高。
A20:买买买能买到好的产品还是阔以玩的。
A21:话说科技不光是安全,有什么价值怎么量化。有人能说的清吗。
A22:前提是自研就一定比买的好?不同维度都很不一样。像成本部门通常说的,就是质量,效率,安全和成本。而研发团队和产品经理就会说什么创新业务,第二曲线,数字化转型,现在还来个数智化。不同部门想说自己的绩效都不容易,特别要向最大的领导说绩效,都不容易。
A23:运营平台和服务平台这类安全业务平台自研还是挺好的,可以灵活定制化需求,研发维护成本高的端侧安全产品像EDR,CWPP,还有SIEM,SOC标准化程度还挺高的,现在回过头来看能不搞尽量不立项搞自研。主要高水平的人不好招也不好养,搞得不好很容易搞成自己安全的短板。
A24:运营平台和服务平台,这类东西就是个流程和调api,itil玩的很熟了,直接加个空间加堆流程就行了。而如果企业连个itil管理平台都没有的话,那么就不要谈什么有能力自研了。
A25:人力要我们给个结论,出了问题怎么判罚,总体解决肯定是根据影响性,但他妈的奖怎么说,比如给公司挣钱了呢。科技或者安全什么情况下可以奖励。大家有什么思路吗。一个故障按影响扣罚,但是如果不出呢,是不是应该奖励?怎么量化,大家怎么界定?还是就认了。
A26:okr就是不出故障就达标了。
A27:我的思路是影响,分级,不同的系统不同影响(如影响时间)的影响肯定不一样,最后定义为不同级别,比如重要系统影响1小时和不重要系统影响3小时是一样的。
A28:那这个肯定是基础了。
A29:但是如果什么系统多久不出故障我就加分。银保监也好,证监都有清晰的分级分类标准。对齐就好。这要看怎么玩了,和itil管理是有相似的地方,玩的深的话这个流程工单就和SOAR紧密配合在一起的东西,资产数据,运营报表,运营指标体系,事件管理这些SOC的performance都能在这里数字化的体现出来。
A30:这些都是itil的标准玩法,没有区别。有没有科技可以加分的事。罚可以,怎么加分,大佬支支招。安全运营对比itil并没有什么特别之处,毕竟是刚开始发展的行当。专利,外部评奖,创新业务等。比如哪个系统或者项目,挣钱了,但是今天和人力聊了。人家说,我人力是不是也可能给了支持。怎么量化呢。核心区别就是安全的人难招难培养。好的安全分析师还是要有思路的。
话题2:监管渠道泄露的数据怎么办着?我发现监管渠道也有泄露的情况
A1:是不是可以增加到其他渠道里,或者增加到内部人为?
A2:师傅说的监管渠道具体的泄露场景是什么样的呢?方便展开讲讲么?
A3:我看到两种情况:1、监管取走的部分数据,在其他单位被发现。2、监管上报FTP或文件服务器本身存在缺陷(弱口令、无IP限制)。
A4:目前有个疑问:1.目前做信息泄露监控在我国是否属于灰色地带?2.信息泄露监控三方有哪些技术手段可以平衡个人信息保护与证据留存?缓解监管风险?
A5:这个看你是啥的场景了,如果是上报共享类型数据自然不算,如果是私密信息被挪用,或许划分到人为比较合适,个人看法,不见得全面。这个场景二,这个场景其实算是供应链侧的数据泄露,我感觉,对应的方案思维导图里也提到了,走专线和白名单相对可缓解。一般这块儿金融执行的还好。具体场景是啥呢?如果是监控TG/暗网以及其他,在规则范围内应该还好。
A6:假设是对网络来源进行监控,如常见的XX条XX公司数据,是需要下载落地并索引,才方便验证和复核。存在风险。
A7:现在的桌面/终端安全软件干的不就是监控内部数据外泄的事情么,包括上网行为管理这种网络层面的。理论上和员工说明了。合同写上了,应该问题不大。
A8:有个问题:有些数据是好几个甚至所有渠道都有在用的,那如何确定是从哪个渠道泄露的; 按照上面各渠道的排查方法都走一遍?还是有什么快速定位方法。
A9:说实话没有很有效的快速定位法,多渠道共用,只能是都排查。或者排查和泄露数据源字段最接近的几个系统。
A10:感觉每个公司情况不一样,可以根据自己数据业务流向设置控制点来排查。
A11:嗯,所以这种情况。从技术层面来说是个大工程。基本上要把数据的周期涉及的产品、人员、场地都摸一遍。
A12:具体看是什么样的数据泄露场景了,是那种一次性的还是连续不断的。比如用户刚注册,就被泄露的场景,那么其实涉及的面有限,个人看法。
A13:不一定,有些业务场景,用户信息会经过很多渠道的,比如获客(线上线下)、联系咨询、线上注册、运营商等,进入企业后就是常规的数据安全生命周期了。其实在想 有没有其他层面的办法,比如商务、合作伙伴的情报;商业上的一些东西等等;感觉已经是超出信息安全的范畴了。
A14:你的需求场景是什么呢?想要解决什么样的问题。
A15:没具体需求,就是看到这个话题。想起很早之前单位遇到的一些case。抛出来丰富一下案例和思路。
0x2 本周精粹
0x3 群友分享
【安全资讯】
券商首单网络安全事件“双罚”来了!招商证券及3位责任人被警示
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
大型数据中心的SSL解密方案、基于云ak保护的实践方法、人脸识别攻击方式及其绕过后的安全风险等话题杂谈 | 总第155周
由上海某数据泄露事件引发的业务上云原则、安全家长制管理弊端等探讨,关于金融个人信息保护对客户的法定姓名展示讨论 | 总第154周
混合云实践中那些让甲方痛点的问题分析以及如何让云更安全?员工移动安全实践探讨等 | 总第153周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):监管渠道泄露的数据应如何应对?自研与提升安全运营水平的探讨 | 总第156周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论