0x1本周话题TOP2
话题1:邮件客户端双因素,如何解决邮件账号被盗问题?
A1:动态令牌+邮箱密码双重校验;或者不对互联网开放,邮件放在vpn后面,如果涉及邮件外发,走审批流程。
Exchange参考http://github.com/MiSecurity/exchange_proxy。
Q:邮箱客户端账号被盗你们怎么解决的,利用专用客户端吗?大家如何做邮件客户端安全防护,有用专用密码或者专用客户端解决的吗?
A2:邮件网关一般能检测出来吧。最近好多就业补贴、劳动补贴类的钓鱼邮件,WAF访问日志记录也该有吧。
A3:双因素认证。如果没拦住,不少员工收到之后主动报告。
A4:邮箱的imap、pop3协议对外就解决不了,所以不支持邮件客户端通过互联网收件,起码要连个零信任网关后收。如果开放smtp-auth更加拦不住爆破,协议天然缺陷。
A5:Web端可以双因素。客户端双因素方案你们怎么定的?
我现在解决方案有四种,我不清楚你们经常如何玩:
(1)启用邮箱专用密码;
(2)iam 对接后,app确认收发;
(3)启用专用客户端;
(4)vpn。
不知道各位如何玩的,如何解决邮件账号被盗问题。这个如何修复,我赶紧通知发公告出来。
A6:CVE-2023-23397,最近许多邮件攻击都在利用这个洞。
A7:升级方法,打开Outlook应用,点击“文件”->“账户”->“Office更新”->“立即更新”可以更新到最新版本。
临时修复建议,该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:
1. 将用户添加到受保护用户安全组,防止使用 NTLM 作为身份验证机制。执行此缓解措施比其他禁用 NTLM 的方法更容易进行故障排除。尽可能考虑将其用于高价值账号,例如域管理员。请注意:这可能会对需要 NTLM 的应用程序造成影响,但是一旦用户从受保护的用户组中删除,这些设置就会恢复。
2. 使用防火墙和 VPN 设置来阻止 TCP 445/SMB 从您的网络出站。这将阻止将 NTLM 身份验证消息发送到远程文件共享。
A8:IMAP跟POP协议全部包到VPN或者零信任后面咯,这样就都不暴露了,就是麻烦一点,收个邮件要拨VPN或者登录零信任。
Q:有支持VPN 和二次验证的邮件客户端没?
A9:搞隔离,vpn只能操作,不能下载文件。安全合规的互联网访问邮件必须是通过vpn建立安全环境,并且本地数据与vpn数据隔离,邮件数据仅仅在vpn服务器上落地,不在客户端落地。
A10:那就成了云桌面,云桌面的问题蛮大,卡不说,这种集权性质的系统,本身风险也高。云桌面的中后台风险没有规避掉。预算足够多的话,云桌面最安全,全力为云桌面打所有补丁,新洞立刻打最新补丁。
A11:0day一样穿的。
A12:通过邮件打开的文件都可以经过安全杀毒和沙箱,它就算打穿了,提权了也只是内网那台隔离了所有网段的云桌面服务器。没法回连进行下一步指令,被加密了就还原整台云桌面,唯一的缺点就是大家并发启动占容量的进程。
A13:低配只能上SDP,sdp我们没上,他的那种模式我觉得始终有问题,应该是可以突破落盘,后面找套源码研究一下。只要数据能到客户电脑,就算号称是流量加密,都能明文落盘,目前已经实现了。sdp=vpn+沙箱。
A14:所以如果想攻破sdp的数据安全,可以攻破沙箱的数据安全,不难。每个安全方案都有每个的问题,还要综合考虑费用成本、使用成本各方面,很难有普适的方案。
A15:邮件网关能力这玩意真的必上,我们在邮件每个季度拦截的邮件记录是千万级的,钓鱼被钓了,数据中心的防护再好也白搭。
钓鱼邮件是一本万利,最好使的工具了。我每年整钓鱼邮件演练,每年都有人中招的。邮件网关有必要加,最起码可以在不是公司邮件的前面加个告警信息。攻防演习期间提前进行规范培训,一季度一次,然后穿插定向感觉好一点。
A16:现在国内都走微信社工了。成功率比邮件钓鱼要高多了。专业钓鱼都是提前养号的,邮件钓鱼的成功率太低了。
A17:成功率低不低无所谓,成本不高呀,要做得好和逼真,成本还是高点,而微信钓鱼就近乎0成本了。
Q:你们每次发送是一个模板还是多个模板?域名环节怎么处理?
A18:有买服务,域名随便填,模板每次统一的,针对性的还没开始搞。怕举报说针对。
A19:我们都是自己搭,买的保不准乙方留一分被钓的密码那就难搞了。
A20:买服务,管理还是在自己这里,甲方才可以看到哪些人中招了,提交了,这些用户肯定需要立即通知修改密码的。此外,光密码意义不大,一般都有2FA保护的。还没有,那需要先启用了。
话题2:应用系统操作日志记录到什么颗粒度,这个由谁来定义?
A1:用户在业务系统的操作日志,你定个基线,然后各应用系统看自己情况选择加强。
Q:那各个应用系统的加强是谁去负责选择呢?IT运维人员?IT开发人员?系统属主部门?
A2:系统属主提需求吧。各位大佬有安全基线的制度吗?求一个。
A3:网络安全法关于日志记录的合规性要求,我理解是安全baseline层面。
A4:我这边主要有如下几种,基本逻辑就是涉及业务风险的日志颗粒度,有相关业务部门识别需求:
(1)安全日志:由安全团队去定义,要求是符合网安法等要求+安全风险分析需求。
(2)业务日志:由技术部基础架构组提出定义,最终由技术部核心人员组织审议通过,满足业务排错等需求。
(3)结算日志:由财务部门定义,满足财务结算需求。
A5:谁运维谁负责,开发运维系统的owner负责定义,定义出来后,安全检查,是否满足法律法规底线,包括但不限于时间、应用、源、操作用户、目标、操作、结果等,针对不同场景,还可以有数量、金额、操作数据密级等公司内部数据治理需要用到的字段或扩展字段,基线征求意见发布后,各方执行。日志打出来是用的,不能两张皮,谁用谁参与制定,这个才会落地,会包括如何切割、如何采集、如何约定枚举值/布尔值等。
A6:没错,这个法律法规底线不仅仅是《网络安全法》,要看监管要求,不同行业不同,最基本的就是半年网络安全日志,等保也是这个要求,银行会有一年的、三年的、十五年的不同内容要求。
Q:应用系统用户操作日志的某个字段记或者不记在网络安全法合规的范围内吗?我理解网络安全法主要是安全基线涉及的日志。
A7:如果是说“行为”的定义,这个没有的,比如付款,登录,肯定是行为。点击,算不算呢,不影响结果追溯的情况下就看自己需求了。
A8:看来我的理解也没跑偏,这个“结果”追溯是不是也要看看是出于网络安全保障的追溯,还是其他追溯,《网络安全法》还是围绕网络安全这个主题。
A9:网络安全法肯定是围绕网络安全这个主题,但是不一定是网络安全攻击、网络安全入侵这个主题,网络空间的内容安全,网络产品服务的使用情况,也是这个涵义内的,比如有用户用了你的服务,追查到你这的时候断了,那肯定就会追究企业责任了。
Q:有没有什么依据可以说,如果一个系统的某个模块操作日志记录不全,不准上线投产,如果有,这一票否决意见应该谁出具?
A10:这个事,据我作为消费者的经历来说,这种细节经常没人管,权重太低了。
A11:法律法规是结果论的,是否不许上线,这个还是企业自己定管理流程。定成安全、风险等关联方评审基线可以理解,每个系统上线都检查,那首先就要看卡点在哪,没卡点也就是个纸面的,还不如让变更部门自己负责。
0x2 群友分享
【安全资讯】
《商用密码管理条例》http://www.gov.cn/zhengce/zhengceku/202305/content_6875928.htm
蚂蚁隐私计算产品入选2023中国国际金融展“金融科技创新成果” - 今日头条
https://www.toutiao.com/article/7225872148009632268
-------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):关于企业邮件客户端安全防护方案、应用系统日志记录基线要求的探讨 | 总第194周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论