关于软件正版化技术手段的讨论 | 总第220周

admin 2023年12月6日09:59:50评论39 views字数 2413阅读8分2秒阅读模式
‍‍

关于软件正版化技术手段的讨论 | 总第220周

0x1本周话题


话题:请教个问题,软件正版化这块有什么好的技术手段吗,如何排查哪些软件是违规的,不能用于商业用途?典型的比如之前免费的fiddler。

A1:fiddler现在都在群发律师函,也担心其他的软件这样,想看看有没有好的解决方案。

A2:软件白名单管理,上软件资产管理平台,终端都按 agent 定时扫本地,加上 license 浮动授权。很多绿色和谐版,不用安装的。一样可以扫出来,只要在终端运行过。

A3:技术是管理目标的支持。应该先通过固定资产采购的软件信息,以及公司端上安装angent获取安装的软件清单,把公司使用的软件里高风险梳理出来。有的就是没买授权的,端上可以做准入;license浮动的,就看业务优先排序或者使用先来后到。最好的当然是有软件库、组件库的控制。

A4:疑问的是:内部核实确实没用过,也会收到律师函。

Q:有桌管,但是没有这么多的功能。这个是单独的一个agent?

A5:有些是管理性问题,绿色软件,试用版,这些都可以管理上要求不能使用,定期扫描进程,拉出来批一下。

A6:如果有桌管,是不是就可以列个白名单,只有在白名单中的软件才可以装,其它禁止安装。

Q:开发环境也做到这么严格的管控吗?

A7:不在清单上的原则上都要先申请再使用。

A8:技术手段管控目前做到如下: 1、黑名单的软件,是全员禁止安装的,安装了终端直接禁止准入 。2、有授权的软件,在我们的资产管理系统上实现授权和员工的绑定,终端准入登陆会向资产管理系统校验员工是否授权,没有就提示不合规,踢出网络

A9:判断软件版权合规真要细究,需要法务配合判断。一般看下版权说明,问下客服和代理商,就判断个八九不离十可。然后可以做白名单管理。

A10:看桌管软件能否白名单管理了,白名单最稳妥,但技术上要求也高,运营成本高

A11:我们还没做到和网络准入集成,现在就是扫到违规软件就告警通知对应部门资产管理员,限期核实整改

A12:管理上有要求,有检查什么的也可以,不见得要百分百杜绝。把限制措施的钱拿来直接买正版软件更合适。

Q:违规软件是黑名单吗,如何维护?

A13:其实白名单很难搞,也很为难具体做事的人,很多时候开发运维真的就需要东西做辅助,这时候细究会不利于生产。

A14:开发环境如果能联网的话,建议就一同要求,否则公司还是会有麻烦。如果没有连互联网还好一些

A15:用户为什么用非授权软件,主要是因为没有正版软件可用。关键不上技术手段管不住,都不知道要买哪些,是不是必要的。

A16:桌管会有软件和进程收集,定期采一下,然后加黑名单。

A17:其实真正工作中要用到的软件,提前少量购买的话是不是比扯皮更好点。尤其还有一堆内包,外包人员更是乱来一气。

A18:没软件,找桌面支持,给桌面支持足够预算。我相信,干安全和风险的一说到采购,头都是大的,为啥大家都是在走钢丝,因为流程一堆,提前购买更没支撑。

Q:现在问题大部分应该是,用户想用,企业不愿意买,不知道用户自己有没有义务买呢?

A19:没义务,个人买的不算正版,当时正版化检查工具推行的时候说了要有合同支撑。

A20:大部门开发,没软件就直接百度,google了,桌管是谁,多久能让他用上。另外一种情况:有员工下载软件时填写了公司邮箱等信息,下载了未购买的软件,这有时候也成为对方找你的证据之一。

A21:硬件或基设的预算,是硬预算。软件采购的预算,是软预算。如果桌管要啥有啥,谁还去百度找呀。软件太多了,不是你想用上就买啥,还要统一规划,一个 ssh 的 shell 工具就能给你搞出近 10 种,你都采购么,肯定要规范到必要的 2~3 就行了。

A22:如何确认真需要还是个人爱好研究,工作必须的,该买就要买。成本由所在部门承担,所在部门审批,大规模需要的,集采谈个价格。比如ssh shell、navicat、office等,都备齐了吗?我们还要拉通看降本,有没有重复建设和浪费。

A23:拉通看也确实有必要,集中采购,各部门提需求,外采的安全性,一致性,成本。现在我们就是这样有一个工具委员会管,买完还要监控实际的 license 使用率,卷的不得了

A24:即使是黑名单,也很难维护,那么多软件,哪里知道哪个收费那个免费。那意味着要把现在使用的上千款软件全部评估一遍。

A25:没错,从软件资产管理软件包采购到实施落地,干了一年吧。不过一般这个活不在安全部门,安全是个支撑评估的。合规牵头,IT 负责技术实现,各组织的质量运营负责推行

A26:合规对企业的重要程度了,我们很敏感。有些公司只觉得这个是个麻烦,花最少的钱(最好不要花钱),让律师函不要出现。

Q:律师函的危害是啥呀?除了可能盗版软件被绑马的风险,其实安全也不care盗版不盗版呀?为什么找安全呢?

A27:标准化,可能对安全有好处,但标准化≠正版化。标准化>正版化。正版化我们也有法务支持。

0x2 本周精粹

一切没有经过验证的安全措施,都是不可靠的-兼谈防勒索能力安全验证思路

0x3 群友分享

【安全资讯】

2家理财公司合计被罚超千万!

【漏洞管理】甲方企业的 “渗透测试”

拼人头?缩成本?华顺信安赵武:都是泥潭!没有技术突破毫无价值。

----------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
关于金融行业数据库审计的讨论 | 总第219周
隐私计算、联邦学习、安全多方计算时如何管控风险?| 总第218周
如何建设漏洞和资产管理系统?| 总第217周

如何进群?

如何下载群周报完整版?
请见下图:
关于软件正版化技术手段的讨论 | 总第220周

原文始发于微信公众号(君哥的体历):关于软件正版化技术手段的讨论 | 总第220周

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月6日09:59:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于软件正版化技术手段的讨论 | 总第220周http://cn-sec.com/archives/2271812.html

发表评论

匿名网友 填写信息