1小时内上报对运营有哪些要求；应用插件安全怎么做 | FB甲方群话题讨论

▎各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 227 期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

本期话题抢先看

1. 网信办拟要求重大网络安全事件需在1小时内报告，大家认为此政策出台有哪些背景因素？对企业安全运营提出了哪些能力要求？

2. 近来 WordPress 插件曝出关键漏洞，导致 5 万个网站遭受 RCE 攻击，大家在应用的插件安全防护这一块是怎么做的？

3. 如果企业中的生产环境的应用使用插件较多，是否会在管理上比较困难，甚至因过于臃肿影响安全能力的发挥？对此有什么优化或解决办法？

话题一

网信办拟要求重大网络安全事件需在1小时内报告，大家认为此政策出台有哪些背景因素？对企业安全运营提出了哪些能力要求？

A1：

按照《网络安全事件分级指南》，属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。

A2：

没事，就说合不合规，这个只是规定需要1个小时内上报，其他的可能24小时，也是可以在1个小时内上报，不冲突。

A3：

1小时内是不是太苛刻了，很多时候1小时自己都没搞清呢。

A4：

主要还是说明，出了事先说出来。基本你报上去，网信办会来人的，检查你们的合规程度以及协助处理。

A5：

如果只有1个人，又要应急又要写报告，哪有时间。

A6：

如果一个公司/单位能够到这个级别的安全事件，还只有1个人，本身就属于无法尽到安全保护义务。其实《中华人民共和国突发事件应对法》、《网安法》本身也有事件报告的一些要求，这次只是细化了里面的一些内容。

A7：

去看看等保，没有三级系统基本不用管这个事件报送，有三级的都需要，有三级系统的公司多的去了，其中安全小于等于1个人的多了去了。

A8：

从要求上来看并没有很严苛，感觉算是公司本身对于安全的重视程度还不够，还有些公司三级等保系统，没有安全团队呢，这种本身就算没有尽到保护义务。

A9：

按照政府的思路，发生事件以后先快速定级、快速汇报影响，然后报送到对应部门，能力要求包括：

1.能够快速判断事件影响；

2.能够快速整理事件初步的一个情况报告；

3.有清晰的报送渠道，包括内部领导的一个批准以及上级主管单位的一个沟通上报渠道。

A10：

这个规定我个人理解，首先，之前我跟别人就整理过法律相关的文件，其中关于主动上报的有：发现有采购产品有重大安全漏洞等，发生网络安全事件 ，包括被攻击了没造成影响、被攻击了造成影响了、造成很大影响等。当时我们就讨论过，这块一直没有量化。这可能以后会出现问题，包括隐瞒不报、把大问题说成小问题，或者延迟提交这个严重的问题等等。

但是最近因为滴滴APP宕机，阿里云挂了等各种安全事件，说明CII（关键基础设施）已经不仅仅是央企才有，而是央企民企大家都有，且对民生影响极大。所以网信办把这个口给堵上了，就是为了督促民企掌管CII的企业出现问题就立刻上报，不能当成自家事就处理了，因为你们影响千万老百姓，对国家稳定有影响。

A11：

这是重大网络安全事件的定级标准之一，我觉得这会导致微博水军被治理一下，不然分分钟就转发过1万。

A12：

本质感觉还是想管管这些超大巨头企业，本来是公司自己不给力，经营问题，现在指直接上升到重大安全事件了，也能给他们提个醒，我觉得这个要求是好事。

话题二

近来 WordPress 插件曝出关键漏洞，导致 5 万个网站遭受 RCE 攻击，大家在应用的插件安全防护这一块是怎么做的？

A1：

1.及时更新插件；

2.官网下载插件和补丁；

3.强密码；

4.限制权限；

5.顶起备份网站；

6.不用PHP，重构项目，改用Basic。

A2：

我补充一下，除了上边那些以外，还可以安装安全插件，多因素认证，有能力的可以代码审计，限制插件权限等。另外也可以加一个免费的 WAF 。

A3：

其实感觉没啥根治的好办法，只能靠WAF、IPS主机安全之类的做限制了。

A4：

也可以做一些配置，把WordPress的Banner和指纹等等抹掉，不过这种方式是对抗自动化工具和菜鸟黑客的，自己的话，每当爆出新漏洞，还是要检查的。

A5：

直接Ban掉WordPress，这种经常出现漏洞的组件直接上黑名单，没有什么业务必须用WordPress吧？

A6：

我们内部实验室网站群用的WordPress，给他们做一个页面 1000，总共做了 200 多个，然后省里面不让用WordPress，不安全，就全部下架了。

Q：如果企业中的生产环境的应用使用插件较多，是否会在管理上比较困难，甚至因过于臃肿影响安全能力的发挥？对此有什么优化或解决办法？

A7：

这就是需求价值评估了吧，如果生产的价值已经大于安全价值，安全能力就可以去掉了。安全永远是为业务服务的，我认为不存在“业务影响安全能力发挥”这种场景。

A8：

出个插件管理制度文件，集中化管理，就好比手机电脑上装的APP多，一样的道理。

A9：

信息安全目标是什么？是保障业务稳定运行。如果怕东西多，可以弄一些标准，比如PA的方式，推荐一般使用哪些框架？

A10：

保障业务稳定运行，这个不在信息安全目标里面吧。

A11：

在，业务连续性目标是基础，信息安全领域和IT很多领域有交集的，基础架构、开发、数通、数据库等等都有交集。

A12：

我有一个想法，也不知道对不对，其实CMS么，非要用的话，如果是开源的，做二次开发呗，这样即使有漏洞也不是插件带来的。

A13：

还要看license。之前被告过 。

A14：

这个太具体的没研究，我们有个网站是基于Thinkphp，然后厂家改的，也不知道Thinkphp有没有这个限制。

A15：

这个话题应该是怎么对插件化的服务做安全衡量，这部分本身就不好控，还不如不用最简单。

Q：对于安全设备或安全工具本身带有较多插件功能，大家如何防范安全风险？

A16：

这个资产识别系统做的事情，梳理好资产、入库，结合漏扫、图形化展示评估，能做出很多事情。

A17：

1.梳理安全设备/安全工具插件资产管理；

2.定期收集梳理外部已知插件安全风险根据资产表进行管理；

3.尽量替换/不使用/策略限制高危风险插件使用。

A18：

选择官方软件，禁用非必要插件，情报系统和资产系统添加插件关注和提醒。

Q：大家能接受企业内部使用盗版软件或插件吗？如何评估对企业安全可能造成的影响？

A19：

从个人的看法而言，重要的是乙方或者厂家能搞到补丁。比如以前遇到过，某乙方用盗版，打补丁的时候官方需要账号密码才能下载，最终的结果是，找另外一个乙方帮忙下载补丁。

A20：

安全干什么吃的？公司用盗版竟然能被发现？

A21：

安全不能去搜集公司盗版软件的信息，因为公司某些领导也会怀疑安全岗人员职业道德。

A22：

起码是不能主动去搜集，因为担心第三方勾结损害公司利益，你不能说自己职业道德是坚挺的，主要是收集了相关信息后的风险。除非是有书面或者某些记录的要求你去收集这些敏感信息来做分析或者什么的，才可以行动，这个是要命的。

本期观点总结

随着网信办拟要求重大网络安全事件在1小时内报告，大家认为，这一政策是对网络安全事件及时报告和处理的要求，旨在加强网络安全管理和保护，以应对近期发生的多起大型网络安全事故。这一政策对企业安全运营提出了一些要求，需要具备快速判断事件影响的能力，能够及时整理事件的初步情况报告，并建立清晰的报送渠道，包括内部领导的批准和上级主管单位的沟通上报渠道。

近期WordPress插件曝出关键漏洞，对此本期讨论中提出了多种方法和建议。包括及时更新插件和下载官方补丁、强密码、限制权限以及备份网站等重要安全防护措施。另外，使用免费的Web应用防火墙和配置优化也是可行的选择。有人建议禁用WordPress或重新构建项目，但这需要对业务进行评估。对于插件管理上的困难，则建议制定插件管理制度文件，集中化管理，并推荐使用标准框架。在防范安全设备或工具本身带来的插件风险方面，资产识别系统和定期梳理插件资产也可以起到重要作用。

近期群内答疑解惑

Q：数据导出工单，是否安全这边会进行审批，如果审批的话，怎么规定敏感数据导出的策略，例如以下策略：

1.涉及到敏感数据，直接不允许导出;
2.高管审批流程通过之后，就可以导出;
3.及时高管审批通过后，但是也细分了不同的敏感数据条数，根据导出不同的条数，来辅助进行不同的安全决策;
4.其他的好的策略。

A1：

数据按照标准分级，最高的分管领导批，导出单位外必须有公文函件，或者对方合规使用证明，有协议的让法务审。

A2：

一般情况下，只是针对敏感数据导出条数，设置不同的审批权限，我们设置了50条以上就到CEO。但是有个问题，大家是不是只要审批通过了，就自然而然的也就放行了？就算可能涉及泄露，有审批权限作为保底？

A3：

那你们就是用第3个策略，我觉得可行，但是需要加周期，比如审批后多久时间内使用，还有数据用途和责任申报相对会好一些。

A4：

这个都有，但是这类数据导出，有些场景可以单独在隔离区搞一台Windows服务器之类的，单独在这台机器上进行操作，不落地到自己终端。不管怎么场景，避免不了拍照一块的泄露风险。

A5：

数据导出加密保存，用后删除，至于对方怎么合规，就需要法务条款定，比如对方数安认证，承诺协议，人员培训，使用留痕反馈等。

A6：

这种审批，感觉制定好了流程化的审批，安全在里面好像必要性没那么了，就只是一个知晓和确认的过程。

A7：

安全需要确认加密保存传输的技术细节。

Q：请问“C2 连接”是什么漏洞？

A1：

C&C，命令与控制服务器。

A2：

这个怎么修，有个C2服务器端？

A3：

你应该找到你们被远控的系统，找出什么漏洞进入的，修复该漏洞。

A4：

C2连接是漏洞？那不得上安全设备查杀。

A5：

能发现C&C应该是有设备监控的，现在应该做阻断处置和后续加固，有能力再看看溯源。

A6：

C2，就是2个C，CC攻击。C2服务器就是CC攻击你主机的服务器，跟你建立连接，会把你的资源消耗殆尽，造成无法响应正常请求的情况。

A7：

找到告警的机器，上面肯定有Client，干掉，清理下计划任务、启动项、注册表之类的，然后重启把内存清一遍，基本能解决，如果没搞定，估计是上Rootkit了。

A8：

我想问，阁下是在哪里看到的C2？

A9：

盲猜态感，要不就是EDR之类的。

Q：防火墙都是串进去部署还是旁路部署好？领导想让防火墙旁路。

A1：

防火墙旁路好，都不用管理，什么策略也不用调试，不会误阻断，还不得罪领导。

A2：

逻辑串行，物理旁路，随时支持Bypass，或者用上优劣分析，给领导判断。

A3：

还真考虑旁路啊，防火墙不串联做拦截买防火墙干嘛？买网络流量检测设备不是更好，防火墙上线先不配拦截、只做检测看看有没有业务误报就行，验证后开启拦截模式。

A4：

防火墙旁挂，需要清洗流量就做策略路由引流。

A5：

核心是看你整体的规划，你是把FW作为区域隔离还是只给租户使用，另外也要看是否做了双联路负载，去综合考虑问题. PBR流量牵引是可以引流了，但是后期维护也麻烦，所以你要综合考虑数据中心的架构和这个FW主要的保护对象。

Q：要在供应商的服务保密协议里规定访问控制措施，应该怎么约定呢？

A1：

供应商的保密协议里规定访问控制措施的话，审厂应该是有一个控制矩阵的，按照控制矩阵来做就好了。

A2：

和供应商相关的，应该是按照客户的要求来做，除非你们公司有人和客户那边高层达成约定，走个过场了，主要体现在：
1.信息安全体系
2.服务保密条款
3.人员控制管理
4.信息安全控制策略
5.物理信息安全控制
6.访问控制策略
7.主机终端安全控制
8.网络安全管控
9.相关联的电子控制策略和佐证等

A3：

本来是说让我改一下现在的供应商保密协议，刚才又说需要加上访问控制、数据安全的要求，我觉得这些要求就应该在合同责任义务里要求，而不是保密协议了。

A4：

你们公司的业务场景是啥啊，是甲方还是乙方？

A5：

这方面算甲方，是针对外包供应商的。

A6：

要审核乙方对吧，乙方是制造商还是服务商？

A7：

服务商。

A8：

参考ITTL服务细则了，单子大的话就按照上面我说的9大类去搞要求，单子小的话，就是要求服务过程中的信息安全和保密要求以及控制要求了。

原文始发于微信公众号（FreeBuf）：1小时内上报对运营有哪些要求；应用插件安全怎么做 | FB甲方群话题讨论