▎各位 Buffer 晚上好,FreeBuf 甲方群年终总结来了!作为2023年话题讨论的最后一期,我们将从甲方人的视角回顾一年来最刻骨铭心的个人经历,并探讨在未来一年企业预算、行业监管及人才培养方面有哪些趋势。
话题抢先看
1. 2023年即将过去,这一年有哪些令你印象深刻的事件,带给你怎样的思考?
2. 今年国家部门仍然发布了大大小小若干相关行业政策和法规,大家觉得今年的监管方向是什么,明年还会有哪些趋势?
3. 2024年,大家认为公司更愿意在企业安全的哪些方面或技术上投预算?
4. 今年各行业深受大环境影响,安全行业亦是遭到冲击,大家从行业个人发展和人才培养角度来说,有何建议?
话题
2023年即将过去,这一年有哪些令你印象深刻的事件,带给你怎样的思考?
A1:
比较深的,就是某厂商的云锁布属在SuseLinux上的防病毒模块不生效,未检测到挖矿程序,导致服务器资源消耗很高,登录后显示某程序使用资源多,经微步等佐证为挖矿程序,将文件夹打包下载到办公设备立即杀掉了,后面就是删东西等动作。启发就是,可以买某厂商的产品帮领导挣外快,但不要相信某产品能力。
A2:
某Web应用一个导出的功能点,是在后端生成的,被恶意利用把密码删掉了,导致应用运维人员无法登录服务器修漏洞。越权+任意文件读取,读取完了应用把系统文件当生成文件的缓存删掉了。
A3:
某司勒索通过拿到某个IT的用户名密码进来,因为他们没有单独分配域控账号,各IT人员账号就是域控。勒索导致全公司网络停摆2周,之后IT没有人因此承担责任,时间过去大半年目前他们依旧如此管理域控。
A4:
如果要说目前为止最深刻的应该就是某乙方不给力留了个Bug导致被网警通报了一次,自用的服务器被某人用了Lnmp后遇到了勒索。
A5:
今年感觉非常二极化,一方面政府对数据安全、个信安全大监管力度前所未有,照理说企业在大压力下会加大安全投入与人才吸收,但现实是很多企业发展迎来瓶颈。
Q:今年各行业深受大环境影响,安全行业亦是遭到冲击,大家从行业个人发展和人才培养角度来说,有何建议?
A6:
数据安全/数据跨境,肯定是重点。
A7:
AIGC合规也会是重点,现在大大小小的公司都在用。
A8:
个人感觉监管大方向还是会围绕数据安全,然后将供应链什么的融入其中,2024年作为企业可能压力会比较大,HW常态化,各部委也会跟上,国家队也会越来越强,监管力度也会越来越大。
A9:
勒索病毒必须重视,被攻击了,数据泄露了,App不合规了还可以看看情况,被勒索病毒攻击扩散成功了,那必须完蛋。
A10:
明年可能数据安全合规要求会下放到更多企业吧。今年还是抽查重点企业。
A11:
个信和数据安全是重头,尤其个信(小程序、App)。
A12:
数据安全部门挂牌,后面就要整治个信了。
A13:
可以这样看,我们的安全法和规范起步较晚,美国在2010 年左右起步,我们在2016-2017 起步,在2019 年底开始密集发布各种上位法和标准。这里面有几个层面,首先在国家顶层上国家更关注党政金融等关键基础设施,更关注掌握大量数据和基础设施运营的互联网大厂,所以对上市、数据跨境、供应链、基础云计算平台和涉及到的对大互联网企业以及党政央企的监管会加强。另外从行业角度,无论是银保监人行,以及工信等垂直行业,无疑针对个人隐私保护和数安是监管重点。对于基础安全类仍然以公安为主(比如等级保护) 。
Q:2024年,大家认为公司更愿意在企业安全的哪些方面或技术上投预算?
在这个开源节流的场景下,除了合规基本和必要开销不会有其他预算吧。
说起预算,就累啊。开源难搞,得要自己运维,还有稳定性、可用性也是没那么好,不到万不得已千万不要搞。
数据安全应该会投入一些,监管部门可能要重点检查。
我除了合规的证书和培训费用,其他基本被砍光了。
从最近半年我在招聘软件看到的JD,和我刚才说的国家和行业监管方向来看,未来的安全会更加注重行业特性,比如金融和汽车就是“重灾区”,没有这个行业经验的,哪怕你在牛人家也不要你。另外未来5年内的方向一定是个人信息保护,也是在金融和汽车互联网领域需要更加重视的。至于围绕网安法和基础安全这块,基本在过去几年已经由热转冷,就是该集中采购建设做的做完了,没啥卖点继续做了,这页翻过去了。
Q:今年各行业深受大环境影响,安全行业亦是遭到冲击,大家从行业个人发展和人才培养角度来说,有何建议?
学历越来越重要了,建议考研。
安全行业是一个高度关系网络化的行业,建立和维护行业内的人脉关系有助于获得最新信息和拓展职业机会。
持续学习、创新思维、行业交流、跨界合作、伺机而动。
在目前的经济环境下,安全这种干投入没有回报的事,不直接裁员砍掉部门就不错了。所以未来几年多做一些“0 成本做安全”的事,另外再让自己在其他方面得到突破,比如考公考编、考研、法考等等。
基本上目前市场上招聘基础Cybe网络和信息安全的,大多数都是这种非常窄且资深的人,比如工控攻防,云安全攻防和特性工具使用,或者这种挖基础0day 的专家。这类岗位几乎市面上不说没有吧,也可以说基本很少。
各种你没见过的工具比如在AWS云上安全使用一些美国那边的开源工具,我都没见过,要不就是卫星通信渗透啥的,工控PLC 攻防,基本不具备可以容纳大规模安全人员的岗位。
很多猎头找的职位,不但小众的基础安全,还要精通是大牛,而且基本不好跳槽。至于基础安全,比如渗透漏洞扫描、安全设备使用、配置等等,目前培训机构如雨后春笋冒出,基本都培训这些,一年都学成。
SDL 还是很重要的。
SDL本质上就是会源代码,最好是开发转安全,我7-8 年前就做这个。至于其他的Dast 和写标准啥的都简单,主要工作就是源代码审计。比如写的代码中有明显的语句是导致远程命令执行或者拼装语句,或者没有进行服务校验等。
在源码中才开始做安全已经是后置了,SDL的思想应该更往前。我感觉源码只是一小部分,总的来说还是如何节约人力成本做这件事。
我意思是关键点和有门槛的难点在这上,至于全生命周期啥的,那个不难,都是十几年前微软就提出了,只不过后来因为云容器敏捷,又出现了各种高度集成化工具、Devsecops 和不让绕过卡点。至于SDL这些生命周期,从啥时候开始做,都有哪些环节、有哪些工具、有哪些标准,也是早就有了10 年就有了,只是火不火的问题。就像零信任也是谷歌早就有了的,没啥高不可攀的门槛含量,新瓶子装一下。
2023年是一个充满挑战和变化的一年,作为本年度最后一期话题讨论,我们对过去一年进行了适当总结,并对2024年的趋势进行了探讨。从讨论中,数据安全依然成为了重点关注的领域,包括数据跨境传输、个人信息保护等。监管方向也在不断加强,涉及到上市、数据跨境、供应链等方面的监管力度将继续增大。同时对于企业来说,勒索病毒的威胁也被提及,必须重视勒索病毒的防范工作。
对于来年的预算,由于经济环境的压力,预算分配可能会受到限制,除了合规基本开销外,大家担心其他方面的预算可能会受到挤压。而从个人发展和人才培养的角度来看,建议持续学习,保持创新思维,积极参与行业交流和跨界合作似乎是行业个人成长的最佳路径。
总体而言,无论是既往还是未来,挑战和机遇密不可分。在不断变化的环境中关注行业趋势,持续学习和交流,与行业保持紧密联系正显得至关重要。
Q:问一个关于跨境传输的问题:我们做物联网的产品,有toC的业务,那么用户搭建一个home assistant这种工具,就可以把数据放到本地,如果服务器搭建在不同国家,一般这种情况怎么说?数据库和终端不在一个国家,会不会牵扯到厂商的责任,有没有什么依据?
A1: 用户搭建的home assistant这种工具数据存储在本地,不会上传到你们类似云数据中心吧。 A2: 如果放到云服务器呢?他可能主要为了多品牌物联设备管理。 A3: 类似你的用户是在欧洲,但是你们买的AWS数据中心在北美,那肯定是涉及到数据跨境了,但是如果你的数据放在欧洲的节点,那就不涉及。 A4: 不是,是他个人的行为。 A5: 那数据中心也是用户个人行为? A6: 对,但是我们会提供他们方便管理的插件和接口,这种我估计没有明确的规定,太细节了。 A7: 除非它放到自己的云服务器上,要不然你们公司就是作为一个数据处理者和控制者的角色。 A8: 就是如果发生他自己搭建的云服务器发生跨境传输,但是我们提供了方便跨境传输的工具,会不会有我们的连带责任?我们开发的本意虽然不是这个 A9: 那你们当然要保障用户个人数据的安全,那么home assistant会涉及到用户的个人隐私,PII信息,传输到非境内,肯定是要符合类似GDPR规定,主要还是看数据是不是在你们手里。 A10: 服务器不是我们的,是用户自己搭建的 home assistant,而且一旦用户搭建起来,数据按理说就不会经过我们了。 A11: 那你们就不用操心啥啊,反正数据也没在你们这里,你们只是作为提供工具一方。简单判断依据就是你们的到底是不是作为数据处理者或者控制者角色以及是否发生跨境传输。
Q:针对技术人员使用大模型去重写代码或编码这块(可能会泄露公司代码),这块如何解决安全问题或者管理手段?
A1:
私有化部署,很多开源的LLM模型啊,并且有基座数据,你只要针对你公司场景和需求微调一下,理论上可以接近你要的效果。
A2:
不鼓励,内部也不使用大模型的话:
1.公司网络侧封禁掉所有的大模型网站和第三方网站;
2.建立处罚措施贯彻到位,比如发现一次使用大模型年终奖减半,两次取消年终奖等措施。
Q:你们内部服务器的命名都是咋命名的,业务+IP,还是说业务+IP+osversion?
A1:
基于安全方面考虑,不能这样命名,但是很多时候为了方便,用的都是内部序号。
A2:
序号?就是server01-IP-os?
A3:
比如Server-AD或者Server-EHR。
A4:
分支多的话,地区+功能+序号就可以啦。
A5:
你这个提醒我了,以后搞信息安全管理规定的时候,还要把命名规则加上去。
A6:
从安全层面考虑确实需要加上去,因为你毕竟第一眼看到的是IP,第二眼就知道这个IP对应的是什么服务和业务属性 ,第三眼就通过经验就可以判断可能哪里会出现问题。
原文始发于微信公众号(FreeBuf):年终总结(甲方版)请查收
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论