金融业企业安全建设实践群
第78期1214-1220
上周群里共有 143 位群友参与讨论
26 个话题分为以下5类
安全管理:13 个
安全技术:6 个
求文档:3 个
产品推荐:0 个
行业思考:4 个
【安全管理】
1、互联网保险业务监管办法正式来了。小保险好多都没有等保三级呢,更别说保险中介、代理公司了。
2、谷歌各大服务全都down了,年底信息安全事件接二连三。miss了page怎么理解?一般美帝科技企业的page要是15分钟primary没响应自动page secondary还是没响应的话过15分钟后page上一级leader直到vp为止,把全组人都page起来的miss确实有点不能理解,说明Google的page流程不太完善啊:)
3、《证券期货业迎网安新规,从四个方面完善相关法规》有些券商可用性问题都还没解决,让他们关注安全也挺难的。小的券商没有安全专岗,大多数是网络岗位兼任的,但是监管部门不管金融机构大小的,监管一视同仁。
4、2020年是灯塔倒掉的一年。SSO统一了认证,但是如果不注意这里的灾备是容易出问题,希望有更多细节,sso的存储配额问题到底是什么问题。连锁反应了,底层的基础存储管理系统故障时,监控没有发现这个系统出问题了,导致认证系统存储满了无法提供服务,整个依赖业务雪崩。监控系统可能本身就是存储管理系统的一部分,出bug的时候,自己不能发现自己的问题。某种程度可以看成是墒增之后必然的结果。大型系统追求更强更高效更自动,用到新的微服务,中台化等来提升,系统之间依赖关系越来越多,越来越复杂化,为了避免复杂化导致的故障,又需要更多的系统来保障稳定运行,最后整个系统变的无比复杂,直到某个关键节点故障,保障系统也失效,雪崩开始。
5、请教一下各位大佬,这种从运营商手里流出来的数据有解吗……天天给用户打电话荐股。用户接到的电话,总说我们数据泄露,但其实是运营商内鬼从后台抓的
6、大佬们,现在有强制要求https之类的网站要用国密算法不?
7、请问使用信创终端的大佬,贵司的软件管理,补丁管理是怎么操作的?
8、信创基本都是研发或者数据中心,不是安全团队管,因为没法推动。信创搞国芯服务器,那么你不可能退回物理机时代吧,肯定还要虚拟机啊,那你就不能只用VMWARE了,所以至少国产虚拟化平台就要出现了,往上走一点,国产云平台就要出来了,国产云平台出来,你也不可能立刻不要原来那一套啊,那么多云管理平台你也可能要出来了。你要国芯网络设备,那么原来你网内如果用了CISCO之类的做SDN,那么也不能兼容的,那你就要单独分区划给它,要不就直上华为SDN。你要这么多信创OS,总要监控和运维吧,那么原来传统操作系统上的各种运维AGENT,不能丟吧,那么这些运维AGENT的国产化改造,你也要做。然后安全原来装的HIDS你也要改造支持麒麟或者UOS吧,到终端,从操作系统,终端管控,办公软件,浏览器,即时通讯这些必备的东西,你也要用能用的信创软件。所以信创是个系统化工程,整套整套的来,而且要和现有的体系双轨并行,难度大的很。真心求安全届的各位关心信创领域安全。
9、业务连续性计划,感觉不是技术部门能搞定的
10、《195万党员信息泄露事件简评——党政机关、事业单位个人信息保护之觞》,前两年各地建的党建云,基本上把党员信息泄露得一干二净,有些地方甚至直接托管在毫无防护的第三方
11、记得很早之前就有要求,关键供应商不能外泄,不然攻击者真的会盯着你使用的关键软件做靶子
12、各位大佬,针对供应商/合作方泄露文件,有啥好的防止措施不?
13、《【情报预警】你的手机号、短信内容等隐私信息或许正在黑产市场上出售》看暗网的贴,运营商流量dpi也是泄露大头
【安全技术】
1、我们在基于这个搞内部红蓝,真的挺好的,老板一直不明白,你安全已经有那么多东西了,为啥还要添,这个知识框架老板明白了,原来全景是这样的
2、吐槽《吐槽国内对SolarWinds事件的分析》:吐槽者刻意略过了一个事实,分析师判断的不是供应链攻击这个定义,而是判断其为一个恶意网络活动,通过对恶意网络活动的前后文分析,才能定义其是否是供应链攻击的手法,抛开前后文关联,抛开元数据本身谈攻击活动,就是哈批
3、SolarWinds.Orion.Core.BusinessLayer.dll是Orion软件框架的SolarWinds数字签名组件,其中包含一个后门,该后门通过HTTP与第三方服务器进行通信。我们正在跟踪此SolarWinds Orion插件的木马版本,即SUNBURST
4、【SolarWinds 供应链攻击通告 https://cert.360.cn/warning/detail?id=df9b6fe4d1d0dd3c44b80ec64e3b595a 【受影响版本】 SolarWinds:2019.4 - 2020.2.1全部版本 【利用详情】 SolarWInds的产品中存在长达1年的供应链攻击,其产品中被植入多个后门。安装程序通过 SolarWinds 的数字证书绕过了检查。安装更新后会释放一个 SolarWinds.Orion.Core.BusinessLayer.dll 文件,该文件被Orion平台通过 SolarWinds.BusinessLayerHostx[64].exe 当作额外的插件进行加载。该后门在经过长达两个星期的休眠期后,会根据C2返回的指令进行活动。【补丁/方案】:官方已发布新版本2020.2.1 HF2:https://www.solarwinds.com/ 【漏洞等级】:高危】居然没有人讨论这个漏洞?
5、看到个有趣的现象,但凡是个写扫描器的,一定要用redis做队列服务
6、问问各位,现在web网站上还有用网页防篡改系统的吗?还是说靠主机IDS和WAF防啊?
【求文档】
1、万能的安全建设群,有最新版的安全意识培训的资料分享不?
2、向各位大佬跪求有业务连续性相关的文档
3、有没有人写过kafka、jetty的安全基线?
【产品推荐】
无。
【行业思考】
1、你们买的信创浏览器用起来怎样,理论上都是用GOOGLE内核的吧?国内信创都是基于开源改的,麒麟OS最新的V10基于centos,海光基于AMD,鲲鹏基于ARM,只有龙芯是纯国产。国产自主可控的两套:方正+龙芯+麒麟+wps,联想+兆芯+方德+wps,都挺好用的,当然,还得有安全套件
2、操作系统应该是易用性和安全性兼顾。整机的性能不仅仅是操作系统,也可能是芯片,或者适配不好。有些界面做的花里胡哨,真考核安全了,不行,也可怕;但是,安全机制都enable起来了,性能一定会下降的。牺牲安全求易用和牺牲易用求安全都不舒服,寻求一个均衡点最好。
3、深入不够、基础不扎实、英语不好、软技能缺失,是我对应聘者的普遍感觉。
4、感觉做安全的,高手更愿意在乙方,做事更纯粹,甲方各种事情太杂,很多时候是各种报告。如果做研究和研发,甲乙方都还好,如果直面业务压力,乙方不但报告多,而且压力还大很多。都不容易....我虽然一直在甲方 但是也出去卖过一阵....风餐露宿看人脸色....很多非技术性因素....
------------------------------------------------------------------------------
企业安全建设实践群
第5期1214-1220
上周群里共有 122 位群友参与讨论
18 个话题分为以下5类
安全管理:1 个
安全技术:5 个
求文档:3 个
产品推荐:3 个
行业思考:6 个
【安全管理】
1、各位老师好,请教下你们所在企业会对业务部门或分支机构自行开发程序进行限制吗?尤其那种在桌面运行、使用业务员账号自动获取业务系统数据并处理的桌面程序?
【安全技术】
1、SolarWinds 供应链攻击通告,居然没人讨论这个漏洞?十几年前常用,现在基本影子也看不到了。单独用的估计不多,基本都是集成再产品里的。集成的是有,但是一般不会注意,现在看来啥软件都有可能存在供应链方面漏洞,大厂需要有专人关注。
2、测试阶段,无感安全扫描,请问除了代理模式、插桩模式外,还有其他比较好的方式么?镜像。
3、请问一下各位大佬,基于流量的交互式自动化安全检测工具,一般如何处理脏数据的问题呢?可以考虑将请求cookie替换成一个安全测试专用的
4、请问有用过bloodhound工具的兄弟么,想了解下这个工具是如何收集域管账号曾经登录过的机器,用它提供的信息收集工具触发的动静有点大。列出登录中状态使用winapi:NetWkstaUserEnum 列出远程访问资源api:netsessionenum
5、SDK监管出了白皮书和各种指引条例。但是甲方怎么从技术角度证明第三方SDK没有过度收集用户信息?比如过度埋点了
【求文档】
1、网信办《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》,请问下大家,这个有没有回复给网信办或行业协会,反馈征求意见的?
2、请问大家有信通院牵头发布的《研发运营一体化(DevOps)能力成熟度模型》标准吗,求一份,谢谢
3、请教下各位大佬,公司准备开发一款医疗检验微信小程序,软件开发设计之初的信息安全和个人数据安全有没有什么标准可以参考啊?
【产品推荐】
1、各位大佬,苹果mac系统要装杀毒软件?推荐几款?
2、求帮助,谁有xlsx的破解工具
3、请教各位大佬,在内部红队建设方面,受控的演练平台,有没有推荐?
【行业思考】
1、网络安全人才匮乏,中小行银行或企业招聘合适满意的实干人才是比较难的,应该如果破开招聘之局呢?
2、明年准备考点安全方面的认证,有没推荐下?
3、这句怎么理解,使用ssl传输,可以不用数据加密了?
4、国家安全保密要求——三员、密级流向控制等的支持程度、是否有相关安全认证?
5、[【文件:中国人民银行金融消费者权益保护实施办法.doc](三)保护消费者金融信息 新《办法》第三章重点规定了对消费者的金融信息的安全保护。新《办法》吸收了个人信息保护领域最新法律文件的要求,要求金融机构处理(包括收集、存储、使用、加工、传输、提供、公开等)消费者金融信息应当遵循合法、正当、必要原则,严格按照法律法规和用户授权的目的和范围处理消费者金融信息,不得因金融消费者拒绝提供非必要信息而拒绝提供金融产品或服务;金融机构应当建立以分级授权为核心的消费者金融信息使用管理制度;金融机构应当妥善保管和存储所收集的消费者金融信息,防止信息遗失、毁损、泄露或者被篡改。一旦发生信息泄露、毁损、丢失,应当及时采取补救措施,告知金融消费者并在72小时以内报告人民银行。】上面这部分跟信息安全有关系,大家按需关注吧
6、[文件:GBT 30276-2020信息安全技术 网络安全漏洞管理规范.pdf]明年6月1日开始实施,个人感觉这些GB/T ,“T” 推荐、指南类的,一般都很难强制落地执行。还是参考为主,原则不违背即可
---------------------------------------------------------------------------------------------------------------
新栏目#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版,每周会上传知识星球,方便大家查阅。我们希望搭建一个平台,营造一个氛围,提供一个空间,让网络安全从业者们汇聚在一起,日拱一卒,守望相助。
上期:群话题 | 本期关键词:防内鬼数据泄露、国家红蓝对抗拉动产业发展、安全价值的呈现、零信任的歧义……
在上期群话题推送后,有一位ID为K2的朋友留言说“话题没有解压”,十分抱歉我没能理解,请这位朋友具体描述建议和意见,发送至公众号,后台看见了会第一时间回复。大家有诉求和建议都可直接留言。
如何进群?
如何加入知识星球?
请见下图:
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论