金融业企业安全建设实践群
第101期0621-0627
上周群里共有 171 位群友参与讨论
19 个话题分为以下6类
安全管理:5 个
安全技术:7 个
求文档:3 个
甲方乙方:2个
法规解读:1 个
行业思考:1 个
【安全管理】
1、问下大家,类似vpn账号,多久未登录就做禁用处理呢?不管什么原因,超过90天就自动禁用。需要重新使用的,用预留的手机号自助申请开通即可。实施禁用策略挺容易的,只是提醒和(自助)开通流程要跟上,不然人越多桌面团队越炸。
(1)第一是制度管理,每个人的账号自己负管理责任,禁止给他人等等,要定期修改密码,怀疑遗失要上报和主动修改。
(2)第二是提醒,企业IM,邮件,桌面弹窗,组织里大家用什么就走什么提醒,多管齐下也没问题,到期前7天开始就天天弹你,按照规定请你及时修改密码。
(3)第三是自助,结合自己企业情况,设计一个验证级别不低于密码的重置密码手段,比如通过ip电话或者已认证账号作为入口,以上次密码加手机验证码/双因素令牌为验证手段,允许自助修改激活,滤去大量不看提醒的情况,但是无论怎么设计验证级别不能比日常登录低,防范密码失窃的情况。
(4)第四是人工,比如手机也换了,或者进不了内网想改密码,那就要管理员人工核身了,这个环节要做管理,比如数据通报,数量要控制下来,控制到桌面团队接受的量,如果员工人数不多环节三也可以先不要。
从0到1很难,规矩建好后就是落实检查问题,而大部分企业和安全推动者都倒在了1之前。
2、这个安全提醒可以的。违规获取敏感数据,最低高压线,最高20年有期徒刑,这样改下是不是更精确?主要目的是警示,威慑一下,写太多了,用户不会看。关键字样,就是说你干坏事我可以抓到你,让用户记住这个就达到目的了。安全部门只要有完善的制度支撑,并且培训通知到位,接下来就要靠员工自己履行义务了,如果还违反只能按章办事了。
3、删库(无论主观恶意还是客观无意),有什么好的防范方法?成本是最大因素,不考虑成本的话,可以做命令拦截,不管是操作系统还是数据库操作,如果涉及敏感数据,操作员权限低于敏感数据级别就禁止执行,如果要操作需要特权申请来执行,允许临时操作。做好备份,恢复应急预案,收敛权限,剩下的听天由命了,能接触到这些的总有办法达到目的。
3、我个人觉得从某种意义上来讲人为恶意攻击风险甚至比外部攻击风险更大,一旦发生就是灾难性的,对于金融行业关键数据,除了安全教育制度流程外,难道在事前和事中真的对这种风险无法控制或减免吗?
金融可以,上流程标准,灰度删,先delete,禁止drop,一段时间无影响才删其他节点,删错了还能回滚。互联网公司的变更机制不完善,银行变更大部分应该是双人的吧。
还是内部授权机制和成本问题,曾经去瑞银集团检查发现他们有一个机制很好,所有的数据库都是实时备份,冗余和异地,异地备份的数据库收缴了所有权限,凡是对数据库操作的都需要授权,他们的授权机制是有一个授权机,专门成立了数据安全部门,运维人员需要对数据库操作的时候,需要提交申请,然后由数据安全部门详细了解需要做什么操作,为什么做这个操作,核对完成以后通过授权机下发授权码,授权码有时效性,基本上以5分钟为单位,评估你需要做的操作可能在五分钟之内就能完成,那么授权码就5分钟的有效性,过时自动断开,不能进行任何操作,并且记录了操作的全过程。
系统前期建设的比较完备,管理流程也到位的话,日常数据库层面的变更操作本就不应该很多,牺牲便利性是可行的。就怕那种系统功能不完善,动不动就需要搞数据维护的,或者报表功能太差,天天需要搞sql和存储过程的,管理一严格正常工作就没法进行了。
5、大家APP隐私协议这块是法律合规部牵头还是金融科技安全团队自己负责的?科技团队草拟,法律修订审核。
【安全技术】
1、现在有没有零信任,把web和客户端的一起兼容的?
2、大佬们,应用开了jdwp java远程调试导致rce的问题都是怎么解决的,生产的关掉,测试环境的怎么办?
3、这是oem了同一个系统么?
4、问一下各位大佬关于自动化运维的跨区访问的控制,一般oa是流程来源,生产有自动化平台,推送策略生成的脚本来源是oa流程,有比较安全、常规的做法吗?还是直接放通?个人建议:一是要考虑OA自身的安全性,是纯对内还是有互联网外部接入,如果有提供互联网接入,那这个场景风险较大;二是OA流程建议将公司行政流程和技术业务流程区分开,便于后续风险控制,不要混在一起一个单子都批完直接自动推送。
5、咨询一下各位大佬,关于开发或者运维部门提的devops需求,其中可能涉及oa或者开发推送版本或流程到生产的需求,这种是直接不允许还是有应对措施?devops一定不是开发人员把运维的人工职责干了,开发去操作生产,而是通过工具化平台化,把pe这个做发布做执行的岗位用平台替换掉了(对应会增加类似于平台工程师),开发可以通过平台看日志、通过控制做自动化灰度发布、通过平台做脚本SOP,达到自己开发的系统自己最了解最能维护可靠性的目的。
6、弱弱的问一下各位大佬,图数据库目前在网络安全方面有啥落地的场景么?
7、cmdb为啥必然用图数据库?
【求文档】
1、各位大神,求一份,《银行保险机构信息科技外包风险监管办法(征求意见稿)》。
2、各位大佬,有没有绕过WAF相关的资料,求一个。
3、谁有app隐私合规方面的培训材料,学习下!
【甲方乙方】
1、甲方真要做细致的供应链的安全测试成本投入很大啊,即使外包出去也要不少人,有没有可能转化一部分投入成本?甲方最好形成合力,我回头可以把我做供应商管理的一些要求分享一下,乙方要提供渗透结果,要有开发安全机制,要有通报流程,要接受安全审查,要支持必要的监控接口,要提供自己的依赖组件清单并负责维护升级,这些东西直接入采购需求服务部分格式合同,让供应商应答,有助于提高行业安全,
2、同学们,一般供应商提供的安全产品,能要求他们提供源码做源码分析不,涉及知识产权纠纷不?一般厂商都不会给的,即使给了的厂商,可能也是把核心代码给剔除掉了。源码可是一个软件产品的核心。这要求从厂商角度来说,很难接受。为了投个标,把自己最核心的数据都扔出去,风险太高。那反过来,厂商是不是得要求客户得提供证明,源代码给出去如何不被泄露或者外发?关键是一致性怎么判断,要个a,给个b,也没法确认a和b之间是不是一致的。
【法规解读】
1、请教大佬们一个问题,电子邮箱系统90天更换一次密码有哪个规范的明确规定吗?
【行业思考】
1、问大佬,大家有招海外安全合规的人才的经验吗?怎么去找这方面的候选人,目前想到的是在新加坡投。海外合规,我个人意见至少需要对27000 、GDPR、萨班斯、CCPA等一系列的有业务往来的国家的法律法规要玩的很熟练吧,只要有一些认证吧。
---------------------------------------------------------------------------------------
企业安全建设实践群
第26期0621-0627
上周群里共有 161 位群友参与讨论
16 个话题分为以下6类
安全管理:6个
安全技术:2个
求文档:7个
甲方乙方:1个
法规解读:0个
行业思考:0个
【安全管理】
1、各位成熟公司的大佬,请教一个问题,防火墙是放在安全团队好,还是网络运维团队好?我们这边还存在一个问题,要是策略没细化做好,是运维问题还是安全审计问题?
这个问题可以泛化下,安全部门和运维部门,权责到底怎么切,各个单位好像也不太一样。领导就喜欢这样,安全设备给运维管控,策略让安全出,做双备份,审计还要运维配合,很是难办,出了问题,扯皮就来了。是的,问题就出现在这里,运维领导认为是运维设备,然后安全策略也不通过安全团队审批,等出了问题,又说安全管控不力,然后就是相互扯皮。
出了问题其他团队背不起安全责任,所以如果变更引入了新的安全风险一定是需要安全团队审批的,比如开白名单,除非你认可其他团队能够一样重视安全并有同等安全意识,这个是很难的。如果没有引入安全风险的变更那安全团队不参与是可以的。
这个问题在我们这也存在,这几年其实“斗争”比较多,就谈一点感受。安全设备(防火墙、堡垒机、VPN,甚至漏扫等)给运维管控这个经常是历史原因造成的,因为一般安全处室成立比较晚,如何介入这些安全设备的安全管理,介入到什么深度和宽度,都是需要两个处室上层领导和安全处室领导有很强的安全意识和管理意识才好开展安全工作的,如果两个处室上层领导对安全处室没有很好的定位或者认识深度不够,往往安全处室自己在下面折腾都可能被领导当成是“管的太宽、想的太多”……所以,这个感觉重点好像变成是“向上管理”。
2、系统带病上线后再整改完毕,大佬们做过这种场景的风险评估么?
3、想要请教一下各位专家,对于企业内部使用绿色版软件,有什么好的管理经验或技术手段么?
4、恰巧3道防线都干过,真的是深有感触!2/3道防线很多时候更多是基于监管和制度要求做差异分析,发现问题,1.5道相较他们对科技更了解,更能发现深层次的问题;在推动解决方面,2/3道更多的是基于问题清单定期跟踪进度,而1.5道可以参与问题的解决,体现价值。然后,现实往往是:1.5道往往陷入各种监管、审计、检查的对接,各类问题的应答,报送表格的填写,各种报告的撰写等等难以自拔,人送外号“科技催收岗”、“表哥”、“表姐”岗。
5、1.5道防线天天跟监管、风险、审计打交道,提供各种口径的数据和报表,大家有什么好用的平台吗?我们现在全靠线下的表格统计。
6、有银行是科技负责信息科技风险管理的吗?信息科技风险管理和安全合并,由一个团队来做,向CIO汇报。我感觉和前面提的1.5道防线很像。
【安全技术】
1、咨询大家,针对监管要求“敏感信息加密存储”的要求,推荐通过什么方案实现?比较成熟、且成本可控?
2、如果有业务需求,如手机号模糊查询,怎么解决的同态加密?敏感信息加密后的模糊查询是个大麻烦。但若业务有特定的强需求,可以考虑打tag,比如出生年月。类似于脱敏数据单独存一份,这种tag可以利用加盐的Hash做进一步脱敏处理,对前端透明。但业务如果需求一直变,这张表需要一直加字段,就不太具备可行性了。
【求文档】
1、请问哪位有GB/T 38645-2020?
2、各位大佬,求一个银监的【2017】2号文,中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知。
3、麻烦问一下,哪位大佬有app个人隐私合规的检查项,求一个。
4、关于漏洞评级大家有什么好的经验?
5、各位大佬,请问对于ngnix和tomcat这些web server或中间件有没有监管机构要求的安全基线标准?最好是人行、银保监会证监会发布的金融行业安全基线。感谢!
6、请教各位大佬,对于 系统增加什么功能模块 需要额外进行渗透测试,这个有list吗或者标准吗?
7、各位师傅,有没有,攻防演练的定义,范围,和意义,方面的资料?
【甲方乙方】
1、请问大家,零信任有什么推荐的厂商和产品吗?审慎选择零信任技术方案,充分理解零信任的优缺点以及涉及的技术特点(比如零信任中持续认证,怎么认证,怎么监控,认证哪些数据,监控阈值怎么设置),另外是选择以现有技术架构升级或者完全替代,完全替代基本没有那家厂商能完全OK,而选择现有技术架构升级或者逐步替代的方式,从几个场景落地,预留接口和扩容方案,积累经验,在逐步推广。
【法规解读】
无
【行业思考】
无
-----------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
群话题 | 安全管理机构最高负责人一般是谁,公司监控员工信息如何界定,自建or采购,当月补丁必须当月打完吗,渗透测试如何衡量结算... ...
群话题 | 安全左移需要基础,如何应对截图外发,加密流量检测不是正面主战场,api有重大数据泄露风险,js加密算法和密钥易被绕过... ...
群话题 | 关键词:安全对业务的奖惩一定要和高层达成一致,如何看待网络安全需要弹性,今年RSAC创新沙盒冠军的产品思路和技术原理... ...
群话题 | 关键词:安全仍是奢侈品,中勒索病毒最怕攻击者懂业务,云桌面和桌面沙箱各自优劣,拜登强推零信任对美网络安全的影响... ...
群话题 | 关键词:安全培训质量如何保证,外网登录公司邮箱是否要VPN,第三方sdk偷偷采集用户隐私,mysql数据加密的实现... ...
群话题 | 关键词:IP封禁影响访问、Chrome 远程代码执行 0Day 、微信PC版0Day、提高安全在业务上的影响力……
群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……
群话题 | 本期关键词:权限管理、管理、容器安全自研或外购、实战化渗透测试人才技能要求、敏捷合规安全三者找平衡点……CVE漏洞
群话题 | 本期关键词:资产梳理CMDB、《常见类型移动互联网应用程序必要个人信息范围规定》、钓鱼邮件的强化规则、安全与法务……
群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……
群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……
群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
如何进群?
如何下载群周报完整版?
请见下图:
关注本公众号,实践出真知。
本文始发于微信公众号(君哥的体历):群话题 | 安全和运维权责怎么切,删库的防范方法,vpn多久未登陆就禁用,供应链安全测试甲方应形成合力,自动化运维跨区访问的控制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论