金融业企业安全建设实践群
第96期0510-0516
上周群里共有 129 位群友参与讨论
20 个话题分为以下6类
安全管理:3 个
安全技术:6 个
求文档:4 个
产品推荐:1 个
法规解读:2 个
行业思考:4 个
【安全管理】
1、医院弱口令都解决不好的。业务优先。你让科室的医生输入个强密码,有那个时间他又看了一个病人。就拿密码这个事情来说,还有身份认证,以前我一分钟能开一个单子,现在各种身份认证过程就需要一分钟,我一天要少看一半的病人,每个科室都是有kpi的,另外开个药 ,立即就要开,要人命的事,还有各种mis,pas开发需要调用各种系统组件,杀毒和edr直接给干掉了,还搞个毛?本质在于今天安全仍然是奢侈品,超出了大部分行业的承载能力。奢侈品不只是说金钱,还有时间,还有人员意识。医院现在关注的是,我数据别丢了,一个是病人数据,因为这个卫健委之类的会查,还有网站别给挂反动标语了;另外一个就是我的药品和设备采购数据别丢了,原因大家都懂的。安全方面给医院卖卖waf,防篡改,数据备份,wifi安全产品,这些很好卖,其他的别想了,什么edr,数据防泄密,不存在的。
2、大佬们,微信群怎么才能直接把其他企业微信的人加到群里呢?企业微信可以监控聊天记录,个人微信监控不了吧,dlp好像也搞不定吧。想了解下同行的大佬们用的都是啥,有自研im的,有用企业微信的,还有钉钉的,既要满足甲方同事的,又要满足和乙方交流的,用来用去发现还是微信顺手。
3、安全就是专业背锅侠。背锅还是沟通关系出问题了。技术人员不善于或不屑于搞关系。老板的期待是什么,雇自己的作用是什么,安全的价值是什么。我带过的团队里面,我要求大家一定具备3方面的高素质、能力:目标管理、时间管理、沟通管理,我会带着大家一起练习、至少达到我的水平。基本上这3点做好,个人能力、格局可以上一个台阶。
【安全技术】
1、【最大输油管道遭网络攻击 美交通部发紧急声明保障运输】典型TRA(targeted ransomeware attack)的路径:攻击拿下域控,通过域控关闭各PC安全规则,再通过域控下发勒索软件,再通过域控埋后门。通俗点说,流氓不可怕,就怕流氓有文化(就怕攻击的懂业务)打得准,要的狠!
2、勒索病毒的根源防范是不是可以用可信计算解决?
3、咨询一个场景,公司有众多分支机构,规模有大有小,分支机构没有形成内网,有什么样的终端统一管控方案和dlp产品能满足这种场景的终端准入控制和数据防泄漏,还能保证统一管控服务器和dlp服务器具有一定的安全性呢?不要暴露于公网。用云桌面或桌面沙箱。桌面沙箱的方案可以考虑一下,既解决数据安全问题又可以解决准入问题,相当于云桌面搬到本地。桌面沙箱听厂商提了很多次,但感觉不太方便,而且对PC性能消耗也比较大吧。沙箱应该是个趋势,但是成熟度目前一般,主要的优势是:(1)员工使用习惯改变较小;(2)实施成本较低 劣势主要为技术成熟度及终端兼容性问题。
4、虚拟桌面不在ipsec通道里,完全没问题。HTTPS的加密,和 ipsec加密没有劣势。
5、各位大佬,请教个问题,JDBC访问远程数据库的方式,访问的数据涉及敏感信息,HTTPS的方式对于这种场景能起作用吗?
【求文档】
1、大佬们好,求一份外包人员安全管理制度~
2、请教一下,哪些制度或合规中有明确要求生产数据不允许导入测试环境的?
3、教下群里的银行大佬们,一般银行让合作方提供技术能力的说明,会要求覆盖哪些方面?同业成功案例。
4、有人统计过等保2.0有多少个安全控制项没有?
【产品推荐】
1、有没有什么终端检查软件,能查文件中包含手机号、身份证号等信息的呢?
【法规解读】
1、北京市高级人民法院:百度通过设置robots协议的方式限制360搜索引擎抓取其相关网页内容构成不正当竞争(附二审民事判决书全文)这会不会开了一个先河呢?我要爬人家,人家不让爬,那么就涉及不正当竞争?不正当竞争,关键看是否存在排他性。
2、你们有遇到过vmware要求委托第三方的审计机构上门来对vmware使用情况进行审核的请求吗?你们是咋处理这种行为的?拒绝还是顺从?让法务回函:请提供贵方检测我方产品的证据和技术手段,我方将评估贵方的检测是否侵犯了我方隐私和商业机密,另我方属于国家安全重点单位,遵照相关要求,我方将上报贵方此次的检测行为到公安与国安部门备案,由相关部门评估贵方行为是否违反了我国相关法律,对我国国家安全是否带来影响。谢谢。
【行业思考】
1、【当地时间5月9日,美国宣布进入国家紧急状态,原因是当地最大燃油管道运营商遭网络攻击下线,黑客索要高达数百万美元虚拟币。在遭遇勒索软件网络攻击后,美最大燃油管道运营商Colonial被迫关闭了整个管道系统。多家美媒表示,这一惊人事故充分暴露出美国大基建体系网络安防的脆弱性。】周鸿祎提及了6个观点,包括:(1)网络安全就是国家安全,美国首次因网络攻击进入紧急状态;(2)网络安全对手不再是小毛贼,专业化高级黑客组织入场,DarkSide被指是此次事件黑手;(3)基础设施成为首要攻击目标,年初以来美国连续发生的太阳风供应链网络攻击、佛罗里达水处理工厂被攻击,到今天输油管线勒索攻击事件一再证明;(4)网络攻击不分战时平时,必须要未雨绸缪,网络攻击随时可以发生造成黑天鹅事件;(5)网络攻击已经不分军用民用,不分国家、企业、个人,每个节点都可能成为攻击跳板;(6)碎片化各自为战防御已经无力应对新型攻击,只有依靠“安全大脑”的整体协同防御才能抵御高级别攻击,提高基础设施网络安全防御能力已经迫在眉睫。 对周总这个站位来说,是哪个层次的紧急状态,也已经不重要了,他提的那些点能提高社会对安全的重视才是重要的,能服务目标的素材都是好素材。
2、Darkside说以后不干这种影响社会的事了:Our goal is to make money, and not creating problems for society. From today we introduce moderation and check each company that our partners want to encrypt to avoid social consequences in the future.金盆洗手本来就是不对的。一辈子杀人放火,金盆洗手一下就干净了,如果有这样的规则,那还有谁当好人呢?放下屠刀,服满刑期,然后看情况成佛,这才是正义。
3、【拜登下令强制推行零信任架构】大家觉得这个会不会给美国带来更多的网络安全事件?美国政府的惯常操作是集成,商业化产品的标准化集成。所以变化实际还好。CDM、TIP都打下了很好的商业产品集成的基础了。今天刚好在会场又听了何老板讲了一下这个,零信任是一个解决方案,可零可整,就看你变动的成本和困难程度,还有就是变动后可能存在的架构上的未知风险。
4、现在很多零信任我挺呵呵的,是vpn+点啥玩意就叫零信任。我理解的零信任核心是细分场景风险级别,根据风险级别进行细粒度的授权 现在零信任落地很有挑战,第一需要进行较大的统一接入改造,第二大家都在做场景的风险分级,但是对于细粒度资源的自动分级与场景风险适配,基本没有什么进展。 说零信任是从来不信任,总是在校验,是明显误导零信任的。零信任发展的背景就是谷歌这样的互联网公司,办公越来越开放,出差,在家,在很多风险场景下都需要接人办公,零信任本来就是在安全与业务需要的平衡产物,根据场景风险级别进行授权,保证业务的可用性。如果真按从来不信任,永远在校验,干脆别让这些场景接人好了 上次小黑羊那篇软文,把零信任比做皇帝,不信任任何妃子。我就说,真正的零信任皇帝是给妃子划分不同的等级。啥妃子都不许近身的皇帝,只会绝后。
---------------------------------------------------------------------------------------------------------
企业安全建设实践群
第21期0510-0516
上周群里共有 121 位群友参与讨论
17 个话题分为以下6类
安全管理:2个
安全技术:5 个
求文档:4个
产品推荐:3个
法规解读:3个
行业思考:0个
【安全管理】
1、每把锁代表所有的职工的安全意识。这和一把锁没区别啊,开一把锁就能全开,跟一把锁很多钥匙比有哪些优缺点?是要搞纵深防御,横向越多反而安全性可能更弱。
2、大佬咨询个问题:业务和关联公司出于提高业务效率的考虑,想给关联公司开放公司业务系统账号,设计的账号权限为只读且可读信息不敏感,对这个给外部人员开权限的需求,如何从安全合规或强势角度回绝这个需求?
【安全技术】
1、大家针对勒索病毒,有具体的企业级应对方案或措施吗?勒索病毒的预防措施或手段有哪些?
2、各位大佬,想问下服务器安全基线都是怎么做的?有没有产品能既按照定制基线对服务器检查,又可以下发模板配置参数的?我听厂商说没有开发基线配置下发是怕出问题。
3、各位大佬,对于应用的基线目前有什么好的方法么,比如敏感信息泄露,app合规,组件版本。
4、各位大佬~ 请问一下有老哥清楚AES128的破解条件么?
5、请教下大佬一个问题,Linux主机shh如果能破解,形如YiTAkHp4**bKa08U,是不是有专门的破解工具?工作原理是什么?感觉一般工具根本跑不出来。
【求文档】
1、各位有没有信息安全违法的定级标准可参考的,准备更新下管理制度?
2、问下大佬们有相对比较全的企业IT审计的checklist吗?
3、各位大佬好,求一些新员工信息安全意识培训的教材!
4、信息安全服务收费标准?有没有类似的文件啊?
【产品推荐】
1、大佬们,谁知道开源的docker静态漏洞扫描工具有哪些么?
2、各位大佬,请问有勒索病毒的解密工具吗?
3、大家在用那个公司的零信任终端管理平台哇?
【法规解读】
1、怎样会被下架啊?被客户举报么?还是工信部会对app进行远程监测,发现重大问题直接下架?一般是检测 - 》工信部单独发函件整改->检测-》公开通报-》检测-》下架。
2、现在大部分网游都要求实名认证,这算超范围收集信息吗?
3、请教一下,通过腾讯问题小程序的向客户收集姓名、手机号、保单号信息,这种方式的收集客户敏感信息,在个人信息保护方面,需要考虑哪些要点,如果要符合银保监监管要求需要满足什么条件?
【行业思考】
无。
-------------------------------------------------------------------------------------------------------------
群话题 | 关键词:安全培训质量如何保证,外网登录公司邮箱是否要VPN,第三方sdk偷偷采集用户隐私,mysql数据加密的实现……
群话题 | 本期关键词:权限管理、CVE漏洞管理、容器安全自研或外购、实战化渗透测试人才技能要求、敏捷合规安全三者找平衡点……
群话题 | 本期关键词:资产梳理CMDB、《常见类型移动互联网应用程序必要个人信息范围规定》、钓鱼邮件的强化规则、安全与法务……
群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……
群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……
群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
如何进群?
本文始发于微信公众号(君哥的体历):群话题 | 关键词:安全仍是奢侈品,中勒索病毒最怕攻击者懂业务,云桌面和桌面沙箱各自优劣,拜登强推零信任对美网络安全的影响
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论