金融业企业安全建设实践群
第92期0405-0411
上周群里共有 136 位群友参与讨论
18 个话题分为以下6类
安全管理:2 个
安全技术:9 个
求文档:0 个
产品推荐:0 个
法规解读:0个
行业思考:7 个
(主要是对hw的思考,很值得一看。)
【安全管理】
1、一个安全人员最佳的发展路径是啥?先搞攻,再去甲方搞安全建设,然后出来创业?安全人员怎么做到cto啊,天花板会不会就在总监这一级别被封死了?
2、问下各银行同学,行里其他部门设置了兼职信息安全员(或类似名字,如信息安全接口人)吗?如果设置了,是正式员工承担,还是可以是外包人员?
【安全技术】
【求文档】
【产品推荐】
无。
【法规解读】
无。
【行业思考】
1、Gartner的应用安全测试魔力象限图,之前忘了有没有大佬分享过了,感兴趣的可以看一下:
[文件:gartner-magic-quadrant-for-application-security-testing-pdf-7-w-7780.pdf] 今天正好还和某国内厂商的人聊了一下,也是希望有一天能在这个象限看到国内厂商的身影。hvv推动了国内网安市场,助力经济发展和gdp增速。
2、同一机构频繁参与hw,阻碍安全建设,不利于业务发展。这种事情的利弊自然是要看对象的。不同的单位,同一单位里的不同角色,看法都不会一样。因为利益点不一样。评价的时候都得先加一个定语:“站在XX的立场上”。
3、我见过以下几种态度的HW防守方:
1、我要拿第一名,砸钱,砸人,砸关系
2、我要超过XXX
3、高层:我要找出自己的问题,然后修正,HW对我很好
3.1 下面正常运行,当然会更仔细一些
3.2 下面严防死守,断网断电
4、老子无所谓,你过来啊
5、能不能帮忙把我打穿,我好去调动资源
6、我很重视,但没钱没人
7、正常防守、启动重保模式,真被找到问题也没负担
8、HW是啥?
2、我要超过XXX 换成 “不能比xxx低”比较好(偷笑)
4、能促进安全投入,对安全行业肯定是好事,对国家网络安全建设也是好事。即使短期内有一些走偏,没能实现资源最优配置,慢慢也能调整过来。所以说这段话不是观点,是情绪:
5、大部分企业,Nday都防不住,还在天天害怕0day,还在搞apt检测……
6、渗透很多时候到最后都变成重复的体力劳动了,最终这一方面的工作会逐步偏向自动化,智能化就有点扯淡了。那渗透人员的未来发展在哪里呢?业务安全,好玩又实惠。我的个人感受,安全的本质就是攻防,渗透测试人员做到一定程度为什么不能转型做防守建设呢?比如参与soc的运营规则优化、防御体系的建设……
7、Hv期间抛一个谈资,缓解疲惫。武林属于社会地位较高的阶层,是居民中的有德之人,有次序的生活环境。江湖是一个没有规矩的世界,骗术横行。那么问题来了,网络安全,属于武林还是江湖?
------------------------------------------------------------------------------
企业安全建设实践群
第17期0405-0411
上周群里共有 126 位群友参与讨论
21 个话题分为以下6类
安全管理:6 个
安全技术:12 个
求文档:2 个
产品推荐:1 个
法规解读:0 个
行业思考:0 个
【安全管理】
1、请教大家一个问题,手机号首次登录时,手动勾选同意协议,这个可以理解。使用相同手机号再次登录时,是否仍要再次手动勾选?同意协议可以放在登录动作后弹窗显示。新用户弹窗,不是新用户直接进后面的逻辑。我理解的是,一共两个位置弹窗:1、app安装后首次启动--弹窗,简单说明你后面会收集啥,包括你会拿手机号判断是否为新用户,但此时不代表已注册,只是做判断 2、用户登陆/注册页面:用户输入手机号--判断是否为新用户--新用户弹隐私政策--同意隐私政策--注册成功,否则失败。
2、hw对安全厂商也是一次大考,VPN最不安全了。前几天发现,开发的人把含有登VPN的帐号代码放到了github上面。反正我现在vpn前面放防火墙锁ip。
3、有单位出局了?有15天的时间可以复盘总结了。
4、这次HW是24小时不间断的么?就算官方说不是24,你也得24呀。
5、上次有人问起企业认证,这篇文章可以参考一下:[文件:个人有哪些安全证书?企业有哪些安全资质?跟投标有什么关系?.pdf]
6、攻击队设计的钓鱼邮件…真拼,安全圈内卷的挺严重。红队钓鱼违规处罚事件:攻击队违规向防守方发送大 量钓鱼邮件,邮件内容涉及到人身攻击,对当事人造成不良影响,已责令涉事攻击队员向当事人作书面道歉。据获得的情报,有其他攻击队可能会利用该次事件进行钓中钓,编写攻击者当事人的道歉邮件发起钓鱼,各单位应注意类似邮件,切勿点开附件。
【安全技术】
1、想咨询下各位大佬,在监测时候对于VPN都有什么监测重点?能不能说说在各种场景下的监测指标,比如对于攻击者新建账户,我就重点关注有无新增用户。比如对于口令爆破,我就设置策略输入两次锁定账户。类似这样的求指点。
2、帆软0day漏洞预警 存在危险的帆软系统接口:webroot/ReportServer 解决方法:排查是否使用帆软系统,并同步在AF自定义禁止访问webroot/ReportServer路径。
3、致远OA的有哪个兄弟拿到exp了吗?
4、话说攻击团队应该是限定在一个场地里面的吧?能异地远程搞?外部协同,有外援的。
5、2021.4.8 情报共享 第一批 exchange、致远、天眼、shiro 存在0day 金蝶K3Cloud命令执行 全版本 前台 默认配置 和信创天云桌面系统命令执行,文件上传 全版本 前台 默认配置 用友U8Cloud命令执行 h3c计算管理平台任意账户添加 2016年版 红帆OA任意文件写入漏洞 启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(CVE已有) 帆软系统疑似存在0day,被RCE。
6、冰蝎3.0Beta7数据通讯模式自定义、内存马。这都是比较头疼的检测难题。BlueTeam太难了。https://github.com/rebeyond/Behinder
7、流量绕过了,大家怎么去发现问题呢?主机agent落地就会触发告警,他肯定会调用到相关函数。落到主机侧就是最后一道防线了。
8、大佬们,想请教下外部资产监控都是怎么做的,用的什么开源工具吗?想把暴露面收敛一下,做个实时的外部资产库,比如web应用和数据库之类的对外开放的资产监控。
9、生产主机侧的防御,大家都是怎么做的啊?有用开源agent收集主机数据自己写检测策略搞的么?其余的关于生产主机侧的防御还有什么地方可以完善呢?高危服务监测+管理后台监测(针对Web服务)。
10、一直没明白这个溯源,溯源到什么程度?一般也就看到ip地址和行为,再下一步怎么溯源?
11、红队是不允许在虚拟机里面操作吗?
12、防守在虚拟机里面操作的目的是什么?
【求文档】
1、大佬们好,哪位老师方便私聊给我来一份ISO 22301的标准文件呢,感谢~或者有没有可操作性的问卷工具,类似这个BIA。
2、大佬们有监管机构对于数据脱敏的指导要求或者规范类的吗?
【产品推荐】
1、文件共享摆渡,有没有什么安全可控的方案?windows共享?FTP?
【法规解读】
无。
【行业思考】
无。
---------------------------------------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
群话题 | 本期关键词:权限管理、CVE漏洞管理、容器安全自研或外购、实战化渗透测试人才技能要求、敏捷合规安全三者找平衡点……
群话题 | 本期关键词:资产梳理CMDB、《常见类型移动互联网应用程序必要个人信息范围规定》、钓鱼邮件的强化规则、安全与法务……
群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……
群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……
群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论