群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……

admin 2022年4月19日23:17:44安全闲碎评论15 views4813字阅读16分2秒阅读模式

群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……

群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……


金融业企业安全建设实践群

第92期0405-0411


上周群里共有 136 位群友参与讨论

18 个话题分为以下6类

安全管理:2 个

安全技术:9 个

求文档:0 个

产品推荐:0 个

法规解读:0个

行业思考:7 个

(主要是对hw的思考,很值得一看。)


群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……


【安全管理】


1、一个安全人员最佳的发展路径是啥?先搞攻,再去甲方搞安全建设,然后出来创业?安全人员怎么做到cto啊,天花板会不会就在总监这一级别被封死了?

2、问下各银行同学,行里其他部门设置了兼职信息安全员(或类似名字,如信息安全接口人)吗?如果设置了,是正式员工承担,还是可以是外包人员?


【安全技术】


1、感觉员工弱口令,好像比例出奇的一致,1/80,各位大佬有统计自家的嘛?能用扫码登录的用扫码,不行在用双因素,双因素感觉还是有。安全意识培训---钓鱼测试--弱口令扫描 扫码认证--双因子认证---密码认证。如果系统后台不支持检查,弱口令很难杜绝的。扫描认证是好东西,体验比双因素好。做检测还是比做预防成本高些。

2、请教一下大家,我们这发现的和外面情报的ip都是32位的,那封禁也就一般都32位么,还是理想中一封就c段起?

3、这个参数攻击者如何控制呢?
群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……

4、好多传的0day,其实是厂家已知,但客户未及时升级最新版本导致被攻击成功,严格意义算1day。

5、文档里面写的致远任意文件上传可能和我们之前抓到的是一个,不过没写详情。这个是我们之前抓到的致远漏洞,[文件:致远.txt]  大家可以用到的自查下。抓0day是强大攻防能力的综合表现,手工点赞!

6、冰蝎3.0Beta7数据通讯模式自定义、内存马。这都是比较头疼的检测难题。通讯模式自定义,这点很麻烦了,会导致基于DPI的网络检测很难发现。通讯协议随机化会导致网络流量识别有困难,只能通过统计等手段进行识别,会导致误报率提高。不过办法肯定是有的,当年做协议分析那会,加密的BT流量我们也是能想办法识别出来。基本上就是DPI和DFI两种主流技术,当年我们是做的运营商流控设备,改吧改吧做waf、ips都行。

7、我们昨天到今天处理了上百个真实成功的入侵了,攻击队真猛,这次内存webshell太常见了,基本都是。因为各种小hw,很多攻击队对客户的内部结构很熟悉,大hw上来就直奔主题,都不带探索的。PWN和实战攻防的区别出来了...无人能真的确认成功入侵案例是否全部监测到了,无人能确认监测到的案例中的马都杀掉了。

8、这个我觉得对于甲方来讲,很不一样,现在很多的问题,是甲方安全的人对着内部各种各样的技术类别和架构,从终端,底层硬件,到网络,服务器,操作系统,数据库,中间件,应用框架,数据,需要无一不通,但实际是无法全通,自己在那里像个集成商,东搞搞西搞搞的,整体安全性全靠混。安全都说要收窄互联网资产暴露面,其实甲方的技术暴露面也是要收窄的,这么多的技术栈,可能每天互联网暴露的各种漏洞都能和你搭上边,这怎么持续的防,怎么持续的补。另外,现在很多安全的方案都是以检测和杀这种偏事中和事后的方式去应对,但解决问题还是应该在架构层面以事前方式解决,就想要从A点快速到达B点,不会想着我要多锻炼,好跑快点,而是我去坐车。所以用SERVERLESS这种,首先标准化了整个技术架构,然后从中间件层到下面的所有物理层都交给了大厂的云服务商,技术栈收窄了,然后找的第三方厂商数量也减少了,反正啥事都是你这一家大厂,不太用关心兼容性和扯皮的问题。到了HW的时候,直接面对攻击的压力,可能大部分就在大厂那里,大厂比甲方更担心被打爆,因为那个是大厂的底层架构,责无旁贷。

9、请教个问题 采购的系统,一升级就多了很多api,而且厂商自己都不知道,发现访问日志不符合常规一层层问自己才知道哦这里有这么个接口设计,怎么识别全呢?


【求文档】


无。

【产品推荐】


无。


【法规解读】


无。


【行业思考】


1、Gartner的应用安全测试魔力象限图,之前忘了有没有大佬分享过了,感兴趣的可以看一下:

[文件:gartner-magic-quadrant-for-application-security-testing-pdf-7-w-7780.pdf] 今天正好还和某国内厂商的人聊了一下,也是希望有一天能在这个象限看到国内厂商的身影。hvv推动了国内网安市场,助力经济发展和gdp增速。


2、同一机构频繁参与hw,阻碍安全建设,不利于业务发展。这种事情的利弊自然是要看对象的。不同的单位,同一单位里的不同角色,看法都不会一样。因为利益点不一样。评价的时候都得先加一个定语:“站在XX的立场上”。


3、我见过以下几种态度的HW防守方:

1、我要拿第一名,砸钱,砸人,砸关系

2、我要超过XXX

3、高层:我要找出自己的问题,然后修正,HW对我很好

3.1 下面正常运行,当然会更仔细一些

3.2 下面严防死守,断网断电

4、老子无所谓,你过来啊

5、能不能帮忙把我打穿,我好去调动资源

6、我很重视,但没钱没人

7、正常防守、启动重保模式,真被找到问题也没负担

8、HW是啥?

2、我要超过XXX 换成 “不能比xxx低”比较好(偷笑)


4、能促进安全投入,对安全行业肯定是好事,对国家网络安全建设也是好事。即使短期内有一些走偏,没能实现资源最优配置,慢慢也能调整过来。所以说这段话不是观点,是情绪:

群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……


5、大部分企业,Nday都防不住,还在天天害怕0day,还在搞apt检测……


6、渗透很多时候到最后都变成重复的体力劳动了,最终这一方面的工作会逐步偏向自动化,智能化就有点扯淡了。那渗透人员的未来发展在哪里呢?业务安全,好玩又实惠。我的个人感受,安全的本质就是攻防,渗透测试人员做到一定程度为什么不能转型做防守建设呢?比如参与soc的运营规则优化、防御体系的建设……


7、Hv期间抛一个谈资,缓解疲惫。武林属于社会地位较高的阶层,是居民中的有德之人,有次序的生活环境。江湖是一个没有规矩的世界,骗术横行。那么问题来了,网络安全,属于武林还是江湖?


------------------------------------------------------------------------------


群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……


企业安全建设实践群

第17期0405-0411


上周群里共有 126 位群友参与讨论

21 个话题分为以下6类

安全管理:6 个

安全技术:12 个

求文档:2 个

产品推荐:1 个

法规解读:0 个

行业思考:0 个


群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……


【安全管理】


1、请教大家一个问题,手机号首次登录时,手动勾选同意协议,这个可以理解。使用相同手机号再次登录时,是否仍要再次手动勾选?同意协议可以放在登录动作后弹窗显示。新用户弹窗,不是新用户直接进后面的逻辑。我理解的是,一共两个位置弹窗:1、app安装后首次启动--弹窗,简单说明你后面会收集啥,包括你会拿手机号判断是否为新用户,但此时不代表已注册,只是做判断 2、用户登陆/注册页面:用户输入手机号--判断是否为新用户--新用户弹隐私政策--同意隐私政策--注册成功,否则失败。


2、hw对安全厂商也是一次大考,VPN最不安全了。前几天发现,开发的人把含有登VPN的帐号代码放到了github上面。反正我现在vpn前面放防火墙锁ip。


3、有单位出局了?有15天的时间可以复盘总结了。


4、这次HW是24小时不间断的么?就算官方说不是24,你也得24呀。


5、上次有人问起企业认证,这篇文章可以参考一下:[文件:个人有哪些安全证书?企业有哪些安全资质?跟投标有什么关系?.pdf]


6、攻击队设计的钓鱼邮件…真拼,安全圈内卷的挺严重。红队钓鱼违规处罚事件:攻击队违规向防守方发送大 量钓鱼邮件,邮件内容涉及到人身攻击,对当事人造成不良影响,已责令涉事攻击队员向当事人作书面道歉。据获得的情报,有其他攻击队可能会利用该次事件进行钓中钓,编写攻击者当事人的道歉邮件发起钓鱼,各单位应注意类似邮件,切勿点开附件。


【安全技术】


1、想咨询下各位大佬,在监测时候对于VPN都有什么监测重点?能不能说说在各种场景下的监测指标,比如对于攻击者新建账户,我就重点关注有无新增用户。比如对于口令爆破,我就设置策略输入两次锁定账户。类似这样的求指点。


2、帆软0day漏洞预警 存在危险的帆软系统接口:webroot/ReportServer 解决方法:排查是否使用帆软系统,并同步在AF自定义禁止访问webroot/ReportServer路径。


3、致远OA的有哪个兄弟拿到exp了吗?


4、话说攻击团队应该是限定在一个场地里面的吧?能异地远程搞?外部协同,有外援的。


5、2021.4.8 情报共享 第一批   exchange、致远、天眼、shiro 存在0day 金蝶K3Cloud命令执行 全版本 前台 默认配置 和信创天云桌面系统命令执行,文件上传 全版本 前台 默认配置 用友U8Cloud命令执行 h3c计算管理平台任意账户添加 2016年版 红帆OA任意文件写入漏洞 启明星辰天清汉马USG防火墙存在逻辑缺陷漏洞(CVE已有) 帆软系统疑似存在0day,被RCE。


6、冰蝎3.0Beta7数据通讯模式自定义、内存马。这都是比较头疼的检测难题。BlueTeam太难了。https://github.com/rebeyond/Behinder


7、流量绕过了,大家怎么去发现问题呢?主机agent落地就会触发告警,他肯定会调用到相关函数。落到主机侧就是最后一道防线了。


8、大佬们,想请教下外部资产监控都是怎么做的,用的什么开源工具吗?想把暴露面收敛一下,做个实时的外部资产库,比如web应用和数据库之类的对外开放的资产监控。


9、生产主机侧的防御,大家都是怎么做的啊?有用开源agent收集主机数据自己写检测策略搞的么?其余的关于生产主机侧的防御还有什么地方可以完善呢?高危服务监测+管理后台监测(针对Web服务)。


10、一直没明白这个溯源,溯源到什么程度?一般也就看到ip地址和行为,再下一步怎么溯源?


11、红队是不允许在虚拟机里面操作吗?


12、防守在虚拟机里面操作的目的是什么?


【求文档】


1、大佬们好,哪位老师方便私聊给我来一份ISO 22301的标准文件呢,感谢~或者有没有可操作性的问卷工具,类似这个BIA。


2、大佬们有监管机构对于数据脱敏的指导要求或者规范类的吗?


【产品推荐】


1、文件共享摆渡,有没有什么安全可控的方案?windows共享?FTP?


【法规解读】


无。


【行业思考】


无。


---------------------------------------------------------------------------------------------------------------


#群话题


【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。


往期群话题


群话题 | 本期关键词:权限管理、CVE漏洞管理、容器安全自研或外购、实战化渗透测试人才技能要求、敏捷合规安全三者找平衡点……


群话题 | 本期关键词:资产梳理CMDB、《常见类型移动互联网应用程序必要个人信息范围规定》、钓鱼邮件的强化规则、安全与法务……


群话题 | 本期关键词:人脸识别的安全风险、个人敏感数据的权责划分、找到兼顾便捷与安全的平衡点、EDR、安全与运维的相处之道……


群话题 | 本期关键词:数据安全治理、安全是否需要做PR、github 监控及处置、HW前向上沟通的技巧、商业扫描系统误报率……


群话题 | 本期关键词:规划与预算,向上汇报的技巧,蓝军红军蓝队红队的区别,众测还是src……


如何进群?

如何下载群周报完整版?

请见下图:


群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……


原文始发于微信公众号(君哥的体历):群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令……

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日23:17:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  群话题 | 关键词:安全人员的最佳发展路径、网安属于武林or江湖、各单位对待大型演练的态度、webshell多发、弱口令…… http://cn-sec.com/archives/873312.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: