话题1:今年全国性攻防演练在即,大家对供应链攻击有什么好的预防和检测手段?假设自己公司使用的一个外部供应链被攻击和污染,渠道包括但不限于:开源组件,视频会议等办公或运维工具,外包人员及其电脑,有合作且有网络互联的公司。这么多渠道,人,电脑,软件工具,开源组件。怎么防?
A1:能迁回公司的就迁回来了,零星的公有云一些服务有一些担心。全面评估一下,对不必要的系统或服务,临时该停的停,该关的关。
A2:建议可以关注资产延伸下的第三方,特别是核心资产和服务接口与账密防护、检测,要求与压力传递,惩处规则说明,联防联控机制。
A3:视频会议类不涉及内部交互,如果放办公内网,可以划个单独的vlan。
A4:可以采购一些成熟开源代码和组件检测产品,用来使保护和管理开源软件的过程,实现自动化,包括检测许可证合规问题。
A5:这么短时间,我觉得防不住,在这些供应链入口处部署一些蜜罐吧,主机、终端、网络类的蜜罐,大概能做到感知。
A6:支持,不过这些问题只有想法,没有经过实战检验。
A7: 个人想法:1.情报获得,必须通过主动和被动方式第一时间获得供应链的问题情况。2.专职团队评估分析,分析攻击严重程度,公司影响范围。3.一线人员核查,确定影响范围。4.应急处置,按照业务重要性进行临时断网、打补丁修复。ps:前期其实有好多工作,上线之前的安全测评,知道开源组件情况。上线之前的资产管理,清楚资产入网情况。运行期间的资产测绘扫描,人工资产保险更新。
A8:第三方供应商的系统产品缺陷(组件、版本等)带来的威胁梳理很重要,以免迂回找入口。
A10:SolarWinds这类供应链攻击的监测其实还好,通过各种端点流量的attck监测点,供应链攻击还是会被发现,毕竟异常行为该有都会有。就是调查响应挺难的,如果是web应用可以用rasp,针对性下策略。主机终端常见软件被供应链攻击就考验edr的深度定制防护策略的能力了,国内的edr可以关注对标下有没有这种能力。真正遭受到供应链攻击了,就是又一套监测分析处置工作套路了。
A11:我们已经评估完了,也找专家评审完方案了,最终实施是禁止上网。不在线更新,不同步库,不上网,断掉互联网路由,必须的场景走审批并走指定代理。
A12:某组织打算通过供应链渗透A公司,结果被行业安全从业人员监控到,并编写一份APT攻击报告。实际上A公司并没有人下载木马,但是A公司的安全团队一看到报告。。就发现是针对自己的。以绝大多数公司的安全基础之薄弱,并没有什么能力防范供应链攻击。不过大部分公司都可以多看看行业报告,大厂内卷的时候,能帮到自己。
A13:私以为,供应链攻击=风险偏好极低,不信任供应链,即使供应链出问题也不能影响到本公司,做什么都要和风险偏好匹配。如果开发机是联网的,生产出访的zone是没有控制的,上网电脑和生产是通的,架构不调整,又谈供应链攻击…这算跟风,是天方夜谭。
A14:控住入口:建立内部安全下载源方案,防投毒。管住出口:供应链攻击终究是要出网,严格访问控制,加强威胁监控。
A15:当然管理手段可以做很多,责任状啊,交底排查啊,应急联动啊,但那都是事后了。和震网不同,全国性演习这个,要是出访控住了,就断了很多可能性。互联网暴露面,大家一定摸清底数扎紧篱笆了,那内部会不会有一些点主动去引狼入室呢,也要有台账,包括但不限于业务互联的,开源组件更新的,软件更新的,安全设备的,甚至是外包物业机房人员的,不是很想提零信任这个词,不过做法其实就算零信任,台账是啥,版本是啥,能不能被关联到本公司,第一层有哪些必要的业务连接需求,完事了第二层自身有什么合法行为,发现异常了怎么应急,其实是功在平时。
A16:供应链安全除了技术层面,人员安全相关的也需要关注。特别是由于各种原因需要原厂技术人员代维的,攻防演习期间其账号需要额外关注起来。
A17:我觉得不要看怎么说,要看怎么做。金融持牌机构通过网络隔离严控的做好边界策略管理,互联网、办公网、生产网、甚至金融网边界。边界安全策略管好,内部入侵检测、端安全检测、办公设备iot安全检测该上的都上了。最后找个懂的人把这些工具策略用到好。
A18:最怕就是一堆吹B概念的设备软件上了,最后根本没人运营。感觉也就攻防演习期间,运营的重要度提升了,没有攻防演习,好多企业都不怎么看告警。
A19:我觉得这里分开来看,如果自研的那好说,如果外采的,内部人要弄懂这些设备怎么用。其实简单来说就是工作做到平时。别就攻防演习搞个运动。每年攻防演习搞清理行动。过了也就没人管了。
A20:个人认为,供应链攻击只是攻击路径的拓展之一。路径上的对抗,要综合考虑投入、覆盖面和检出率。即便是当下企业安全防护到了这个层次,是否将资源投入有限的核心资产区,产出比更高?实际情况大家都懂,好多企业连资产安全、边界安全、员工意识都搞不定。
A21:供应链攻击的防御和检测是一个系统性的安全工程,不仅仅是安全团队一方就能搞定的,长期方案必须得和基础设施团队、sre团队深度配合才可能取得比较好的效果,短期方案如果单从roi较高的领域投入,我个人觉得主要在入口端和出口端做些工作可能会形成短期较为有效的效果,前者指供应链的入口,比如第三方软件的采购接入评估、外部三方库引入的例行检查,后者指供应链攻击后的出口,这个不是什么新的领域,重点应该放在c2外连检测上。先控制好输入和输出端,掐头去尾,然后在循序渐进融合基础设施、devsecops、sre合力搞定中间部分。
A22:供应链攻击的防御也比较考验资产管理的功底。情报获取+感知策略转化(快速转化/多重感知能力叠加覆盖)+影响面评估与持续追踪(资产管理/有效收敛)+协同防御与内部宣贯(动员基础平台团队/员工触达)。
A23:供应链攻击从预防的角度来讲,我个人倾向的答案是没有办法预防。例如,一次高水准的软件供应链攻击,往往配备了合法的代码签名、合法的协议签名、甚至C2的地址都是上游企业的真实ip。且激活阶段,以失陷企业的出口ip或者是终端唯一标识启动(例如华硕供应链攻击,以MAC地址白名单为触发条件),所以重点还是在检测,检测的关键又在于避免灯下黑逻辑,例如基于数字签名的白名单、基于ip和域名的白名单,都不应该被设计到检测逻辑中。供应链攻击者进入企业内网后,防御者应该默认终端失陷、EDR遭到致盲,端点当成无日志的黑洞对待。那么横移检测就是最关键的环节,Windows/Linux/甚至是MacOS横移有哪些手法,哪些是会产生横移流量或者在周边服务器(特别是域控制器)上留下异常日志的且全网误报率可接受的,持续运营优化,会是一个提升检测机会的思路。
A24:这就回到那个问题了。我觉得viking说得对,不该追求零失陷,只要你没取得成果就好了。viking说得是务实的。然而,如果是在说全国性那个的话,他的语境是不能从供应链失陷,这个偏好就完全不在一个层次了。
A26:全国活动那个,出现上游厂商被控制且设计、实施高阶软件供应链攻击的可能性不大,因为15天时间不够(除非违规提前踩点,这个另说)。常规的python包投毒、npm包投毒或合作伙伴失陷导致vpn冒用等,可以多予以关注。
A27:提前违规踩点很多队伍都在做,全国活动每年有很多供应链案例,其中也有不少经典的,包括上游厂商(如***下载站)、供应商(如负责运维、开发类的供应商)。现在一些供应商提供的系统,比如某知名邮件系统、vpn系统,这些都带有远程更新、运维功能。
A28:官方已经删除恶意包,但是因为镜像站有缓存机制,官方删除的包镜像站并没有及时同步删除,所以仍然有用户受到影响。这里的缓存同步删除也是各镜像站需要加强的地方。npm这个确实坑,官方修复了,业务自己update后还是个缓存的后门。
A1:基础设施与工具组合式的攻击者溯源归因,就是不再是单一的工具、恶意代码、DNS、IP、邮箱等片断归因,而是要有个组合,攻击者要形成这些要素的盗用是较难的,不过需要有个较长期的积累刻画,另外结合主动溯源的手段如使用微蜜罐和诱饵文档。
A2:现在基本上都是基于行为的溯源和反制,基于工具的溯源应该不太会做了吧,工具上的特征现在越来越少了。
A3:反向钓鱼,投密标之类的。溯源获得的信息真伪难辨。
A4:实际工作中工具溯源只能是辅助,绝不是主流。工具其他人改改就能用,有黑客组织的直接选择商业工具或者开源工具,很难单凭工具判断。
A5:溯源也是要考虑强对抗因素的。只是现在很多溯源方法都没有涉及这些,或者说没有遇到强对抗的对手。对大部分企业而言,更多的是通过溯源找出对手的攻击渠道和路径,回溯整个攻击事件,从攻击事件中整改暴露的问题,反思改进的渠道和方法,最终提升对手的攻击成本,减小企业的攻击面,加快处置应急响应的速度。
A6:国内企业安全溯源很少是溯源到攻击的人,大多溯源是溯源对方如何进来的,通过什么方式和渠道,然后进行整改,主要的原因还是企业从主观内部找原因。
A7:是的。虽然很多想法是说要从被动防御进化到主动防御,甚至主动出击攻击攻击对手,这个想法的来源来源于老美,然后,国内企业疯狂跟进,但是实际上,绝大多数企业做不到,也不需要如此去做。就像安保一样,你的保安最多在现场抓贼,然后提交证据案件给GA,然后由GA或者国际刑警去升级处置,对吧。
A8:你派企业的保安去别的地方抓人,想法很好,但现实很无奈。
A9:这个确实比较无奈,很多东西需要结合国内实情来对待,也就是守好自己的一亩三分地。
话题3:某AC的个人通讯审计功能关了?说是涉及个人隐私啥的?
A1:这波打的措手不及。上次传播ac监控的聊天记录后,肯定有动作的,使用插件的方式获取聊天记录,是否属于im加密的反编译?
A2:要继续使用 ,要签协议《风险告知书及回执》。
A3:厂家这么杠?是不是被监管找麻烦了。。甲方会签字画押给他?想多了吧。
A4:合规的做法,不是就应该这样子去处理吗?乙方也只是尽到风险告知的职责,用不用还是由甲方决定。责任转嫁给了使用方。
A5:在启用该功能,勾选同意才能使用,相当于签隐私政策一样。
A6:不签就不卖了?不知道有没有这么硬气。如果被追责或者发生舆情的风险很大,那也不是不可能。上回某乎检测员工上网行为,某服设备提供离职指数。。。
A7:这不就是卖你菜刀,怎么用我不管嘛。现在买菜刀都得登记身份证,不登记不卖。
A8:这算自保吧,外加爱买不买的态度,我觉得是。厂商发这个告知书是在你们买了设备后,还是买设备前啊?厂商脱责,走技术无罪的逻辑么
A9:买了很久了,今天发过来的。主要是现在在审计期,聊天通讯监控专题 。
Q:我们今天合规也在询问这事,对员工聊天信息进行留存,公安等监管部门是否有明确的要求?
A10:审计员工的聊天记录这个不需要告知员工吗?不审计记录,如果发生一些不好的言论,公司会不会被问责?
A11:员工聊天不能监控吗?有监管要求的呀,证券行业是要求的,对办公通信工具要进行日志留存,防止内幕交易老鼠仓。
A12:信息隔离墙制度吧?这个是有范围定义,不是面向全体员工。
A13:但是也得有范围吧,例如公司邮件可以看,但是个人通讯工具是不可以的吧,这个要申请取证的时候才能干吧。
A14:基金管理公司应当建立健全通信管理制度,加强对各类通信工具的管理,公司固定电话应进行录音,交易时间投资管理人员的移动电话、掌上电脑等移动通讯工具应集中保管,MSN、QQ等各类即时通信工具和电子邮件应实施全程监控并留痕。录音、即时通信、电子邮件等资料应保存5年以上。() A.正确 B.错误
A15:根据律师解读,基于个保法、公司法、劳动法等,如果是公司统一采购分发的办公用电脑,基于信息安全管理需要,安装必要的安全监控软件,哪怕在没有明确告知用户获得同意的情况下,也是没有太大问题的。但是对于员工BYOD设备接入公司网络,如果需要安装监控软件,一旦存在主动或者被动搜集员工个人信息的,是需要获得员工本人同意才可执行。最好就是签订相关的协议。也就是某产品为什么要主动下架这个功能,确实个保法的原因。
A15:监管的要求是要符合上位法的,怎么适用估计监管也在琢磨。
Q:如果不涉及客户端,只记录网络流量行为,使用BYOD设备,需要告知吗?
A16:需要告知的只有涉及到收集个人信息的场景,隐私场景适合不?
A17:目前看BYOD设备只有隔离沙箱技术或者VDI才算是合规的,否则监控一定会涉及到个人的隐私信息。只做到告知或者签订协议目前看可能都是不够的,上次谁说的挺好,员工是弱势方很难证明员工是自愿的。
A18:国外怎么管理的,tk好像以前提过,国外byod强制接受公司要求。
A19:自愿和同意还是有区别,同意了不一定是自愿的。
A20:自不自愿的问题,我个人觉得有点思虑过多了。BYOD设备属于私人财产,员工自己是有绝对权利说不安装,BYOD设备监控软件的安装,企业最好是做到提前告知并获得书面同意。这是从法律要求正常程序去推进。实际上来讲,即使没有告知,企业即使收集个部分个人信息,但是做好了信息安全管理,未对员工造成权益损害,没签协议又如何呢,员工在不知道收集了哪些信息的情况下,他如何取证呢。
A21:告知是必须的,但员工可以选择我不BYOD。国外byod也不是一刀切的要求,分不同类型员工对待。如果规定禁止BYOD是不是就不存在这些问题了。
A22:去BYOD当然可以,不过得看各企业自己的情况,不然执行不下去。比如员工下班时间,你说不允许BYOD,那这活就等明天上班再说..
A23:BYOD的另外一个选择是公司发设备,还需要有技术手段不让byod进来,同时能基本保障员工接入办公,这样才能兼顾。手机 笔记本 都是公司资产 就简单了。准入做到这点现在还是成熟的。
A24:从我们的实际经验看,还是沙箱吧,手机是公司的,逼着员工带两个手机,员工要么不领取办公的,领取了也没有用的习惯。这个是要定好风险人群强制执行,否则的确推不动。
A25:多数老板看到要多花一大笔钱买设备这条路估计又走不通了。手机还得定制系统,还得做资产管理,成本特别高。手机经常自己系统问题,或者安装的非办公软件问题影响了办公使用,最后也算安全团队方案问题,安全团队推这东西会给自己挖个特别大的坑。
A26:是的,识别公司资产是零信任要达到的最基础要求。弄个沙箱,电脑手机卡了,断网了,都赖你。这样理解,那应该可以解决限定地点的场景,比如在单位不能使用自有设备,出了单位另说。
A27:我们也做过mdm方案,因为需要权限,权限会涉及隐私,也没推下去。沙箱还是相对好弄的。很多企业是开放的办公环境,wifi直接接入办公。设备位置精确定位也不容易,也要采集隐私数据。
本周群里共有 108 位群友参与讨论,群发言率为 23.18 %,群发言消息数为 383 条,人均发言数为 3.54 条。
本周群里共有 96 位群友参与讨论,群发言率为 28.4 %,群发言消息数为 283 条,人均发言数为 2.94 条。
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
原文始发于微信公众号(君哥的体历):全国性攻防演练在即,对供应链攻击有无较好的预防和检测手段?攻击溯源是怎么做的?审计员工的个人通讯是否合规?| 总第151周
评论