‍

‍‍

‍‍‍‍

‍‍‍‍‍‍‍

‍‍

0x1 本周话题TOP2

话题1：大佬们有遇到过这样一种安全项目的招标方式吗？就是第一次先发公告请符合要求的厂商来进行poc测试（没参加的或者测试不通过的将不允许参加后续的项目招标），然后第二次又发个公告说请第一次做了poc测试的厂商来投标…感觉有点矛盾的方式，领导提的。不知道这样是否合规？待会第二次发公告真跑了一些第一次没参加的厂商来岂不是很尴尬。或者第二次是用邀请谈判的方式去邀请参加poc测试而且通过测试的厂商？不知道合规吗？

A1:评标方法里，没通过第一次的，直接打零分就好了。尴尬的是最后中标的是没参加第一次的厂商。

A2:各部门自己负责自己的采购，什么都干。合不合规可以问问合规部门撒。

A3:入围后第二次还发公告？我觉得一般不会那么做吧。

Q:第二次不会公告，就是之前入围的选。第二次还公告，是不是要控啊？

A4:这种情况只能采用邀请招标吧，采用公开招标不可控，当然可以在意向单位中设置控制项来操作哈，你领导主要担心合规问题。

A5:如果是邀请，第一次根本不用公告。公告就是想要向审计说我是公开的，规避了邀标的风险。但你又排他了，从招标法来说这是不合规的。市面上有销售许可证的有50个厂商，你凭啥只邀请这3家，往小了说你不支持创新小微企业，往大了说你有没有猫腻。

A6:这个没啥问题吧，本身就是公开招标，报名后POC测评，通过的才可以继续投标，技术+商务+价格，第二次只是个公告而已，通过POC的购买招标文件还得等二十多天才投标开标。

A7:如果第一次公开招标，符合标书的都能投，那完全没问题，流程是公开招标-资格审查-poc，限期如一个月poc完了评标，就是完全的公开招标流程。

A8:评标这里根本不会有未测试厂家参与的可能性。“请符合要求的厂商来”，我当成谁能投标是你邀请的了。

A9:如果第一次就公开招标，那感觉就不需要第二次公告了。当有第二次公告如果是只能从第一次里面选，又何必有第二次公告。如果第二次公告不说明只能第一次通过的里面选，那自然也可能有其他公司参与。

A10:其实这是一个连续的招标过程，不是“第一次招标定名录”，“第二次招标设置资格”的关系。如果你没有邀标的需求，完全可以第一次费点事公开招标做好poc签下框架设定不同指标的入围名录，后续按照需求从名录里直接下单，没有公开那摊子事了，你第一次搞完了。

Q:可能我没说清楚，第一次挂公告是poc测试的公告，第二次是招标的公告限制厂商范围，只是想看有没有必要，是否合规哈？

A11:如果第一次没有邀请的需求，就按公开来呗，公告还是要发的，包括资审结果，中标结果，都要公示，这个流程根据金额可以缩短但不能省略。其实这不用你操心。让采购弄就行了。你要操心的只有中的厂商好不好用。

A12:我们没有专门的采购部门的，都是各部门自己解决自己的问题。

Q:啊？公开招标自己发？那有审计管你们不？

A13:审计都是开标的时候来看看，顶多有个法规审核一下文件内容有没有问题。

A14:如果没有集采部门，那说明没人要求你们“需求、采购、验收分离”，也没有采购制度，你还搞公开招标干嘛，带动公司走向先进么，直接邀请得了。好奇你们公告在哪公示。

A15:领导要求要合规啊，反正流程比较乱。一言难尽，由不得我们自己。

A16:如果是我来做的话，只能说是做到自我保护，公开招标，资格审查，资审结果公示，poc，评标，中标结果公示，合同，流程合规，拉上其它部门一起，不是我一个人弄的，公司没采购部门也不是我的问题，我这儿反正干净了。但你要说合规，这没边，凭啥你们自己评不找招标代理？凭啥采购方案是你出？凭啥你去砍价？评标专家哪来的？这跟第二次公不公示根本没关系。归根到底这规是什么，拿不拿的出来，是公司制度说了算，还是以政府集采为准绳。要是公司制度有法可依，邀标又何尝不可。

A17:先写采购制度，公司发布了就代表公司授权，再按照制度执行就没有问题了。采购无非是法规，公司制度，过程也无非是授权，角色，审批流。对或不对，除了法规遵从外，都是内部制度的遵从，这个很关键，如果不明确的可以完善。

A18:人财物，没有集中物控啊。找个集中物控的控制程序，稍微改一下用一下，当个引子，立个标杆，公司顺便把集中物控建起来，是不是比较理想。

A19:采购部其实要考虑的还真挺多，需求 合同 流程 法务 订单 财务 执行 发票 验收 续约 反腐 DD 风控 价格 交付。

Q:NO，小金额……大折腾，实际上就是为了合规，然后想做得表面一点问题没有，之前没人这样做过，领导又想叫我们做。就是不明确的东西太多了，让我们探路去了。

A21:大概率是小公司，这种前后台的事务没人管。要不然就是有专门采购部门了。

A22:探路属于试错方式，不如先讨论出来一个采购制度和流程，各方没有意见就执行。之前就说我们犯错，现在又要我们去探路了。制度流程只有一些简单的，详细的就是不出，让大家自己解决。如果一不小心，你的团队顺便孵化出个公司级别的集中物控，也不是不可以。探路的话，就算把活儿领了，也要拉上财务和项目管理人员一起做，功劳是所有人的，从局部业务走向全局业务，好事儿。

话题2:问个问题，国内外有专门在做ueba的么？只做这个的。

A1:对内还是对外的，即外部用户还是内部用户？内控安全这部分吗？

A2:内外都有，主要应该是内部占比比较大。一般这种都是建议自建诶，不然调试成本还是很高。

A3:独立的ueba产品肯定是有的，但只做ueba的厂商印象中没有，主流的应该都是网络或安全类厂商做的吧，比如siem厂商。

A4:数据安全厂商做的多、不过内控安全还包括行为异常监控，大厂自己做的多。

Q:为啥要找只做这个的呢？

A5:我就想了解一下，然后调研一下供应商的实现方案

A6:品牌商不好分享，就常规的厂商。

A7:ueba现在大部分是siem soar类型产品里面的组件，独立的好像不太见到。

A8:UEBA是一种解决问题的方案方法，针对不同场景详细技术思路不一致。UEBA现在可建设的公共平台，主要有以下几点：1、建立在大数据平台的基础上，2、构建统一的ETL数据处理过程，3、构建智能分析关联应用平台，4、应用大数据技术或者模型进行应用场景落地。

目前，难点在于分析技术或者模型在实际场景中的落地。

Q:核心原因是没有场景。我们正在评估要怎么做，调研后看下是采购还是自研还是其它。

A9:场景倒是有的，只是关键数据缺乏以及业务流程复杂，处置牵扯部门太多，都会导致落地终止。

还有就是安全对于很多用户来说就是非黑即白模式，用户不接受模型那种不可解释性的结果。一般要根据结果倒推原因，寻找证据让用户信服。

在1，2环节可以采购，3和4就需要自研。每家公司的业务场景以及数据不一样，构建应用通用平台有些困难。

Q:推广的时候业务配合度咋样？这东西不像漏洞利用，业务更难认可价值。

A10:我觉得除了合规审计业务比较关注，普通业务不太认可。

0x2 本周精粹

休刊

0x3 2022年第23周运营数据

金融业企业安全建设实践群 | 第152期

本周群里共有 88 位群友参与讨论，群发言率为 18.76 %，群发言消息数为 344 条，人均发言数为 3.90 条。

企业安全建设实践群 | 第77期

本周群里共有 39 位群友参与讨论，群发言率为 11.57 %，群发言消息数为 95 条，人均发言数为 2.43 条。 

0x4 群友分享

【安全资讯】

华为云带崩同花顺等一众应用，工行系统疑似崩溃|俄罗斯知名媒体电台遭黑客攻击：奏响乌克兰国歌

国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行

《银行保险机构信息科技外包风险监管办法》全文

华为易某调离岗位后未清理 ERP 登陆信息、并利用 bug 越权访问、将获得数据透露给第三方获利：判有期徒刑一年

法释〔2011〕19号 关于办理危害计算机信息系统安全刑事案件 应用法律若干问题的解释

国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告

刚刚、华为云崩了。。。

【安全技术】

Google对于未来SOC的建设思考（自动化安全运营白皮书）

https://zhuanlan.zhihu.com/p/528817905?utm_source=wechat_session&utm_medium=social&utm_oi=647822373387112448&wechatShare=2&s_r=0

--------------------------------------------------------------------------------

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

全国性攻防演练在即，对供应链攻击有无较好的预防和检测手段？攻击溯源是怎么做的？审计员工的个人通讯是否合规？| 总第151周

同城数据中心网络流量过大导致波分问题如何解决、安全平行切面及美国出台新规：未经审批禁止向中国分享安全漏洞探讨 | 总第150周

关于搜狐员工被“钓鱼”事件的反思，钓鱼邮件防范方法讨论，安全如何推动漏洞修复以及企业网络安全工作责任的探讨？| 总第149周

如何进群？

如何下载群周报完整版？

请见下图：

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

‍

原文始发于微信公众号（君哥的体历）：关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周