关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周

admin
admin
admin
139393
文章
114
评论
2022年6月27日07:50:51评论47 views字数 3837阅读12分47秒阅读模式
‍‍‍
‍‍‍‍‍‍‍
‍‍

关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周
关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周
0x1 本周话题TOP2
话题1:大佬们有遇到过这样一种安全项目的招标方式吗?就是第一次先发公告请符合要求的厂商来进行poc测试(没参加的或者测试不通过的将不允许参加后续的项目招标),然后第二次又发个公告说请第一次做了poc测试的厂商来投标…感觉有点矛盾的方式,领导提的。不知道这样是否合规?待会第二次发公告真跑了一些第一次没参加的厂商来岂不是很尴尬。或者第二次是用邀请谈判的方式去邀请参加poc测试而且通过测试的厂商?不知道合规吗?
A1:评标方法里,没通过第一次的,直接打零分就好了。尴尬的是最后中标的是没参加第一次的厂商。
A2:各部门自己负责自己的采购,什么都干。合不合规可以问问合规部门撒。
A3:入围后第二次还发公告?我觉得一般不会那么做吧。
Q:第二次不会公告就是之前入围的选。第二次还公告是不是要控啊?
A4:这种情况只能采用邀请招标吧,采用公开招标不可控,当然可以在意向单位中设置控制项来操作哈,你领导主要担心合规问题。
A5:如果是邀请,第一次根本不用公告。公告就是想要向审计说我是公开的,规避了邀标的风险。但你又排他了,从招标法来说这是不合规的。市面上有销售许可证的有50个厂商,你凭啥只邀请这3家,往小了说你不支持创新小微企业,往大了说你有没有猫腻。
A6:这个没啥问题吧,本身就是公开招标,报名后POC测评,通过的才可以继续投标,技术+商务+价格,第二次只是个公告而已,通过POC的购买招标文件还得等二十多天才投标开标。
A7:如果第一次公开招标,符合标书的都能投,那完全没问题,流程是公开招标-资格审查-poc,限期如一个月poc完了评标,就是完全的公开招标流程。
A8:评标这里根本不会有未测试厂家参与的可能性。“请符合要求的厂商来”,我当成谁能投标是你邀请的了。
A9:如果第一次就公开招标,那感觉就不需要第二次公告了。当有第二次公告如果是只能从第一次里面选,又何必有第二次公告。如果第二次公告不说明只能第一次通过的里面选,那自然也可能有其他公司参与。
A10:其实这是一个连续的招标过程,不是“第一次招标定名录”,“第二次招标设置资格”的关系。如果你没有邀标的需求,完全可以第一次费点事公开招标做好poc签下框架设定不同指标的入围名录,后续按照需求从名录里直接下单,没有公开那摊子事了,你第一次搞完了。
Q:可能我没说清楚,第一次挂公告是poc测试的公告,第二次是招标的公告限制厂商范围,只是想看有没有必要,是否合规哈?
A11:如果第一次没有邀请的需求,就按公开来呗,公告还是要发的,包括资审结果,中标结果,都要公示,这个流程根据金额可以缩短但不能省略。其实这不用你操心。让采购弄就行了。你要操心的只有中的厂商好不好用。
A12:我们没有专门的采购部门的,都是各部门自己解决自己的问题。
Q:啊?公开招标自己发?那有审计管你们不?
A13:审计都是开标的时候来看看,顶多有个法规审核一下文件内容有没有问题。
A14:如果没有集采部门,那说明没人要求你们“需求、采购、验收分离”,也没有采购制度,你还搞公开招标干嘛,带动公司走向先进么,直接邀请得了。好奇你们公告在哪公示。
A15:领导要求要合规啊,反正流程比较乱。一言难尽,由不得我们自己。
A16:如果是我来做的话,只能说是做到自我保护,公开招标,资格审查,资审结果公示,poc,评标,中标结果公示,合同,流程合规,拉上其它部门一起,不是我一个人弄的,公司没采购部门也不是我的问题,我这儿反正干净了。但你要说合规,这没边,凭啥你们自己评不找招标代理?凭啥采购方案是你出?凭啥你去砍价?评标专家哪来的?这跟第二次公不公示根本没关系。归根到底这规是什么,拿不拿的出来,是公司制度说了算,还是以政府集采为准绳。要是公司制度有法可依,邀标又何尝不可。
A17:先写采购制度,公司发布了就代表公司授权,再按照制度执行就没有问题了。采购无非是法规,公司制度,过程也无非是授权,角色,审批流。对或不对,除了法规遵从外,都是内部制度的遵从,这个很关键,如果不明确的可以完善。
A18:人财物,没有集中物控啊。找个集中物控的控制程序,稍微改一下用一下,当个引子,立个标杆,公司顺便把集中物控建起来,是不是比较理想。
A19:采购部其实要考虑的还真挺多,需求 合同 流程 法务 订单 财务 执行 发票 验收 续约 反腐 DD 风控 价格 交付。
Q:NO,小金额……大折腾,实际上就是为了合规,然后想做得表面一点问题没有,之前没人这样做过,领导又想叫我们做。就是不明确的东西太多了,让我们探路去了。
A21:大概率是小公司,这种前后台的事务没人管。要不然就是有专门采购部门了
A22:探路属于试错方式,不如先讨论出来一个采购制度和流程,各方没有意见就执行。之前就说我们犯错,现在又要我们去探路了。制度流程只有一些简单的,详细的就是不出,让大家自己解决。如果一不小心,你的团队顺便孵化出个公司级别的集中物控,也不是不可以。探路的话,就算把活儿领了,也要拉上财务和项目管理人员一起做,功劳是所有人的,从局部业务走向全局业务,好事儿
话题2:问个问题,国内外有专门在做ueba的么?只做这个的。
A1:对内还是对外的,即外部用户还是内部用户?内控安全这部分吗?
A2:内外都有,主要应该是内部占比比较大。一般这种都是建议自建诶,不然调试成本还是很高。
A3:独立的ueba产品肯定是有的,但只做ueba的厂商印象中没有,主流的应该都是网络或安全类厂商做的吧,比如siem厂商。
A4:数据安全厂商做的多、不过内控安全还包括行为异常监控,大厂自己做的多。
Q:为啥要找只做这个的呢?
A5:我就想了解一下,然后调研一下供应商的实现方案
A6:品牌商不好分享,就常规的厂商。
A7:ueba现在大部分是siem soar类型产品里面的组件,独立的好像不太见到。
A8:UEBA是一种解决问题的方案方法,针对不同场景详细技术思路不一致。UEBA现在可建设的公共平台,主要有以下几点:1、建立在大数据平台的基础上,2、构建统一的ETL数据处理过程,3、构建智能分析关联应用平台,4、应用大数据技术或者模型进行应用场景落地。
目前,难点在于分析技术或者模型在实际场景中的落地
Q:核心原因是没有场景。我们正在评估要怎么做,调研后看下是采购还是自研还是其它。
A9:场景倒是有的,只是关键数据缺乏以及业务流程复杂,处置牵扯部门太多,都会导致落地终止。
还有就是安全对于很多用户来说就是非黑即白模式,用户不接受模型那种不可解释性的结果。一般要根据结果倒推原因,寻找证据让用户信服。
在1,2环节可以采购,3和4就需要自研。每家公司的业务场景以及数据不一样,构建应用通用平台有些困难。
Q:推广的时候业务配合度咋样?这东西不像漏洞利用,业务更难认可价值。
A10:我觉得除了合规审计业务比较关注,普通业务不太认可。
0x2 本周精粹
休刊
0x3 2022年第23周运营数据
金融业企业安全建设实践群 | 第152期
本周群里共有 88 位群友参与讨论,群发言率为 18.76 %,群发言消息数为 344 条,人均发言数为 3.90 条。
企业安全建设实践群 | 第77期
本周群里共有 39 位群友参与讨论,群发言率为 11.57 %,群发言消息数为 95 条,人均发言数为 2.43 条。 
0x4 群友分享
【安全资讯】
华为云带崩同花顺等一众应用,工行系统疑似崩溃|俄罗斯知名媒体电台遭黑客攻击:奏响乌克兰国歌
国家网信办修订《移动互联网应用程序信息服务管理规定》发布施行
《银行保险机构信息科技外包风险监管办法》全文
华为易某调离岗位后未清理 ERP 登陆信息、并利用 bug 越权访问、将获得数据透露给第三方获利:判有期徒刑一年
法释〔2011〕19号 关于办理危害计算机信息系统安全刑事案件 应用法律若干问题的解释
国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告
刚刚、华为云崩了。。。
【安全技术】

Google对于未来SOC的建设思考(自动化安全运营白皮书)

https://zhuanlan.zhihu.com/p/528817905?utm_source=wechat_session&utm_medium=social&utm_oi=647822373387112448&wechatShare=2&s_r=0

--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
全国性攻防演练在即,对供应链攻击有无较好的预防和检测手段?攻击溯源是怎么做的?审计员工的个人通讯是否合规?| 总第151周
同城数据中心网络流量过大导致波分问题如何解决、安全平行切面及美国出台新规:未经审批禁止向中国分享安全漏洞探讨 | 总第150周
关于搜狐员工被“钓鱼”事件的反思,钓鱼邮件防范方法讨论,安全如何推动漏洞修复以及企业网络安全工作责任的探讨?| 总第149周

如何进群?

如何下载群周报完整版?
请见下图:
关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周

原文始发于微信公众号(君哥的体历):关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月27日07:50:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于安全项目招投标方式的探讨以及浅谈用户实体行为分析UEBA的自建与外购 | 总第152周https://cn-sec.com/archives/1145660.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息