关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

admin 2023年2月6日00:45:00评论34 views字数 6442阅读21分28秒阅读模式

‍‍

关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

0x1本周话题TOP3

话题1:黑哥的一些业务和安全的共生方法,有不少有意义的解决思路。

关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

A1:言语可能不合适,但对业务来说,安全确实不应该阻碍业务15年前出道的时候,在安全和数据库两个方向中选了安全。选数据库,家里再穷,也得有个柜子。选安全,家里再穷,也得挂把锁

A2:不仅是业务,防守方(运营,产品,安全厂商)和运维也在背后骂。业务与安全是一个平衡关系,就如同P2P,就是啥时候暴雷的问题。有时在想安全和法律的挂钩关系的尺度。安全自身,不同组织架构,领域,定位,也存在鄙视链。

关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周
A3:哈哈,我们也被吐槽,当前正在做权限管理的改造。咱们做安全运营,还是要深入了解业务系统,以及了解用户(研发、产品等)如何使用系统解决什么问题?根据不同的操作上线不一样的安全管控策略,才能既有安全又有效能。用户随便做点操作就要拒绝/审批,确实是“耍流氓”
A4:我们在推动权限管理收口,以及自动化审批。根据岗位抬头来审批。具体由每个业务部门接口人设置。这块难点还在在老系统,得改造。都是自己管理权限的。
A5:我们已经管理收口了,但我们不敢做简单的自动化审批,做法是定义出敏感系统(数据或操作),然后逐个分析“谁”使用“系统”进行什么“操作”解决什么“问题”,配置相应的访问控制策略和异常行为监测(行为审计),在合理范围内的做免审批续期,范围外的才做强审批。目前来看,业务侧反馈还不错
以前让系统负责人和使用者的领导进行审批,相当于把责任推给负责人和业务方了,而且审批单特别多,影响研发效率。大概就是hei哥口中的流氓傻X。
A6:谁审批并不是很重要,关键是相关主管是否了解工作场景,场景诉求,哪些可以系统化实现基于访问行为可回溯,如果遇到大量数据脱离系统使用的场景,这个关键是不是能够改变业务方的使用习惯或者系统工具支持代价。
关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周
A7:比如密码3个月变更这个,容易挨骂。而且要一定复杂度,跟老密码的重复率不能超过多少,或者不能跟最近5次的重复,估计业务要冲过来砍人了。关键时刻(比如在客户面前,录单打合同之类的关键场景)记不清密码,让客户等很长时间。最后因为这些没搞定,客户不签了,到手的鸭子飞了。
A8:这种场景不需要考虑,只能说明这个业务不经常使用系统。百万以上的寿险大单不经常有,不常用也正常。如果没搞统一认证,还让改密码,业务非得弄你。大单小单还走不同系统吗?
A9:看如何设计业务场景了,我只是举个不恰当的例子。
A10:黑哥的攻击技术是大牛,这个业务阻碍问题,话比较糙,但也是所有安全人需要正视的,如果看着来气,说明哪儿还没调整过来,正面不说,背后也会说。比如我们为什么要做数据安全。不是为了把数据锁起来。国内外的数据安全标准和法规都会告诉你:做数据安全是为了让数据敢流动起来。如果一个组织的安全责任是安全部门的,安全当家长,那就容易被骂。如果责任属于业务自己方,情况就要好很多。
A11:说到底,为什么骂安全,不骂质量QA、运维、PM、变更、风控、审计呢?有啥本质区别,要找到这里的症结。
A12:都挨骂,只不过骂人的主体不同,内容不同,程度不一。就黑哥举的例子,我乍看都觉得安全做得没问题,意识还不够。自己责任背得多了,会想要有人来兜底。
A13:从出发点看,测试的目的是为了让系统更稳定,缺陷更少。抱着找茬心态去发现问题,开发肯定不爽。安全也亦然。至于那些解决方案,我觉得解决不了开头的痛点不解决症结,骂得更狠。是的,但如果我行我素,融入不了公司流程,那就是另一个问题了。
A14:之前搞游戏上线前内测,开发了一套扇耳光的功能,把产品、开发、测试、运维、美工、安全之类的站一排,让玩家可以任意选择角色扇耳光。
A15:但是安全有个不同的地方,就是安全是制定了很多规范标准。这个就加大了业务方、产品、开发、测试的考虑面。这个是没办法的。比如测试,就像保姆式服务。你没做UT,那我来写UT,你没自测,那我来写用例测试。开发感觉这样也挺好。换些小公司,测试就只负责写用例,然后甩给开发测试,开发最终也不会爽快。安全不要你孤立不孤立,安全是看价值体现的。比如最近蔚来出事了,上面不得不在安全上面加大投入,不得不加强安全的地位和话语权。靠讨好业务方和开发来做好安全,真没必要。只能说不能冷冰冰的像机器人布置任务,大家还得有交流,有谈判的空间和底限,尽量不要造成不必要矛盾和隔阂。
A16:话说回来,还是要协调各方关系和利益平衡。但是安全不太好控制,因为底限要守住。其他几块,比如运维、测试等,说白了,给多少预算,做多少事。人多有人多做法,人少有人少做法,经费多有经费多做法,经费少有经费少做法。
A17:根本上说还是大家的认识和理念,彼此之间有缺口,由于安全业务和要求发展的时间相对比较短,速度又显得有点快,大家对这个方面的理解和适应配合程度,低于其它业务,所以缺口也就相对明显,骂得多一点狠一点也正常。
A18:我理解可能也没有那么重,其实和您说的上面的差不多。多有多的做法,少有少的做法。不投企业性质及收入,导致不同的安全要求。也不能一棒子打死,小马拉大车也是不可取的。还是要配套。
A19:我们董事长提出一个模型,一开始是给风险用的,后来内部安全组织也按这个架构。公安也有一系列关于组织的要求。总的来说,安全组织集管理、服务、技术、责任于一身,不是简单的划分边界我们主要用这个模型,把安全责任压到一道防线,安全提供服务、技术、责任共担和管理兜底,也算是一种“安全是业务的属性”,安全部门提供帮助和监测的实践吧
效果很显著的,业务链路梳理,面临风险,埋点监测,这些安全都需要赋能去做,切面去做,靠安全自己是做不透的,责任不在他他还忽悠你呢。从这个角度,我觉得阿里的实践真的相当好了。
A20:其实很多中小企业,在一道防线自身技术能力或者说认知上就完全没有理解。更别说对于外包开发这种情况了,也是很难。你说你给他培训,过两天他走了,你给他上技术手段,成本又很高。最终又回到黑哥说的,立、 问题
A21:上面是对的,多好的董事长啊。就到现在,还有很多网管会说,防火墙到底应该网络管还是安全管,这就显然是把安全当个独立业务去看待了,其实,没有网络谁会说网络安全的话题呢,把安全理解为是一种业务品质属性是更合适的,只不过,目前,很多人或更多人还不是这样的理解方式。
多少年前啊,从内地开始关注巴塞尔协议那个时候开始,大概那个时候,我们的监管体系里陆续引入了全面风险管理、内部控制准则这些,之后陆陆续续不断改进资本监管方面的很多东西,这些年下来,你再去看一眼的话,会发现,这方面的社会人才储备还是不太够的,三道防线这个话说得大家都听着有点耳熟了,实践中还是有很多推推让让牵牵扯扯,安全话题同样需要经过一个社会教育逐步深入的过程。
A22:开发:你说的我都同意,你告诉我要怎么做才不会犯错;内控:这,你专业啊,我不懂,我说下重要性;开发:滚蛋。这是普遍现象。
A23:所以安全其实是有一种寄生属性,有业务才有业务安全,有数据才有数据安全,有网络才有网络安全。
A24:其实也不单纯全是依托形态的,就常规的部分大多可以认为是这种,也有另外的部分,比如说正面的对抗,或者说竞赛性的安全业务,就更有独立性一点,从这个角度说,安全业务治理,可能还是要既包括监管属性,也包括技术研究和对抗属性,为宜,个人理解哈。有些场景,比如说特定事件溯源,就以相对独立的专业人士去处理比较好。
A25:但如果二道防线说,我有一套工具,我们一起组成一个专家组,评价适用性、差距、计划,并报领导小组同意,后面就落实这一套规范,就能满足相关要求。这个时候开发会配合的,而且,安全风险,隐私风险,业务埋点需求,好多都可以融合在一起一次性投入成本,不反复翻烧饼,阻碍会小很多。安全为啥要讲三同步,其实就是为了这个参数与其它业务参数同步拉平
A26:从甲方而言,安全是业务的附。从乙方而言,安全如果抽象不成一种独立于业务的可复制的产品或服务,就没有商业价值。 因此,甲方安全团队的安全规划和设计,需要从业务视角出发,抽象一套技术能力体系,让乙方提供通用的产品和服务,而业务个性部分,来自安全团队的运营。
话题2:收到这种短信,感觉滴滴还是不疼。
关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周
A1:有没有可能是冒充的?看起来和滴滴出行是两家法律实体。一看就是诈骗,一般官方补充信息不会用短链接。
A2:这不一定,银行业金融机构是,互联网不一定。也会用短链接。互联网贷款现在还是没有完全规范,包括360借条、360数科,这些名称太多了,一般人真分不清楚。
A3:短链接是滴滴公司的。
关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周
A4:短链跳转完整url一样,有验证就行。短信有长度限制,涉及成本,以前一堆业务用免费的第三方短链接,稳定性、安全性都存在问题,后面自建了短域名解析服务
Q:你看看你当初勾选☑️的隐私政策是否包含了贷款业务推销?
A5:那个如果有,也属于概括授权吧。不符合最小授权原则。
A6:自建最安全,不然就控制好短链供应商,例如收购短链供应,之前看到的一条攻击思路,就是搞不定这个,就买下来。
A7:遇到过几个事情,当然没有收费服务,全是业务自己找的免费的。
1、短域名服务使用http,导致链路劫持 。
2、短域名服务的短链接有时效,过期后跳转其他广告页。
3、短域名服务稳定性不足,业务中断
所以就自建了,这玩意特别简单,抛去流程,几天就能上线了。我们还特意买了个短域名,就是备案比较麻烦。
我们甚至怀疑,部分免费的短域名服务随机抽选用户跳转广告页。
Q:有没有可能是运营商或者运营商的外包机构干的?
A8:可能,上面就说了免费短域名服务使用http的多,有链路劫持的可能,所以说是怀疑。反正没证据,客户侧没法验证。
A9:应该不太可能,管局爸爸管得很严的。感觉唯一的阻碍就是短域名比较贵。万一再碰到个讹你的谈不下来,否则这事还真是自己维护最好。金融机构不差这点钱,建议自己搞。
话题3:向群里大佬们交流个问题,对于内向外的安全事件,比如cs反连、挖矿,会进入网络层的自动化响应做外向封禁吗,如果不适合的话有什么方案可以对这种行为进行快速化处置?
A1:只能杀毒,强行自动拦截容易影响业务,能调用杀毒接口最好,看你们是什么桌管吧。
A2:如果在网络层比如idsnta上监测到这种流量,是不是意味着主机层的防护已经失效?
A3:也不算失效吧。有的只是反连,没啥其他动作,有的勒索如果ping不通某个域名反而会有动作。
A4:向外只有白名单,和专线。
A5:正常来说做内外网隔离,出现告警的机器直接格掉。
A6:白名单是不是会有点问题?运维相关经常会下载一些软件之类的操作,会涉及到外联。
A7:我主要是遇到过场景,像终端受钓鱼,成功被反连cs,通过人工介入,可以分析exe拿到反连地址去终端上deny,或者边界墙手动加acl,但很低效,在需要自动化快速处置时候就不好了,大家会用桌管类软件在终端上下发防火墙的acl策略吗?
A8:终端咋下发acl,还不如直接和防火墙联动。
A9:自建内部yum软件库。有需要下载的临时开白名单,下载完以后及时关闭。
A10:这种严禁链接外网,万一有运维工具投毒你就完了,只能外网下了之后搬进内网。
A11:都是严禁的,要用啥工具,外网下了都要经过杀毒后才可以用。
A12:这种做法有在非银行类企业落地过吗?看起来有点难度。
A13:内网大部分机器,操作机应该都是没上网权限的吧。
A14:你们生产除了对外提供服务的机器以外,其他主机还允许连外网。
A15:我们通过前年的红蓝对抗活动启用了内网终端访问公网按需开放策略。主要是大领导要支持,挺过初期配置量巨大的过程,后面效果不错。有需求访问特殊地址的话发工单开放。效率差点,但是安全性还可以。
A16:分业务网,互联网吧。业务网严格隔离,部分互联网终端做准入之后可以访问公网。
A17:环境部署同一类型的都是打好镜像包的,内网服务后端交互,不需要提供给前端访问的,这类机器本就可以无需外网。这是很正常的一件事情,也是直接关外网的。很简单的事情,为啥会觉得关外网有难度呢。
A18:可能部分同仁觉得,没必要做得像银行这样吧。可是,大家搞安全的目的不都一样么。
A19:反入侵无非是管控与检测,监管压力大的公司,安全得到高层自上而下的支持,可以去玩各种隔离,白名单限制。但在民企这套是玩不起来的,民企监管压力没那么大,只能找平衡。弱管控,强检测,不然安全变成全民公敌,兄弟部门成了仇人部门,有事没就给你甩个p0锅。
A20:只要有同行案例,还怕argue不了么。这些都是实打实的问题,工具投毒太常见了,说不好听一点,内部管理少一点,没那么规范,都比网络边界控不住要好。
A21:到实践中还是有不少问题,比如devops的编译构建连maven,还有腾讯生态的几个业务,小程序微信等,强管控之下,要解决需求的问题,比如需要更新腾讯的API接口服务器IP list,来更新本地的ACL目的地址。
A22:搭建一个服务器动态获取ip,来调用防火墙改变策略,实践中是可行的吗?
A23:你的防火墙可做动态对象就可以。
A24:这个需要综合去判断,不是绝对不开。讨论个优先级,跟业务强相关的,尽量去解决,做好变更管理。devops能用私服就私服,定期更新或者临时申请访问及时关闭,结合网闸。
A25:有更新就走变更流程,做好变更流程的闭环。
A26:利用网络的隔离、合理的区域划分、内向外向权限管控,可以省下很多事,发挥很大的基础作用,可惜这些基础构建,做起来最难了,把资产的各项属性,跟网络架构结合起来。业务在申请资源时候,他们可能都不清楚应该部署在哪个区域,到了后面二层网络越来越大,机器越来越多。
A27:你们安全权限或者管理范围很大?
A28:我们很小,但我希望各个层面都能发挥安全作用就好了。
A29:隔离不搞好,会很麻烦,而且风险很大。
A30:这是不是只需要运维清楚就行吗?主要是不知道大家的模式。提工单前沟通,运维告诉开通路径。
A31:隔离也不是很复杂。网络规划做好,分析清楚业务场景,隔离就可以做。从投入来看,性价比最高,投入小收益很大。出问题有网络隔离,不会全网蔓延,留出足够的时间处理问题。
0x2 本周精粹
休刊
0x3 群友分享
【漏洞情报】
前雇员“叛变”,泄露了老东家 44.7 GB 的源码!
微软 Azure 全球大瘫痪:广域网(WAN)出了问题
打击勒索软件新动向--FBI合法渗透大型勒索软件团伙HIVE七个月后没收服务器
突发!俄罗斯科技巨头Yandex内部源代码全部泄露
【安全资讯】
雷朋眼镜制造商被网络犯罪分子盗走2.72亿美元,缘于背后的一起杀猪盘
【业界动态】亚马逊云科技首席信息安全官 CJ Moses预测2023年及未来六大安全趋势
【行业思考】
#2022总结#对我影响深刻的几句话
数据出境合规100问
推荐一本数据安全的好书
-------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
CICD流程上软件成分分析如何解决间接依赖问题、安全运营本质与安全有效性验证讨论、如何提升渗透测试质量... | 总第181周
证券公司网络和信息安全三年提升计划探讨、杂谈软件正版化律师函广撒网现象、企业报废笔记本电脑有哪些数据销毁方式?| 总第180周
关于软件组成分析、开源软件治理部分,安全参与和介入工作以及牵头部门的讨论、什么是基于安全标记的访问控制... | 总第179周

如何进群?

如何下载群周报完整版?
请见下图:
关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周






原文始发于微信公众号(君哥的体历):关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月6日00:45:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于业务和安全共生的解决思路探讨,滴滴数科短链接风险讨论,如何快速处置内向外的安全事件,如cs反连、挖矿等? | 总第182周https://cn-sec.com/archives/1537951.html

发表评论

匿名网友 填写信息