群话题 | 本期关键词：防内鬼数据泄露、国家红蓝对抗拉动产业发展、安全价值的呈现、零信任的歧义……

金融业企业安全建设实践群

第77期1207-1213

上周群里共有 129 位群友参与讨论

20 个话题分为以下5类

安全管理：4 个

安全技术：6 个

求文档：0 个

产品推荐：2 个

行业思考：8 个

【安全管理】

1、大佬们，云原生技术不适合用来落实静态安全策略和检查清单？怎么理解？针对容器和微服务的 DevOps 安全防护

2、HW其实只是防外往内攻，实际上甲方更怕员工主动泄露数据，防内鬼更重要和实际

3、请教一下，短信签名冒用是怎样做到的？可能是哪些环节出问题？排除伪基站的情形。

4、大佬们，有企业高管相关的安全事件案例分享吗？不管是安全意识还是业务及信息安全方面都可以，甚至那种高管刻意顶风作案的也可以，比如非法获取数据接口提供给下游查询，等等。

【安全技术】

1、[漏洞通告]Apache Struts远程代码执行漏洞S2-061（CVE-2020-17530）中间件漏洞是最难处理的，外部引入的难，有的开发不敢动。所以修漏洞修到最后，就会变成，有没有兜底措施，缓解措施，虚拟补丁，不修能不能防

2、正好请教下各位大佬，在云上（虚拟化也视作云化）建“安全区域边界”是怎么做的，我相信这个问题没有标准答案，都会有历史遗留，只是想调研下行业做法 1、内部区域和边界区域都在同一个云管/虚拟化管理平台，之间用VPC划分 2、内部区域和边界区域都在同一个云里，之间用硬件防火墙划分 3、内部区域和边界区域在两个云里，之间用防火墙划分 4、内部区域在云里，边界区域单独搞

3、《富士康被黑客攻击，索要 2.3 亿元赎金：已加密约1200台服务器，窃取了100 GB的未加密文件，并删除20～30TB的备份》除了离线备份，多副本，怎样的备份才能不被勒索？这个靠防病毒软件不好解决的，感觉是拿到了托管了秘钥的跳板运维机，要不然没道理1000多台。

4、fireeye发布的检测规则可以使用起来了。

5、fireeye的case,大家都是怎么应对的哈？扫漏洞+加签名库？

6、请教个问题，在进行钓鱼邮件演练的时候，如何隐藏发件人的地址？隐藏不了，但可以冒充

【求文档】

无。

【产品推荐】

1、请教下各位大佬，我想采购一款运维监控故障定位产品，能够实现从业务系统访问终端，途经的网络安全设备，业务系统的前端，中间件，数据库，操作系统等串在一起，以达到业务系统缓慢，就能快速定位瓶颈在具体的网络安全的哪个设备，操作系统性能，数据库，还是中间件的出现了哪些问题。有些方面做得比较好的吗？

2、这两天在看腾讯阿里的baas方案，不知道是否适合解决数据生命周期的安全问题，哪个企业用过呀？现在数据完全没有边界了，感觉要实现全周期的安全好像只能指望区块链方案了

【行业思考】

1、想问个招聘的问题，一般比较热门的安全岗是什么，有没有大佬统计过，收上来多少简历，多少安排了面试，女性占比，sourcing的关键字有哪些，什么样的应聘者是最适合企业发展的呢

2、最低价中标真的害人不浅，还有很多销售喜欢乱夸大，尤其是乱承诺后面不兑现。还有个很不好的思路是，一期不赚钱，等二期赚钱，最大的问题是人工服务不值钱。短期确实要靠hw拉动产业发展了 不然日常推动安全建设太难了。hw一次可以做平时3年的事情。

3、大家安服用人年结算还是用人天结算？哪个更合适呢？结算价格包年能接收多少？人天能接受多少？

4、银行要985的硕士，券商要本科，很多白帽子好苗子都被学历和性格测验卡住了

5、要认清形势，稀缺资源总是流动到最优价值的地方，所以人才走是正常的，主要要帮他分析一下形势，我们的收入分成两部分 显性收入（钱）+隐性收入（公司环境、未来成长、福利待遇、人际关系等）

6、大家之前谈到的安全价值呈现问题，其中一个价值呈现就来源于老百姓的期望，只有安全意识深入普罗大众，这个期望才会抬升，通过老百姓的期望从侧面展现了安全的价值。

7、零信任这个词误导性太强了，都以为是不信任，其实零信任是在做可信信任

8、区块链钻石，区块链大闸蟹，区块链信息都是真的，就是钻石和大闸蟹是假的

------------------------------------------------------------------------------

企业安全建设实践群

第4期1207-1213

上周群里共有 92 位群友参与讨论

18 个话题分为以下5类

安全管理：6 个

安全技术：5  个

求文档：2 个

产品推荐：3 个

行业思考：2 个

【安全管理】

1、12月5日，红星资本局通过中国裁判文书网翻阅发现，金立参股的一子公司，通过和其他公司合作，曾将木马程序植入到约2652万台金立手机中，以“拉活”的方式赚钱。其实都一样，现在微信或者钉钉、电话说什么，打开淘宝或者京东、或者啥都有推荐相应的东西,之前有报道说是部分授权了话筒的应用，会在后台监听关键字，触发了就会标识，然后分享给广告联盟，用于精准投放。

2、对于密码还有好的存储方式吗？员工个人密码可以用keepass存储，也可以让sso对接第三方认证，如微信钉钉、内部app扫码，实现免密。应用密码有些加密存储在配置管理服务器，拿到应用代码可以逆向出原始密码。具体到富士康这个案例，如果只是钓鱼邮件拿到运维管理员密码，假设员工走堡垒到服务器，堡垒机加mfa多因素认证就可以避免了。如果没有堡垒机，没有良好的网络隔离，说明内部防护还有很长的路……

3、对接第三方认证例如微信的场景，员工个人密码属于内网的情况下，如何确保内外部的对接安全，以及如何确保第三方没有拿或存储其他数据？对接外部认证的，一般是企业应用大部分在互联网可访问的场景，尤其是SaaS外购服务的。这种OAuth认证，不涉及到密码的传输，验证通过拿到token之后，后续数据不会再传递给OAuth 服务器。

4、各位大佬，公司都设置哪些安全岗位？年底都需要人力盘点，岗位优化、编制申请了吧？原则就是能兼任就兼任，工作量要饱和，能省则省。

4、老板说，安全很重要，然而自己弱密码就是不改，也不想加域。这个不能靠人力推，得靠策略来。默认就拒绝弱口令，一定时间强制要求改，不然无法登录。不然这类问题没法收敛，还容易背锅。还是设计阶段没有考虑安全需求，这是根本，所以要security by design，开始就怂架构、开发。

5、如果没强监管，安全作为建议来采纳，得哄着业务来，业务没KPI压力，肯定选对自己更有利的工作做，安全问题很难收敛，还很难出成绩。

6、金融行业和互联网行业有点相反的意思，金融是风控管安全，互联网是安全承担风控，感觉这个也是马云的互联网思想跟金融监管格格不入的地方，所以他才讽刺巴塞尔协议，互联网没有多少风控的概念

【安全技术】

1、linux 服务器偶尔外联恶意域名或恶意IP，有挖矿的恶意域名，怎么抓出进程来？

2、请问一下rasp那么多告警，有什么好的处理办法么？

3、Jenkins在项目发布前，有插件做安全检测吗？

4、各位大老：终端通过DNS查询黑域名，怎么知道是那此终端访问这些黑域名呢？

5、内部的DNS向公网的DNS发的黑域名查询如何过虑一下？我们内部对于杀软告警是将告警文件来源进程，告警进程，进程md5吐出来，告警机器按区域划分（区分重要性），告警文件hash批量威胁情报接口查询（pe信息，签名信息，威胁详情，沙箱结果）区分是真威胁还是灰色软件。大部分告警都是恶意软件产生的 ，可以根据多个纬度排序。对应经常告警且无实际危害的加白。比如 展示告警最多的机器排序，展示告警最多的样本排序。

【求文档】

1、各位大佬，个人金融信息保护技术规范和个人信息去标识化，哪位有这两个规范啊方便分享下吗？

2、大佬们，有没有场景和对应威胁的资料？比如，登录功能会有哪些威胁，支付功能会有哪些威胁这样的？

【产品推荐】

1、想问下各位大佬，有没有专门检测web和app系统的页面越权漏洞的专用工具？

2、想请教：目前在部署的RASP是商业化方案还是用的开源方案？

3、请问下，哪些厂家的防毒墙效果比较好，有推荐吗？

【行业思考】

1、[文件] 信息系统密码应用测评过程指南.pdf  

[文件] 信息系统密码应用测评要求.pdf 

[文件] 商用密码应用安全性评估量化评估规则.pdf  

[文件] 信息系统密码应用高风险判定指引.pdf 

这个会像等保那样强制测评吗？商用密码管理条例征求意见稿上写明，三级系统每年一次。

2、定级需要专家评审，不像以前自主定级。专家是自己企业内部专家，还是测评机构的专家？测评机构会帮忙请，专家库里的就可以。

by 金融业企业安全建设实践群·群秘整理

---------------------------------------------------------------------------------------------------------------

新栏目#群话题

从本周开始，【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送（每周五晚）。根据话题整理的群周报完整版，每周会上传知识星球，方便大家查阅。我们希望搭建一个平台，营造一个氛围，提供一个空间，让网络安全从业者们汇聚在一起，日拱一卒，守望相助。

如何进群？

如何加入知识星球？

请见下图：

本文始发于微信公众号（君哥的体历）：群话题 | 本期关键词：防内鬼数据泄露、国家红蓝对抗拉动产业发展、安全价值的呈现、零信任的歧义……