0x1本周话题
A1:fiddler现在都在群发律师函,也担心其他的软件这样,想看看有没有好的解决方案。
A2:软件白名单管理,上软件资产管理平台,终端都按 agent 定时扫本地,加上 license 浮动授权。很多绿色和谐版,不用安装的。一样可以扫出来,只要在终端运行过。
A3:技术是管理目标的支持。应该先通过固定资产采购的软件信息,以及公司端上安装angent获取安装的软件清单,把公司使用的软件里高风险梳理出来。有的就是没买授权的,端上可以做准入;license浮动的,就看业务优先排序或者使用先来后到。最好的当然是有软件库、组件库的控制。
A4:疑问的是:内部核实确实没用过,也会收到律师函。
Q:有桌管,但是没有这么多的功能。这个是单独的一个agent?
A5:有些是管理性问题,绿色软件,试用版,这些都可以管理上要求不能使用,定期扫描进程,拉出来批一下。
A6:如果有桌管,是不是就可以列个白名单,只有在白名单中的软件才可以装,其它禁止安装。
Q:开发环境也做到这么严格的管控吗?
A7:不在清单上的原则上都要先申请再使用。
A8:技术手段管控目前做到如下: 1、黑名单的软件,是全员禁止安装的,安装了终端直接禁止准入 。2、有授权的软件,在我们的资产管理系统上实现授权和员工的绑定,终端准入登陆会向资产管理系统校验员工是否授权,没有就提示不合规,踢出网络。
A9:判断软件版权合规真要细究,需要法务配合判断。一般看下版权说明,问下客服和代理商,就判断个八九不离十可。然后可以做白名单管理。
A10:看桌管软件能否白名单管理了,白名单最稳妥,但技术上要求也高,运营成本高。
A11:我们还没做到和网络准入集成,现在就是扫到违规软件就告警通知对应部门资产管理员,限期核实整改。
A12:管理上有要求,有检查什么的也可以,不见得要百分百杜绝。把限制措施的钱拿来直接买正版软件更合适。
Q:违规软件是黑名单吗,如何维护?
A13:其实白名单很难搞,也很为难具体做事的人,很多时候开发运维真的就需要东西做辅助,这时候细究会不利于生产。
A14:开发环境如果能联网的话,建议就一同要求,否则公司还是会有麻烦。如果没有连互联网还好一些。
A15:用户为什么用非授权软件,主要是因为没有正版软件可用。关键不上技术手段管不住,都不知道要买哪些,是不是必要的。
A16:桌管会有软件和进程收集,定期采一下,然后加黑名单。
A17:其实真正工作中要用到的软件,提前少量购买的话是不是比扯皮更好点。尤其还有一堆内包,外包人员更是乱来一气。
A18:没软件,找桌面支持,给桌面支持足够预算。我相信,干安全和风险的一说到采购,头都是大的,为啥大家都是在走钢丝,因为流程一堆,提前购买更没支撑。
Q:现在问题大部分应该是,用户想用,企业不愿意买,不知道用户自己有没有义务买呢?
A19:没义务,个人买的不算正版,当时正版化检查工具推行的时候说了要有合同支撑。
A20:大部门开发,没软件就直接百度,google了,桌管是谁,多久能让他用上。另外一种情况:有员工下载软件时填写了公司邮箱等信息,下载了未购买的软件,这有时候也成为对方找你的证据之一。
A21:硬件或基设的预算,是硬预算。软件采购的预算,是软预算。如果桌管要啥有啥,谁还去百度找呀。软件太多了,不是你想用上就买啥,还要统一规划,一个 ssh 的 shell 工具就能给你搞出近 10 种,你都采购么,肯定要规范到必要的 2~3 就行了。
A22:如何确认真需要还是个人爱好研究,工作必须的,该买就要买。成本由所在部门承担,所在部门审批,大规模需要的,集采谈个价格。比如ssh shell、navicat、office等,都备齐了吗?我们还要拉通看降本,有没有重复建设和浪费。
A23:拉通看也确实有必要,集中采购,各部门提需求,外采的安全性,一致性,成本。现在我们就是这样,有一个工具委员会管,买完还要监控实际的 license 使用率,卷的不得了。
A24:即使是黑名单,也很难维护,那么多软件,哪里知道哪个收费那个免费。那意味着要把现在使用的上千款软件全部评估一遍。
A25:没错,从软件资产管理软件包采购到实施落地,干了一年吧。不过一般这个活不在安全部门,安全是个支撑评估的。合规牵头,IT 负责技术实现,各组织的质量运营负责推行。
A26:看合规对企业的重要程度了,我们很敏感。有些公司只觉得这个是个麻烦,花最少的钱(最好不要花钱),让律师函不要出现。
Q:律师函的危害是啥呀?除了可能盗版软件被绑马的风险,其实安全也不care盗版不盗版呀?为什么找安全呢?
A27:标准化,可能对安全有好处,但标准化≠正版化。标准化>正版化。正版化我们也有法务支持。
如何进群?
原文始发于微信公众号(君哥的体历):关于软件正版化技术手段的讨论 | 总第220周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论