群话题 | 安全左移需要基础，如何应对截图外发，加密流量检测不是正面主战场，api有重大数据泄露风险，js加密算法和密钥易被绕过

admin

139654
文章

114
评论

2021年8月2日22:11:55评论59 views字数 5862阅读19分32秒阅读模式

群话题 | 安全左移需要基础，如何应对截图外发，加密流量检测不是正面主战场，api有重大数据泄露风险，js加密算法和密钥易被绕过

金融业企业安全建设实践群

第98期0524-0530

上周群里共有 139 位群友参与讨论

26 个话题分为以下6类

安全管理：2 个

安全技术：12 个

求文档：3 个

产品推荐：2个

法规解读：2 个

行业思考：5 个

【安全管理】

1、开发安全大家讨论的比较少，是不是与群成员基本都属于运维线出身，很少参与开发工作有关？安全左移，这个事情是需要一个基础的，就是研发流程的规范化和系统化。全公司的研发流程都在同一个系统上走相同的流程。这一点，太多公司做不到。没有这个做基础， sdl的工作只能集中在一些简单的功能点上，没法全流程把控。

2、SDL的效果，大家是怎么衡量的？我们打算这么看，还在实践中，给大家提供一个思路，就是看开发流程结束后漏洞的暴露数量：（1）上线前安全渗透测试发现的漏洞数量。（2）运营中，众测、src等外部渠道反馈的漏洞数量。sdl做的越好，（1）和（2）理论上会明显下降。分子考虑的可以，但同时要考虑业务和开发的规模在爆发的因素。

【安全技术】

1、问个基础问题，你们如何应对截图外发？如果在可控制的电脑上可以做一些，比如对于L3+的数据对应的应用是不是可以要求只有通过数据沙箱才能访问，更好的是能不能脱敏展示。只要我能独处访问这些数据，我就能摄像获取它们，你怎么防，还不是靠『审计』我访问过这些数据。

2、暗水印能解决屏摄问题么？

3、确实在异想天开了，很多安全运营都包含数据安全情况，这个也一样，基础工作，数据治理，决定了好的开始，你为什么查这个数据，查了多久，为什么下载，为什么截屏，为什么摆渡，把使用场景梳理好了，才能谈违规，基线都没有，抓啥坏人呢？水印只是发现违反基线的手段之一了，发现之后要干嘛？

4、讨论一个小企业实现Devsecops的场景，可能很多场景我们都没有遇到

前提：当时公司部分条线已经实现了devops，使用的gitlab+Jenkins+k8s

（1）安全卡点：我们当时主要卡的是代码静态扫描、容器扫描、应用扫描与测试

（2）输出：扫描结果，通过邮件与提交到gitlab

（3）整改：高严重，必须整改（涉及框架升级，需要单独评估）

5、大佬们，有用到app加固的，加固后对app性能影响如何，有相关数据吗？比如加固前后耗时增加百分比多少，等等。

6、有在做vpp这块的大佬们嘛？18年初的时候, 我搞过。当时的想法是看是否能替换IDC里面的NAT设备, 发现距离“开箱即用”还挺远，另外就是bug挺多。

7、加密流量检测是纵深上的一环，不是正面主战场，有正确预期就好。

8、我想请教一个问题，外部扫描造成大量4xx告警，这种需要处理吗？目前配了WAF rate limit 能阻挡大量扫描，但总有部分能通过。4xx是客户端error，但量大了心里也膈应，封IP吧工作量也挺大，也不知道有没有这个必要，求指点和建议。是否使用封ip策略还是使用其他防护策略我认为还是要看目的。waf限流策略目的是真对网络层大流量的。大量扫描器造成4xx是很常见的，具体的数据包甚至很有可能看出扫描器特征，如果目的是将扫描器封禁可以结合更多维度精确封禁IP，目的是进一步看攻击者画像，分析攻击者与攻击源，也可以设定相应防御策略。

9、业务系统在互联网上的，十家有九家api有重大数据泄露风险。个人认为，api数据安全的属性是高于网络安全的。

10、管api数据安全（决策这个数据能不能在这个api里做业务）的是数据owner，还是在座的各位？这个问题的答案决定了是在环节卡点里做安全还是在数据本身做安全。

11、我一直觉得DSMM是一个对抗的面，本身侧重于“防止从源端泄露”，然而目前更多的针对数据的攻击是来自于对信息的抽象。当足够多的数据被聚类在一起形成了某种信息，再通过统计、侧信道的方面抽象出更多的数据去卷积，这种融合感觉上当下是没有办法控制的。当然在数据流向上很多人都做足了文章，不过目前看，两层，三层之后的数据再经过抽象，已经不具备追踪能力了，这是很麻烦的。数据泄露更多的不是在“本层”，实际上更需要关心数据的暴露面，融合后的价值，还有数据所可能产生价值的场景。这块似乎又有悖论....

12、现在行业里常见的api数据泄露最容易出问题的是非登录态的数据外泄失控，但是由于业界常见的账号管控的严重放水，垃圾账号登录态也是易于导致数据被爬取外泄。

【求文档】

1、各位大大，如果有金融行业信创相关的规范或要求，方便分享一下。谢谢！

2、群里哪位大佬还有当时君哥发的终端安全运营的脑图？谢谢！

3、各位大佬，有没有关于云上（aws、阿里云等）安全管理的标准或者文档，借阅一下。我最近工作的感受，云上的安全管理尤其是多云很复杂，第一步还是把基本的安全基线规定好，把基本的云上各种vpc、存储、数据库的cis要求梳理完，云账号的安全最佳实践梳理完，安全管理框架基本就出来了。

【产品推荐】

1、有那种文件被外发后，何时、在什么ip、被谁打开过的追溯技术或者产品吗？我估计很多人都有这个需求，我在两个单位都遇到过有领导在询问有没有这种产品？我前几天看见拼多多是在系统上实现的，所有从大数据平台拉下来的文件，全部随机密码加密，密码发到邮箱……

2、求助下，除了https://www.virustotal.com以外，有什么推荐的在线病毒行为分析网站？

【法规解读】

1、大佬们有这困扰吗：安卓系统权限获取弹窗提示“访问您设备上的照片、媒体内容和文件” 这个文案，其实就是获取“存储权限”（写权限），相应读权限也有了，但读的内容是app写到手机设备的内容，比如缓存的地图信息，app运行日志等，并不是这里提示的照片、媒体等文件。不明真相的用户经常来投诉，甚至监管部门也没弄清楚直接发整改通知。

2、这里有个问题，不同意隐私协议不让用和不同意权限不让用，是否是一回事？不同意隐私协议，应该是用户还是可以浏览APP的，游客模式，不能直接退出应用；不同意权限是不能使用对应的功能，但是也不能退出应用。两者都不能退出应用。最好都不要直接退出，有时候力度不一样，这样风险小一些。

【行业思考】

1、各位金融行业大大，贵企业的信创建设进展如何了？都开始推了吗?

2、是不是明年hvv，信创产品的0day有可能会激增呢，在建设期怎么去兼顾这些问题~~兼顾这些干嘛，现在需要兼顾的是你们的建设方案写好了吗？指标达到了吗？选型是否符合要求？要为过两周的方案评测做准备，方案过了之后就快速上线部署，改商务策略，最后就为年底的验收做准备。这么多事干，安全这块，业界能给什么方案就买什么。

3、刚买了好多安全系统，如果要大范围做xc改造，太难了，已经在审批的安全预算有已经有因为不是xc被毙掉了。

4、我理解没有对应xc产品的就先不用改。但是国内的厂商，相信很快就有推出xc版本的产品了，到时候改不改呢，也是麻烦。

5、XC需要一些优秀案例分享分享。

--------------------------------------------------------------------------------------------------------------------

企业安全建设实践群

第23期0524-0530

上周群里共有 123 位群友参与讨论

22 个话题分为以下6类

安全管理：4个

安全技术：4个

求文档：10个

产品推荐：3个

法规解读：1个

行业思考：0个

【安全管理】

1、各位大佬，请问谁有ISO27001落地和不落地的区别文件？我主要是想拿出一份文件去讲给领导听，多要点资源，去做体系的落地。不然的话，领导都是想花做少的钱和精力完成表面事情，最后可能就变成了表面认证了。

2、在上家公司做过一轮治理，没做完就走了提供点思路，供参考：从域名、dns 、dmz等方向梳理资产，定义清楚哪些确定是公司own的；其他不清楚的先封，等有人跳出来，case by case的盘点。btw，当时也没找到啥很好的标准，做起来是挺痛苦的。涉及全网以及所有业务的通用问题处理，有个思路如下，大家交流一下。

（1）给领导汇报执行方案（分割问题，逐层覆盖，由易到难，先做能做的），获取大领导支持之后，再开展具体工作

（2）拉取关健角色（运维、业务）组成临时项目成员组，成立内部专项，以项目管理的方式推进，会上明确各团队协助安全整改的责任，会后发会议纪要，抄送全员

（3）通过一定的技术手段发现违规的业务清单，联合运维，线下推动其整改，一周线上全员同步一次整改进度

（4）这种线下推动到一定程度，把能做的都做做完了，剩下无人认领的，就可以考虑向领导申请一刀切策略。

（5）同时考虑提供白名单例外机制，回退作业通道，确保紧急情况能及时回退。

3、各位大佬，请问网络安全培训怎么讲出新意呢？特别是讲规定和要求的部分。定期开展培训的情况下，规定和要求基本是重复的，感觉有些照本宣科，影响培训效果。

4、各位，收购的子公司如果想做与母公司隔离或保持独立的综合安全体系，如果新到这种环境，除了iso27001评估/管理层风险建议，怎么才能做好开局以便制定中长期的roadmap？

【安全技术】

1、各位大神，APP对抗 Activity 劫持的防护方法，目前除了采取当 APP 被切换到后台运行时，提示登录或关键界面已被覆盖，比如在 APP 的 Activity 界面（也就是 MainActivity）中重写 onKeyDown 方法和 onPause 方法，当其被覆盖时，就弹出警示信息。是不是大家都是用这样方案，有木有老师傅有没有其他的防护姿势可以分享下

2、监管部门找的厂商做渗透测试，把找回密码处填写的邮箱地址base64加密可破解，定义成中危问题，是不是太过了？

3、前端base64编码、或者加签防篡改，再加通道加密https。还有更严格保护方式吗？我的理解是个人信息在手机和浏览器客户端没办法调用js做主动加密，因为加密秘钥没法很好的管理，js加密算法和密钥很容易被发现，加密就容易被绕过了。请教一下有没有好办法？

4、请问下8091web应用端口映射到公网上，会被公安、网安之类部门扫描封掉么？

【求文档】

1、求问万能的群，防范影子it有好的资料、标准可参考吗？

2、各位大佬，有国密改造的参考文件吗？

3、请问一下对于全流量分析产品的检测定性指标有伙伴有吗？

4、大佬们，求一份红蓝对抗项目的招标要求文档！

5、想问下哪位大佬有微服务测试相关的技术文档，比如集成测试、组件测试、契约测试的测试方法、工具、测试用例如何构建等等，感谢！

6、搭车求个测试环境安全管理规范~

7、大佬们，求一份银行金融行业要求或验收的渗透测试报告模板（或按JR/T 0213—2021等金融标准的验收checklist）

8、各位大佬，有相关API安全的资料可以借鉴么？

9、各位专家，求一份脱敏的安全加固方案！

10、各位专家，有企业实际实施过DSSM数据安全能力成熟度测试吗？是否有相关实际方案可以借鉴？谢谢！

【产品推荐】

1、都有哪些厂商提供app隐私合规检测服务啊，有避坑指南么？大家近期在腾讯应用宝上架app的，小心啊！

2、大佬们，问一下等保证书编号哪里查询真伪？就事验证一下证书是不是真的。

3、EDR误报率太高了。EDR产品不是杀毒，很多告警更多是基于行为的异常判断的，不是说一定是攻击或者病毒，所以这里不能说这就是“误报”。但终端用户是不具备分析能力的，所以给客户端弹窗提示感觉不太合理，更多应该是日志收到控制台，提供给后台安全人员进行分析。配合一些自动编排的逻辑再下发处置能力。在B端尤其是安全侧，还是需要一定安全能力的人参与。单纯靠乙方安全产品或者单纯靠甲方自己都很难做好这事。大家可以基于自己的真实需求多反馈给乙方安全公司的人，推着他们来优化。现在乙方安全产品很多还是做得不够深入和精细，也缺少对甲方复杂环境的理解，就导致了现在能力和产品化的缺失。

【法规解读】

1、各位专家，请教一下，《个人金融信息保护技术规范》中关于后台系统、业务支撑系统该如何定义。数据库究竟属于哪一种？谢谢。

【行业思考】

无。

-------------------------------------------------------------------------------------------------------------

#群话题

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送（每周五晚）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群话题：

群话题 | 关键词：安全对业务的奖惩一定要和高层达成一致，如何看待网络安全需要弹性，今年RSAC创新沙盒冠军的产品思路和技术原理... ...

群话题 | 关键词：安全仍是奢侈品，中勒索病毒最怕攻击者懂业务，云桌面和桌面沙箱各自优劣，拜登强推零信任对美网络安全的影响... ...

群话题 | 关键词：安全培训质量如何保证，外网登录公司邮箱是否要VPN，第三方sdk偷偷采集用户隐私，mysql数据加密的实现... ...

群话题 | 关键词：IP封禁影响访问、Chrome 远程代码执行 0Day 、微信PC版0Day、提高安全在业务上的影响力……