金融业企业安全建设实践群
第102期0628-0704
上周群里共有 145 位群友参与讨论
21 个话题分为以下6类
安全管理:7 个
安全技术:5 个
求文档:1 个
甲方乙方:3个
法规解读:2 个
行业思考:3 个
【安全管理】
1、请教大家一个问题,假如,漏洞被发现了,修复上了,能给公司省多少钱,这个价值能量化吗?反过来说,漏洞没有被发现,会给公司带来多少损失,这个价值又能被量化吗?如果能的话,有哪些指标可以参考呢?漏洞存在是风险,不一定会被入侵。入侵是影响,才能用价值损失计算。只有当出现了损失,才能去评估,一般企业无法量化。这也是安全建设,为啥经常是事件驱动。能参考各大厂家漏洞的奖励政策不?漏洞奖励政策和漏洞价值是两回事,比如你给我个smb的rce ,我给你1000W,你给微软微软能给你多少?最多20W刀。你能说这个漏洞价值只有20W刀?换个例子solarwinds 弱口令假如有src,你提交给他,给你算多少价值?1000刀?实际这个弱口令后续的造成的损失价值早就过亿刀了,没办法量化。攻防演练其实就是解决漏洞价值不好评估的问题产生的行动,把漏洞转化为权限失控、数据泄露、高管隐私泄露、商业机密泄露风险。在授权充足的情况下,漏洞利用链越深入越容易引起高层对于风险的感知,容易引发加大投入的决策。
漏洞修复投入roi的计算,其实是一个很古老传统的风险评估的问题,结合个人的经验可以分两方面看:
(1)学院派,漏洞利用概率(利用成本,企业资产爆漏面等因素影响)乘以资产价值。可以具体量化出一个洞在一个企业里如果不修复最大的损失。
(2)实战派,一个企业所处阶段不同,一个洞的影响价值不同,初创期的企业,安全蛮荒,一个RCE类漏洞比如java反序列化,往往可以直接打穿一个企业网,所以这时候修复这种洞的ROI非常高;但是一个成熟企业,安全体系完善,某个洞被利用,不一定能造成洞穿级别影响,ROI很难看出来,就需要结合viking讲的,对抗演练,社工等综合手段来衡量面对高级别对手、利用何种攻击组合拳和手法,企业应该在哪里加强投入,而不仅仅是一个洞的修复ROI评估。
学院派还是实战派的使用的人多一些?跟老板汇报,用实战派容易理解。
2、跳出漏洞价值,如果整个安全工作的ROI是个谜,那么大家平时又是如何问领导要预算的呢?领导不会问为什么要花这个钱?不花行不行?不花会怎样?钱是领导自己的,通常能不花就不花(民营企业),钱不是领导自己的,合规合法的基本都花(国企,央企的职业经理人)。花自己的钱办自己的事,既讲节约又讲效果;花自己的钱办别人的事,只讲节约不讲效果;花别人的钱办自己的事,不讲节约只讲效果;花别人的钱办别人的事,不讲节约不讲效果。可以对号入座。
3、100w预算,你花了10w,省下来90w,是好事还是坏事呀?坏事,预算没花完,被财务说事小,缺乏预测与执行能力明年砍预算事大。说明申请和执行差距太大,申请动机也有问题,态度和能力都会有问题。
4、各位大佬,我想请教一个问题。如果用户收到伪装成本公司的钓鱼邮件,一般怎么处理?金融行业有相关的标准或者流程吗?
5、你们是如何处理外包员工泄开发代码的?!这个外包员工已经离职了,原公司也找不到这个人。如果你们和外包公司之间有合同,合同里面一般有保密条款,可以运用保密条款对外包公司进行惩戒、罚款。因为没有直接劳动关系,你们是没有办法对这个外包员工进行经济处罚或其他处罚措施的(但通报批评这种是可以),这个只能外包公司去干。
6、大佬们,有没有考虑过密薪制下,怎么保护薪资数据的安全与保密呢?
7、大佬们,人力资源系统管理员是it还是人力呀?运维人员是单独的吗?
【安全技术】
1、各位大佬,最近我们在考虑建立一个文件安全服务组件,希望大家给些实践层指导:【背景】最近有几个互联网应用都有图片上传的需要,比较密集,之前打算继续用文件沙箱的方式做检测,再存到电子影像平台,但可能会部署的沙箱比较多,希望能建立一个通用的文件安全服务组件,作为企业的通用服务。【问题】是否有实践应用案例?是否是引进的成熟产品,改造的工作量大不大?
2、探讨一下,这里的技术选型优劣。设备认证这里,大家的做法 1. 完美世界之前是用的浏览器证书 ,移动端不适用(Google自己的paper里也说这样2端体验不一致) 2. iOA,用的是类似VPN + 解析域名到内网IP ,VPN劫持内网路由搭建隧道 3. Google商用产品,浏览器插件采集端的信息 + 反向代理 4. 某创业公司,登录到一个web页面,然后由web页面上内嵌client到目标,目标前面弄个反向代理。还有我没说全的么?哪种更符合技术趋势?
3、这里有几个问题比较困扰的,拆解一下:1. PC端和移动端,大家都用相对统一的方案了么?或者说,都做了移动端了么?2. 设备认证方法 是有本地端 的配合,还是下发一张证书,还是在浏览器插件/App里native采集 3. 劫持流量的方法 4. 有了相对可信的隧道,应用层的用户凭据(比如SSO),是否还会携带?
4、现在各类机器人程序都很流行,会不会有通过机器人泄露数据的风险,如何排查?
5、现在联邦学习有成熟应用的了吗?
【求文档】
1、请教大家一个问题,有没有哪个规范要求机房空调必须有独立隔断?[文件:GB50174-2017 数据中心设计规范.pdf] gb2887-2011比50174更好参考,是机房测评的依据之一。
【甲方乙方】
1、各位大佬,有比较过虚拟桌面厂商提供的访问网关功能与ssl vpn功能差别吗?现在vpn都被炒作成零信任了,很多厂家vpn都逐步不支持了,我就想买个vpn,本来几万块,现在几十万。
2、很多厂商都宣传VPN因为是需要建立隧道,所以TCP会话一直是一个长连接的状态,在零信任里面TCP会话使用短连接,所以用户上网感受会好很多,是真的吗?
3、请教各位大佬,要保障业务数据交换的安全,都有哪些好的数据摆渡工具?
【法规解读】
1、请教下大佬们,金融行业业务上云的合规方面,主要遵循那些合规文件?
2、《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》第一句是为防范国家数据安全风险,大概率是和数据有关。单从审查办法看,有可能是didi采购了什么不该采购的,才会启动审查。
【行业思考】
1、说个争议话题:我一直是反对用数据生命周期去指导数据安全建设体系的。
因为数据生命周期是划分阶段的模型(且不说划分的合理不合理),但是安全体系是紧密围绕着风险与威胁的,而风险是紧密与it资产(数据安全就是数据资产)和it暴露面(数据安全就是数据暴露面)相关,威胁是和人相关的。
而数据生命周期划分的每个阶段,是缺乏资产,暴露面和人的要素,从而导致如果从数据生命周期出发看数据安全体系,是完全没有风险和威胁视角的,因此推导出来的数据安全体系,就是一堆经验产品的堆积方案,既说明不了他们能缓解的现实的风险与威胁,也解决不了他们之间的体系关系,以及和全流程数据资产分类分级的安全策略映射关系。
幸好数安法抛弃了数据生命周期这一套,只把他归纳为数据处理活动。而整个技术体系,则是以数据分类分级,数据风险评估,数据风险监测,数据安全事件响应,终于回归了资产与风险视角。
为啥一个框架,两个糅合搞个安全能力矩阵,逐个能力域看到没到位不就结了么?生命周期的核心讲的是个持续性的问题,资产风险评估体系讲的是一个点上的综合性风险评价的问题,没有冲突的。你前面评估的风险,在后面的阶段,本身就要做继承的。
数据生命周期我理解也应该是数据安全的方法论,指导我们如何梳理数据资产和识别风险,真正数据安全的防护应该还是威胁视角或者资产视角才比较好落地。理解为数据安全的27001就好了。
数据安全生命周期是个具体落地的拆解,缺少了威胁视角。纯粹按生命周期去做,成本搞不定。威胁方法论提供了更宏观的上层指导。具体来说,一个系统,先做威胁评估确定风险,然后按照生命周期选择性去做,ROI更高。
2、数据分类分级的标准有吗?有,大的金融数据分类分级指南,小的有证券期货也分类分级指引。其实我觉得没必要看分类分级标准,除非有监管要求。适合自己的才是最重要的 。分类分级标准关键是要服务的组织和业务部门看得懂,简单,哪怕没有打标落地工具等支撑,也能口口相传,随便拎谁出来都知道什么是敏感什么不敏感。
3、数据资产管理和元数据系统建设,八字都没一批,这个时候做数据安全?梦吧。人力投入 vs 风险高低,体系化有了但眼下主要矛盾没控制住,那信任就少了。
---------------------------------------------------------------------------------------
企业安全建设实践群
第27期0628-0704
上周群里共有 87 位群友参与讨论
11 个话题分为以下6类
安全管理:4 个
安全技术:2 个
求文档:3 个
甲方乙方:0 个
法规解读:1 个
行业思考:1 个
【安全管理】
1、漏洞价值的量化,一个是参考监管的罚款,一个是借鉴同行案例,一个是借鉴众测平台的奖金,我觉得还是非常主观和个体的,单个漏洞或许可以单拎出来这样看,但是还有很多是不能应用上的。而且我个人觉得众测平台的奖金也是不知道怎么定出来的,比方说A平台根据自己的运营成本和利润,定了高危3000,别的平台一看牛逼的白帽子全都去A平台了,就准备把高危定到3500或更高,而不是回归到漏洞本身的价值,但是漏洞本身的价值又有谁能说得清?所以就变成了漏洞价值以众测平台的奖金来算,这个逻辑上是不是有点问题啊
2、请教大佬们个问题,信息科技风险管理是信息技术部的工作范畴,还是风险管理部的工作范畴,或者是两者分工协作?
3、对于漏扫报告,大家是怎样做保密管理的啊?
4、请问一下, 业务系统后台的权限是怎么做运营管理的,全部集中化管理,还是分开到对应的业务部门?
【安全技术】
1、请教下大家,安全域一般都是怎么化划的呢,有没有啥原则和需要注意的地方呢?君哥以前有句话说得非常精辟,主机层的访问控制比应用层更难绕过,网络层的访问控制比主机层更难突破,这个架构设计的工作是影响非常长远的,需要立足业务模式,现有架构,攻击路径来设计,比如说不仅仅是生产,测试,门诊那块怎么访问的呢 君哥的书写了一部分安全域设计原则,但是照搬的话可能会有业务影响的阻力,还得提供下实际业务场景具体分析提出解决方案。
2、请教个问题, 终端管理员权限收回了, 有些软件每次打开运行的时候都需要调用管理员权限,这种频繁的找管理员输入有点不合理,这种有没有好的解决方案或者软件来处理?
【求文档】
1、大家好,“2022年完成金融行业重要系统国密改造”,这个要求是在哪个发文的?
2、哪位大佬有中国域名管理机构的组织架构介绍PPT。简单的说中国顶级域名管理单位是谁?他的下属单位有哪些?有哪些域名注册管理公司,分别归谁管理。
3、哪位大佬,有容器安全相关的材料,能否共享一下。涉及,容器生命周期的安全控制点,等等内容?
【甲方乙方】
无。
【法规解读】
1、大家除了等保之外,做过数据安全方面的认证吗?
【行业思考】
1、dd手头数据太多了吧,行程、录音、习惯,又在境外上市,可以发个解读同步给公司管理层,提升安全部门话语权的好机会。
-----------------------------------------------------------------------------------
#群话题
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的话题会同步在本公众号推送(每周五晚)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群话题:
群话题 | 安全和运维权责怎么切,删库的防范方法,vpn多久未登陆就禁用,供应链安全测试甲方应形成合力,自动化运维跨区访问的控制
群话题 | 安全管理机构最高负责人一般是谁,公司监控员工信息如何界定,自建or采购,当月补丁必须当月打完吗,渗透测试如何衡量结算... ...
群话题 | 安全左移需要基础,如何应对截图外发,加密流量检测不是正面主战场,api有重大数据泄露风险,js加密算法和密钥易被绕过... ...
群话题 | 关键词:安全对业务的奖惩一定要和高层达成一致,如何看待网络安全需要弹性,今年RSAC创新沙盒冠军的产品思路和技术原理... ...
群话题 | 关键词:安全仍是奢侈品,中勒索病毒最怕攻击者懂业务,云桌面和桌面沙箱各自优劣,拜登强推零信任对美网络安全的影响... ...
如何进群?
如何下载群周报完整版?
请见下图:
关注本公众号,实践出真知。
本文始发于微信公众号(君哥的体历):群话题 | 漏洞价值能量化吗,安全的ROI是个迷,访问网关功能与ssl vpn的功能差别,数据安全生命周期缺少资产威胁视角……
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论