0x1 本周话题TOP3
话题1:各位,显示IP地址,应该算是个人信息,那算不算个人隐私范畴?或属于敏感信息?
A1:显示的是ip归属城市,只显示到省份或国家,应该不算隐私,城市或者区域范围比较大。如果是完整的ip,算隐私。
35273里只区分个人信息和个人敏感信息,有单独的网络身份信息这类,ip属于个人信息,但是不属于个人敏感信息。
A2:单个ip肯定不是信息,如与其它信息组合,能准确定位个人位置和轨迹的,才能算敏感。
A3:问这个问题的只需要问一句,今天一个陌生人问你在哪个省/直辖市,你介意回答吗?答案就很明显了。
目前只是显示归属地信息,就跟手机号码号段一样,属于公开信息。要是直接显示具体IP ,运营商可以直接定位到个人,这就算隐私了。
A4:这个理解赞同,只是归属地只能算个人信息,不算敏感信息。去年10月26日,国家网信办发布《互联网用户账号名称信息管理规定(征求意见稿)》(以下简称《征求意见稿》),对2015年施行的版本进行修订,新增有关IP属地的相关规定。这个规定实施了以后,估计一些IP代理,VPN软件供应商生意又得好了。
A5:人邮时评 | 显示IP属地后,谁现了“原形”?这个解答好像比较权威:显示IP属地是否会侵犯隐私?对此,中国互联网协会法工委副秘书长胡钢在接受媒体采访时表示,现有的法律对于个人隐私都有明确的规定,主要是保护个人的私密信息。这一次微博展示的是IP属地,是IP地址所在的省(区、市),并没有涉及私密信息。但如果显示的是完整的IP地址,通过技术手段,便能查到用户具体的所在地,这就会导致侵犯隐私。
A6:之前跟检察院的人学习过,详细ip地址都算隐私,因为有办法定位到物理空间以及人。他们那原则,凡是可以直接关联到直接隐私的都算。
A7:只要不是IP地址详情就应该不算,现在显示的是省和直辖市一级,地级市不显示,这个颗粒度很大了,不算隐私,但在隐私政策里应该授权使用。
从目前的合规角度看,ip归属地确实算不了个人敏感信息,但是直接显示在账号中的归属地信息还是可以算作个人信息。但是它属于个人信息,还是要明示授权。但是看目前执行情况,个人没办法选择是否授权吧。
Q:这里存在一个悖论,如果用户不授权,那是否可以不显示?运营商之前就开放给各商业银行等机构的接口,可以获取到某个电话的大范围地址信息,帮助提升风控。这个ip归属地显示比运营商的功能更明显的存在个人信息的风险。
A8:如果有明文的法律法规要求,目前看即使不授权也可以使用。比如反洗钱的个人信息使用和留存。目前最多是可识别信息,这个省份就是一个“掐断”技术,例如手机中奖公布抹去了中间一段。那省还有市区街道等等。
A9:不属于敏感信息。但我觉得更需要确认的是:
1.算不算个人信息,需不需要在隐私授权里覆盖公开归属地这个场景?
2.说明是放在一揽子的app隐私协议里吗?如果别人禁止收集个人信息,是禁止提供服务?
3. 还是不放在统一的隐私协议里,让用户可以用app但是强制显示地址?
A10:得想想gov为什么有此举,如果要看信息,gov后台看更多更详细,所以不知道显示出来给谁看。
A11:但很多人确实在国外,IP地址在国内,有说是营销的,也有就是别人自己发的,怎么解释呢。我们搞反欺诈,数据中非常不可靠的就是IP地址。
A12:IP要联防才有意义,黑产平台服务团伙搞到一批ip资源投放到平台、给下游不同的一线黑产团伙使用。联防实效性、准确性才好一些,自己搞自己的黑ip数据,可能积累出来,坏人已经换下一批了。
ip是没有办法的办法,就和疫情把某一块位置封了一样。如果有能力用疫苗(事前加固,修漏洞),就不要在这个事上投太多精力。反之,就没有选择了。
话题2:请教大家这种如何排查服务器是否已经失陷了。
A1:直接上服务器上排查,并查看原始包或者装个HIDS…或者顺着攻击路径看看有没有漏洞,一般这种攻击都是利用很明显的漏洞。
Q:我正在远程服务器,如何排查?刚用EDR扫了一下,没发现什么。
A2:受害IP呢,看你受害IP是哪台,如果是一些管控服务器(域控、DNS),可以从本身和下属机器去查,配合着多设备的流程去找,如果是邮件服务器,可以看下触发的特征,看下是那封邮件,然后定位到发件人或收件人。
A3:如果是被害者和攻击者都是内网机器,那么先隔离并排查一下攻击IP的测试机器,看下是否被拿下,查看日志这些,包括日志,端口,历史命令,修改的文件,登录用户,进程那些基本的信息。
再看下攻击ip测试了哪些url链接,看这些链接有啥漏洞。
A4:单独HIDS其实看到的东西有限,比如HIDS抓到一个webshell,那么只能说明这台主机被搞了,但是入口和来源还得结合别的日志看,才能了解攻击路线,好方便后期对这些节点进行防护和优化。
A5:这是大范围扫描吧,大范围扫描,其实可以搞个白名单IP库,非白名单,人工或者脚本直接封了。同时流量检测设备可以看是否成功的啊,可以参考着进行排查。
A6:得多维度观察哇,既然在公网,肯定有waf的日志,之后网络层的流量,之后再看hids,hids属于事后防御了。没有waf,通过外网防火墙就直接进来了。
最后,主要看攻击包的返回包是啥?这种很多都是扫描行为。开的服务是啥服务,看看和攻击描述是不是匹配,如果不匹配,可能是误报,另外可以扫描下服务对应的目录有没有新的文件变化,然后还是搞个hids或edr的挂着长期看看有没有异常,查日志没毛病,但是首先得有日志。
A7:上图这个确定是有webshell了?别说是误报,一般是有流量动作,但成不成功另说。通过告警看不出来深层次的东西的,告警只是个提醒,需要人工去排查,验证的,也就是常说的研判的阶段。
初步研判:根据告警报文判断是否是攻击,是否攻击成功;进一步研判:疑似成功情况,并且报文无法确定的,通过多维度日志和服务器排查确认。
A8:只是一个扫描啊。这不是webshell啊,就是检测到了扫描器UA,告警的。不过是恶意行为,可以排查一下。
webshell那个我怀疑可能是请求多次所以聚合了,如果webshell那个告警是这上面发的图的话,那说明产品规则也有问题。
A9:对于外网扫描的,可以自己写个分析模型,几分钟之内有含有攻击的IP,直接封禁了。看着就是一顿瞎扫。判断下有没有境外业务,没有就把网段给封了。可以这样做, 我们也是这样做的,可以减少很多的告警数据。
Q:这个是想执行命令?对于无脑扫描大家都是怎么处理的,是不是每次都要排查。自动封禁ip吗?
A10:ip封禁只能是缩减,但是会不断有新的出现。我觉得主要是缩减告警数量,只看有效告警。
-
WAF的告警实际上一般情况下看的意义不大,主要是起拦截降攻击数据的效果
-
NTA建议挂载在WAF后面的交换机上,这样被WAF拦截的告警就不会在NTA上出现,能够有效缩减攻击数据的重复。另外重点关注NTA中显示失陷的攻击。这块主要也是看实际的企业IT架构,还有业务量。
-
HIDS上重点看webshell恶意执行文件、隧道通信类、暴力破解的告警,关注落在主机上的失陷事件。
-
在SOC上基于各个阶段的日志和告警进行重新设置规则。这个属于更高级一些的玩法了。
A11:感觉如果有比较准确的公网蜜罐数据,能帮助过滤掉很多无脑全网扫。如果都要单服务器排查,工作量就大了。
另外国外有个厂商专门卖这种扫描服务,卖扫描恶意IP的数据服务,可以理解成扫描类的威胁情报。还有一种就是上面说的,分析waf、防火墙日志。进行封禁。
A12:我也看过类似的,他把这种数据叫互联网的底噪数据。如果有态势的话,还是按照Kill Chain的阶段划分事件,然后分类分级处置吧。不管是底噪,还是真实,都得处置完才行啊。
A13:ip封禁只是处置手段,目的是为了提升告警的精准性,封禁也是提升精准性的方式之一,这里所谓的封禁肯定不是依赖于waf、ngfw的自身的规则;还需要自己写模型,比如慢速请求,信息探测(cms识别),端口扫描(一个端口扫描一次,但扫描了几百台主机)等。
话题3: 请教各位大佬一个问题,银行要用企业微信的saas版,有需求要通过H5的方式对接行内的涉及客户信息的内网系统,请教一下这种从法律法规和监管角度是否符合要求?
A1:首先你们公司就企业微信产品本身和腾讯有直接的合同关系吗?应用场景是什么?企业微信用于内部沟通还是用户和客户交流的?内网系统和企业微信能打通?
A2:有合同关系的。办公类的系统我们主要考虑了国家级攻防演习等场景下的钓鱼导致的风险,但是业务类的系统我担心不符合法律法规或者监管要求。
Q:问题是怎么打通的,中间通信有没有防护。另外这相当于客户信息会走到第三方云平台,相关的协议约束,防护手段有没有。
A3:企业微信提供标准接口,通过code控制系统只能从企业微信访问,另外我们中间过了安全网关,内置应用统一从一个出口对接。协议约束会有,但是总觉得监管单位不同,腾讯可以承诺,但不代表人行和银保监认可这种方式。
A4:这个关键数据安全系统还是掌握在企业可控的。还是看腾讯企业微信侧是否能获取企业客户敏感数据,且存在留存情况。
A5:我也是这么给领导说的,但是没有相关的依据,领导让我去了解。按照技术角度、只要人家想获取,应该是可以获取的。
A6:个人认为腾讯不会主动爬取企业内部业务系统的数据的。至于用户访问过程中是否存在数据抓取流程,这个还是有待分析。企业系统可以针对api访问频次、IP、用户等多种安全机制来验证企业微信是否存在行为。真实客户情况还是可以对比评估的吧。
A7:是否有抓取行为这个我们有测,也能跟腾讯进行约定,现在我顾虑的主要点是在法律法规和监管角度,这种一旦不合规可能面临的就是通报和罚款了。
A8:用任何 saas 的服务都存在这种风险,就看能不能接受。saas 应该只提供标准通用接口,然后有他们的认证机制,这种问题人家应该不管的。
理论上企微只提供认证,但企微客户端还是与h5通信,敏感数据不会绕道腾讯服务器。
A9:我想着用企微访问,从技术角度他们是可以落地数据的。内部沟通和客户交流都要用
A10:沟通交流应该不需要对接客户系统吧?或者当成移动办公类系统使用,那可能得当非驻场外包来管理。
A11:移动办公只是内部需求,可以用其他可以私有化部署的im替代。
有机构是同时用两套企微,一套saas拓客,一套私有化部署办公。
A12:我们是原有自建的被企微saas替代了,一般企业很难投入那么大人力去自研一个im的。saas拓客感觉也涉及客户信息的收集和展示问题;私有化部署im,后续升级迭代都成问题。
如何进群?
原文始发于微信公众号(君哥的体历):显示IP地址与个人隐私探讨?如何排查服务器是否已经失陷?企微通过H5对接内网系统是否符合法律法规和监管要求?| 总第145周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论