MacOS风险排查怎么做;春节安全值守怎么安排 | FB甲方群话题讨论

2023-02-10 16:38:20 浏览数 (1)

各位 Buffer 晚上好,FreeBuf甲方群话题讨论第203期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,群助手KiKi每周整理精华、干货讨论内容,为您提供一手价值信息。

注:上期精彩内容请点击:密码的安全管理;OA登录锁定策略及特权账号管理方案

本期话题抢先看

1.针对终端安全风险专项排查,应该如何排查,如何发现终端安全的风险敞口,如数据泄露等问题?

2.对于全员采用macOS系统办公的企业来说,是否就一定比采用Windows系统为主的企业更加安全?有没有一些macOS系统特有的安全风险?

3.注册接口第三方验证码被绕过,在WAF规则做了IP限制、不想批量封IP影响正常业务的情况下有何止损办法?

4.春节期间的企业安全值守怎么做?有没有好的思路或者应急预案?

话题一

针对终端安全风险专项排查,应该如何排查,如何发现终端安全的风险敞口,如数据泄露等问题?

A1:

终端没有安全管理软件吗?看看有没有违反安全策略的行为,看看日志啥的。

A2:

领导让我做这个专项排查,办公用的,有*擎,有DLP,现在是要把内鬼作案也考虑进去,如何考虑终端安全的风险敞口。

A3:

目前只想到DLP白名单可能导致的文件解密以及如QQ远程桌面登录导致的信息泄露。

A4:

这个不是内审的活儿吗?

A5:

是啊,因为DLP和防病毒都在其他部门手里,他们只管建设,所以会留下安全敞口,现在领导想安全去内审这些东西,是否存在新的安全敞口。

A6:

有既定的策略或者规则吧?有的话,就做告警处理就好了;告警误报多,常规运营不就出来了嘛。碰到事件再对应处理。

Q:请问安全合规检查类如等保、27001、安全自评估等发现的风险闭环管理大家是怎么归类记录的?一般来说渗透漏扫发现的安全漏洞有系统去记录跟踪闭环,这些安全漏洞比较客观,合规风险类的问题有点偏主观和结合业务场景(一般涉及多个团队),这类的问题大家是怎么去闭环管理的?

A7:

前期调研,然后匹配规范或者法规,手动记录归档,有管理平台就录入管理平台。

A8:

27001(2022)告诉你了啊,组织、流程、人、技术,就这四类。

A9:

笔记本电脑 把硬盘拆卸下来,拷贝数据,再安装回去,这个风险,业界的安全软件能监控到吗?有记录这个的日志吗?是否需要Bios层面的日志?

A10:

这是物理安全范畴, 我们有两种做法: 1.是把磁盘锁了,密钥保存在云端,定期自动修改,用户通过物理读取硬盘资料需要提交申请后获得密钥解密才可读; 2.使用文件加密系统,文件需要解密才可读,文件的流转和读取就可以通过日志去捕获。

A11:

会不会影响工作效率,以及部门间、公司外的交流与合作?

A12:

效率这个要看你们的做法和领导的喜好了,我们当前的情况是: 磁盘锁:使用操作系统登录会自动解锁磁盘内容,不会影响使用效率,这块用的是Bitlocker; 文档加密:解密申请需要一定时效,部分部门是委托部门管理员解密,部分文件和部门是自动解密,日志记录,这块使用的是IPG。

Q:请问绕过堡垒机属于哪类不合规项?是逻辑访问控制吗?

A13:

对操作行为缺失监控和审计。

A14:

绕过安全控制系统,主要看你们内部怎么定义违规类型的吧。

A15:

根据实际情况判断比较合适;如员工通过技术手段或利用漏洞绕过堡垒机访问业务系统,应当算故意违规场景;如果是业务系统本身没有经过任何访问控制措施,员工可以不受限的绕过堡垒机访问业务系统,这种情况处罚员工估计员工也不会服气。

A16:

其实我是在看SOX404,普遍的都有堡垒机以及其他安全控制措施的检查项,要求在审计周期内提供是否绕过的截图和举证,那么我就在想,如果绕过了,或者没有,那对应的,是不符合SOX404的哪些条款,该怎么做才能让SOX404报告“好看”。

A17:

如果开发自留隐秘通道、只要网络通就能绕过、配置态势感知基线监控。

A18:

我们的开发比靠谱,是外包部署应用的时候,申请了台服务器,然后在服务器上安装了向日葵、ToDesk、TV这些,比较头疼。

A19:

这算啥,我们之前采购哪家的app检测设备,然后在流量端看到上面有反向代理流量,还以为被黑了,结果设备原厂说那是他们装的。我们当时部署在测试网段,测试网段是可以外联的。

A20:

我们曾经也有一台语音拨号设备,供应商送的,然后自建了一条VPN隧道到他们本地,某天,供应商本地被黑了,黑客利用这条隧道,使用我们的语音设备拨号,当月,我们的话费花了20个W。

A21:

所以厂家上东西一定要盯着。

A22:

到供应商隧道和专线其实不可控地方确实多,很难做到全面、有点拼人品。我有发生供应商员工自己电脑远程端口放公网、还设111111这种密码,结果可想而知。

话题二

对于全员采用macOS系统办公的企业来说,是否就一定比采用Windows系统为主的企业更加安全?有没有一些macOS系统特有的安全风险?

A1:

Mac更不好管理,全员苹果电脑得是啥单位啊。

A2:

设计院吧,或者某个项目的ios研发团队。我感觉这种就是要么非常安全,要么被盯上了,一中就一大片。

A3:

不能说比Win安全,Mac版本管控也困难些,有很多管理软件都拿不到授权。如果有黑客木马越狱啥的,恶意软件反而可以突破系统防护,正常安全软件是不能这样干的(同时也得不到授权)。 Mac正常来说就有WIFI、蓝牙等外发,USB端口等不好管控,另外还有越狱,还有恶意病毒和木马。

A4:

Mac没有默认杀毒和检测,算不算就是特有风险了?Win还有个Defender。关于外发那些,其实都有产品能实现管控。最近几年针对Mac的木马之类的也在不断增多,因为现在基本上随便编译跨平台的程序了。 然后针对Mac的MDM管控,像老牌的Jamf之类的都很贵很贵,相对而言性价比不高,而传统的软仓桌管不一定能管到Mac的东西。首先这里会有个产品兼容性的问题,其次不买的话,单靠苹果的Apple Configurator能限制的东西不多,但是像iCloud禁用之类的是可以的。

A5:

还有一块,就是Mac权限没有特别好的办法回收,Win还能有域管理员,员工没办法自己安装软件和调设置。Mac自己都是管理员,啥都能改和下载使用,有使用未经授权的软件,甚至盗版软件的风险。

A6:

我觉得风险是相对的,全员使用MacOS,一方面体现这个公司的绝大多数资产都会在知识领域上,对于这样的公司,风险可能是从外部到内部的业务/应用系统上,MacOS系统的的问题相对少很多,但也不是绝对,高价值的目标,风险不能以使用什么系统来定。 另外就是安全应该会更严格,既然全部是MacOS,那么就不会差钱,可以上整套MacOS的安全管理,针对MacOS的安全风险,更多的会是企业风险吧。

A7:

现在大多数杀毒软件厂商都没有Mac客户端Agent, 导致Mac更危险, 少部分有Mac客户端 ,但Mac的机制是无法常驻后台运行,根本就是个摆设,而且病毒库更新可能几个月半年才更新那么一次。

A8:

都作为操作系统,通用的风险都会有,我更烦的是苹果的系统一些Agent不好装。

A9:

从可用性来说,Mac有过奇葩的升级带来了Bug导致VPN报文乱序不能正常工作,用户反馈给我们头都大了。

Q:说到这,有谁见过MacOS的安全配置基线吗?

A10:

从来没有,只有LINUX安全配置基线。因为Mac是类UNIX系统,命令和LINUX 90%一样的,当LINUX来处理。

Q:在不考虑设备预算的情况下,大家是否愿意利用MacOS系统从事网络安全相关工作?

A11:

完全不适合。 1:最关键的一点:安全人员平时做的最多的事就是写报告, Mac上的Office格式兼容都是有问题的,怎么写报告? 2. Mac尤其是用了M1、M2处理器,很多软件兼容性问题,很多安全工具都没法装; 3. WIN 虚拟机装KALI更适合安全研究人员。

A12:

我觉得MacOS更清爽方便,我的选择是Mac>Linux>Windows。 优点:MacOS采用命令行操作,shell原生支持,更方便写脚本代码。更利于提升渗透和攻击效率。颜值高。 缺点:很多小工具和驱动只有window支持,需要借助虚拟化进行配合。最新版M芯片兼容性差。

A13:

最新版M芯片兼容性差,Wireshark都装不了。

A14:

办法总比困难多,没有Gui命令行一样的,一看你就是Gui用的多了,日志分析,渗透数据处理等,用Windows都很恶心的。

A15:

我们公司办公电脑95% Mac,剩下5%是财务,要支持金蝶之类的软件。目前是MDM(计划还没做) DLP。 刚好我有问过IT为什么用Mac,他们答复是Mac维修率比较低,长期来看综合成本比Win要低,所以还是因为成本而用的Mac。

A16:

之前全公司都是某品牌的PC终端,安装加密软件各种蓝屏,代码都不一样,搞死人了。

话题三

请教下,现在有个场景,注册接口,公司对接的某厂商验证码被绕过,现在能刷短信,这个除了业务更改逻辑(成本高,添加参数等等),目前WAF规则做了IP限制(目前攻击批量换IP、UA,所以WAF作用不太大),但业务不想批量封IP影响正常业务,这个情况下还有什么方法可以止损呢?

A1:

单个手机号一个小时只能发M次,一天发N次?

A2:

单个手机号有规则,一分钟一次,现在是不同手机号恶意注册。

A3:

一般来说,感觉那种复杂一点的图形验证码,如果别人不是盯着你搞,都还好的。

A4:

有知道是在哪个位置被绕过了吗?另外恶意注册能获得什么好处?

A5:

就是恶意消耗短信费用,被盯上了。

A6:

有没有可能是验证码平台本身没问题,而是你们调用的逻辑有缺陷。

A7:

也有可能是没有跑去验证,我们之前给开发提需求要加验证码,他们就搞个假的验证码(有前端,但不到三方验签),最后被拉出来在开发部门通报了。

A8:

业务安全测试过,校验逻辑没啥问题,还是一直刷。

A9:

先排查一下,恶意的手机号对应调用的接口日志,再去找厂商日志看看是否有对应记录,确定一下是接口问题,还是真正验证码被绕过了。一般这种第三方验证码都比较难绕过。

Q:请问内网穿透工具都是怎么进行管理的呀,除了使用软件管理工具(覆盖不全且管控没有那么严格)本地禁止安装外,还有什么其它的控制手段吗?

A10:

核心层上行为管理设备,在网络层面上控制流量。

A11:

我的确是不懂,所以想要问一下远程登陆工具和内网穿透工具的风险是一样的吗,需要同样的管理,如果不管理远程登录工具,管理内网穿透工具是否就是无意义的。我之所以认为内网穿透工具和远程登录工具不同,是因为态感对于内网穿透工具会报高危报警,而对于远程登录工具没有报警,所以内网穿透工具和远程控制工具都是同样的管理手段吗?

A12:

远程登录工具:可控的,由IT部门或者安全部门维护的。 内网穿透工具:不可控的,由开发人员或内部员工私自搭建的。

A13:

内网穿透如FRP等可以理解为黑客工具吧。而远程工具如TeamViewer、QQ远程、ToDesk等,确实是有可能有业务需要使用的,这块可以从终端按需给权限运行。

A14:

远程工具多用于PC终端办公,内网穿透工具大多是研发自己瞎搞,类比菜刀原本是用来切菜的,行凶不算是正当用途。

话题四:春节期间的企业安全值守想知道大家都是怎么做的?有没有好的思路或者应急预案?

A1:

和日常周末一样,7*24准备处理高危告警,其他不重要的就稍稍慢点。

A2:

安全设备日志联动上手机告警,不行的话,买的安全设备一般都支持邮件发送吧,只不过体验不咋样。

A3:

ISO27001不要求有应急预案的嘛?可基于那个细分拓展,基本都是按应急预案处理,具体要看安全事件的严重性去处理,重大级别的基本都是要回公司处理。

A4:

也要看看行业,国企和央企,工信部有自己的管理规定,银行金融有网监的,他们都不怎理, ISO27001也就是公安,在一些政府和私营企业用用。

A5:

其实假期真出了比较大的问题,应急响应肯定还是要去现场支援,这个运维必须得有人配合。

FreeBuf 观点总结

关于终端安全风险,乃至安全合规类风险闭环管理的讨论中,有群友认为前者可通过常规既有策略或规则进行告警处理,后者可依托管理平台通过制定、匹配规范或者法规进行管理。至于绕过堡垒机属于哪类不合规项,有人认为是对操作行为缺失监控和审计,也有人认为主要需要看内部如何定义违规类型。

对于MacOS系统的安全性是否真的优于Windows等其它系统,大家众说纷纭,虽然总体而言Mac所遭遇的恶意软件比Windows要少,但也存在WIFI、蓝牙等外发,USB端口等不好管控等特有风险,而近来针对Mac系统的恶意攻击也有逐渐抬头之势。对于安全从业人员是否可以选择Mac,有人认为完全不能,MacOS的兼容性对许多安全工具还做不到兼容,也有人认为MacOS更加清爽,采用命令行操作、Shell原生支持,更方便写脚本代码,也有从长期使用来看,Mac维修率比较低,综合成本优于Windows。总结下来虽然Mac还存在诸多不足,但也不乏行业使用者,关键是要适合自己,同时不影响自己所属职位的工作开展。

在春节假日的安全值守中,安全也不能怠慢,除了7*24准备处理高危告警,也需要根据情况安排运维人员现场处理,当然,各个企业也会根据相关行业指导采取更细致的安全策略。

本期话题讨论到此结束啦~

0 人点赞