如何安全管理企业终端;网闸还有意义吗 | FB甲方群话题讨论
2024-2-29 15:6:22 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 231期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

话题抢先看

1. 企业应该如何制定和执行有效的移动设备管理政策?

2. 当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?

3. 公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?

4. 外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?

话题一:卡巴斯基的调查发现,2023 年针对移动设备的攻击数量比上一年暴增了50%,但目前移动办公正成为常态,为了平衡员工的移动性需求和企业的安全要求,应该如何制定和执行有效的移动设备管理政策?

A1:

这里的移动设备指的是什么,手机、笔记本电脑、平板或者其他?

A2:

BYOD吧。

A3:

移动设备数据不落地,禁止截屏监,隐藏水印,笔记本链接业务走VPN安全通道,访问日志全纪录,浏览器通过域控管理管理,安装日志插件,安装统一控制软件。禁止私自卸载,制度跟上,日志齐全,每月信息安全宣贯,违规处罚。

A4:

禁用APP外复制粘贴,隐藏水印,禁止截屏,数据不落地,敏感数据脱敏禁止明文保存,统一账号登陆,API归一化管理,后端角色做好权限矩阵设计。

A5:

技术上有些很有难度,比如手机系统的权限问题,不同手机厂家的又大不一样,都要有不同的定制优化。总的来说,能达到易用、可用平衡的,我还没看到过。

A6:

适配性测试得搞,这个讨论总要有个业务场景限制才行,要不也没法定位。

A7:

有钱上MDM平台,否则就是管理政策+培训。

A8:

先不说有钱了,今年绝大部分公司都缺钱, 直接就权限管控、账号发放管控、定期审计。

Q:移动办公在远程办公中,可采取哪些措施维护设备的安全性并保证效率?

A9:

云电脑,所有安全软件都装在云电脑里面,这些使用者可能更容易接受一点,单位有啥安全需求,都往云电脑里面塞。

A10:

云桌面是不是控制台能直接监控你在干啥,不需要其他的软件?

A11:

我没实施过内部的云桌面,看家里人用的公有云电脑想到的。

A12:

远程的话效果比较好两种方式:

1.零信任体系,从终端、网络、用户、系统、数据层面进行管控,在终端层面就完成设备的安全型检测;

2.云电脑体系,所有办公数据存在公司云电脑的服务器中,安全风险会落在接入网关、服务器上,做好安全管理即可。

Q:当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?

A13:

断网、确认影响范围、溯源、开展事件调查、整改加固。

A14:

说实话,一般终端被入侵,除非太初级的脚本小子,本机的日志必定都被清理了,本机能查的东西很少,流量分析设备与中间链路安全设备可能是溯源最好的倚仗了。如果平时安全基础建设很差,那只能全面铺开查全部的设备,耗时耗力但无其他更好手段。

A15:

日志服务器是用来干啥的,再说日志只是一种方法而已,比如内存,抓包等等。

A16:

终端设备不会转存日志的。

A17:

得看什么情况,一般日志来源还是蛮多的,宿主机日志,应用日志,中间件日志,流量分析设备日志,AV杀毒日志,一般清除日志绝大部分还是集中在宿主机日志这一块。

A18:

电脑日志不会转存吧,大部分也装个火绒就结束了。

A19:

如果是终端的话,一般不会,服务器还可能会搞个日志服务器备份。

Q:请教一下,公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?

A20:

禁用。入职就配发公司电脑,个人电脑不允许带入公司。

A21:

对,禁止个人电脑,要么就上云桌面,个人电脑合规问题扛不住。

A22:

建议不要用私人电脑,要不然管控起来,人家一句话:“你凭啥管控我的个人电脑”。已经踩过雷。

A:

1. 想办法让数据暴露的口子缩小,比方说上面大佬们说的限制外部设备连入;
2. 想办法梳理下系统上面的账号权限,下载数据等权限需要审批等;
3. 限制数据落盘,使用云盘等手段;
4. 数据脱离网络环境不可读或者外发途径可审。

A23:

谁负责谁管理,材料是谁写的,泄露就是谁的责任。为什么别人写的没泄露就你写的泄露了。

A24:

你这种怕是制度没发出来,业务就把你捶死了。合着IT不投入,还不让我用个人电脑了。想办法堵,也要给人家疏的选择。

A25:

所以还需要一些技术手段监控,主要有一些文件流转范围还蛮大的。

A26:

公司要有制度规定,把原因说清楚,或者给配电脑,办公本也没多少钱,至少给个选择。

A27:

个人电脑要界定属性,所有权是员工,使用权归公司,某种程度使用期间所属为公司,应当仅用于公司,是为“公司电脑”,所以不应用于个人用途,数据也为公司的。在离职时候,洗机之后,才是重新归属个人,并签更多协议防止数据恢复的风险。但总的来讲,对于敏感数据一定要把控,非必要不往这种“个人电脑公用的电脑”上存。

话题二:外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?

A1:

隔离了流量型攻击。

A2:

网络隔离,没有路由,你要是做了摆渡策略,它该进还是进。

A3:

内部服务器若有WEB漏洞、RCE漏洞,就被网闸挡住了。

A4:

就是不明白为什么会挡住,摆渡完要保证数据没变的吧,那原来有威胁,进来还是有威胁吧,清楚威胁应该是检测设备的功能吧,不是传统意义上网闸的功能了吧。

A5:

路由不可达就挡住了。比如你全网扫描,但你扫不到网闸后面的网段。

A6:

防主动型攻击,相比防火墙走的TCP/IP协议有更窄的攻击面。

A7:

网闸类似物理断网,路由只要对端网络设备不配置就可以了。

A8:

我也不明白网闸的意义。这拦截端口用防火墙就行,而且做得更好。

A9:

防火墙是基于ACL(TCP/IP),网闸是内部自定义协议。

防火墙:网络访问控制产品;
网闸:网络隔离产品;
光闸:单向导入产品。

安全机制:
防火墙:传统包过滤+部分应用层内容检查;
网闸:专用隔离部件+协议转换、信息流访问控制、内容过滤等;
光闸:光单向传输部件+协议转换、信息流访问控制、内容过滤等。

A10:

主要是不明白他实际的隔离原理,就像上面说的如果应用层面有漏洞,数据摆之后还是会被攻击。

A11:

其实是多种协议拆包器+匹配字符串+重放器。比较有技术含量就是拆包器的种类多以及匹配字符串规则库大。弱点比较明显,对于需要大缓存的请求处理速度慢或者不支持。

A12:

如果是狭义的网闸,并不是任何场景都能部署的。比如A网段和B网段,交互文件、媒体,用网闸摆渡过去,B网段是不能直接访问A网段的IP的,你用EXP、POC,根本没有目标去打。当然了,如果文件本身带有恶意代码,这个靠基础的摆渡也是无法防范的。

A13:

我觉得这东西可以看做就是个隔离设备,毕竟可以达到隔离效果的设备和软件有很多,不必太纠结。

本期观点总结

针对移动设备安全管理政策,讨论中提到了多种有效措施,包括禁止截屏、数据不落地、统一账号登陆等技术性措施,以及云电脑、零信任体系等整体方案。在员工设备被入侵后,建议断网、溯源、开展事件调查等步骤来保证企业内网数据安全。对于私人电脑在办公中可能导致的数据泄露问题,建议禁止个人电脑或者采用云桌面等方案,同时强调建立明确的制度规定和监控手段。综合而言,维护设备安全性需要综合考虑技术手段、管理政策和人员培训,确保移动办公既满足员工需求又保障企业数据安全。

在关于网闸的意义的讨论中,其作用主要体现在隔离流量型攻击、防止网络中的漏洞被利用、防止主动型攻击、实现网络隔离等方面。虽然在讨论中对网闸的实际隔离意义表示疑惑,认为在某些情况下仍可能存在安全漏洞,但总体来说,网闸作为一种网络隔离设备,在特定场景下仍能发挥一定的安全作用。

近期群内答疑解惑

Q:涉及到某组件有反序列化漏洞,但是实际项目中不涉及反序列化操作,这个反序列化漏洞成立不?

A1:

这个不涉及反序列化操作的结论怎么得出的?

A2:

没有用到相关的功能。

A3:

要判断能不能被利用,漏洞被利用才是威胁。

A4:

有漏洞,被利用,有损害,才算数。

A5:

前端数据传后端都要进行反序列化。

A6:

两个端传输都要啊,怎么可能没有,要不为什么要用相关组件呢。

A7:

很明显,其实准备接受风险了,就看你的判断了。

A8:

用哪个组件除非有很强的执行力,很难阻止,做的都是事后补救。

A9:

让报告方给报告吧,没报告很难分析的。

A10:

如果代码层控制, 要怎么做?

A11:

要分析利用链,打断就行。

A12:

设置代码审计门禁,哪一级风险不允许上线,能做到?

A13:

参数过滤,或者强制把类进行转换,这个要和研发沟通,一般是过滤参数。

A14:

展开讲讲?

A15:

这个就是打断利用链,可能之前的类可以调用相关漏洞,转了之后就过不去了,但是又不影响业务,这个是要研发分析的。

Q:你们公司有规范员工使用一些工具,指定版本么,包括开发编辑器、远程协助软件等?

A1:

标准清单外的软件使用需要申请、审批。

A2:

我们是规定的不能用。

A3:

你们的通知咋发的,就这种禁止某类型软件使用固定的,或者禁止哪些的文案有么?

A4:

您好:

按照《XXXX软件管理制度》规定,办公软件禁止安装列表,如XXX软件为公司电脑禁止安装的软件。具体禁止安装列表请参考附件。
烦请尽快自查您的电脑,如有安装以上不合规软件,请立即卸载!继续使用的,存在法律风险!卸载完成后,烦请回复本邮箱确认已卸载。
若您的电脑终端中未安装相关软件,也请回复告知,以便更新记录,谢谢配合
如有任何疑问请联络我们,谢谢

提醒:
IT部门将设定软件限制使用策略,定期检查终端软件合规性并上报公司;
《XXXX软件管理制度》见附件或参考链接;

如有任何疑问,可以咨询XXXX。

本邮件涉及公司商业秘密,适用公司有关规定,禁止外传,谢谢配合。

Q:大家服务器基线一般要求多久修复,有什么国家行业标准吗?

A1:

安全基线一般系统上线前就要满足,如果是存量的话,这个没有时间要求吧。

A2:

每台机器的情况不一样,用时也不一样 ,有人维护的、 熟悉的就快,如果机器长时间没人维护,一些基线修改也可能影响业务,这种就慢。

甲方群最新动态

上期话题回顾:

如何保障日志完整性;JS代码深度混淆

活动预告:

议题征集&报名开启 | FreeBuf企业安全俱乐部·广州站起航

活动回顾:

内含惊喜赠书活动,FreeBuf 甲方社群直播完整回顾来啦!

近期热点资讯

LockBit官宣复活,表示将更多针对政府部门

微软发布针对AIGC的红队测试开源工具

图片也带”毒“了? 黑客使用新技术推送 Remcos RAT

NIST发布里程碑式网络安全框架2.0版本

许多主要新闻媒体正屏蔽 OpenAI 爬虫

FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

1637910517_61a087f564a8754ee18be.png!small

【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】

注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员

“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。


文章来源: https://www.freebuf.com/articles/392887.html
如有侵权请联系:admin#unsafe.sh