0x1 本周话题TOP2
话题1:咨询下,有使用腾讯云混合云并集中做态势感知的么?(把公有云的日志同步到本地集中感知)目前发现腾讯云没有实时告警的接口(如阿里云提供消息队列可以实现实时),只有离线下载模式,就很难受。
上次讨论如何接阿里云,好多大佬从使用者角度给出各种姿势,受益匪浅。售后侧给的回复有3种方式,都有在对接哈,就是尝到甜头了,想看看大家还有没有什么好用的姿势?
A1:同作为阿里云的客户,一起踩坑。 另外云上安全坑不少,还有人弄了一个云上靶场很不错:https://github.com/HuoCorp/TerraformGoat/blob/main/README_CN.md
A2:我觉得云的最大风险在于配置不当,传统网络和云有着路线上的不同,没有云最佳实践经验就去迁移很容易出错,而且不同云的“默认安全”底线或者说放权程度还不尽相同,但你要追究起责任来,云可没什么责任,是你自己没在几百页文档里找到自己那个需求的加固配置罢了。
Q:赞同。这块安全基线检查,目前不太好做是吧?大家一般怎么处理呢?
A3:是的,在业务的便利性上与安全性上,大部分业务会选择便利性。安全性要投入 又不赚钱,所以很难受。出一版本已知风险加固,然后慢慢踩坑迭代。听说阿里云官方会出一版本安全加固基线。
A4:就是Gartner报告里面云原生安全解决方案之一cspm(其它是cwpp和casb),cspm有开源也有商业化,还有云服务商自带的。
上家公司用过国外知名的2个,最近正好重新调研一下,发现传统的国外开源产品就不错,美中不足就是只支持aws、gcp、azure这些。国内的某开源堡垒机厂商也有号称开源的cspm,支持国内云,不过结果貌似一般,而且好久没人更新。国外的几个知名开源背后都有商业化公司支持,更新和技术能力有保障。不差钱就使用云服务商原生的,或者使用开源支持自定义的,方便多云管理。
A5:我们是统一出个云基线,从严。有的云默认安全了,就查一下,不用配置。但是这个还要时间与攻防演习检验。
这个我个人一直觉得很扯。用你的产品。你也知道怎么配有风险。但是这个风险提示要花钱,不问就发标准文档,问漏洞就发加固文档,不买就由着你配错受损失,赚的黑心钱。
A6:嗯,赞同,安全基线要通过演练不断迭代。另外aws的TA还是不错的,可以看到配置风险,下面是云配置不当的两个案例。
https://techmonitor.ai/technology/cybersecurity/capital-one-hack-aws-paige-thompson
https://techmonitor.ai/technology/cybersecurity/pegasus-airline-data-breach-aws-bucket
A7:4年前收集安全事件案例的时候,AWS存储桶未授权访问的问题每周都有,都麻了。即使研究出了成功的方法,人们还是做不到成功。
A8:说默认安全,但是貌似也没有做到默认落地就安全,说白了安全还是没有那么的重要。
A9:建议对云上不同模型下的云安全责任共担好好研究下,不是上云了就都是云服务商的安全责任,上云不仅是技术改变,更是观念需要改变。
基本上所有默认都是从方便用户使用角度考虑的,微软的产品就是例子,厂商不会自己为难自己一开始就设置最安全影响用户体验。而且很多情况下云服务商没办法替用户判断,比如你安全组的22端口就是对所有IP都开放,背后可能有合理的业务理由,服务商不能禁止用户这么做。
其实在我看来,cspm是重要但是不一定需要花费太多成本(尤其是钱)的地方,有专门工具定期检查,定期发现有人为操作造成的安全风险及时解决就好。国外细分赛道厂商就做得很极致,实时监控,发现误配置就发slack告警,和咱们国内与企微、钉钉类似。cspm别看被Gartner列为三大云原生安全技术,技术门槛比cwpp低多了,这块大家有足够重视就好,但是云上还有很多安全风险。
A10:我理解是不是需要一些云安全建设的最佳实践,由云厂商整体来提供一些解决方案,这里不仅指的是安全相关,还有整个云建设最佳实践。目前看如果云安全的建设阶段没有规划好,那安全到后面就仅能在现有的架构上进行修修补补,而非从根本上去解决问题。
过去我看到的是,很多企业上云(公共云、混合云、私有云),因为对云本身提供的一些便利和架构不熟悉,所以很多都是边摸索边建设,建设的也是五花八门,更多是依赖过去一些经验还有线下的一些经验来建设,只是用了云,但是没有用好。就拿一个ak/sk来说,对于ak/sk的管理都是一个很复杂的问题。
A11:阿里云的云安全中心,已经开始基于每个云产品维度,做最佳实践的基线巡检了,虽然在用户体验上还差点意思。
Q:想问问这个基线检查是基于等保的标准还是?
A12:云资源、账号、身份、权限、访问控制的配置检查。攻防实战标准。分两个视角,攻击者视角和合规视角,基于场景把内容和策略做区分,混在一起完全是灾难。安全最佳实践还是得基于真实风险危害来搞,并且得做风险的验证后再推风险结果,不搞假设。
A13:混在一起确实是灾难, 基于攻防实战标准已经不仅仅是基线了。
A14:比如,网络管带宽,系统申请虚拟机带NAT,安全配了ddoswafhidsips,都合规了,在攻防面前都没用。
A15:调研的一些开源和商业化产品(不全),感兴趣可以看看:
cspm这个东西就是需要重视、但也不必过于投入的,基本上都和其它安全产品整合到云服务商的安全运营中心了。国外的云原生安全厂商也是捎带着卖,但不会是主推产品。
Q:现在不是CNAPP概念了吗?
A16:对,现在Gartner的最新报告把cwpp、cspm和casb整合为cnapp了。咱们甲方看清技术本质、把握主要风险,与时俱进就好,也不必执着或迷信于这些术语。
A17:仅代表我个人总结:
甲方:主要盯“动作”,看“方向”,清“本质” ,即某个攻击动作是什么?攻击链路的下一步有哪些或阻断其中关键步骤,清晰某个问题或者技术的本质。
乙方:主要盯“思路”,看“算盘”,清“资产” ,即完整的攻击思路,如何把漏洞与漏洞之间窜连成完整攻击链,或以漏洞的串联加大提升漏洞的危害度,深入了解目标的资产情况,边界情况,供应链情况等。
乙方进阶:清“本质”,避“动作”,看“盘子” ,即深入了解攻击本质,避开连续性动作特征,把控全盘节奏。
甲方进阶:清“思路”,盯“细节”,看“特征”,即清楚攻击或者漏洞利用的思路,盯住关键攻击细节,阻断某个环节或某几个关键,增加攻击成本,增强防守时间,了解其中关键特征。
话题2:请教下,给一般员工的移动安全宣传,除了通用的安全意识(比如口令 锁定 备份 安装软件 联网 不要越狱开发模式等等)事项提醒外,会推荐安装 某些安全类软件(如杀毒软件)吗?如果有的话,有哪些?
A1:杀毒软件,桌管软件,备份客户端。
Q:安全软件不是必装么?为啥是推荐安装?
A2:没有纳入统一管理。没法必装,但要做些宣传,可能需要推荐些手机安全软件 (看应用市场也不少 ) 如果担心违反群规 麻烦私发我哈。或者直接用有些手机自带的?
A3:手机装安全软件没有必要吧,现在所谓的安全软件也只有垃圾清理的功能。
A4:我最近刚好在测手机端的安全软件,目前觉得不是很有必要安装。终端edr的功能,手机版。但是感觉没必要,一般手机也遇不到这种攻击。因为员工手机中毒导致的风险,感觉是蛮可控,目前没遇到过。
A5:感觉还是有用的,比如安装提醒,有些下载自动安装软件。
企业版的安全软件也可以批量做一些管控,但目前有些公司入职是要求手机安装管理软件的。
A6:现在好像除了保密部门配的专用手机,一般员工自己的手机不会装那些东西了吧。
毕竟手机和办公电脑不一样。手机是属于员工私人物品,办公电脑是属于公司资产。不能在员工的私人物品上面去强制安装一些东西吧。
这就涉及到隐私的问题了,可以从员工私人手机连入公司网络的wifi和流程层面来把网络给剥离开公司的办公网络。特别是现在00后员工出现了,简直就是来整顿职场的。
A7:我们是私人走一个网络,办公走另一个。
A8:企业大家会觉得会监控隐私,我们这边pc装杀毒软件都有人质疑会监控隐私。更难提手机版了。很多人对装杀软是很抵触的,怕卡、怕破解盗版软件用不了。我前几个月在公司内部推,各种宣传,2个月时间也就安装了55%左右,然后就推不动了。还是要自上而下
A9:PC端都可以强推。手机端推的话,容易引起员工的抵触。pc端也没发强推,否则有人就到cto投诉了。特别互联网扁平化。
A10:本来想通过准入来强推杀软的,结果推了一圈,发现准入不敢开。
A11:安全本身很多要求是反人性的,挨骂或者说有意见是正常的。但是能让大家都乐意接受,那就是水平了。是不是可以对员工群体进行划分,一类用手机办公接触公司数据的对应什么解决方案,一类不接触公司数据的那就没必要装了。
A12:不合理吧。那未安装的就是短板了。入职电脑自带就好了呀。新增的就解决了。
A13:嗯是的,增量容易解决。存量难搞,可以给各部门分派吧,让部门leader去说。
A14:特别当时我们还是已经装了某山,没啥效果,需要先卸再装,就更难了。研发和运营是最抵触的。
A15:安全说这个事搞不来的 ,安全提供一些扫出病毒后支出就好,安装、运维的支持其实可以看看桌面运维部门能不能搞定。
A16:这事其实责任很清楚的。如果移动端要管,参考PC端,公司出钱购买并预装,领用前事先声明,并要求签署文件,这样就行。既要管,又不愿意购买终端和缴费,这事推不动才是正常。
A17:移动端可以装MDM吧,配合一些策略,不装MDM的不能接入网络,不能使用邮件啥的。PC端公司发的电脑的话没啥隐私,感觉应该和用户说清楚,在公司的行为都有记录。。。。。。
A18:其实公司设备装MDM就可以了,个人设备装会有人投诉的。
0x2 本周精粹
0x3 2022年第24周运营数据
金融业企业安全建设实践群 | 第153期
本周群里共有 146 位群友参与讨论,群发言率为 31 %,群发言消息数为 481 条,人均发言数为 3.30 条。
企业安全建设实践群 | 第78期
本周群里共有 70 位群友参与讨论,群发言率为 20.77 %,群发言消息数为 337 条,人均发言数为 4.81 条。
0x4 群友分享
【安全资讯】
如何进群?
原文始发于微信公众号(君哥的体历):混合云实践中那些让甲方痛点的问题分析以及如何让云更安全?员工移动安全实践探讨等 | 总第153周
