各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 241期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。
PS: FreeBuf 企业安全俱乐部·北京站演讲嘉宾脱敏PPT已公开,文末查看领取方式。
话题抢先看
1. 有哪些令人印象深刻的供应链攻击?比如 fake_useragant 后门,通过加载恶意依赖等。
2. 在HVV的供应链攻击中,横向移动是一个常见的攻击阶段。企业如何加强内部网络隔离,防止攻击者通过供应链漏洞进行横向移动?
3. 随着DevOps和持续集成/持续部署(CI/CD)的普及,如何确保自动化流程中的供应链安全?
4. 数据安全管理岗一般是单独设置数据安全部门,还是挂网络安全部门下设置数据安全管理组?
话题一:有哪些令人印象深刻的供应链攻击?比如 fake_useragant 后门,通过加载恶意依赖等。
A1:
SolarWinds供应链攻击,长期潜伏,用户难以发现软件更新中隐藏的恶意代码。
A2:
SolarWinds的Subburt攻击,通过修改软件更新将恶意代码注入到软件中,前段时间的xz供应链攻击,systemd劫持sshd公钥认证流程等等。
A3:
Xcode Ghost,直接改变了苹果的开发格局,主要通过非官方下载的Xcode 传播,能够在开发过程中通过CoreService 库文件进行感染,使编译出的App 被注入第三方的广告插件。
A4:
供应链攻击,每年X友,X远贡献那么多漏洞,很大概率是源代码早就被获取了,代码审计每年出漏洞,这种如果代码不重构,那每年还能持续稳定输出漏洞,为攻击队造福。
A5:
外网打点发现供应商的数据库弱口令,存着靶标的账号密码。
A6:
我们投毒被放入沙箱,然后沙箱持续反弹Shell一周多,从沙箱打进内网。
A7:
还遇到过一个Docker 镜像有问题的,直接逃逸GetShell的。
A8:
我们发现在线文档出现越权问题可以推送企业用户,然后利用越权推送钓鱼。
A9:
有经历过一次,是供应链的办公电脑被黑了,红队在电脑上发现了甲方公司的相关数据,直接上报了。
A10:
我印象最深的是帆软的0Day,帆软是一款很好用的报表工具,但又经常会被攻击队拿着0Day漏洞去攻击,特别是最近几年爆发的Channel接口漏洞、反序列化漏洞,官方还没有发布新版本包的时候,我们需要做缓解措施,但是配置没有完全化,都还是被攻击队拿捏自如。HW期间,还是得经常关注官网的漏洞声明,并做好最小化原则,把不需要的帆软组件不要默认部署。
Q:在HVV的供应链攻击中,横向移动是一个常见的攻击阶段。企业如何加强内部网络隔离,防止攻击者通过供应链漏洞进行横向移动?
A11:
做网络隔离,做流量监控,及时发现,及时封堵。
A12:
横向移动不是供应链攻击中特有的,供应链只是提供了立足点。防止横向移动常见的手段:网络分段隔离,VLAN/ACL,微分段:基于用户,设备,应用程序,身份认证授权等再细分,零信任,最小特权等。
A13:
隔离VLAN,微隔离,只是很多配置起来麻烦,还不容易排故障,所以不好启用。
A14:
难的不是这点,而是系统托管,供应商被打穿后是有证据显示数据所有者,照样算分。
A15:
横向最有效的是行为分析,上足够多的多道异构墙用于拉长时间给到行为分析发现。
A16:
日常做好网络安全区域划分和资产摸排,能一定程度上减缓横向的速度和估算受影响的程度;网络流量监控异常行为,诸如漏洞利用、口令爆破、远控等;主机Hids针对漏洞利用、文件、进程和网络连接做好异常监控。当然如果真中招了,切割的手段也比较多,防火墙、IPS、终端防护、断网等手段都能用。
A17:
每个系统一个VLAN,接口过服务器区防火墙,最小端口放行,主机上入侵防护软件 打虚拟补丁,严格限制服务器外访,加上行为分析比较稳当。
A18:
其实供应链最牛逼的还是Intel芯片里面给你留漏洞,都疑似好几次了,真是无下限啊。
A19:
其实供应链攻击一般都有立足点了,也就是有了一定的权限。这种情况,零信任是很不错的解决办法。
A20:
传统玩法:建立AZ隔离区或者安全隔离区。隔离区内外使用NAT和ACL,并且进行日志分析(参考互联网大厂);
极端玩法:建立高保密物理隔离(参考欧美同学会等政府单位);
伪装玩法:在混合云节点部署蜜罐(参考中国移动等运营商)。
A21:
将网络划分为不同的子网和虚拟局域网(VLAN),并在子网之间使用防火墙和访问控制列表(ACL)来限制通信。部署ID或者SIP),以及高级威胁检测工具,监控和分析网络流量,检测异常行为和潜在的横向移动活动。提供定期的安全培训,提升员工对供应链攻击和横向移动的认识和应对能力。
A22:
首先横向移动可能不仅仅是供应链攻击导致,其实是个普遍现象,另外通过划分网络VLAN等形式也不是安全能控制的,是业务说的算且已经部署的系统没法再改网络,安全都是基于现有的材料炒菜。所以目前来看还是在内网部署蜜罐以及尽量内网设置ACL(虽然很难),以及在业务测的每一个卡点API网关上做收口。再有就是能上的安全措施都上,包括EDR、MDR、NDR、XDR,总之还是要在ACL+API的基础上 ,通过EDR、MDR、NDR加强感知能力以及蜜罐欺骗攻击的方式。最后快速响应,加强演练,提升应急人员处置能力。
A23:
基于在横向攻击这个阶段,防火墙策略还是能起到一定的作用,当然建的有SoC的话,异常网络活动还是能看到一些的。
A24:
南北向的可以监控,流量可以拿到,但是东西向的异常大部分拿不到的,因为直接访问 不过交换机,这部分目前感觉基本上市面上的公司都是一个监控空白吧。
Q:随着DevOps和持续集成/持续部署(CI/CD)的普及,如何确保自动化流程中的供应链安全?
A25:
我觉得这个问题偏向于提问自动化流程中的供应链安全,而不是供应链安全。这个比较复杂,简单说说,不知道理解的对不对。首先流程中安全涉及Map威胁、Git安全、提交、审查、部署监控、执行权限、安全凭证、清理冗余等,其次将Lac实施放到流水线中,定期扫描开源漏洞、基础设施代码模板、K8s清单、容器镜像等等,最后是DevSecOps和CI/CD。将安全充分融入SDLC所有环节、置顶软件供应链安全战略等等。
A26:
上SCA,启用开源评估,如果都是外包,体系化解决可以参考 GB/T 43698-2024 网络安全技术软件供应链安全要求。
A27:
引入工具只是手段,真正的还是要从流程上规范供应链安全的全生命周期的使用。
A28:
用可信源,内部部署Maven等,每个从外部获取的时候要拉取可信源的东西。另外用黑鸭之类的,经常扫自己库里有没有已知漏洞的东西,每个组件啥的,哪个系统用了要有清单,出事了及时应急。
A29:
先卡增量,将安全检测加入外采流程,再卡存量,将安全检测覆盖外采系统或者应用,每个系统独立执行黑白盒评估。剩下都是技术细节问题,招专业的人做专业的事情,在外部供应链选拔流程中建议将安全作为质量管理的一部分考虑。
话题二:数据安全管理岗一般是单独设置数据安全部门,还是挂网络安全部门下设置数据安全管理组?
A1:
正常情况下,管理岗单独设置,数据安全跟网安可以挂一起,并分小组。
A2:
网安也是管理岗,只是不知道放在一起是否合适,我看政府类的搞数据机构还要改名字。
A3:
企业内部来看,一般都是挂信息安全部门下面的。
A4:
主要是挂信息安全部门下面,又要考虑增加职能了。加职能又要去争取加编制。
A5:
信息安全包应该是什么安全都包了,单独的数据安全岗是做啥?和应用安全、安全运营这些完全脱离吗?
A6:
分开的,主要做数据合规、数据交易。
A7:
那不如叫数据合规岗好一点,一般的数据安全和正常信安岗分不开的,数据合规就可以完全分割了。
A8:
建议大型组织安全人员足够的情况下进行分开,可以挂在信息安全部下,一个小组。
A9:
A10:
我这也有个图,数据安全跟网络安全有点不大一样。
大型企业通常设有向CIO或CEO报告的首席信息安全官(CISO)。在缺失专职信息安全人员的组织中,数据安全的责任将落在数据管理者身上。在任何情形下,数据管理者都需要参与数据安全工作。
在大型企业中,信息安全人员可以有让业务经理指导具体数据治理和用户授权的职能。例如,授予用户权限和数据法规遵从。专职信息安全人员通常最关心的是信息保护的技术方面,如打击恶意软件和系统攻击。但是,在项目的开发或安装期间,仍有足够的协作空间。
本周话题总结
本期话题讨论了HVV中的供应链攻击,为了防止攻击者通过供应链漏洞进行横向移动,讨论总体认为,企业需加强内部网络隔离,如实施VLAN、微隔离、零信任架构,以及部署入侵防护、行为分析、网络流量监控等安全措施,并提升员工安全意识与应急响应能力。同时,对于已发生的供应链攻击,快速响应与有效隔离是减缓影响的关键。在保障自动化流程中的供应链安全时,应综合考虑流程规范、工具引入、可信源使用、定期漏洞扫描、以及将安全融入SDLC各环节,并建议将安全作为质量管理的一部分,确保供应链全生命周期的安全。
本期话题还聊到数据安全管理岗的设置问题,数据安全管理岗的设置应视企业规模和资源而定,大型组织建议单独设立数据安全部门或挂信息安全部门下设置小组,以确保数据合规与交易管理,同时考虑与信息安全部门的协作与资源分配。
近期群内答疑解惑
Q:权限治理怎么搞,我看RBAC模型可以搞,但是在实际中也不好操作,有没有避坑的点?
A1:
我以前是这样做的,自己部门出一份权限表,其他部门出一份权限表,然后找相关人员开权限评审会议,并把结果抄送给各相关部门领导和老板,最后根据结果确定权限,以后权限稽核就有依据了。有些专业人员不同意授权的但是别人有业务需求的,需要一个背书流程出事情了追责或者免责。
A2:
我可能最终需要形成一个 “用户—岗位—角色—权限”的矩阵。
A3:
对啊,就是类似ACL的表,哪些人对某些系统或者数据具有读写改删等等权限。
A4:
如果业务系统有日志埋点就好弄得多,权限授权、使用情况这些。
Q:本地堡垒机想纳管云服务器,但是总感觉堡垒机暴露在公网上怪怪的,有什么好办法吗?
A1:
堡垒机为什么暴露在公网?
A2:
我们是本地有服务器,云上面也有。
A3:
做一条专用的路,形成一个大内网,然后堡垒机统一纳管,外部用户需要用的时候再通过VPN拨入内网访问。
Q:企业内部的办公APP直接发布到互联网上,有什么好的防护建议吗?
A1:
至少找个免费的加壳厂商给加固一下,有预算的话就用商业壳,防篡改。
A2:
面客的APP我们也是这么搞的 主要办公类的,希望用类似白名单的逻辑做一点防护策略。
A3:
公司的总部、所有分支单位内网互通的话,最好还是收入内网,在单位使用,或者VPN接入,实在要用,除了APP加固,服务器和链路上该上的常规措施都上。
Q:针对办公环境中的苹果电脑,要怎么做安全措施?
A1:
设准入标准门禁,比如装统一的杀毒软件才能入网之类的。
A2:
找个可以兼容的Mac的卓管软件。
A3:
专项检查,个人电脑入网就是高风险。
本期甲方群急招岗位
甲方群最新动态
上期话题回顾:
活动回顾:
近期热点资讯
攻击者劫持 Facebook 页面用于推广恶意 AI 照片编辑器
由于域验证错误,DigiCert 大规模撤销 TLS 证书
继全球蓝屏后,微软 Azure 云服务因安全错误导致全球宕机
打破纪录!某财富 50 强公司向勒索组织支付 7500 万美元赎金
iOS 18.1发布苹果AI测试版,曾因隐私问题遭吐槽
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
注:目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf1024,备注:甲方会员
扫码添加FB运营小助手微信,进群即可领取FreeBuf 企业安全俱乐部·北京站演讲嘉宾PPT!
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)