谈数据泄露、勒索和云故障 | FB甲方群话题讨论
2022-12-23 19:26:2 Author: FreeBuf(查看原文) 阅读量:8 收藏

各位 Buffer 晚上好,FreeBuf 甲方群话题讨论第 200 期来了!FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论,Kiki 群助手每周整理精华、干货讨论内容,为您提供一手价值信息。

注:上期精彩内容请点击:加密流量怎么做安全检测 | FreeBuf甲方群话题讨论

话题抢先看

Q1:国内新能源汽车巨头发生数据泄露,被黑客组织勒索 225 万美元的比特币,对于此事大家怎么看?

Q2:此次数据泄露事件,会不会被监管处罚,处罚力度如何?企业如何从这次事件进行反思:加强自身安全建设,防范自家企业数据泄漏。

Q3:如何评价近期阿里云香港区宕机事件?云服务平台屡屡出事,对安全部门来说,选择的标准有哪些?

Q4:此次事件是否说明购买跨平台的云服务是必要条件?和购买单一云服务内的多个区相比,安全性是否更好?

Q1:国内新能源汽车巨头发生数据泄露,被黑客组织勒索 225 万美元的比特币,对于此事大家怎么看?

A1:

我之前服务的一家上市公司,都收到红头文件了,还不整改,催狠了,直接跟我说,公司没有需要保密的数据,惊呆了我的小伙伴。

A2:

企业也很难,不仅有物理安全、网络安全、人员安全、环境安全这些要同步加强的,还有安全边界没有确定范围的话,一个亿其实真不敢保证。

A3:

安全投入太大,而且要持续投入就是个无底洞。这种事情发生认错也没用,完全就是态度问题,一般而言,大部分企业内部照样不会做整改。

A4:

领导一直觉得投入的资源比较多,如果能确保零泄露的通用解决方案,不说给公司带来的效益,对外都能输出服务盈利了。

A5:

必须加大投入,比如 3500 万元。有 1500 万是物理环境改造,比如门禁、视频、配手机、核心区域电磁屏蔽+单独的稳定管理系统(自动编码的,拿出去也没用) ,1500 万是审计、日志,行为分析、流量分析、威胁检测、权限控制类的 ,另外500万是给保安、执勤、审计人员的奖金+福利+罚金。

A6:

当初在公司提了一个安全草案,前期预算加上现有设备,大概需要500W的投入,老总就找我约谈,说什么我工资比他都高什么什么的,请我来是为了什么什么的,我就记得一句话,我工资比他高,考虑了几天就跑了。

A7:

领导一般都会说,安全问题能用开源替代的产品为什么不二次开发选择替代,一来就要钱,很难办成。最狗血的是,部分领导会讲招你进来啥事没干,上来就要钱。

A8:

安全产品,一分钱一分货,我真不敢用开源,除非对安全要求不高,不用承担太大责任,或者是用开源做测试来打开突破口的。

A9:

简单三句话 :1. 明白行业国家怎么要求怎么玩,能解读背后的含义,具有所谓的政治敏感度;2.能规划,能干活 ,能 k 供应商 ;3.必须能背锅才是重点。

A10:

大家可能没太透彻领会国内私企的经营重点,能不花钱都尽量不花钱,别说数据安全问题了,消防安全都会省下来,能不给自己找麻烦都尽量不参与。。。

A11:

要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。

要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。

A12:

一般来说,企业从员工到客户信息都有泄露的情况,说明不是一个点出问题,应该是多处都有问题。

A13:

不像是接口泄漏的,有员工数据,车主身份数据,注册用户信息,相关供应链企业信息。企业要坚持网络安全为人民、网络安全靠人民,增强网络安全防御能力和威慑能力。

A14:

你们没关注到重点,你们的重点应该放在学习人家写公关文,一旦数据泄露,如何第一时间和客户道歉。

Q2:此次数据泄露事件,会不会被监管处罚,处罚力度如何?企业如何这次事件进行反思:强自身安全建设,防范自家企业数据泄漏。

A1:

个人猜测应该会被相关部门监管处罚,毕竟现在全网都是负面信息,如果合规动作不规范,处罚怕是会比较严厉,这波有可能吃个大亏。

A2:

1. 这件事肯定会受到监管的,企业也必须以此事件作为内部安全培训的典型案例;

2.至于处罚不处罚的,钱是小事,关键是面子,作为头部能源车企,丢不起这人。

A3:

泄露数据这事,两面说,一是看技术发展到什么程度,二是看是否有适合企业的管理经验。绝对的安全,不是很现实。

A4:

1、作为安全人员不应该在出事后才进行反思,应该就事件热度向管理层和业务层输出,将之前发现的安全问题以及风险点,连同解决方案或者建议整理整理,输出出去,给管理层和业务层敲敲警钟,反思反思(安全人员现在才进行反思就不太称职了)。别人出事是安全人员为数不多的说话机会。


2、正常来说这种规模的泄露,按照数安法和个人信息保护法肯定是要挨板子的,
但是国内法律可解释度太大,还有就是看国内执法动向了,之前是金融和互联网,今年汽车行业刚出标准对其ISO21434,搞不好会挨个板子杀鸡儆猴。


3、如果一定要挨板子,避免是不可能的,更多的是看如何证明下已有安全措施和成熟度,找到问题根源,肯定要总结不足但也不是躺平挨打,已经做的措施肯定要说明白,不足的一定要说清楚整改计划,安全本身就是对抗,道高一尺魔高一丈,只能在考虑好投入产出比的前提下做到最好,安全人员做好安全是本分,但是风险点一定得发现的全面,具体风险收敛的优先级得看公司的风险容忍度了。

A5:

相同行业发生效果可能会好些,但要发生肯定是带着解决办法去,不能光喊问题不讲解决,挑自身不足最关键的的去提,去要资源,比如资产发现能力建设,风险感知能力建设,数据加解密,数据安全分类分级啥的。

A6:

出现这种情况,内部数据管理框架应该需要完善,否则不会出现涉及数据围如广的局面,以下图示的数据保护框架大家可以参考下:

左右滑动查看更多

A7:

这个事情两点必须搞清楚,第一数据存储是不是有很大问题?不然不同类型的为什么数据被一锅端了 ;第二数据如果被短时间内拷贝走,会不会产生端口异常流量?

A8:

我觉得单从此事件来看意义不大,要看反应了什么问题,对我们有何启发。万变不离其宗,不管什么原因导致的,应对方法都差不多。

对于企业来说应急响应的三个阶段都要完善起来,事前发现,事中止损,事后总结完善和反击。

参考 PDCERF 跟 WDRRC 做好自身企业建设,梳理关键资产,识别风险和防护,做好应急告警、预案和演练,不断加强抗击打能力,才是长久之计。

A9:

数据泄露只是事件结果的呈现,导致的原因可能是方方面面, 在追溯方面,各位有好的手段吗?很少的。

如果是接口越权未授权,那可能是一个漏洞的事情,如果是脱库,可能是内网被打穿了,如果是内鬼,说明权限管理失控,感觉作为安全人员面对这种问题会无从下手。

A10:

高层必须从此事件吸取教训,明白重视是安全工作能够顺利开展的大前提,数据泄露很难彻底避免,如果说零失误,零漏洞,要么是不懂安全,要么就是避而不谈时间因素,在耍流氓。

A11:

拖着41°的高热来回答一下,我觉得人家已经做好了被处罚的准备或者在规避处罚,但是罚不罚要看数据泄露带来的社会影响,行业影响,还有就是本身有没有合法合规,如果都有,大概率不会处罚,会给整改意见,另外一点就是这个事是自己主动公布的,不是监管发的通告,处罚会弱一些。

A12:

未必啊,感觉这次被处罚的可能性也不是很大。毕竟公司至少做了数据阻断,这个公告看起来是后知后觉。

至于怎样防御,如果黑客用社工手段实在是很难防范。上次的Uber就是这么被干趴的。

Q3:如何评价近期阿里云香港区宕机事件?云服务平台屡屡出事,对安全部门来说,选择的标准有哪些?

A1:

云厂商很大程度是老板和运维选的吧?实际里面的安全产品,不是主要因素。但话又说回来,不一定全部都只能用某个云的安全产品,还可以选别的安全厂商的嘛。

A2:

阿里云这个事情:
1. 证实了 status 页就是一个笑话;

2. 证实了阿里云的多az是假的。单az故障导致region级别的服务都挂了(对象存储,网络,控制台,api),这是一个很大的问题,就是说明阿里云香港的架构脆弱的跟纸一样。那我们还不如猛一点,单az就好了,时延还好点。

A3:

宕机事件在国外也时有发生,并不说国内云的技术就不行,就算是其它国外云,也会有这样那样的问题。可能是我们没有遇到,毕竟用得少。

A4:

宕机问题重要的不是技术问题,是态度问题,故障很正常,别的厂商也会有这种情况,通知人家修复就行。但回复态度不好或者修复不了,这才是问题吧。

A5:

我们在新加坡单az,挂了也认了。而且s3,控制台也没挂,但是这次阿里云控制台都挂了,其他az也受影响。要么牛皮吹大了,要么是故障通告欺骗客户,里外都是对客户不诚实。

A6:

这里阿里云有做的欠缺的部分,毕竟都做那么多年了,技术上出问题可以理解,商业上不诚实,是最大的问题,这波肯定要丢很多客户。

A7:

国内云服务市场本身竞争就非常激烈,阿里有又出现这样的事情,处理的结果,用户似乎也不是很满意。之后,市场份额会体现出此事带来的后果。

A8:

阿里云安全性、可用性、可移植性和可扩展性相对都很高的,无论任何厂商都不想希望这样的事情出现,但是发生了就要受到惩罚。

A9:

这个还真不能说明问题。说不准可能是你们好运了,刚刚没有在新加坡受到影响的那个区域,当然这里阿里云也有做得不好的地方。毕竟都做了那么多年。

Q4:此次事件是否说明购买跨平台的云服务是必要条件?和购买单一云服务内的多个区相比,安全性是否更好?

A1:

还是多区域更好,业务布署和策略这些是同一套,攻击面收敛也相对更集中精力;多云在布署,配置,转移切换,监控上相对难度更大,安全性不一定能更高。

A2:

个人觉得,条件允许的话,企业还是要部署跨平台的云服务。主要是三个原因:1.云服务器部署非常快捷,;2.云服务器的缩放是弹性的;3云服务器的运维成本更低.

A3:

这两种都可以,企业都要清楚的是用户数据是统一存放在云服务提供商那里,云服务提供商能够看到每家公司信息,因此必须清除厂商如何保证这些数据不被别人恶意利用,只有这样才放心购买!

A4:

阿里云宕机事件并不能说明跨平台的云服务是企业必选项,单一云服务也好、跨平台也好,安全问题往往不是技术原因导致,是云服务商内部运营问题。

A5:

选择云服务厂商时,我们公司一般会看云服务商的信用和资质、产品的稳定性和速度测试体验、和公司软硬件的互补性以及预算范围等几个方面。

A6:

脱离现实不太好、当然还是选择跨平台的比较好、除非完全不用云原生产品、开发和故障切换不可能做到低延时。

A7:

选择云厂商的话,一般也就几大平台,首先是看业务在国内还是国外,然后在大平台中选(基本成本会占比较大比重考虑,安全性方面要多测试有效性,配置合理性)。

A8:

选择云服务厂商时,可根据服务范围、安全性、可用性、可移植性和可扩展性等,全面检查云提供商的服务产品,选择适合自己公司的云服务商。

A9:

选择云服务商可以从五个方面来入手:第一步:选择服务的类别;第二步:计费情况;第三步:关于标准遵循和认证问题;第四步:安全性问题;第五步:与企业已有系统的集成问题。

FreeBuf 观点总结

数字化转型席卷全球,企业为适应当下环境,纷纷迈向智能化运营模式,获得便利、高效的同时,产生的海量数据不可避免面临网络风险。本期话题讨论中某新能源汽车遭受黑客勒索事件也证明数据资产已成为黑客组织眼中的“聚宝盆”,保护自身数据资产安全成为企业运营的头等大事!

如何保护数据资产?不仅需部署先进的网络安全设备、增加安全保障人员、更需要建立内部数据安全运营体系。首先要划分数据安全等级,规范数据调用权限,其次要明确安全人员工作职责,分摊事故责任,从数据传输、存储、审核、输出等多个环节监控,确保数据资产安全。

至于讨论中另一个话题——某云服务商宕机事件,技术问题并不是用户吐槽的对象,事故处理态度才是。机器设备出现问题无可厚非,无论哪家企业也不敢保证产品绝对安全,但处理事故的决心能够很好反映出厂商之间的差别。

本期话题讨论到此结束啦~此外,FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群

目前1群、2群已满,如有疑问,也可添加Kiki群助手微信:freebuf2022,备注:甲方会员

FreeBuf甲方群成员(因篇幅限制仅展现部分行业成员):

金融行业:贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  

运营商中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总

互联网:云畅游戏 信息安全总监、飞点网络 技术总监、聚水潭科技 信息安全总监、诺亚控股 业务安全中心总监、哥伦比亚中国 信息安全总监非夕科技信息安全总监、赫基国际 信息安全部负责人、熵通科技 信息安全负责人建发集团 信息安全经理 
其他:大学长教育 数据安全与合规总监、温州城市大学 信息技术服务中心科长、作业帮 安全负责人、同程艺龙 安全总监、新奥集团 安全总监、中译语通 安全总监、集贤科技 安全总监、德邦快递 安全总监、盒子科技 安全总监、猎豹移动 安全总监、蚂蚁集团 实验室负责人、结行科技 数据安全负责人、苏宁 网络安全经理、新浪 网络安全经理、吉利汽车 信息安全经理 

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651211786&idx=1&sn=6e04cf642c8ec8627fd4740ea1e46487&chksm=bd1dda818a6a53977eaad127a5090600895660d8a587933039bf2195ce7f65189e7c47116a4e#rd
如有侵权请联系:admin#unsafe.sh