研发测试终端和办公终端都访问共同网络区域有无风险?数据安全与其它安全团队的关系如何?数据安全有必要独立吗?|总第272周
2024-11-18 07:3:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏


0x1本周话题
话题一各位大佬,咨询一下目前有没有安全产品可以对用户访问操作敏感数据行为进行检测的,比如:办公终端通过浏览器访问业务系统,请求了哪些敏感数据,进行检测。
A1:定制浏览器?
A2:DLP,数据库审计,业务系统的改造也可以吧,waf也可以。
A3:目前了解的dlp好像不行,只有外发敏感数据进行检测。数据库审计和业务系统改造量太大了,不能每天都看具体的情况。理论上,是可以自己写个代理,检测代理的流量,但是领导希望稳一点,有商业化的产品。
A4:api waf
A5:现在有这种零信任的产品,他们带这种数据安全的功能,可以对数据访问记录,做策略之类的。
A6:api网关好像可以检测返回包的。这个好像DLP 或者基于浏览器的零信任可以。
A7:基于浏览器的零信任办公网改造太大了。主要靠应用日志实现吧,或者搭建数据安全网关。零信任网关可以。
A8:靠应用日志,要对接的系统就太多啦,改造也大。
A9:这个其实是,改造量最小的,改造网关即可,客户端无感知。
A10:上一个API网关,所有业务系统走统一的API网关。在API网关的日志捞出来做行为分析好像也行。
A11:https能解么。网关后面,证书已经卸载了,除非业务自己做数据加密,否则都是可以解的。
A12:但实时检测Body性能消耗还是比较大的,而且正则不好写吧。
A13:API网关,是串行进去的,类似这种api发布网关。
https://doc.fincloud.tencent.cn/tcloud/middleWare/APIGW
A14:终端导入api 网关,api 网关做中间人是可行的。一般到CDNELB后面就能卸载证书了。大部分网关后都是http rpc等非加密等。使用网络设备检测敏感数据,还有个问题,就是业务系统做了应用层数据加密,就检测不到了。
话题二:请教一下,1、研发测试终端和办公终端都访问这个网络区域有没有风险?2、大家有没有类似需求,都是怎么做的?
【背景】我们银行研发测试网有个比较特殊的网络区域。1、有个知识库。要公布的一些项目操作指南,知识库,百科之类的内容,全国分行终端需要访问这个知识库。2、有个全国模拟运行环境。各级行都需要登录这个环境进行学习,考试,新员工培训等等。
现在研发要求:1、研发测试虚拟桌面(也可以理解为研发测试终端)要开通访问这个网络区域的策略,便于维护。2、全国办公终端也要开通访问这个网络区域的策略。 我是觉得研发测试终端和办公终端最好隔离开,不要访问同一个网络。
A1:测试终端只能访问测试网,办公终端原则不能访问测试网,极其特殊的单个放开策略,但是有时间限制。
A2:这个区域到底是在开发网还是办公网?
A3:在研发网。
A4:那开发终端访问肯定没问题。办公终端可以限时访问,因为办公终端安全级别比测试网高,如果只是单向访问,可以用网闸代理过去。符合监管要求,也满足业务要求。
A5:可以考虑在网络做一个nat,将知识库服务器对生产区终端映射一个生产IP做好策略控制,有些人行之类的测试业务也是需要借助生产区网络的同样道理。
A6:我们这边办公终端需要通过开发测试云桌面去访问开发测试网,不能直接访问。
话题三数据安全与其它安全团队的关系是怎么样的?大家觉得数据安全有必要独立吗?
A1:银行都设置数据管理部了,数据管理部设置了数据安全处。数据管理部和信息技术部是平齐的一级部门。
A2:有专业的信息安全部吗?
A3:大部分没有,微众银行一级部门有信息安全部,大部分银行都是 1-3 个安全处,散落在开发中心,数据中心,信息科技部。
A4:很多人说没有网络安全,就没有数据安全,所以网络安全是数据安全不可或缺的部分。 
但当前数据安全的主要问题恰恰就是:把它当网络安全来做。 比如数据被访问了,被勒索了,结果安全团队看的是WAFIPS,根本看不见数据流向。 
要做数据安全,首先把把数据视作资产,而非传统软硬件,这样才能关注,数据在哪里,被如何使用,要多少埋点,能否感知。
本质,这一层是数据治理的活。至于,定义完之后,在组织职能上谁抢夺/逃避数据安全的活,这个没有定势,取决于领导重视和组织形态,单独部门也没问题,边界划清楚,数据安全可以独立,也可以合并到信息中心等,都说得通。我想说的是,给责不给权,这事就做不到,就是等着出问题。推荐单独成立。
A5:有钱有权有人,独不独立就都不重要了。没钱没权没人,独不独立都没有意义。独立肯定是有权有人的,独立什么概念?我负责这一摊,我不看你脸色,我有岗位编制,我直接向上汇报。
A6:被勒索也是网络安全的范畴吧,勒索软件就是恶意软件,数据安全不是独立存在的。
A7:加密是网络安全范畴,但脱库、API滥用却较难被传统手段发现。数据安全不是独立存在的,所以很多人会觉得,那交给运维部安全处去做不就行了?别的都不用动,也不用额外投入了,这就是现实存在的问题。
A8:脱库很多是Sql注入吧,API安全也是应用安全。不一定都是通过漏洞。
A9:不通过漏洞是通过突破DLP数据外泄?
A10:漏洞第一,凭据泄露第二。凭据泄露也是网络安全的范畴,一般数据库是内网的,凭据也应该是内网使用才行吧。
A11:如果API滥用也算网络安全,那就网络安全牵头全公司全管就行了,没问题的,没必要再独立了。所以我觉得数据安全独立未必是好事,而且会不会很多重复工作?API滥用肯定是网络安全范畴,OWASPAPI TOP 10很多年了。
A12:银行有个历史包袱,科技不许碰业务数据,他是真看不懂、看不到。如果能整合,其实可以把工作做得更好、站位更高,责任也更大。
A13:可以有数据治理委员会,高屋建瓴做指导,数据安全也是数据治理的一部分。
A14:数据安全在技术上与网络网络安全重合较多,数据安全在管理上很重要的是内外部数据合规监管问题,另外就是从数据视角看待整体安全风险,弥补网络安全在技术和管理上的不足,约等同数据安全治理。至于数据安全组织独立与否可能更多看企业面临的监管、出海等情况,而非技术诉求。
虽然从最终目的和结果来看是一致的,但是从人员技术专业性来看,数据安全需要聚焦大数据、数据库、加解密等场景的安全,这里的专业性和网络安全会有明显的区分。
0x2 群友分享
【安全资讯】
一网络安全「员工」被判
美国颁布史上最严数据安全规定
字节跳动大模型训练被实习生攻击,涉事者已被辞退
全国网络安全标准化技术委员会关于2024年44项网络安全国家标准项目立项的通知
基于 Canal + Elasticsearch 的业务操作日志解决方案
如何抵御 Linux 服务器黑客威胁和攻击

由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。

往期群周报:
开源安全检测的漏洞,从哪些维度考虑整改标准?两种场景下(供应链软件入库,应用投产上线)针对检测的漏洞需要强制修复吗|总第270周
关于SCA的使用探讨,以及开发、运维人员访问生产服务器如何进行安全管控?|总第269周
关于防范勒索,除了攻击行为监测,在数据层面是否还有其他手段能及时发现?|总第268周

如何进群?

如何下载群周报完整版?
请见下图:

文章来源: https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247491664&idx=1&sn=9f29825f362daf8028e27882061a2e90&chksm=ea484a17dd3fc3017c123cd7d449fd0614c49b02945e34885e5444119a28f8e4297b13aa3a82&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh