![]()
0x1本周话题
话题一:请问大家如何看待终端防火墙的安全效能,当前公司主要使用Windows终端,考虑启用终端防火墙作为防御勒索病毒的一项措施。实施这项措施可能会带来哪些问题,在终端已经有防病毒、EDR等安全措施的情况下,实施这项措施的投入产出比如何?
A1:横向关闭掉一些端口会更安全一些。原则上只开白名单最好,维护成本不高。
A2:终端之间需要的横向端口很少的吧,可以考虑白名单。尤其是你已有防病毒和EDR。主要还是集中在打印和扫描仪这些用途。
A3:其实我主要是想把445,135-139这些高危的端口给禁掉,防止一台机器被勒索后扩散,之前没开过主机防火墙,不知道有没有什么问题。
A4:我们已经禁止了,不过是通过终端安全软件禁用的。
A5:先看看历史这些端口有没有使用记录,终端的话我们15年就禁了,预设禁用然后按需审批开通。
A6:我们的EDR,可以设置为禁止所有主动向终端发起的握手连接,不管终端上已经开放了什么端口。这样所有对终端的连接尝试的拦截都可以看成对内网扫描和横向移动的发现。而且无论主机服务是否开了端口,都连不上。
A7:我们最近在每个终端上做蜜罐也用的这个方案,采集所有连接,集中分析,之前还要开端口,影响业务。
Q:请问怎么判断对方是终端的?
A8:是管理中心中配置设计的,可以作为单机群组策略或全局策略,这是一个策略配置开关,但其优先级低于端口白名单,这个策略类似windows 防火墙的 block all packge coming in。
A9:就是一刀切了,我以为是终端会判断一下请求源是终端还是服务器,原来是直接阻断所有主动发起的。
A10:如果管理严格,不把桌面机当服务器用,那么说端点网络运行特点是基于浏览器和客户端对外访问,但不应提供基于固定端口的可访问服务。这样无论是基于smb等的漏洞攻击,还是类似psexec这样的远程执行,就都拦住了。
这条是主机防火墙在当前部署主机是桌面终端的可用策略,这个意义比单纯的端口白名单策略优势是,其相当于对所有被链接行为都是敏感的,当然内网p2p、网管软件主动资产探测出采集等会带来误报和运营干扰,需要优化,另外这个全端口的感知能力 也能支撑内网连接行为画像。
A11:我们也是这么干的,终端之间不能互相通信,只能访问服务器。
A12:问了下之前不开担心主要是担心影响用户访问某些应用被拦了,或者有新增应用入向/出向,需要调整防火墙策略,带来桌面运维带来很大的压力,如果这个是常规做法那应该就没什么问题了。
A13:考虑下打印机什么的,小范围先试试,会有些细节,整体是可行的。如果担心用户影响,可以灰度发布策略。
A14:我先统计一下终端入向的网络访问情况,再找一些终端试用一下。
A15:我们是支持观测模式的,内网节点间访问可以基于主机防火墙观测模式记录,之后再加策略。
话题二:大家是怎么管控AI在公司的应用,防止公司的私有数据流出去?有什么高招吗?我们是DLP加白名单。这个的AI指的是通用AI,比如文心一言等,不是我们自己建模型来训练。A3:文心一言部署在机房内,训练好的,不是买显卡。以及,文件要求什么事项禁止使用公开AI助手,具体可参考国安公众号。主要如果用saas化的AI助手,比较难以控制什么说什么不说。A5:搞安全的就自己做模型了,不然自己手打自己脸。控制成本可能都高于买一套了,要么就接受风险。A6:现在我已收集三个方案,DLP,黑白名单,Proxy控制输入。Q:proxy控制输入这个再扩展下,做成上层应用,比较靠谱,Agent方案,黑白名单是哪个层面的?A7:白名单的AI Agent才让用,比如文心一言,不能什么新的Agent都用。A8:如果DLP能从数据源头控制,也没毛病,把AI视作一个聊天网站。但比如你要提供代码编写注释编写用例编写,那就没法控了,我把内部方案传上去,请他按要求修改,怎么控。A9:这种用企业版的AI,数据私有,这个估计不允许,内部方案是敏感数据。A10:企业版就全解了。怎么定义是敏感数据呢?我自己写的方案,借别人参考参考,所有数据都定级是很难的,除非是涉m电脑,不定就没法用。Q:你的意思是所有人都用企业版?不允许用公开的AI AGENT?这也是一个思路。我也想到这点,那借用DLP,你怎么防这个数据泄漏?A11:如果有了企业版,我不理解为啥还要用公开的,所以我觉得DLP只能防定义好的数据。比如个人问一些简单的问题,不涉密,这种情况下用文心一言等通用AI就没问题,或者纯知识的问题。A12:不能引用文件的话确实数据传输效率就低了。但这部分国有大模型其实也优化得很好了。A14:我的意思是泄密效率也低了,风险低了,也能引导向用企业版AI,更方便。监控监控,如果一段时间没人用,就可以关了,如果有人用可以看看是哪里比企业版好。A15:实际上大家日常使用,我感觉各个大模型都是大同小异,没可能有非常大的差别,大家都解决不了胡说八道的一些问题。目前对这个问题,企业版结合外置数据库,在提示词中要求提供出处,在准确性要求比较高时算是有应对方案的,让它不知道就说不知道。Q:公司内部有关于AI的顶层设计,治理目标之类的么?A16:我们有AI委员会。主要自动化的时候,很难规避,国产模型遵从性还是差点。不敢自动决策,还要监督的,llm天然有概率创作的成份,适合生成,精准的就用精准解决方案,一个问题问多次答案都不一样。话题三:安全阻断类的系统如何防范对业务的影响?比如waf、ips之类,有的时候这类设备对业务的影响从告警日志里都查不到。A2:某厂家的waf,自动识别web站点,然后加入防护,但是把socket接口识别成http了,然后给人家返回http400,日志中根本看不到,抓包抓出来的。还有的不知道怎么就把http头中的keepalive干掉了,日志中也没有,有的能查到日志,但是也很危险,比如自动更新特征库后阻断了,虽然日子里有,但是应用排查不会第一时间排查到这边。我们现在上安全设备都是测试环境上几个月,同城灾备上几个月,然后才到生产,就这样还是会有问题。A3:这个能理解,websocket本质是socket,封了个http头,不是标准http协议,waf不认识就会丢弃。业务系统本身代码不规范,容易触发安全规则。
国产安全系统做的不严谨,功能模块分的细,每个地方都有能杀死业务的功能,但是不一定都有日志。
安全系统的日志在安全人员手里,应用负责人一般看不到,也不会看。
为了安全阻断类系统发挥作用,还是得坚持启用比较严的阻断策略,但是安全厂商的交付人员基本都不懂业务,于是现在上安全系统、包括调整安全策略就很难评估对业务的影响,再加上特征库自动更新。感觉安全系统就成了个不定时的雷。
A5:这是一个不好的现象,选型的时候关注检出率,灵敏度老高,上线了却关注误报率,恨不得别响。分析得挺好的,也可以再规划规划,哪些过waf,不过的怎么防护,不规范的怎么整改,waf能否优化,waf阻断告警有没有人处置。厂商靠不住,只有我们懂自己业务。A6:他说的是tcp的socket吧…以前那种旁路盒子waf经常干这个事情。多数是没配置好。A7:waf是把socket识别成了http,但是又看不懂报文内容,于是回复了400。A8:估计他不是旁路?旁路已经是个偏稳妥的方案了,不认识的放过,黑的才拦截。那是产品问题了,选型没解决,那就只能发现问题解决问题了。A9:就怕这种机制需要结合自身摸索着建立,这就意味着跟厂商产品的成熟度有很大关系,还对自身能力要求很高,还需要夸团队协同。A10:三层牵引完了bgp牵引到盒子再四层回注那种硬件waf,主要是深度包检测实现的,其实效果并不好。A11:我们用的都是国产大厂,上市公司的,一只手没数完就数到了。或者是代理转发模式的,要解密。A12:我不敢用代理转发,代理模式接管连接,网络上会增加一个风险点。A13:你说的这种我用过,出一个漏洞就出一个规则,比如shiro漏洞监测的正则表达式,特别宽泛,容易误杀业务。大部分现在的waf都是轻量代理模式,需要接入运维成本,这种旁路盒子以前有个主打的功能叫"自动发现",实际上是个伪需求。A14:waf串在ssl和负载均衡后面,感觉解决这种问题需要一个比较成熟机制和强大的内部技术团队,这个条件很难满足。A15:之前公安说过个统计结果,上云,比大部分自建的安全,它有漏洞是真修,有事件是真响应,真有人有钱,各家单位就不好说了,不过银行不属于这个大部分。A16:银行证书不敢托管到云上,不过要是这么说,云上的安全策略管理应该很成熟,既能起到防护效果,又能不阻断业务,或者阻断业务能很快帮助运维人员发现并处置,毕竟上云的很多系统可能本身开发上都不规范。A17:招一个安全运维吧,专门负责安全设备规则和安全设备运维的人,这个能解决部分现状的问题。A18:有,就是感觉不好控制流程和掌握变更评估的尺度。A19:我的经验,公有云过一道CDN WAF,不在云上落地,本地机房又过WAF,相比之下云不敢拦截资产探测类,怕有正常业务受影响,但对漏洞利用的拦截还是可以的,还有地域等其它规则,性价比高。这个涉及一种不同的理念就是安全链路要过纵深好多道,每一道不求把攻击全拦下来,追求每一道都有监控有处置、在本领域极低误报保障业务的前提下尽可能检出、互相交叉补充。A21:还有另外一种思路,对于暴露面收敛的场景,如果是需要登录的业务系统,可以使用无端化的应用安全网关,用零信任的先验证后访问机制,做持续验证,只有验证的才能被转发到应用上。因为是基于验证和授权的白名单机制,所以不会存在waf类特征检测导致的误报问题,只要验证是可靠的,就能自动免疫各种漏洞攻击,不用去维护规则。如果是担心正常员工,或是有正常身份的访问人发起攻击,也可以在网关后挂waf做检测不做阻断,一旦发现有攻击行为,通过网关可以直接定位人的身份(无身份的人无法访问应用),联动网关隔离攻击。A22:云上waf挂的ALB吧。我们也踩过某国产大厂的坑。某个配置默认拦截,且默认拦截后没log,默认拦截还是个隐藏开关,界面上没有的。
由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
文章来源: https://mp.weixin.qq.com/s?__biz=MzI2MjQ1NTA4MA==&mid=2247491681&idx=1&sn=32d80e2c080396eda93d1fab7a91a78a&chksm=ea484a26dd3fc3307d6f4f3a8794a4d40aca1a573ee58b7333bc3732847b00f5768d05f95af5&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh
