0x1本周话题
话题一:系统完整性受到破坏有什么好的防御机制?类似于黑客获得了系统的控制权限,怎样防止他利用权限搞破坏?
A1:纵向多层防御,层层验证,横向逻辑隔离。
A2:你说的这个是纵深防御的说法,我在想要是黑客已经取得了一个系统的控制权限,如何防止他利用这个系统的功能搞破坏。我现在想的是再建一个独立的授权审批系统,想办法让黑客控制的系统要使用敏感业务功能,必须经过授权审批,比如要授权审批系统的私钥签名,才能让执行终端接受命令。
A3:他都已经取得了系统控制权限,你的授权审批系统可能在他的权限之下。除非你有啥权限能比他的系统权限更高,你这种基本上就是要有类似桌管那一套的东西,就是你虽然取得了系统的权限,但是你操作的执行都需要审批。
A4:这种得靠SASE解决吧,因为审批系统不需要对外服务,可以隔离网络,严格限制API啊,功能也简单。
A5:真的面对破坏的时候,平时那些不起眼的控制,其实都会反映在结果上,比如网络的acl,比如权限,数据库用户权限决定sql注入漏洞利用危害多大,应用程序启动权限导致webshell权限有多大,这些基础工作做好了,就算有漏洞,产生的危害也会小很多。
包括逻辑漏洞仍然属于应用层权限的校验错误或者缺失,这是开发者或者人的本性造成的,配东西开发系统的时候就是想怎么方便怎么来。
A6:权限都已经做到这样了,如果他还能拿到系统控制权限,只能说这些防护都是摆设。
A7:再拿那就是看提权漏洞是不是没打补丁,没有无缘无故的系统就沦陷了。但实际中这些权限,控制,做到的是少数,自己配个系统都是想直接root的,打个sudo都麻烦。
A8:比如:你找到了它的进程,找到了它的后门,你跟他对抗,删除……这些动作可以做,但还是挡不住,攻击者发现你在干一个后门的时候,可以在生成这个后门麻痹的同时造别的后门,他有控制权,你就很难办了。
A9:异常进程,异常系统命令监测,要靠这些。真正大招是不在主机层对抗,跳一层,在网络层干它。毕竟他有权限,即使你找到了源头,修了漏洞,他也很可能不止于有这个权限了,应急预案,该切要能切。
A10:网络层就应该把这些给deny了,比如17010,网络层445之类的端口已经deny了,就算终端有这个漏洞,入侵者也只能干瞪眼不是。
A11:业内有一家公司,叫零ping数据,可以看看。但是个人觉得规模大的情况下,生产几乎不可用,运行成本极高。
A12:要进了内网,横向渗透就相对容易了。比如,有一台主机被控制了,我可能有些监测,发现了,这个时候不会去找源头找后门,而是把主机直接断网卡,业务切走,能降级的降级,然后再去事发现场溯源,定位,分析完毕后,即使我把全链条还原了,漏洞修了,木马清了,我也不会恢复这台主机,而是会重装,然后才切回来。
A13:应该来你这个场景是被攻破了,又希望有一定防护,应该两条路,一是防守,多层防御,二是发现处置。(不管是有0day还是有什么原因,反正)系统被控了,怎么防止它拿数据或往里打,那肯定要制造障碍,不能让他舒舒服服的操作。
A14:微隔离技术,如果做扎实了,可能都控不了。
A15:跟管控的精细度有关系,也和漏洞类型有关,这个就监测防守一体了,忽略具体漏洞。
A16:不阻断,只告警。生产环境比较容易管控,生产变更肯定有变更单,卡流程就行了。
A17:最怕开发不知道自己要不要和对方通信,如果配合比较差的、部门墙重的、想把事情搞黄见不得别人好的,没法上微隔离,微隔离的先决条件不是技术,而是大家互相成就,目标一致,认可业务逻辑要清晰,从中一起发掘价值。
A18:你都说到了完整性,那就走应急 CIA 三要素。权限最小化原则,多因素认证,安全策略,EDR,UEBA 大把现成方案。
话题二:最近也在调研EDR产品,EDR通常会有传统的防病毒能力,产品安装包也有几百兆,加上AV,电脑的性能会更加拖慢吧,想问下AV+EDR异构是业界最佳实践吗?个人感觉不是一个主流的做法。
A1:我说的激进一点,EDR如果对系统性能有很大的影响的话,那么它可能是一个符合国情的产品;如果EDR具备传统的防病毒能力的话,那么它可能是一个符号甲方领导认知的产品。
但是它可能不属于一个好的EDR产品系列。AV+桌管+EDR到SAAS化才是主流的做法。严谨点的话,可以改成“AV+桌管+EDR到SAAS化才是未来主流的做法”。
Q:“可能是一个符合国情的产品”这是指?
A2:监控。如果产品不符合需求,还是好的产品吗?可能这就是冒出来XDR等新名词的原因,但我坚持认为划分赛道没有实质意义,一切要回归解决问题。幸运的是,限定国内,EDR和AV的头部,重叠度还是蛮高的。
A3:也不一定全是乙方的问题,乙方为了抢市场,随便改个名就成了不在少数。但就我了解下来,某些甲方的毛病更多。通常见的就是“你这个EDR能杀这个病毒不?”,那乙方怎么办?只能说,能杀,能杀。
A4:这不算问题,这是现实。基于认知确实很难。不过,国内现在合格的EDR产品应该也越来越多了,挺好。
A5:我觉得这不是国情,没有谁不喜欢简单一体的东西。只是正好国外没那么卷,那么老板只能被大厂教育接受现实。认知到位,可以区分需要和需求。
A6:“我要个东西,解决终端上的问题”这个需求特别朴素,你跟他说,EDR,桌管,AV,DLP,你要招四个标,凭啥?为啥不能集成?其实有些真的能,只不过组合不一样,然后就算真的分开合包,最后也有可能就是一家。终端的东西,真的有排他性的。
A7:这就是细分领域的作用了。要不然,All-In-One,全家桶就好了,但为啥连微软都做不到呢?可想而知了。
Q:saas化才是主流做法这个展开讲讲?这是为了云杀还是为了减少终端上的对抗
A8:saas化占用资源低一点。减少终端上的对抗,厂商SAAS化,或者MSS服务。
A9:这个SaaS是企业自己的还是厂商的呢?厂商SAAS话,前端可以降低资源占用,后端可以重一些,开发更多有价值的服务。
A10:企业一开始的终端都是不管的,杀毒就用defender,加个域控就是管理了,这也是saas的,为啥越来越重,都是伴随着企业的管控需要而来的,在这种背景下,saas能服务的群体非常少,大都被两头(一头不花钱,一头严管控)分了,我没明白它的受众在哪。
A11:从全球头部安全公司CrowdStrike来看,基于云端的机器学习、大数据模型感觉是必然趋势。这种是冲突的,特色不代表是技术发展方向,本地是不可能有计算资源的。
A12:CS已经成了国内坚定私有化、防供应链的反面教材了。saas其实是可以的,只是厂商saas这个背离了初衷。抱守老的特征技术只会被淘汰,包括网络层的头部ngfw公司的产品,在检测加密c2,dns隧道这些难点上,都是基于全球化的云和计算。
A13:对的,国际上的顶尖EDR产品没有一个不是厂商SAAS化的。国内做这块积累最多的应该就是数字了,不过他们也支持在企业自己的服务器上“云查”,毕竟他也知道比起病毒,客户更担心“安全”。
A14:SaaS化也有好处,前端轻,仅采集遥测数据;后端重,大数据,机器学习,威胁情报,7x24运营也是对甲方的极大帮助。
A15:又想流动,又怕泄密,看来安全领域也有自己的数据流动痛点。其实国内的公司也是跟着国外的风向走的,某0,某步,包x盟,在企业战略上已经转向云端,在edr跟soc运营产线上比较明显,之前还看到检测dns隧道的难点,其实ai倒真是适合解决这个问题。
A16:厂商EDR的SaaS化对乙方的运维能力是极大的挑战。
A17:线上安全运营这个服务真的有甲方在用吗,我们自己人运营都一团乱麻,不敢想线上是啥效果。
A18:我觉得对于安全企业来说大客户虽然很重要,但目前的形式大客户很难成为新的利润增长点,挖掘中小企业安全需求是关键。说实话,一定运营得比甲方好,只是没解决不敢把数据给他的问题。
有些企业已经上云了,从大盘来说,云一旦出低级配置问题就是大问题,但总量比企业自己管出的问题要少得多 这是专业的人做专业的事。
A19:上云也应该区别是公有云还是私有云,现在云安全的话题很多都是基于公有云的。银行上云都是自建的私有云,这两个差别可太大了。私有云就无法类比遥测了,银行性质特殊,是最不会使用saas的群体。
Q:这次CS事件为什么影响那么大?客户群体就决定了。那么这些客户难道没有数据安全的吗?
A20:微软的s1支持非saas部署。
A21:你确定S1这是EDR?你说的是微软的Sentinel吗?它是SIEM平台。S1是另外一家公司的EDR产品。
A22:这段时间接触下来,有些厂商是会将自己优势的AV改下成EDR的,有些知名的厂商EDR仅支持SaaS部署(回复说是云上的情报能力强)。
A23:你只要问他一个问题,你的病毒定义库是怎么更新的,就行了。如果乙方不能正确回答这个问题,就意味着起码销售或者售前对EDR的概念不清晰,不清楚,定位不准确。
这种接触是缺乏价值的。CS, MDATP, S1, CB等都是没有病毒库的概念的,只有遥测数据检测能力。
A24:你直接问他,情报来源是什么?是否合规?病毒库怎么定义,怎么更新,更新规则是什么?更新周期是多久?误报有多少?
A25:SaaS部署只是解决了平台问题,把系统运维的责任扔给了乙方SaaS平台,但是终端EDR、XDR的安全运营仅依靠SaaS是不够的,需要有对应的MSS、MDR服务。
A26:面相实际的安全场景需求,就谈实际的解决办法和效果。最早只有杀毒软件,后来慢慢变成了EDR,杀软被集成了。
A27:你说的都不是EDR,国产大多数是EPP门槛,CS, MDATP, S1, CB这些都是没有病毒库检测能力的。
A28:没必要纠结名词解释,适合别人的不一定适合自己。选择对自己有利的就好。
话题三:请教各位,本单位内,是否有信息技术领域访问控制、权限管理的顶层设计的制度?我们现在打算拟一个这方面的制度,做一个总体的设计,各位是否有制度设计和操作实践上的经验教训可以分享?
A1:参考iso27000管理体系的第二层,起名叫安全策略总纲/安全管理要求。
A2:IT 中央集权,统一权限管理,先要有业务流程说明文件定义岗位角色与业务流程活动的映射关系及 sod 设计,然后 it 系统对应实现权限控制逻辑,再搞一套权限管理平台实现 it 化权限管理,这一套搞下来 3 年就过去了。
A3:所以还搞了流程 it 化,业务流程文件直接在 pdmc 完成 it 初始化,流程在线更新,权限数据自动生成。专职团队10人起,统一权限管理平台开发搞个三年,再把全集团所有业务系统负责人卷进来,系统对接,工程浩大。
A4:还得全是自研业务系统吧,要是大部分系统是采购的,放弃吧。
Q:那么,哪家的权限管理做得比较好?
A5:美军DoD,CAC认证+零信任,默认没有权限不能访问应用。
A6:短期内没条件做到这样。而且即使你搞系统建设,我理解,也是需要策略、制度支撑的,现在就是想搞这么一个制度,还没有系统建设的根本。
我感觉偏生产制造的行业,比如中兴、华为这种,管理风格强硬些、IT系统自研居多且足够标准化的,还是有机会可以做的比较好的。
A7:主要还是投入产出的问题吧,这种权限系统,周期长见效慢。
A8:不做系统,光制度体系意义不大,也就写给安全团队自己看看。阿里的统一权限管理,还是可以分享下的。最大好处就是统一管理:
A9:阿里投入这个系统很多年了,你说功能都还不错,不过我站在竞对的角度来看,并不影响泄露严重。单从互联网行业来看,阿里还不错,仅次于拼多多,就让我觉得,似乎投入和产出,价值对不上。
要看数据,只能去公司,用堡垒机看,一个省只有1个人有权限,不许拷贝,不做吧,泄露更严重。做吧,效果就那样,产出也不好看。做粗了,效果不好。做细了,投入很大。这是系统级,还有业务怎么用的问题,业务就嫌麻烦,开个大权限,审批盲批。
A10:你们说的这个大工程,都是指菜单级的统一权限了吧,这管得好不好,对防泄露有没有帮助,哪里是技术问题,承建方能决定什么人有什么权限?能决定某功能多余过大?
A11:我们也在开始推统一用户和权限管理,但是从价值点来说,业务实质价值并不大,合规安全价值更大一些。如果统一管理加入数据安全类的控制模块,还是有些数据安全价值的,比如识别统计用户访问敏感数据行为、数据脱敏等。
A12:统一用户和认证没问题的,最粗暴的目标:离职离岗员工不能有权限,这个必须做到,还能对现有拉清单。但某某人是否可以有某某菜单级权限,背景调查都不做的技术就别上赶着替别人背了。
自研就接统一权限,非自研就只能接统一认证,权限自己管——类比下来,接了统一权限的,审批责任也是业务背。
A13:菜单级别的权限,这个梳理工作量就好大。
A14:这东西靠梳理,事后治理,永远都做不起来,得靠开发框架,前端后端框架里就把权限的实现规范约束了。包括数据权限相关的控制点都要埋框架里,所以前提的有一个强势的架构部,能把技术栈里的组件数量种类约束到一个可接受的范围,不太适合技术上百花齐放型的企业。
话题四:前两天看见一篇讲关于soc建设的文章,我觉得里面有个值得说说的点可以分享下。如果是一个有经验的安全工程师人工分析,是可以感知出一个告警里要关注的地方,比如log4j里的回连域名,但没有人工介入,难道靠历史知识库进行if else去 regex提取吗,感觉又不太现实。
A1:理论没有错,你的疑点其实是:只说有好东西不分享的叫嘚瑟,可复制可推广的才叫实践。由于实践细节不足,去争论dnslog域名和钓鱼网站也可以用一个换一个,或者事件是否应当在这个位置合并,也失去了讨论意义。
A2:我对其中的“关键要素”有所想法,在soc,我觉得的确可以提取出不同场景,不同payload下的关键要素,但是又到底什么是关键要素,针对变形的关键要素能提取吗,那这个soc又得花多少额外的东西去维护,又觉得不够现实。
他讲过的,提取回连域名,我们在日常分析中我也认为很重要,要block,但自己在处理各类数据时候,又发现,没有什么设备直接给出这个要素,压根不可能去提取,只有这个很少数的,if log4j,do search domain这样。
但不是Log4j是sqli,或是rmi,等等时候,也会有ldap/dnslog:domain,又怎么处理呢,不知道他们是不是解决了。
A3:是否现实这个问题反而是最好解决的,我做不到就先不做,先做最紧急重要的,但做了一年两年,现有问题都解决了,要提高时,就会开始琢磨这些继续投入的问题了,作者至少处于这个阶段。
A4:这个倒是,文章作者是自研soc,有能力可以后续去提高,但这种我觉得依赖模型/历史归纳,有很多共性的,商业产品其实应该能给出解决方案,比如弱口令看起来大部分nta会给出关键username和password。
A5:我试了下,这个payload,扔给大模型,大模型能解。无非就是想探索有没有成本更低的方式。
A6:其实从我个人理解再简化一下,关联到soar里,soar要处理的object,是soc要给出的一个关键要素,这就是为什么大多数商业soc/soar,给的最多的就是ban ip ban ip,因为没有更多的东西。
A7:并不一定是自动化,但自动化的前提一定是,已经分析出威胁的点是什么,是人工也好自动化也好,log4j里面ban src ip有用吗,其实有效的是封禁回连域名或者回连中的ip。
A8:确实,我没想好怎么从一堆payload里指出这个就是c2 但是大模型可以提取出所有的domain,然后一股脑封禁、回溯查看有无外联,如果有,再研判。这种做法比较怕攻击者扔一个正常域名在这。
0x2 群友分享
【安全资讯】
漏洞全流程自动化动态清零运营与实践|大湾区金融安全专刊·安全村
【漏洞预警】CVE-2024-38063 Windows TCP/IP 远程代码执行漏洞(0-Click RCE 影响所有系统)
五眼+日韩等多国网络安全机构发布新的事件日志记录和威胁检测最佳实践指南
《黑神话:悟空》发行平台“崩了”,奇安信:60个僵尸网络,攻击一夜暴涨2万倍
由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。