FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序把安全装进口袋
1.企业应该如何制定和执行有效的移动设备管理政策?
2.当有重要数据的员工(如主管、账务部门等)设备被入侵后,如何进行后续处理,确保企业内网的数据安全性?
3.公司都是私人电脑在办公,经常性发生材料外泄的事情,这个有啥好的管控思路么?
4.外网一个有威胁的文件,经过网闸摆渡,最终到内网也会重组回原来有威胁的文件,那网闸的意义是什么?
A1:
这里的移动设备指的是什么,手机、笔记本电脑、平板或者其他?
A2:
BYOD吧。
A3:
移动设备数据不落地,禁止截屏监,隐藏水印,笔记本链接业务走VPN安全通道,访问日志全纪录,浏览器通过域控管理管理,安装日志插件,安装统一控制软件。禁止私自卸载,制度跟上,日志齐全,每月信息安全宣贯,违规处罚。
A4:
禁用APP外复制粘贴,隐藏水印,禁止截屏,数据不落地,敏感数据脱敏禁止明文保存,统一账号登陆,API归一化管理,后端角色做好权限矩阵设计。
A5:
技术上有些很有难度,比如手机系统的权限问题,不同手机厂家的又大不一样,都要有不同的定制优化。总的来说,能达到易用、可用平衡的,我还没看到过。
A6:
适配性测试得搞,这个讨论总要有个业务场景限制才行,要不也没法定位。
A7:
有钱上MDM平台,否则就是管理政策+培训。
A8:
先不说有钱了,今年绝大部分公司都缺钱,直接就权限管控、账号发放管控、定期审计。
A9:
云电脑,所有安全软件都装在云电脑里面,这些使用者可能更容易接受一点,单位有啥安全需求,都往云电脑里面塞。
A10:
云桌面是不是控制台能直接监控你在干啥,不需要其他的软件?
A11:
我没实施过内部的云桌面,看家里人用的公有云电脑想到的。
A12:
远程的话效果比较好两种方式:
1.零信任体系,从终端、网络、用户、系统、数据层面进行管控,在终端层面就完成设备的安全型检测;
2.云电脑体系,所有办公数据存在公司云电脑的服务器中,安全风险会落在接入网关、服务器上,做好安全管理即可。
A13:
断网、确认影响范围、溯源、开展事件调查、整改加固。
A14:
说实话,一般终端被入侵,除非太初级的脚本小子,本机的日志必定都被清理了,本机能查的东西很少,流量分析设备与中间链路安全设备可能是溯源最好的倚仗了。如果平时安全基础建设很差,那只能全面铺开查全部的设备,耗时耗力但无其他更好手段。
A15:
日志服务器是用来干啥的,再说日志只是一种方法而已,比如内存,抓包等等。
A16:
终端设备不会转存日志的。
A17:
A18:
电脑日志不会转存吧,大部分也装个火绒就结束了。
A19:
如果是终端的话,一般不会,服务器还可能会搞个日志服务器备份。
A20:
禁用。入职就配发公司电脑,个人电脑不允许带入公司。
A21:
对,禁止个人电脑,要么就上云桌面,个人电脑合规问题扛不住。
A22:
建议不要用私人电脑,要不然管控起来,人家一句话:“你凭啥管控我的个人电脑”。已经踩过雷。
A23:
1.想办法让数据暴露的口子缩小,比方说上面大佬们说的限制外部设备连入;2.想办法梳理下系统上面的账号权限,下载数据等权限需要审批等;3.限制数据落盘,使用云盘等手段;4.数据脱离网络环境不可读或者外发途径可审。
A24:
谁负责谁管理,材料是谁写的,泄露就是谁的责任。为什么别人写的没泄露就你写的泄露了。
A25:
你这种怕是制度没发出来,业务就把你捶死了。合着IT不投入,还不让我用个人电脑了。想办法堵,也要给人家疏的选择。
A26:
所以还需要一些技术手段监控,主要有一些文件流转范围还蛮大的。
A27:
公司要有制度规定,把原因说清楚,或者给配电脑,办公本也没多少钱,至少给个选择。
A28:
个人电脑要界定属性,所有权是员工,使用权归公司,某种程度使用期间所属为公司,应当仅用于公司,是为“公司电脑”,所以不应用于个人用途,数据也为公司的。在离职时候,洗机之后,才是重新归属个人,并签更多协议防止数据恢复的风险。但总的来讲,对于敏感数据一定要把控,非必要不往这种“个人电脑公用的电脑”上存。
隔离了流量型攻击。
网络隔离,没有路由,你要是做了摆渡策略,它该进还是进。
内部服务器若有WEB漏洞、RCE漏洞,就被网闸挡住了。
就是不明白为什么会挡住,摆渡完要保证数据没变的吧,那原来有威胁,进来还是有威胁吧,清楚威胁应该是检测设备的功能吧,不是传统意义上网闸的功能了吧。
路由不可达就挡住了。比如你全网扫描,但你扫不到网闸后面的网段。
防主动型攻击,相比防火墙走的TCP/IP协议有更窄的攻击面。
网闸类似物理断网,路由只要对端网络设备不配置就可以了。
我也不明白网闸的意义。这拦截端口用防火墙就行,而且做得更好。
防火墙是基于ACL(TCP/IP),网闸是内部自定义协议。
防火墙:网络访问控制产品;网闸:网络隔离产品;光闸:单向导入产品。
安全机制:防火墙:传统包过滤+部分应用层内容检查;网闸:专用隔离部件+协议转换、信息流访问控制、内容过滤等;光闸:光单向传输部件+协议转换、信息流访问控制、内容过滤等。
主要是不明白他实际的隔离原理,就像上面说的如果应用层面有漏洞,数据摆之后还是会被攻击。
其实是多种协议拆包器+匹配字符串+重放器。比较有技术含量就是拆包器的种类多以及匹配字符串规则库大。弱点比较明显,对于需要大缓存的请求处理速度慢或者不支持。
如果是狭义的网闸,并不是任何场景都能部署的。比如A网段和B网段,交互文件、媒体,用网闸摆渡过去,B网段是不能直接访问A网段的IP的,你用EXP、POC,根本没有目标去打。当然了,如果文件本身带有恶意代码,这个靠基础的摆渡也是无法防范的。
我觉得这东西可以看做就是个隔离设备,毕竟可以达到隔离效果的设备和软件有很多,不必太纠结。
针对移动设备安全管理政策,讨论中提到了多种有效措施,包括禁止截屏、数据不落地、统一账号登陆等技术性措施,以及云电脑、零信任体系等整体方案。在员工设备被入侵后,建议断网、溯源、开展事件调查等步骤来保证企业内网数据安全。对于私人电脑在办公中可能导致的数据泄露问题,建议禁止个人电脑或者采用云桌面等方案,同时强调建立明确的制度规定和监控手段。综合而言,维护设备安全性需要综合考虑技术手段、管理政策和人员培训,确保移动办公既满足员工需求又保障企业数据安全。
在关于网闸的意义的讨论中,其作用主要体现在隔离流量型攻击、防止网络中的漏洞被利用、防止主动型攻击、实现网络隔离等方面。虽然在讨论中对网闸的实际隔离意义表示疑惑,认为在某些情况下仍可能存在安全漏洞,但总体来说,网闸作为一种网络隔离设备,在特定场景下仍能发挥一定的安全作用。
这个不涉及反序列化操作的结论怎么得出的?
要判断能不能被利用,漏洞被利用才是威胁。
有漏洞,被利用,有损害,才算数。
前端数据传后端都要进行反序列化。
很明显,其实准备接受风险了,就看你的判断了。
用哪个组件除非有很强的执行力,很难阻止,做的都是事后补救。
让报告方给报告吧,没报告很难分析的。
如果代码层控制,要怎么做?
要分析利用链,打断就行。
设置代码审计门禁,哪一级风险不允许上线,能做到?
参数过滤,或者强制把类进行转换,这个要和研发沟通,一般是过滤参数。
展开讲讲?
标准清单外的软件使用需要申请、审批。
我们是规定的不能用。
你们的通知咋发的,就这种禁止某类型软件使用固定的,或者禁止哪些的文案有么?
您好:
提醒:IT部门将设定软件限制使用策略,定期检查终端软件合规性并上报公司;《XXXX软件管理制度》见附件或参考链接;
如有任何疑问,可以咨询XXXX。
本邮件涉及公司商业秘密,适用公司有关规定,禁止外传,谢谢配合。
上期话题回顾:
活动预告:
活动回顾:
FreeBuf甲方社群每周开展不同的话题讨论,快来扫码加入我们吧!
【申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入社群】
“FreeBuf甲方群”帮会已建立,该帮会以三大甲方社群为基础,连接1300+甲方,持续不断输出、汇总各行业知识干货,打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口,让我们一同加入,共同建设帮会内容体系,丰富学习交流地。