0x1本周话题
话题一:哪家组织过内部的红蓝对抗演练呀?怎么搞的呢?
A1:我们请的360,用的360的演习环境。请他们提供培训和技术支持做攻防演练,红队蓝队都是内部员工。
A2:自己养红队,要求有点高啊。
A3:确实少,基本只有大公司可以搞。我们这边用自动化渗透测试平台替代红队,所以只用提高防护水平,用平台替代人工。
Q:红队多少人?
A4:3-4个,蓝队人数预计安排3-4个。
A5:如果红队人不多,或者兼职,或者不独立,还是别搞。
A6:这种对外服务搞过,现在想自己组织搞一次。是不是有文件依据要求自己甲方建立攻击队,目前了解到很多都有想法建立攻击队。
A7:第一是购买服务花钱还是多的,而且不见得一直有预算,第二就是还是想以这种形式来提升一下安全水位。
A8:我这个刚搞过,红队就我自己+漏扫。
A9:现在的漏扫用处不大,建议测试自动化渗透测试平台。
Q:这种平台不是很容易造成数据污染吗?这个方面怎么处理的。
A10:业务部门加白名单的方式来解决。
A11:他是主动还是被动的?一般类似于自动化渗透工具,好像都是被动+主动,从流量那边识别组件或者字段,然后插入POC进行验证。
A12:这不就是被动扫描器+加主动验证。
Q:正确率怎么样?
A13:百分之2。
A14:正确率2%那排误报不是比人工测工作量还大。
A15:是啊扫描出来的告警,只有百分之2左右是正确的,但可以做排序,减少分析的条数。
话题二:请教下大家,个人手机号是否属于个人敏感信息?根据GB/T 35273-2020个人信息安全规范,个人手机号被列入个人信息示例内容,未列入个人敏感信息示例内容。且根据金融、通信领域数据分类分级指南内容,手机号被定义为3级,敏感个人信息被定义为4级。通过这两个维度是否可以判定为手机号不属于个人敏感信息,从合规层面无需加密存储,且涉及数据出境场景时手机号归属为个人信息,而非个人敏感信息。
A1:属于敏感信息,个人手机号可以直接定位个人。
Q:如果是个人敏感信息,《GB/T 35273-2020个人信息安全规范》、《金融数据安全数据安全分级指南》等指导文件,为什么没有将手机号定义为个人敏感信息?
A2:之前领导提过,说在运营商的时候,根据什么数据的三要素能定位到个人的都算敏感信息;我们的场景是姓名+学号+手机,组合起来的话,这三个都算敏感信息。
A3:反正手机号码在国内可以像身份证一样,手机号码是实名认证的。能够准确定位到个人的且具有排他性的都应该是敏感信息。理解不一样,定义的安全策略不一样。自己不好把握也可以让其他部门或者上级部门定义。
A4:个人信息的保护,要结合业务需要和场景来看。单独字段讨论,容易进入安全极限投入的死循环。
A5:匿名化处理一下就可以了,比如只要后几位。
A6:现在最主要的矛盾是,出台的规范、指南内容,从执行层面理解会出现歧义,关键执行节点就会出现偏差。比如 针对《数据出境安全评估申报指南(第二版)》内容,非关基单位处理者,自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,需申报数据出境安全评估。
Q:那针对数据存储在境外的业务系统,如只涉及用户姓名、手机号字段,用户数据量达到多少条,就需要申报评估工作呢?理解不一样,成本不一样!
A7:举个例子,新业务系统,可以评估是否是有必要,但如果是存量的老系统,就不太适用了,现在一般是个人敏感数据尽量本地存储。
A8:不要太纠结,还是要根据业务场景结合实际情况评估,比如我们的手机号都是要求100%加密的,但这个字段在每个系统库表的落地情况都有不同场景和例外情况。内部的规定和要求可以从严,落地视情况而定。
A9:1)手机号定义为3级感觉没啥问题,因为手机号可能会变更不像证件号是唯一的,但是内部可以有个定义,超过x条手机号,升级为4级。2)貌似法规没有只有个人敏感信息才需要加密存储? 要求的时要对个人信息采取加密、和去标识化的措施。3)手机号是否要加密存储,抛开法规要求,也要结合行业通用实践、数据泄露实际影响、监管检查重视程度,任何一方面来看手机号加密都是必要的。
Q:认同,另外请教下,超过x条手机号,升级为4级,安全保护措施侧重增加哪些要求内容呢?另外,针对数据数据出境场景,手机号如不当作个人敏感信息处理,业务在未达到100万数据量级时,未申报数据安全风险评估,是否会被监管部门判定为不合规呢?
A10:超过x的手机号,在权限审批、下载、脱敏展示都是更严格的控制。关于出境的这个量级和风险,最好是和内部法务、GR 对齐。像我们因为定义了升级的这个逻辑,所以治理的时候,会优先解决批量展示页面的脱敏,四级文件下载的控制。