0x1本周话题
话题一:请问各位大佬,员工电脑安装软件如何进行管控?
A1:看你的成本咯,有域控,也有桌面管理软件,都可以控制的,方法很多。我们是用桌管。域控给员工普通权限,安装不了软件,但是常用的办公软件还是想让员工能自行安装的。
Q:打算做黑名单还是白名单?
A2:白名单,黑名单也不好做吧。
Q:桌管是怎么一个逻辑实现?大家是采用白名单还是黑名单?
A3:桌管就是管理权限回收+本地化软件商店,只能安装软件商店中的软件。我们是软件黑名单,我理解白名单更难,你要充分调研业务需求。
A4:白名单更好控制一点吧,不知道黑名单会不会有漏洞。我们是软件白名单,白名单可控。理论上白名单更好,但是调研起来费劲,无法保证调研结果百分百。
A5:黑名单覆盖不过来但是省事,白名单前期工作量挺大。黑白名单之外还是需要自己掌握一个灰名单比较好,灰名单内的给个缓冲期,过期未完成准入申请流程直接进黑名单。
Q:黑名单怎么来的呢?
A6:黑名单自己收集,比如网盘类,笔记类的。
A7:我这边是桌面管理的软件商店,非商店的软件自动拦截安装,一开始建设商店花费精力多点,通过用户反馈和安装拦截数据进行查漏补缺。稳定后日常就是软件版本更新,没太多压力了。
Q:自动拦截安装是用终端安全软件实现么?微软有没有自带的能力呀?
A8:桌管能拦截,绿色软件也能拦。
A9:白名单前期反对声音大,运营了一段时间后基本就没什么反对声音了。白名单还能降低软件盗版的法律风险。
A10:我们也是白名单,有特殊需求走审批。白名单一开始肯定困难,投入大,但是过了顶峰就好了。
Q:生产柜员机也启用了白名单吗?生产柜员机的一些插件之类的,这些不好控制吧。
A11:这个目前还没,自助机软件、插件、运行库、驱动包多的要命,不好搞。
Q:ad域统一员工账号是user权限,那通过软件商店安装是不是也得提权才行?
A12:一般软件商店都是桌管的功能,桌管agent本身就是admin权限了,所以桌管的形式不需要user额外提权,因为安装行为是桌管发起的。不过可以adt或者sccm后台推软件,走IT工单的形式,需要啥就推啥。
Q:桌管怎么管绿色软件?
A13:服务层面管不了绿色软件和木马病毒。进程层面管得更多一些,进程识别、文件拷入管控、文件下载管控。hash也能管控一些绿色软件。
话题二:各位大佬,监管有对数据库审计系统的审计数据提过必须留存时间的吗?另外,就是对于数据库审计系统的审计数据,是否需进行离线备份呢?这块儿不知道监管是否有进一步的要求。
A1:根据等保测评要求至少6个月,三级是会要求异地备份的。我想的是放一份在SOC里面,再做一个离线备份。
A2:这个数据那么大,本地都存不了,数据库审计那玩意数据量太大了。
A3:数据量很大,得考虑冷数据存储或者备份存储。用的时候加载。
A4:这比soc的数据量大多了。如果记录返回集数据,那就更大了,如果不记录返回集,那数据库审计设备对数据安全也没啥用。数据库审计,就挂个数据库的名头,但感觉和数据安全关系不大,数据库运维可能还有点用,看看慢查询、数据库账号是不是连错了。
A5:还有脱裤。
A6:数据库审计旁路丢包,这些场景不好吧。
Q:脱裤好像看不到吧,底层数据库的查询五花八门,怎么判断是脱裤行为?我们用的旁路流量,没用其他方式,还有什么好的方式吗?
A7:在数据库做,比如查询返回了明文个人信息。
A8:目前,数据库审计,我还没想到有什么好的数据安全方面的告警规则。删库删表权限只有dba有,基本没有这样的行为。数据库存的是明文,查出来当然也是明文。
A9:那为啥查,能不能查,频率如何,有没有失控,这不就是数据安全关心的吗。
A10:查询发起都是应用服务器,查询请求忽高忽低。
A11:首先还是得有个数据访问链路,正常的范围可以忽略,对象一般有很多元数据,光一个身份证号就可能涉及几十个字段,数据无法脱离业务了。
A12:得梳理重要数据活动场景,由粗到细。不然,根本判断不了,也看不过来。做得越多安全ROI越低。个人拙见。