0x1本周话题
话题:比较关心gab怎么把勒索病毒演练融入进hw?
A1:可以用一个模拟勒索病毒。打开文件,读取数据,再写回去。这样并不会真的破坏文件,也验证了可以改写文件。
A2:写个加密程序,把数据库啥的加密了,可以解密,不带传播功能就行,我们做勒索演练时成果很突出,有些异常跟想象的不一样,比如:到底谁能感知。
A3:那么来考考大家:加密数据库,谁有感知?A.HIDS B.DBA C.java(含健康检查) D.交易业务数据。
A4:这玩意还有安全来感知?业务直接炸了。
A5:排除法 A不行。c或者d,业务应该直接就挂了吧。
A6:A不确定是否可以感知,但BCD都会知道。
A7:做了交易日志监控,业务日志监控的,估计就是一堆应用层、业务层报错了。BD应该可以。
Q:不用安全感知,安全能不能定位哪个源主机加密的?
A8:但是实际情况,我们搞mysql,BCD都不感知,java内存踢库不生效,读写一切正常,不影响交易,不依赖本地文件,只有hids在添加诱饵文件的前提下才能感知,然后只有特定场景,比如隔天,数据库建不了新表了,才能感知。
Q:那这是加密啥?
A9:所有数据库文件呀。
A10:加密自己的测试数据,不是真实业务库吧,真实业务库,不得立马炸了,客户、员工都得炸
A11:搭建的模拟环境,持续发影子交易,发10万笔成功10万笔。我们在演练前认为,加密java应用的/tools应该是无感的,加密数据库应该是立刻跪的,但实际相反 加密应用立刻跪,交易立即失败,加密数据库无感。mysql把几乎所有用到的东西都吃进了内存,本地文件怎么样它不关心。
Q:数据库的容错机制。把mysql的库文件直接加密了吗?比较好奇应用是跪在哪个点上了呢?哪里先报错呢?
A12:这些演练结果直接影响我们的应急步骤。health check先报错,具体为什么开发骨干还在研究,到底是哪里需要依赖本地文件,原本认为代码加载到内存里运行应该无感才对。
Q:有懒加载机制,是应用自身的metrics还是运维监控呢?
A13:dba和应用还能连数据库吗?如果把系统表文件也加密了,连库都连不了吧
A14:hc是应用自身就立即错误了,业务也失败了。
话题二:资产是网络安全防护的出发点和落脚点,资产治理的精细化程度决定了网络安全运营水平的上限,也决定了网络安全风险治理的深入程度。
A1:资产实体有进一步的阐述吗?
A2:这个视角是20984的典型风险评估理论,这几年其实公安等说的是,业务是安全防护的出发点和落脚点,这样才能把数据串起来.抠这个细节的话,资产做好也并不决定上限,一点碰撞跟大家探讨。
A3:弱弱问下,大家现在都是再提升上限么?最近有和朋友再聊如何系统性的提升安全水位, 站在业务角度识别重要数据或重要资产,梳理链路并将数据串起来。根据重要数据活动场景或应用资产的不同级别,提供分级保障策略。 不知道理解的对不对。
A4:讲的都是对的,落地容易碎的。
A5:没毛病,其实我们每年的安全工作在上一年攻防演习后就大概定调了,要保护的目标,变化,链路(涉及威胁建模),防护,差距,落地 不论是风险评估,攻防演习,数据安全,安全规划,水位提升,都需要这个从上往下的战略视角,它们是共通的。要保护的目标是资产么?把业务和数据考虑进去我觉得也对,只考虑服务器我就觉得还差点意思,我们考虑这个问题的时候一定是考虑业务维度而不是只考虑机房服务器组件。
A6:说白了还是要了解业务,安全对业务的理解程度最终决定了安全建设水平的瓶颈。
A7:我理解出发点是考虑重要数据和核心数据。服务器组件只是其中的载体。只不过说起来容易做起来难。
A8:不过系统性提升安全水位这个话题,和上述我觉得还是两回事 如果以成熟度模型来看,那么风险识别还算是第二级管理级的事,甚至到不了第三级组织定义级 系统性提升其实在说第四级量化级的事。
A9:赞同。安全BP非常重要。
A10:共同决定吧,资产业务的理解,缺一不可。理解业务,不单是理解业务方。
A11:从组织层面业务过程层面去理解,这当中需要业务方支持,但是业务方也代替不了安全,因为业务方缺少安全相关知识技能,这也是安全从业者的价值体现。
A12:我们在突破下限,12345弱口令坚决不改,rce漏洞坚决不行,看看多久能出事,事实证明,可能几年也出不了事!
A13:网络隔离了。
A14:如果没有hw,大概率都是很久不会出现问题,偶尔会出现问题,一般也是能批量执行的远程rce吧。