0x1本周话题
话题一:各位大佬,请教一下各家是如何在做软件正版化管控的呢?如何防止盗版软件在自家企业内部安装?
A1:终端管控,只能装白名单的软件?不给管理员权限,统一下发。
Q:已经安装了的呢?强制卸载吗?另外,像输入法、邮件客户端这种通用类办公软件又是如何控制的呢?
A2:可以的,主流终端管控厂商的产品都可以。
A3:我们有扫描工具的,可以进行正版化扫描。异常的会告警的。
A4:那在做这个白名单的时候,如何防止将一些像客户端插件受影响的呢,比如人脸插件、指纹识别插件。
A5:这个要看你们对办公终端管理到什么程度了。
A6:我们现在能做到检测和统计,也具备白名单控制的技术能力,但是现在担心的是如果强控策略下发后会对办公和业务办理造成比较大的影响,毕竟业务人员梳理的软件清单大概率是不全的。
A7:那我理解是现在的策略还没想好?我觉得可以先给白名单,或者完善白名单,然后再慢慢上管控策略。
A8:是的,现在最头疼的问题就是白名单梳理,我们很担心清单不全导致某一项业务终端停摆。
A9:可以根据现有的基础,拉一份全量的名单看看。
A10:先确保做了全员终端管控,制定软件清单标准征求意见,然后再检测出来找各方确认,大家同意然后没人认领的就干掉。
A11:全员终端管控是做了的,以前我们是按一个盗版一个盗版来控制 的,没啥反应,但我们现在想做白名单强控,包括限制安装、强制卸载和阻止运行。
A12:底线就是不能使用盗版的或者需要商业授权但是内有购买的。可以先检测找业务确认呀,别上来就干,另外就是根据部门看一下。比如哪些电脑里有啥软件,应该很清楚的
A13:是的,这个可以拉出来的,但是我们没法判断哪些是商业的哪些是开源的哪些是免费的。
A14:一般来说,开源的也有很多是不免费提供给商用的。所以,尽量收敛然后一起买授权最好。比如说业务部门,不太可能要装啥研发调试工具。
A15:让他们拿证明,第一次逐个看下也有必要。另外就是根据正版化要求罚几个典型。让合规去罚,就老实了。提前告诉大家有软件需求可以提前申请,不得私自安装盗版的。
A16:正版化管理根本不在安全,在于花不花钱。
A17:最好让架构师或者管工具的统一下开发测试工具软件,买一批要求大家用这些。接过律师函的话领导就会重视。一般都欺软怕硬,真正搞的极少。
A18:不断的发函,关键是有时候接到的软件在我们行业内压根儿就用不着,不管办公还是软件开发。
A19:没证据,就不断的发函。有邮寄的也有发行领导邮箱的。
A20:主要是第三方让你提供正版化管理的材料,总不能说没有软件商的法务在我这能胜诉吧。有些认证、合作,要看软件正版化的管控措施的。
A21:人家会拼命,你理一次肯定就觉得你好弄。嗨,真别接,你是啥,让我提供就要提供?你邮件被当做垃圾拦截了,我没看到。律师函,说实话自身没啥大影响里,大部分也没啥可以拿出手的证据,正常都是石沉大海。
A22:不是给软件商的,是其他第三方、比如认证或者审计的。大部分都是被一些厂商串通拿到的信息。ESG之类的好像也是银行在搞的多吧。以前听过工行和亚投行的分享,不得不说人家这重视和投入。
A23:花钱买的正版大部分都是国外的。如果没买正版,要把盗版禁死,这活不能干,顶多干个调研,反馈意见,然后把盗版软件的上网禁了。
A24:有的就是广撒网,钓鱼,跟领导也说说 adobe这种该别用就别用。
Q:大家有没有一个必须买的清单?
A25:adobe,除了真正需要制图的,绝大部分没必要用它。但是像adobe这种,我们内部确实只给宣传部买了一部分,其他平时都外包给广告公司了,结果就为这个adobe扭着要我们增购,不断发律师函。
A26:这还真不是安全该管的,需求多少,买了多少,用了多少,有没有超量,得评估下。你们有管桌面软件需求的部门吗,要买是谁买。不是安全问题,是投入问题。
A27:软件正版化方面,我们今年搞了一套技术+管理的方案,合规风险和合规成本都大大降低了。
A28:大方向没问题,如果认为你用超量了,就会要你加钱特性的。谁用谁买,通用的科技买。安全在这里面,其实就是个提供资产数据的角色。分清责任就行,谁不申请就用,出了问题自己承担。
A29:软件正版化,必须一盘棋的去看,从需求、授权管理、采购。
需求侧,要让需求方有成本,不是免费使用的。 授权管理上,需要一套自动化的技术机制,充分保障授权的使用率。 采购上,区分通用类、专业类和碰瓷类,有对应的采购谈判方案。整套流程,在一个技术平台是运转。这套机制跑下来,风险和成本都降低50% 以上。
A30:一般安全也负责科技合规。所以安全要认清,自己在需求侧,成本侧,使用授权分配,回收,谈判方案侧,能不能兜住。就算要接,也要让领导看到复杂度。
A31:我们软件合规也管,都买。还做了一套系统来支持软件正版化。只是拉数据没有用,甚至可能放大合规成本,因为有些人安装了,不代表用了,用了不代表用的合理。
A32:我们数据拉下来,然后发leader。
A33:看懂了,都出动了自研。
A34:之前我们也吃过拉数据的亏,拉完数据,把那些不必要的单也都给买了。可能不同组织情况不一样,不过一般来说安全是能拉到终端服务器端云上的全部数据,负责上述的it不一定在一个组织内。
A35:leader自己判断要不要,反正各个部门自己承包自己的成本。成本分摊,总部负责谈价格。最后成本都压到部门身上,总部其实没办法判断某个人要不要某个软件。leader自己判断自己买单。
A36:对接桌管,维护所有的软件,厂商,函件,沟通,费用。公司要用什么软件必须通过我们,业务填写信息,我们拉通公司其他模块,汇报必备软件,立项购买,授权管理分发。
A37:好奇,最后大家一般都买了啥正版的?
A38:只是压在部门身上也不行的,因为部门身上已经有很多成本了,部门成本大头肯定不是软件合规成本,多几个软件的成本,在部门的成本列表中都显示不出来,部门也没有精力去扣这些。
Q:所以你们不需要部门确认,自己能判断某个用户要不要某个软件?
A39:我们基本压到bu cto。cto懂技术,也多少知道哪些有免费平替方案。
Q:在这个经济周期下,能省钱而不用投入精力不改变习惯去干的事情,没有人会反对。所以成本问题怎么解决呢?
A40:一个软件,一个人一个季度用一次,但用的时候,确实得用,这种情况,让业务去决策,业务肯定得买。成本肯定是业务出。
A41:意思是调度吗?一个软件买了以后多个人调度着用?
A42:但是负责软件管理的团队,整体负责大成本。整体统筹。
A43:但感觉这块痛点不是很大呀,国内最大的付费除了微软全家桶,其他付费不多呀。
A44:软件管理团队对内当然收费了,通过降价的方式,让业务获益,通过优化效率的方式,让软件管理团队也能获益。
A45:我大概明白了,员工多,付费软件多,这块收益就体现出来了。单个部门软件优化,收益不了多少。整个集团加在一起,收益就多了。公司整体成本降了,科技还盈利了。一年软件合规采购成本一千万的话,能省个四五百万吧。
A46:制造业的软件可能非常夸张,很多企业软件成本数千万每年的,上亿是比较正常的。
A47:一些专业软件单价很贵,算上去过亿也不少。互联网公司也花钱了。软件单价贵的,授权使用率就更加关键了。
A48:互联网一般挑不花钱的解决方案或自己造,有点云软件的意思。
A49:根据不同的软件授权约束条件,设定不同的分配方案,并不是什么都可以用不花钱的方案,而且有时候,用户的习惯改变也影响他们的工作效率。
A50:软件saas化,谁用谁就消耗证书。
A51:我们有些特别贵的bi软件也是会装在共享服务器上面共享着用。
A52:正版的大方向就是适当买点。具体实现,根据软件的情况不同,不同的实现方式。
A53:我们就是装云桌面里面。但也不怎么普及,就有些海外的bi软件特别贵。
A54:换个说法,公开价贵,买点,就合规了,就等于买断或降价了。大家都过得去,所以事很多。还有一些专门碰瓷式合规的律所专门给一些国外软件做代理,这类也需要一套专门的策略。
话题二:请问下大家,日常是否有接触、使用这样的解决方案或厂家产品:一笔安全项目的投资,可以同时解决多个场景下的安全问题;或一个项目,可以同时解决运维和安全的问题;一个项目,可以同时解决开发和安全的痛点;一个方案,可以同时满足数据治理和数据安全的需求。如果有这样的方案或产品,可否简单描述下场景和实现方案?
A1:一个安全投资(项目)可以解决多个安全问题:这个我想到的是办公环境的零信任,可以把终端安全(杀毒)、访问控制、远程接入、SSO、MFA、WAF、DLP、API 安全,一串撸了。
不过目前来看还需要整合个 WAF 产品来实现。实现的方案的话,找个零信任公司的产品再找个 WAF 产品,零信任的 gw 得是 L7的,再把 WAF 接到后面去,从安全的效率、成本和能力提升来看投资回报是很不错的。
A2:里面的组件可以拆解,自己做或者找其他行业顶尖的做。例如 sso 可能觉得有挑战,那就用 aad 好了,waf 觉得不行,咱就搞个 ct 的接上去,自己能力强的也可以开发 sase 网关。
A3:安全全家桶很难做,厂家术业有专攻。很多厂家也想全过程咨询服务,往往在横向拓展新产品的时候很难达到业界一流水平,会导致短板的出现。
比如开发时候的代码安全问题、软件供应链扫描工具和运维SIEM SOAR,很难说一个或一个厂家产品就都搞定,还都是业界顶流和一流。似乎安全就是一个细分垂直市场,都做不大。长尾效应,尾巴又细又长。
A4:一次投资,多个组织收益的场景,首先要考虑的是大家共同的目标和利益点在哪里,一拍脑袋就能想到的,能把运维、安全和开发搞到一起的,就是 DevSecOps 那套东西,具体落地的产品是 CNAPP,在安全、运维和开发三个视角看来都有收益,当然收益最明显的大概率是安全。
这块国内有两家未上市的安全公司在做,但是在国外是一个很高质量的市场,例如拒绝了230亿美元收购的Wiz。 国内由于大部分金主(泛金融行业和政府)都不用公有云,所以在这个领域,国内落后不少,可选的也很少。
A5:在方案设计上,安全本就不应该和其它(如运维、治理)是零和的,本来就应当互相促进。但如果聚焦于乙方产品,要达到这样的效果,往往它不是一个安全产品,而是一个具备了安全属性的产品,典型如:阿里云。
A6:找个有甲方和乙方经验的集成商也许可以办到。就是集成很多厂家产品,按照SSDLC和数据流上下调优。
A7:我要自己做零信任产品,我会在一开始就把他设计为一个集成平台,全部 API 化,自己搭场子,其他人进来一起玩。不过这个在国内只是一个梦想。
A8:我稍微解释下:降本增效大背景下,我想是不是可以给甲方兄弟们找些ROI比较高的解决方案,帮助甲方更好地开展安全建设,这里面有一种选择就是“一笔钱做多件事情”“花小钱办大事”。
我之前接触到的方案有:
持安、深信服在做的办公网零信任方案,通过DNS引流到零信任网关,对七层应用访问进行控制,这样的话,水印、脱敏、留存访问记录、敏感信息识别,甚至权限控制都可以做起来,一套方案可以解决多个场景的安全需求。 数据流转全链路监测,不管基于哪家产品做,我理解既可以满足数据安全的“敏感数据流转可视化”,也可以满足数据治理的“数据血缘梳理”。 基于RASP防护,又可以做动态的SCA检测。 蚂蚁现在的切面技术,我认为是既可以用于运维的可观测,也可以用于安全的访问控制、数据安全。
想知道还有没有其他的方案、技术路线?都是啥样的?
A9:第二个,这个敏感数据流转的,大家有推荐的方案吗?
A10:红途就是做这个的。而且是基于切面做的。切面融合智能也是基于切面。
A11:切面这块我还真比较感兴趣,只可惜没看到外部落地的。RASP和切面是一类的。切面我理解是个理念,类似零信任、纵深防御都是理念,最后还是会有落地的方法论、工具、流程,从下往上理解会好理解一点。
A12:比较理想的情况是安全变成基础架构,接入即安全,安全能力在平台侧实现而不用业务来实现安全需求。
A13:切面我理解也蕴含了这类思想,不用再通过传统业务埋点等来去一一建设,如果成为基础平台后,做好对接接口和融合能力就可以实现丰富场景覆盖了。
A14:就我个人的理解,零信任理念和切面理念在全球的行业实践这块,切面相比零信任,在最高层的理念和最底层的实践之中,还缺了一层(当然很可能是我没学习到)。
A15:切面是理念、底座、切面应用、运维规范一套整体的体系,切面联盟正在组织切面安全应用产品的矩阵协同,第一批切面产品已经确认了四个安全应用方向的构建输出。切面的理念层是原生安全范式,比零信任要深刻一个代际。
A16:建议切面可以搞个培训和认证,我原来对零信任的理解也比较局限,虽然有不少实践,但是上下难以融会贯通,后来参加了一个国外的零信任的认证之后,通过学习相关的教材,把中间这部分补起来了。
A17:去年讲的这几页是从原生安全范式视角对对零信任的评价。今年切面联盟重点支持乙方合作伙伴来输出商业化切面产品,蚂蚁提供切面底座和技术规范保障。
A18:除了我列的几个,还有其他场景和方案不?
A19:前天,切面论坛上,有个甲方代表分享了在移动安全和运维方面实现切面的经验,业界也开始尝鲜了。国外安全的市场和产品商业化环境好很多,但这几年欧美安全理念体系缺乏实质性进展。CSF2.0也好 微软的SFI等等也好,都缺乏对现在复杂环境下安全深入的理解认知。
话题三:怎么禁内网通,有固定端口吗?
A1:自己安装,抓包就行。看端口。他那个好像是自定义的端口,你封一个还是可以再改一下。
A2:那要看看报文了。
A3:你家有流量分析工具嘛?
A4:这玩意是自定义端口的,建议还是抓流量和协议看一下吧。有的是基于应用过滤的。
A5:让厂家加规则,还有使用非合规软件,一次罚到爽。
A6:桌管把软件进程加黑名单,桌管直接禁内网通的进程。
A7:这软件有好多版本,各种层出不穷的破解版。还有一些类似什么飞秋、飞鸽之类的。
A8:飞秋禁了后,现在又开始用内网通了么?
A9:建议桌管拉进程黑名单吧,也不是内网映射,就是内网之间通过IM传输文件之类的。不用公司规定的软件,就是打自己的小九九。
A10:桌管本身有软件合规商店,开启后,非商店内上架软件运行都会拦截的。也不用反复去逮进程。
A11:绿色版天下无敌,7zip右键解压一切安装包。我用的这个还真的针对绿色版做了限制。当然懂技术总有绕过的办法。
A12:加上限制程序执行路径哈哈,非科技线条就可以管住很多人。
A13:干净系统正在运行进程的目录,经常属于白名单。chrome.exe经常也属于白名单进程名。最后只能验证数字签名了。验数字签名确实是最靠谱的,但是支持的厂家不太多的。
A14:但是又有很多软件没签名,只能搞路径和进程名白名单了,然后美滋滋。软件合规商店在安装第三方软件的时候,临时目录也是白名单,然后美滋滋。
A15:也要考虑投入产出,这几个方法能执行到位的话已经可以很好改善了。
话题四:请教各位,大家会在生产环境开web应用漏扫的策略吗?因为漏扫黑盒,我们是担心就算开了安全扫描,会造成污染。
A1:开呀,开个漏扫就会污染,那就叫项目组整改应用。就说程序的健壮性不合格。
A2:那问题影响连续性就是大事了。正常来说,应用上线前会经过一大堆漏扫的蹂躏,这个阶段是能发现污染情况的,这个阶段进行整改是比较好的机会。
A3:是这个道理。不过要在稳定后这样做。应用暴露互联网的话,每天都各种爬虫和扫描--污染很正常。
A4:如果公司刚开始漏扫,应该只扫测试环境,扫生产前起变更工单,各部门确认影响,自己负责。以免真的对生产造成损失。稳定后,规矩也立好后,确实污染是开发自己的责任了,攻击者也不会管你污不污染。
A5:WAF能过滤大多数。不带认证信息扫,一般不会引入很多垃圾数据,除非你有接口可以不带认证信息写数据。
A6:在银行,既然识别了这个风险,还是灰度下,按目标分批执行、评审、压实责任,都不为过,大家对存量都放心了,对增量也有机制检查,再放开扫 不过换个角度,你不敢扫,外部检查来扫出问题过错更大。
A7:是的,直白地说,能有问题一般是开发比较垃圾。但越是垃圾的开发越会叫,而不是去解决问题规避问题,所以还是得做好风险控制,别那么莽。
A8:黑盒扫描都能扫出来的毛病在 IAST,SAST 阶段一般都能出来。DAST 更多的还是在 PP 环境,生产环境上 DAST 的甚少,大多数上线后依靠 WAF 调优来进行防护,这个时候再扫无非是做 WAF 有效性验证而已。
话题五:请问大佬们有没有遇到某个地区访问不了公司网站的情况,主域名和子域名都访问不了,这种该怎么处理?
A1:查一下这个区域的dns解析。走cdn的话,找一下你的cdn供应商。让他去解决。这种要么dns劫持了,要么走的cdn之类的回源异常了。
A2:该怎么操作呢?不是走的cdn,怀疑是运营商封了域名。
A3:你自己也随机找两个客户端测试一下,你随机找两个客户端看一下。dns解析是否异常,是否存在本地dns解析和域名本身解析不一致的情况。然后路由追踪看看是否地址不可达。
A4:多地ping。如果你的备注正常的话,我看你们主站是走的某云厂商的cdn啊。或者直接访问下面这个:
https://boce.aliyun.com/detect/http
A5:找那个地区的机器连域名 抓包看。类似的情况遇到过几次:
被xx单位误标记为xx网站,他们要运营商封堵了。 莫名其妙在某地区某运营商访问的时候,TCP连接会被自动rest,不知道原因,要云厂商联系当地运营商以后莫名其妙的好了,得不到反馈。
A6:谢谢各位,排查不出来,找云厂商联系下当地运营商看看了。
A7:外网的应该直接扫没问题,你不扫外面的也会扫。内网得看看业务类型,比如流程审批类系统重放导致给可能给老板产生了些异常单。
0x2 群友分享
【安全资讯】
直击互联网最前线:快手员工“自曝”卖公司机密,短短半年竟狂赚 70W。
“扫码即看”|2024年数据安全政策速查指南-技术篇(附下载)
速下载 | 2024上半年网络与数据安全法规政策、国标、报告合集
由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。
