0x1本周话题
话题:从安全保障业务连续性的角度,我们应该如何做来避免微软崩盘之类的事情在我们自己身上发生?
A1:果然灰度升级很重要。
A2:这是业务连续性吧,我觉得这个事情会让企业更关注安全软件的成熟度,以及治理一下安全软件的更新通道。
Q:这些大公司为啥用这个软件?被黑了?不是我们常说的cs控制软件?安全不也是为业务健康连续服务的么?
A3:是CrowdStrike,不是Cobalt Strike。从这里的说法来看,是不是微软自身补丁存在缺陷导致的?还是补丁没问题,只是Crowdstrike公司的补丁推送机制存在问题?如果是Crowdstrike更新,挺好奇这么大规模SaaS化杀毒软件不可能没有逐级的灰度放量机制。
A4:也许,他们已经灰度了。
A5:按照1%的节奏,就……已经几百万台了?
A6:一些国际航司都已经受影响、航班取消。有可能还不是灰度推一点点的问题。
Q:看截图,都是办公电脑,也许只是空管人员的办公电脑出问题了,办公电脑升级还灰度吗?
A7:只要是变更就应该遵循变更管理原则,就得有灰度……
A8:我们灰的,先自己,再技术,最后业务。如果为了尽快升级,应该一把梭 灰度就是怕出事,就因为这类案例,今天是cs,明天是某软,终端上的冲突很正常。
A9:互联网级的大规模客户端产品,灰度逐级放量一般都算最基本的功能,但是灰度的量都是研发运维人员控制的。
A10:你们咋就知道人家没灰度呢。人家可能也灰度了,但冲突场景没灰度到。也许就是1%影响几百万。也有可能是逻辑炸弹,在某一个时刻集中触发了。
A11:最核心的还是,它可以后台控制,企业没有自主权利,今天可以给你发驱动,昨天可能已经拿走数据了。本质上saas化杀软都具备远程热更新能力,更新包都是自己签名的,也就意味着具备控制能力。
A12:国内都不让用国外的杀毒,所以要信创啊,cs不卖给国内。
A13:一般更新病毒库,不会直接更新程序运行文件。
A14:私有化的可以不saas,这不就是老生常谈的供应链攻击吗?
A15:crowdstrike是saas化杀软,可不是更新病毒库,是直接更新代码,更新可执行程序。
A16:这是关键点。所有企业部署的软件,灰度策略等应由企业批准控制。国内安全产品有些也没想过其中的问题,一些搞法直接学过来,也要注意改掉,要不然迟早大雷。
A17:默默想想哪些是自动更新的。应该是运维人员基本素质吧,好奇最后怎么恢复的?进安全模式一台一台卸载吗?
A18:最不济重装,不知道有没有系统化解决方案,毕竟是驱动级的。
A19:果然是进入安全模式。看来安全模式没有加载,自身防护还留了余地。
A20:基础知识,驱动权限很高。实在不行pe了。
A21:重做系统是杀手锏,话说航司的运营做的不错,这么多终端机都部署了。
A22:对于企业用户,微软以后可能会限制随便装第三方软件。
A23:现在已经限制了,应用没有数字签名 没法加载驱动。
Q:它和fireeye的差异性竞争在哪里……总不能都拼背景吧。
A24:fireeye做的是流量安全 cs是基于saas 的端点安全。我们当年评估过 cs的saas服务上传数据会导致严重的数据泄露风险,而且还没法自主设置上传规则,直接就终止测试了。
