0x1本周话题
话题一:请教个问题,大家如何发现员工拍照泄露的?排除水印,因为只能拿到图片后才能溯源,用处很小。
A1:摄像头+行为分析?或者手机和电脑的终端DLP软件和网络层的DLP;摄像头物理视频监控行为识别。
A2:办公室摄像头,反正我们公司挺多的,真要用来分析行为异常,也不是不可以。之前护网的时候,其他公司的红队打我们的时候,找IT查了下摄像头,全程都录像下来,包括在我们员工的工位上搞我们开发没带回去的电脑,没啥死角。
A3:hw 现场物理攻击了?今年的规则没提不能现场,我之前怀疑过,看来真有这种。
A4:在公司用公司电脑应该不算侵犯个人隐私。反正当时我们很快就发现了然后报警了,然后派出所告诉我们他们是有授权的,护网是灵活的,不要排除近源物理攻击和各种低劣的社工的可能,红队很多小年轻,总有头铁的。
A5:我听过一个华为的案例,说在家里用公司笔记本连接了外接显示屏,然后手机拍摄外接显示屏,后来被抓到了,不知道原理是啥。
A6:猜测DLP有连接外设检测,一般usb肯定是有的。
A7:估计还有一些行为分析上的东西,譬如每页停顿一下之类。我估计外接显示屏是允许的,但每页停顿一下,应该就是在拍照了。
A8:摄像头误报太多,掏手机可能只是在摸鱼,不一定拍照。
A9:可能地理因素吧,职场外连外设,且向外设传输了敏感数据。顶多知道他打开过敏感数据,操作频率不太正常,但实锤拍照,不知道怎么实现的。不过也可能内审的时候主动交代,拍照实锤太难了。
A10:一般都是找到蛛丝马迹,然后再想办法实锤,逮到后然后再升华一下过程去宣传?
A11:拍照泄漏基本很难防。华为那个连外设的案例,可能dlp会认为向USB传敏感数据/文件,不一定是检测到拍照
A12:外设显示器不太可能会被认为USB的,不然误报太多。
A13:有没有可能不完全是技术判断,根据截屏的内容,和泄露出去的内容一对照也可以知道谁干的。华为在其他公司也有内线。后台一搜索。
A14:部分场景,通过wifi信号分析。多数还是ueba,连续拍照行为特征很强的。
A15:如果手机没管控,怎么识别?
A16:从pc端。
A17:我也觉得这里可能有一些空间,但最多只是个疑似,后面挑战就很大。
Q:现在还有哪些公司的系统,在家里不能访问呢?
A18:现在员工都知道有各种dlp ,而且现在ocr技术成熟。大量访问和停留=疑似,可辩解难实锤,后续很难搞。
A19:确实很难;这个只是发现,从发现讲,对于大量行为,精度还是够的;后面取证、做实,还需要一系列的手段配合的。能通过拍照获取敏感信息的话,不得让系统显示脱敏吗?从源头上解决拍照泄露的问题。
A20:拍照不过wifi,使用5g也不过wifi,那也不一定是拍照,可能录像,抄录,可能在家。通过wifi信号反射分析人的行为。现在摄像头都能做到,wifi比摄像头更全覆盖。
A21:amazon的方法是在客服那装摄像头,是那种云客服,家里工作的,还偷摸安装键盘记录。结果被员工投诉到半死。
A22:世界是平的,一本书介绍过,美国的跨国公司很多都在印度等国家建立海外呼叫中心,为了降低成本,后来也推动了思杰的远程云桌面技术发展,所谓海外呼叫中心,就是外包给印度当地的人,最开始都不用集中坐班,有点外语能力的可以随便接活。
A23:amazon的印度客服中心看起来还坚挺,看来是改成现场办公了,这样摄像头、键盘记录就都是合法的了。
A24:根据这个行为,监控能否结合敏感内容呈现和偷拍两个关键动作下手:
呈现过程:考虑电脑上VPN/零信任客户端中监控麦克风,有拍照声/关键词,配合内容访问记录中每个页面停留时长,重点审计。
拍照过程:考虑手机上办公APP中申请相册权限,结合特殊水印,云端确认。
A25:技术手段完全杜绝很难,另一个手机拍照,从呈现期间的声音,日志分析。倒不是杜绝,主要是发现,杜绝成本太高。员工搞不清原理的情况下,两个维度结合应该能有所发现。
A26:一个可行的思路是自动化投毒染色和抽样审计。投毒的话,你也不知道人家拍照了啊,又拿不到泄漏的图,还得配合泄露情报运营。泄漏情报有了,投不投毒也无所谓了。
A27:举个例子,收到情报某地区手机号泄露严重,可以定向投毒,用虚拟号验证泄露情况,细化到具体岗位可以推算出有没有拍照泄露。
A28:做网安审查就行了,你自己排查没用的,网安审查通过就通过,不通过就不通过。如果真查出问题就按网安法执行。
话题二:请教各位一个问题:开源安全检测发现的缺陷/漏洞,大家是从哪些维度考虑去确立整改标准的?分两种场景:一是供应链软件入库,二是应用投产上线。这两种场景下针对开源安全扫描发现的开源组件漏洞哪些需要强制修复、哪些不需要强制修复?
A1:基于组建是否包含+漏洞评分。
Q:组件扫描结果显示该开源组件有高危漏洞或者CVSS评分9以上的开源组件太多了,是否就一定需要整改修复才能入库或投产呢?感觉单看组件的漏洞评分的话很多软件都没法用了呢。
A2:很多扫出来的组建不一定包含,扫描报告要人工分析一下的。CVSS 分数不能作为单一来源,可考虑多源数据,比如 EPSS。
A3:在CVSS基础上结合自身情况,参考在野利用,POC/EXP,利用条件等因素设计一套公式,二次定级一下。
A4:有道理,可以结合漏洞利用难度一起考虑,做个内部评级。另外,软件版本收敛进行内部版本管理也是一个方向。
A5:感觉不一定能用,某些组件只是包没调用,就没关系,有些还能屏蔽,具体软件具体分析。
A6:制品库的开源组件量级比较大,很难一个一个分析,这个标准不好定呀。
A7:两道闸门:
1、入库时:可以分项目创建私服仓库,每个项目一个仓库,入组件库的时候要扫描分析,高危漏洞组件需要进行分析是否可以规避,可能某个类、库没有调用就不会触发该漏洞,或者禁用某个功能、参数也可以。
后续库中的组件要定期扫描制定清退升级流程,进行维护。(这个是最难的,尤其有针对老系统)
2、上线时:传入cicd,jenkins中把sca串到项目编译过程,如果项目存在高危漏洞组件要进行整改后上线,或进行漏洞规避和说明同上。(因为这道门在生产上线前,第一道门没做好的话,这部份问题会很多,可能会影响项目进度,所以最好提前就介入,如果1道门做的好,那这道门就纯做为上线前复查了)
A8:的确,在清退时遇到的问题和障碍太多了,很容易被整改方反过来质疑当初制定的整改标准。
在对高危漏洞进行分析的过程也比较废人力和时间成本,因为安全部门不能说经过评估这个漏洞就不会被利用,只能根据整改方反馈的内容去分析给出建议,而且实际可验证的漏洞很少,只能给出理论分析结果和建议。涉及多部门协调的时候,这个风险评估的流程就比较关键了。
A9:首次上线把SCA检测数据作为卡点比较好,上线后还是用渗透测试加远程扫描作为漏洞检测源比较好落地。
0x2 群友分享
【安全资讯】
个人信息数据遭窃存风险!上海某医疗科技企业未履行保护义务被网信部门依法处罚
央行发布《金融信息基础设施运行指标体系》,包括6个领域数十项指标
由于微信修改了推送规则,需读者经常留言或点“在看”“点赞”,否则会逐渐收不到推送!如果你还想看到我们的推送,请点赞收藏周报,将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。
