企业安全杂谈(2024年)

本篇主要记录零散的杂谈,面向初次接手企业安全建设的人员。

数据要素的一些琐碎的战略思考

2024-05-13, 杭州

  1. 不存在的安全性。这块可以说是建设意识远远领跑于安全意识,对于有司各条线来说又根本不存在强制监管,以至于个人信息保护基本可以认为是不存在的事情,从长远来看就得躺平,只要是用了国内服务的部分,你就当自己是个体信息行程思维完全公开的三体人就好。
  2. 参差的意识。又到了我最喜欢的diff东西部省份时间。我个人感觉某西部省份整个从中到下的班子对数据要素的理解好像还停留在多做几个便民数字政务系统、报表系统,但这也是没办法的事。
    1. 数据资源的挖掘首先要求有这些系统做基本信息的录入统合关联;
    2. 然后再到基于系统提出一些业务要求,做深入的表分析;
    3. 推动跨部门跨表跨库跨仓数据融合以及大数据分析和交换的基础设施;
    4. 然后再要求数据的分级分类治理,把有价值的数据打包成各种方便流通的pack,就可以拿出来流通了。同时这也要求领导的战略把数据要素囊括进去,业务人员的能力往数据处理去贴靠,开发人员搓出来方便业务用的数据分析平台,这又是很大的人员培养工程。
  3. 垄断的信息差。安全和合规从来就是两回事,尽管多数有司条线都做不到安全,但他们还是得合规,在不懂做合规的情况下一刀切就是最方便的;除了合规以外当然也包括寻租的部分。这个时候数据资源垄断和渠道垄断就是必然的事情,你作为数据乙方(或者数据资源买方)要拉平就必须把很多个条线全部搞定,纯民企想都不用想,但可以关注一下国企的硬实力(数据处理能力)和软实力(跟各条线的关系、跟数据部门的关系),还有跟这些国企抱团形成上下游的民企。

企业后渗透的一些观察

2024-05-04, 杭州

  1. 网络:我是想到一个绕NTA的狠招,但因为太狠了我不说。但近些年来,甲方/蓝队的活儿淹没了我,只能等一个有缘人啥时候发明出来了。
  2. 主机和服务:相较之下绕主机安全就比较恶心,我感觉政企B侧Java一统江山的大方向下,还是得把内存马做精做深。 这种时候一方面得考虑跟钩子嗯挂的RASP玩gadget捉迷藏,另一方面很多红队开发/RTI都不注重的一点是拟态,红队总喜欢把马做小,我觉得其实是走了弯路。之前实战时的尝试感觉是,你越像业务接口越好。 免杀更是玄学,我曾经测某免费杀软时现场五分钟从零写了个直白socket的简单c2马,然后让杀软静态动态都扫了遍,居然没扫出来问题。
  3. 容器:理论上按照nday和不当配置逐项排查的思路就是CDK一把梭,实践上B侧有一些胖容器、单元化之类的服务治理策略暴露出的面儿也值得探究一下。从甲方视角看感觉开发人员基本盘在容器安全方面的卫生程度好比当年一堆人写PHP的时代。
  4. 云:打Endpoint、偷Metadata、偷授权三件套,然后就开始内网逛街偷产品数据。目前感觉大的态势还停留在挖云厂商内部API或者客户不当隔离不当授权的情况,没啥有意思的部分,好些组搓点API利用工具都能在GitHub上集到好多赞。我是用来布局白盒攻击面检测的,有些idea内部使用不方便开源。这方面sangf○r其实有产品,阿里云最近也上线了类似服务。云+攻击面其实值得单开一个话题,不知道有没有厂商做军火化。好多厂商好像这块意识稍微差点,缺少有战术意识的安全产品经理。

攻击面管理属于(在企业内部)最吃力不讨好的事

2024-04-26, 杭州

《该死的攻击面管理》有感而发。

哪怕不少有丰富安全管理经验的老人也还执着于黑盒测绘+人力渗透+资产登记那套,但抛开安全不说,CMDB跟资产(和各种虚拟化平台上资产统计的接口)咬合都很困难了。

我有一个猜想,领导和绝大多数人的网络安全认知模型 be like:

  • 第〇层:根本不考虑安全
  • 第一层:+防火墙ACL和杀毒软件
  • 第二层:+安全测试和安全意识培训
  • 第三层:+态势感知和基线漏洞管理
  • 第四层:+流量分析和网络测绘
  • 第五层:+安全左移和SOAR之类
  • 第六层:上面说的所有组件联动CMDB和hypervisor之类的做攻击面管理

我见过的多数管安全的领导在第三层,意识比较好的可能做到第四第五层,第六层没做过攻击队且脑内复盘推演过整个机房从发展到被打的脉络的话,是体会不到的。

真要做好攻击面管理,需要:

甲方的经理

  1. 了解防御方法论
  2. 了解攻击方法论
  3. 了解技术人员的行为
  4. 有上级的充分支持(包括预算)

乙方的经理:

  1. 有覆盖面够广的测绘设施,不只是互联网测绘,流量、hypervisor、硬件配置、系统、组件、SBOM甚至可能API都要考虑
  2. 对甲方的网络架构和开发行为认知都比较到位
  3. 待补充