摘要：各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第255期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第255期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

2、删库风险往往高频出现在日常新闻中，比如操作失误、恶意报复等情况，我们有哪些方案避免和应急这种风险？比如适当的权限控制或者数据恢复能力？

3、日常中遇到有远程控制软件、穿透、vpn等特殊的工具和操作，对于这些操作该如何管控？不一刀切的话有什么方案？

Q：网络事件中我们经常见到截图外泄情况。对于这种屏幕截图外泄大家都有什么溯源方案和紧急处理？如果排除水印还能怎么做，因为只能拿到图片后才能溯源，损失已经发生。

A1：

微软现在teams直接不准截图，其他的如果拍照基本无解。

A2：

不准截屏也不太容易，可以考虑不准装泄露通道出去的软件。

A3：

外设监控和电子设备探测？识别疑似到拍照/录像行为电脑直接锁屏或黑屏。

A4：

技术上有隐形水印方案，但是还是要结合权限控制、管理和宣贯来，不然光靠技术还是有很多规避方法的。在此基础上，制定合适的惩罚手段，并严格落实，知道疼了就不会乱搞。

A5：

全局水印带工号影响工作，隐性水印会注入进程，影响IDE效率。

A6：

明水印，或者暗水印溯源，配备工作机，贴纸摄像头，下班再检查贴纸是否完好。

A7：

我们是明暗水印配合DLP截图，外发渠道管控审计，还有即时通讯审计。

A8：

限制员工访问一些可能用于截图的第三方软件。通过防火墙规则或者软件白名单策略，阻止员工在工作设备上安装和使用非授权的截图工具。

A9：

就是物理安全控制嘛，贴纸要用那种专用的易碎贴纸；还有一种是隔离的手机袋，不影响工作就是无法拍照而已，可以正常接听电话发微信，适用于特定场合，但是不安全。

损失已经发生的问题，如果能证明自己独一份，外部轻易无法获取，那就报警吧。

A11：

只能根据外发资料缩减范围，进行排查约谈之类的，其实还有可以通过DLP来进行确定外发行为和缩减范围。

A12：

办公终端的截图功能可以屏蔽掉；手机拍照等，是不是可以通过不同色彩和分辨率刷新率干扰拍照效果。还是要加强宣导，告知非授权截图外泄有追责风险，事前震慑。

A13：

也可以做一些事中预警，对内容，截图，保存，外发等关联分析，触发阈值就自阻断。看情况，重研发的企业一般有研究实验室这种物理环境，做好电子产品管控。某大厂的措施是，泄密的第一责任人是业务部门，抓不泄密人就触发部门长，一直到事业部老大层级。处罚。

A14：

预防的话，1. 用桌管禁止截屏；2. 限制文件外发通道；3. 用桌管做手机防拍（但此功能可能会涉及个人隐私，需谨慎）4. 启用文件水印。

A15：

利用无线的广播包断网，不过总结起来的话，无论是任何手段，如果建筑内有其他单位，这些手段都会影响其他单位的人，感觉你们单位不是独立办公楼吧，另外一点就是，真不想用自己单位网络的人，不管怎么封，自己都能开热点。

A16：

效果不大，我以前玩过，蹭WIFI的时候，就是要把人家的连接断掉，然后抓他的包，才能抓到密码。

A17：

防截图其实简单的，把软件都禁了就好了，防拍照是比较难的，禁止截图简单的，基本上桌管软件都能做，或者DLP 禁止拍照，这种系统成本太高，其实还是直接禁带手机来的简单，这是最有效的保密要求高一点的单位，都是这么做的。

A18：

只能提前控制，已经发出去了，互联网那么复杂的环境还有离线情况，控制不了的，物理安防和电子安防控制同步相互补充是可以控制的。

苹果供应链那些涉密项目就是物理安防和电子安防互补的，大范围的保密区，控制进出电子设备，搜身和安检门还有DLP以及各种控制系统同步的。

很多企业已经有成熟的方案了，就是人力物力投入需要考虑而已，还有一种新的手段，通过某些特定技术，可以在外面多少距离范围之内复制你电脑屏幕显示的内容。

企业运营过程中涉密信息更多的是有责任的（泄密责任）而没有全面的保护管控，一旦发生泄密了损失已经造成了，企业要赔偿的，所以更多的企业是做保密管控和防泄密管控，同一个意思，没人愿意去做泄密溯源，真正需要做防泄密的企业一般来说经济赔偿责任高于建设保密体系的成本！那些流于形式的除外。

A19：

我先说结论：防不住。但是你敢拍敢截图，就能有办法发现你干了这个坏事，然后做处罚。

某员工为了追求妹子，大量拍照发给在竞对的妹子，结果这个妹子，以前就是我们公司的，因为信息安全高压线被开除，发现他很简单，他用iPhone拍照，然后在电脑上iCloud同步，看到这么多图片，就知道这个人有问题了，再深入追一下。

A20：

iCloud这个很愚蠢，见面找个地方面对面传输不好吗？

A21：

如果他回家再iCloud同步，就发现不了了。

那也未必... 这种属于常规路数可以发现的，还有很多非常规路数。

A23：

原来你们不限制软件安装，用来钓鱼抓鬼。

A24：

嗯，限制了他可以绕过，大家就陷入了不停的对抗，放水养鱼。

员工泄露，就是拍照、文件、线下见面几个主要手法。

以前某为抓拍照泄露，就很简单，你装了他的app，他能读你手机图片，说穿了其实就这么点事，你不装app就没法办公。

A25：

那我搞台二手机专门用来办公，我手机都分成个人手机和工作手机，工作手机你要拿权限随意。

我要泄密就用个人手机来拍二手机上的工作数据，拍的时候我把二手手机的摄像头也物理遮挡。

A26：

个人手机也不是没办法，只要你泄露，这条线上总有人知道。在利益面前，谁都可以出卖。

你拍可以，但是这些数据你卖不卖，你卖了，中间人和对方，收钱渠道。

再不行我不拍了，我大脑记忆，回家默写出来，收钱走比特币，或者见面交易，交易我派马仔。

见面交易要不要约一下时间地点，你多了个马仔，马仔是绝对忠诚的吗？

A29：

行，我不派马仔，我让家人代劳，家人总不会出卖我吧？

A30：

你猜大数据会不会帮你算好家人是谁？我们其实复盘过，假设你要找家人代你收这种脏钱，你会找谁？老婆你不敢，同姓有点怕，你还要考虑那个人靠不靠谱，其实仔细圈下来，符合条件的亲戚不多。

A31：

之前那个国内虚拟币传销组织，带了一堆比特币逃到英国去的人，是招聘了一个白手套吧。

某交易所就是这样，深圳之前的一个跑路的私募，带着钱开的交易所。

话说就算圈定范围了，怎么去取证？比如查银行流水，也不是想查就能查。

圈定好范围，有一定证据，再去找ga查流水，有些甚至不需要什么流水，知道就是你，和业务老大说一下情况，用其他方法干掉。

数据值钱才值得，你打击越凶，数据越值钱。

还有这种差价，当事人忙里忙外，又是拍照又是口径解读，就拿了3万，我感觉买方自己就虚报账目了，20万，走账费用4万，付3万，剩下13万自己装口袋。每个月13，一年一百多万纯收入无税。而且好多干这个活的都是年轻人，一是年轻人刚毕业几年缺钱，二是真正干活的，层层分包，最后是个底层员工整理数据。

Q：删库风险往往高频出现在日常新闻中，比如操作失误、恶意报复等情况，我们有哪些方案避免和应急这种风险？比如适当的权限控制或者数据恢复能力？

A35：

说起这个就想起广西移动手机核心网的事故，主备数据库全格了。最后只能从BOSS开户信息恢复核心网数据库，当时那个某为割接的人，先格了一个数据库，在没有同步的情况下，不知道想啥，把另一个互为主备的数据库也格了。https://www.talkwithtrend.com/Article/216497感觉是把设备或者板卡的编号输错了。

A36：

备份+权限管控、实时备份系统+权限管控+监测。删库一般都是相关的程序员，数据库管理员。IT人员这些有权限的人，很少会是外部的人。备份这事很重要，最好是实时同步、实时备份，备份系统一般是安全人员手里，数据库在程序员，IT人员手里，把权限分开。

A37：

1. 权限最小化和分级管控，包括权限分级、账号隔离，高危操作审批和复核，再加上数据备份和容灾

2. 监控和应急，实时监控日志鱼告警，记录高危数据库操作，实时响应和处理

3. 管理层面重视，人员意识培训，合同约束

A38：

分权制衡在企业中真的不好做，直接点上堡垒机，其他的灾备系统是第一要务。

A39：

重要系统建的时候就要定好RPO/RTO，然后建配套的灾备和多重备份的，即使手滑也可以恢复或影响有限。

A40：

1、数据备份+恢复演练；2、堡垒机做高危指令限制或双人复核；数据库审计系统，监控数据库用户及操作、SQL语句等。

A41：

解决事后问题：备份

事前针对误操作：4A/堡垒机并且上严格的审批模式

针对恶意操作：做好入侵防护

A42：

定期备份、权限最小化管控、敏感操作通过堡垒机操作审计，最好上IAM。

A43：

即时通讯咋审计的，用的自建的IM吗？

A44：

有自带的，企业微信有高级模块，飞书也有安全高级模块，钉钉、飞书这种都有聊天记录存储机器留痕，DLP也有审计，联软就可以，看得到即时通讯所有会话记录和截图。

A45：

使用堡垒机做高风险管控，在操作高风险命令的时候，需要走工单，多人审批，我们就是这样的。堡垒机里都有这个功能的-高风险命令。

A46：

做高危命令审批，感觉非常麻烦呀。

麻烦和安全必须有取舍，安全的东西，都是麻烦的，不要怕麻烦，高风险命令日常很少执行的。

Q：日常中遇到有远程控制软件、穿透、vpn等特殊的工具和操作，对于这些操作该如何管控？不一刀切的话有什么方案？

A48：

用带审计能力的跳板机、堡垒机呗，禁止私自搭建，开发统一渠道。

A49：

最大的风险源就是VPN，所以一般来说要限制VPN的功能，只允许远程操作而不能传输数据。

A50：

我们VPN只能在标机访问，非标得云桌面了。

A51：

禁止使用向日葵、Todesk，可以专门开条VPN线路。

A52：

第一就是直接在防火墙或者行为管理精准封禁地址、软件，第二就是可以通过态势或者流量监测工具进行检测，常见的都能管控。

A53：

1、员工用VPN；2、桌面运维用企业版向日葵；3、普通用户通过上网行为一刀切，不允许用远程工具

A54：

有了VPN还需要远控吗？什么场景需要远控？

A55：

桌面给非IT人员远程协助，产研给客户远程协助。

我们通过远控软件客户端去连到客户的网络解决问题，我们自己是有VPN的，不让用远控软件来接入。

A57：

个人桌面就需要用到远控，如向日葵那些，其实就是以前的qq远程协助，VPN只能管理到服务器区域，办公区域基本都是远控为主。

A58：

供应商调试也是开VPN么？如果是业务部门的供应商呢？VPN会开放到主机的访问吗？

到现场，不惯他远程调试这种毛病；业务部门自己打申请，真出了事别找我，我们顶多限制一下VPN开放时长，最多7天，多了不让申请，直接域控禁用进程和端口。

这个遇到好多出问题的了，现在都是要求VPN起双重认证，VPN限网段，穿透和远控直接禁。

A61：

VPN限制设备登入，我们VPN一个账号最多只能绑定3台设备。

员工都用 vpn，需外部协同或支持的才用远程工具。有一种情况可以是，首先技控手段禁止员工私自安装软件+远程工具流量访问禁止，其次使用企业版远程工具且均由企业 IT 管理，远程工具远程码只有企业 IT 知道和提供，仅对企业版远程工具流量访问，然后企业 IT 定期审计。

A63：

远控只让用向日葵但必须报备（存在帮客户解决问题的场景）、穿透和私搭的VPN不让用。

在网络出口做流量监控+主机安全软件做软件安装列表检测，识别违规行为，通报等处罚。

A64：

收软件安全权限，桌管禁用这些软件+防火墙屏蔽相关IP安装

1、桌管进行分组，禁用某部分，允许某部分人员

2、收管理员权限，申请批准后安装

控制统一进入通道，配合零信任或者VPN，VPN限制用户访问范围，进行身份管控和验证，内外网都需要堡垒机上操作服务器和业务机器操作，其他通道进行规范管控，比如通过桌管去远程控制，限制用户只能使用指定远程软件，禁止软件穿透行为。

A65：

不同业务场景和客户要求都不太一样，一般都是case by case 的谈具体方案，基于几个原则：最小访问特权，加密，可监控有日志。业务变化和环境变化太快了，很多以前根本不会有的场景，现在业务都能接受或者都要提这种需求。

A66：

只能通过制度去管控了，只要放在公网就没办法，但员工自己装VPN不好控制，绿色版的VPN也好，向日葵也好，都有绿色版，VPN绿色版更多了，浏览器插件一大堆，不过先搞清楚， VPN分两种：

一种是接入企业内网用的

一种是梯子

接入企业内网的好管控，访问控制、端口

梯子没法管控，除非断网

哪怕没有administraor权限，浏览器装个插件也很容易。

梯子一般的上网行为管理也都管。

浏览器插件那种就难管了，还有一种更牛的，连插件都不装的，直接IE设置里面添加代理，早些年我也这么玩过，csdn一堆资源，这两年都整顿了。

Q：各类设备的审计账号大家一般分配给谁？IT部门的合规岗？安全岗？还是合规部门的人？

A1：

名义上权限给领导，实际上还是自己拿着。

A2：

理论上应该给安全管理、风险岗、审计岗，但实际上这些人都不愿意接，所以大部分都在系统管理员手上。

A3：

分权审计，一般来说做两部分，一部分是IT审计合规岗，另一方面是合规内审部门，基本就是两块部门进行审计。

A4：

其实也看什么系统，有些系统可能没有审计账号，或者有也是一般IT管理，正规或者重要系统，如果有审计岗给审计，没有就给安全或者合规的人。

A5：

首先大多数公司没那么多这种职位，都是一个人的安全部，由这个人负责。

其次假设公司有那么多岗位，一般还是IT负责安全合规的角色和合规审计部门2个人共同进行，一个懂技术一个不懂技术。

A6：

绝大部分审计账号只是有和存在，事实上只为了外审合规检查而已，都不会登录，内审根本不会在意，除非大厂和涉密级别高的企业，我也不觉得这个账号会给除信息以外其他部门。

A7：

拿了审计账号的人，是不是理论上就要承担定期审计的责任，然后出事就要担责？ 像等保这种只看系统有没有审计账号，后续都不管了？

A8：

公司大内网有172、10地址，当初他们用的方式是云平台里面搞个孤岛、重复IP段，然后NAT出来。

A9：

不会的，只有大公司，金融公司才有审计岗，才会真正启用审计账号，大部分公司，IT或者安全拥有一切权限。银行三道防线，第三道就是内部审计。一道是安全运维，二道是科技风险，三道是审计稽核。

Q：平常打攻防和渗透多的转甲方比较适合什么岗位？

A1：

甲方的渗透测试和红蓝对抗啊，而且都是大厂才养得起这样的团队。

A2：

红队要么大厂继续渗透，要么和蓝队一起转SOC，看日志。再高级一点的，通过SOC来转甲方安全建设。

A3：

甲方不止需要渗透测试啊，很多人把渗透测试当天了，感觉掌握了渗透测试，就掌握了全部。

A4：

渗透的搞安全开发、测试、运营都行啊，反正甲方都是用外包。

A5：

条件允许，可以去软件开发处或开发中心，指导软件安全开发，做安全威胁分析，或验证软件安全性。

A6：

都是看技能和业务匹配程度，也不是说平时打攻防就适合什么岗位，看自己有什么技能匹配甲方岗位的要求。

A7：

感觉这种人转到体量不够的甲方，同样的事情是做不下去了，要做偏运营和管理的工作。如果是转到体量够的甲方可以继续干老本行。

A1：

通过等保？等测评的让你打开防火墙，你能给他打开一个有防火墙功能的玩意，让他能把他的表填完，他管你给他打开的是什么东西。

等保一般都是一个有点经验的，带两个实习生测评，实习生你只要能让他把表填了，就没问题，就算遇到有经验的，你只要能让他把表填上，也ok。

A2：

只要有这个产品，他就让你过，防火墙、waf都用开源？你流量敢全部引过去？不怕出故障。

A3：

我就是说说，防火墙肯定还是要买的，入侵检测、堡垒机这种坏了也无伤大雅的搞搞没啥问题的。

A4：

像日志、流量分析、监控等，这些不影响业务的，你用用开源就行了，入侵检测你不买也没事，一样过，这不是否决项，防火墙里面带有入侵检测的功能。互联网墙，一般都要买入侵检测、防病毒，其他不买还能理解，内网墙，你都不买，也行。

A5：

生命在于折腾嘛，不过开源的东西没售后就是，出了问题要自己背锅。

A6：

arkime+suricata+wazuh的组合我试过，只能说很费人，还是别搞这种骗自己的东西。

Q：商业泄密风险检测需提供：待检测关键词，这里的“关键词”是什么？

A1：

比如你要检测蔡徐坤，肯定不能提供他的名字，可以提供基尼太美或者蔡徐村作为关键字，进行声誉检测。

A2：

如果是商业泄露的，那就不是普通的互联网敏感信息泄露，比如：商业秘密、专利、客户信息。

A3：

一般找谁确定？公司法务部？

A4：

先确定评估范围，再找对应的人收集相应信息。单纯互联网敏感信息泄露评估的话，需要收集公司关键、下属单位、业务系统名称、供应商信息等。

A5：

这个可能跟域名有一定关系，例如内部代码库git.abc.com abc就是关键字，会去互联网的github查询是否有员工将代码上传到github上这种。

A6：

比如说你们项目统一定义的项目名或者变量 函数, 只有你们这么用, 就能查 git, csdn这些地方有没有这个关键字相关的代码。

光看不过瘾？想要加入话题深入交流？

AI变声和匿名功能

专为社恐人士打造

让大家以更轻松的姿态

随时随地，想聊就聊

我们已经邀请数位网安行业大牛开设电台房间

等你来「撩」

FreeBuf甲方群成员（因篇幅限制仅展现部分行业成员）：

来源：FreeBuf