记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

关于网络安全人才缺口达327万的讨论、个人IM的内容审计如何合规又合法?windows服务器后门如何排查和取证?| 总第164周

2022-09-17 14:44

0x1 本周话题TOP4
话题1:招聘丨西北工业大学网络安全与信息化建设岗
A1:这被搞了,想起来招人了。非事业编,外包吗?另一个问题:这临时起意,能有多少预算买设备?
A2:事件驱动,网络安全三同步呢?
A3:非事业编,什么时候被攻击这事不会被当作zz事件素材后,岗位可能就撤了。
A4:高校的安全建设貌似都没怎么跟上,攻防演习,高校是重灾区。这么大事件都没开放个事业编出来,唏嘘。可以理解成派遣。
A5:大多数企业都没有资源,高校这样更正常。以前应该都是网安学院的老师监管吧,然后老师就分给学生。
A6:党委党组网络安全责任制形同虚设,教育厅应该定期对重点院校定期督察,层层压实责任。
A7:大多数校园网对于安全性,业务连续性要求都不高,所以安全更不重视。非事业编,估退休工资肯定低点,干活时拿高薪还是有可能的么?
A8:想多了,主要是大学在这方面没有啥经费,都给科研了。
A9:年年喊缺人:2022年国家网络安全宣传周 到2027年我国网络安全人员缺口达327万
https://content-static.cctvnews.cctv.com/snow-book/video.html?item_id=15288404898811343097&t=1662541321845&toc_style_id=video_default&share_to=wechat&track_id=0377b56f-82b1-4d38-9e7b-66c233324fba
A10:高校不在乎搞这块,而且搞一个项目都是你看我校,我看你校,都希望对方先搞的这种心态。
A11:昨天我们算了一下,如果说目前这600亿的产业,缺300万人,那现在就算变出300万人,平均每人能摊到2万块钱。嗯,群友自觉降薪吧。
A12:300万人进来,产业可能是3万亿了。
A13:谁为3万亿买单?信息安全是奢侈品。
A14:主要不是大众消费,规模难起来。安全市场先赶上小龙虾市场。
A15:曾经的大众消费品,现在免费了。
A16:地位未来将看齐公司财务人员、行政人员,肯定会有,但是规模和待遇嘛。低啊,现在it还占着个工资高,公司老板每每看到it的工资规模、人员规模、预算规模,估计都恨的牙痒痒。看看以前网络安全工程师。
A17:啥行业  干的人多了  就变白菜行业了;另外公司三角,老板/财务/HR。
A18:安全待遇目前看起来还行,等到后面入场的人多了,价格就下来了....不产生直接利润啊,你要开公司  你也恨得牙痒痒.. 巴不得裁一点才好 。
A19:财务负责人 怎么都是董事会成员。安全还早..
A20:安全部门都是企业必备、独立部门,有话语权再说。
A21:如果是扎根,安全是最贴近数字孪生的,因为安全需要底层技术,比较稳定,比较深,这个总体趋势肯定是好的,薪酬也会涨。如果不扎根,就是个撒网的,比较浅薄的,堆人力的,被淘汰的概率比较高,成本下降也是规律。
要想改变整个全社会对于信息安全的认识,还有很长的路要走,毕竟,安全不直接产生利润,大量的投入,没法看到明显地效益,是个老板都坐不住…换个角度思考下就能明白了。
A22:不产生利润,能把安全风险的管控做到业务风险管控的级别也行。
A23:以后安全部门的生存状态,大部分资源有限的都是合规驱动,满足合规要求型。
国家互联网信息办公室关于《网信部门行政执法程序规定(征求意见稿)》公开征求意见的通知
A24:个人愚见:安全产业如果没有解决普惠安全的问题,人才资源只集中在头部领域/机构,腰部及尾部领域资源两极分化的问题,靠头部拉动安全产业,产业规模容量和业务增长必然还需要漫长的时间
A25:感觉我们还是站着IT和技术的角度看安全认知的重要性和难处。听过一个说法,AI后公司裁员,财务,法务等等统统可以裁掉。如果只留下一名员工,是销售。
A26:当企业老板吃了信息安全的亏 ,系统被搞,数据被偷,损失惨重,后面他自然就能做好了,事情不落到自己头上,是不会有认知的。
企业都快活不下去了,要中后台有啥用..必保的必须是利润来源,销售...
A27:感觉群里的CEO们更有感悟和发言权。
A28:不是安全不产生价值,是安全人员(做的不好)不产生价值,这两个还是有很大区别的。
A29:做的好,价值不容易体现。没出事,领导觉得你工作很轻松嘛 ,也没啥事,价值在哪里。做得不好,出事了,给你那么多钱,你还给我搞出事故,要你何用。 
A30:好和不好,标准不清晰,如果网络安全可以参考生产安全 范畴,那这个标准就不一样了。
A31:没出事,领导觉得你很轻松,那是运气好,哪里是做得好。做得好,领导不会觉得安全可有可无。根本原因:评价体系不清晰 。
A32:安全跟运维一个样。安全做的好的时候,其实工作往往不轻松。在安全被需要或依赖的时候,安全人员在细节上倍感压力。
A33:安全人员的能力,一般企事业单位似乎确实不太好评估啊。如果从业人员快速扩张,可能新增人员大部分都是对着监管条款机械提要求的人,不贴近业务,不给具体解决方案。
A33:安全做的好就像空气,平时感觉不到存在,但是一刻也离不开。让领导这么理解安全,可能会好一些。
A34:想要干得好,确实不轻松,问题是你得让上层领导觉得你不轻松才行,但是上层领导的认知里往往就是,不出事=没事干。所以  安全 跟运维都一个样,唉 有苦说不出,这周网络安全周,我还在写宣传稿,报送监管....
A35:周报、月报、可视化卷起来,还要有日报。
A36:可以搞个调研,安全老大升任科技老总或副总的样本有多少?安全独立与科技平级的样本有多少?这样更能说明安全的处境与地位。
A37:大部分情况是自己觉得做的好,其实做的不怎么样。不要觉得老大没有分辨能力,自己做的好,领导看不出来。大多数情况是自己做的好,而不是老大没看出来自己做的好。
话题2:最近是不是IPV6的地址也出了那个云函数了……最近封了几百个IPV6的扫描地址。扫我们好几天了,还一直在扫。
A1:云函数这个怎么封呢?作代理池类似秒播可以一直换ip吧?
A2:部分hids有。
A3:没法子,一直在换ip。我写了一个小程序,一旦计算出一个段的IP地址大于32个IP,直接封一个C类段。针对ipv4,这样也只是封个大概。这些地址池进行扫描,连接头还没有规律,真心是麻烦。
A4:不是自动化封禁的?正常扫描不是触发同一条策略吗?这个策略是防火墙的封禁策略?
A5:你说的没错是自动化,几千几万个IP,但是你要搞几千几万条策略。
A6:这么大资源池?
A7:不是的,那些不是扫描,是各种各样的黑客工具探测。几百个还吃得消,几千几万是吃不消的。还有弱密码扫描,所以我只好搞个小程序,收敛地址段。不然的话你和发现很多策略只匹配了几次就再没有匹配了,别人这样很容易搞死你的防火墙之类的设备。
A8:是云上的不?可以记录个缓存,做个上限,覆盖旧的。不过好奇具体是啥云函数?如果对方真有几万个ip的资源池,封禁都是事后,于事无补。攻击成功的你不会封,你封掉的都是你已知的。
A9:我是查询出10分钟前,那些连接数少于某个值的acl清理掉。这个对旁路设备容量有要求。
A10:旁路阻断设备比防火墙容量大,速度也快。
A11:Deny策略就一条,关联多个地址簿,封禁时把ip加到地址簿,地址簿满了转到下一个地址簿。
A12:封ip的逻辑基于两个假设:攻击者的ip资源是有限的,且他要找到我的突破口需要大量尝试,在这两个前提失效了的情况下,封ip的行为属于自戳双目,甚至不如标记出攻击者都干了啥。对防火墙而言,地址簿也有上限。比较大就是了,但上10万也不是忽略不计的,每条请求都要遍历地址簿。
A13:封ip不是唯一的出路,有一些ip是共享ip,比如铁通 鹏博士。封的影响太大了。封IP只能是在网络层解决问题,一旦应用层出了问题,还是没啥用的。
A14:具体问题是,别人换了一个不在ACL列表里的IP地址还是能攻击成功。讨论的是那些探测的IP,每天都大量这种IP。攻击不成功,但是也占用你的流量,小型DDOS。
A15:封完,一般多久释放?业务上云不?还是在自己机房?如果在自己的机房,那就只能封着了。
A16:防爬是一个重运营的对抗,得多个维度着手。传输层 会话层 应用层。传输层利用Ip,指纹(IP头指纹,tls指纹),应用上对抗更多了。《网站安全攻防秘笈:防御黑客和保护用户的100条超级策略 》,这本书里面讲了不少,都是基于modsecurity策略讲的。
A17:我们的策略是10分钟左右查询一次,匹配的ACL数小于一个阀值的就释放。现在很多东西指纹很不明显。在应用里解决最彻底。可是有几个应用开发商能干好。
A18:把入口上云转发能省去大量工作,这些他们都做过了。
A19:行业规定了很多应用不能上云。
A20:策略也不一样。不同ip domain url user的权重不一样。买私有云啊,有钱的话,某云都可以私有化。
A21:为啥你们总认为防爬的一等策略是封ip....?防爬在事前是一个架构设计安全评估和落地方案的问题,真要落到事中对抗就是技战术问题,光封ip这种是最懒也是最烂的技战术策略。
话题3:请教大家一个问题,关于银保监会要求对投资管理人员和交易人员,交易时间的即时聊天通讯内容审计。现在对个人IM的内容审计都多少存在个保合规的问题,不知道是如何既要合规又要合法的?
A1:这个只针对交易时间中,办公pc登录的即时聊天通讯吧。
A2:不是,是所有。我非常确定,不仅是办公PC。
A3:进交易室都交手机啊。还要审计个人微信?这也没法审计吧,手机中的微信之类的。
A4:这无法作为理由,我试过了。
A5:手机装软件。不让带个人手机,给公司手机。某work的软件就可以。手机的所有信息都会被记录。
A5:其实我想问的是,个人IM是否允许用于办公?MDM方案是很全的,成本也略高。其实华为儿童手表也可以上微信。要全审计,就得用企业级IM。但话又说回来 审计个人聊天工具,这行为就确实有点河边走的感觉。
交了手机,笔记本电脑要交么?电脑交了,儿童手表要交么?以后还会有更多具有即时通讯功能的穿戴设备。终端没法管住啊 各种漏出。
A6:你可以出制度禁止,I T只是一个执行部门。
A7:制度归制度的,但是他要的是实际支持的。要是公司用企业级im,还要审计个人的么。
A8:这个策略比较高屋建瓴 且是业务合规范畴。PC上dlp上网行为,进门手机柜。监管的要求。就拉上内控去推,IT配合上手段就好。
A9:我理解,公司提供的网络中不允许个人IM。不够的,我已经跟有关部门沟通了许多次了。我其实不太理解作为纯IT,不太理解监管出这些要进柜子啊,要内容审计,距离他们的目的近不近。很难搞的,因为里面有很多逻辑bug。
另外,我尝试了一下华为的儿童手表 感觉可以规避掉好多现有的措施。苹果手表也可以发微信。不用交手机柜、自带sim卡、可以上微信QQ打电话,还有高清双摄。
A10:应该是,公司不能审计没有接入自己网络的设备。那上面情况,投管和交易人员上班不能戴苹果手表么?
A11:上手持金属探测仪吧。既然要求这么严格,类似于苹果工厂管理的模式。
A12:法律,银保监,人行,工信部,网信办的法规。所以这些要求的目的是什么呢?IT很为难。买了俩,双摄的,还联网,如果不注意真的可以带走很多数据。
A13:目的是禁止内幕交易,具体落实会比较难。如果可以通过IT技术手段管道德风险,那倒是蛮有意思。
A14:但是IT手段可以增加犯罪难度。信号屏蔽,办公网络隔离。
话题4:windows服务器被人远控了,有没有什么后门排查方法,系统不能格式化。
A1:被搞了就别想了,清不干净的,想办法重装吧。数据分离出来,重新部署吧,讲道理你们没有高可用嘛?
A2:不是生产系统,是办公系统。
A3:一样的,oa有啥不能重装的。
Q:那这种横向扩散的范围怎么排查呢?不见得所有办公终端都重装吧?
A4:看你日志留存情况了,再就是看一下同区域的,如果你们没做分区的话就难受了。oa vpn这类外采,最好一个系统一个分区,基于端口的放行策略。
A5:办公系统上地域墙啊。内部有流量记录吗?
A6:之前要上x莱,还没搞就中招了。我们是虚机,有快照,服务器恢复一下就好了。就是不知道有没有感染其他终端,所以想搞清楚,这种怎么查呢。
A10:终端的话看日志,看他有没有做水坑,再就是这段时间那些机器访问了系统。有其他基于流量检测的系统没有,先把代码整出来,跟之前备份版本做diff看一下有没有改动,访问日志看中间件的acesslog,有流量检测的话就看流量日志就分离大流量记录拆分出文件看看,有没有可执行文件投递,再就单独给这个时段内的机器上单独的高敏感策略,维持一到两周,观察一下。
A11:查日志 查账号 查服务 查端口 查外联 查进程 查计划任务 自启动 查驱动文件,查各种。远控木马的你查流量情况就知道机器有没有失控了。查到了果断断网处理。
A12:他可以回滚版本,这些可以不查,就是需要确定失陷范围。我估计他这么问,应该是没有这种系统,以我以前应急经验,就是先按我那套整一把看看,先diff代码看看有没有做水坑。
A13:自己本机开个dns转发程序,把排查的服务器的dns指定过去,看dns查询访问信息,暂时不投入系统设备的排查一下。用teapot可以,想查清楚没设备就找厂家的服务。
A14:ndr,aisa之类的流量设备,内网没有,我们只在边界上。
A15:应该没有,如果有这些一般也有hids。内网只能靠edr, 没有edr就上sysmon, dns转到teapot, 这是目前能最简单的做法了。但一样需要有threat hunter才可以,没有的话,也找不到。sysmon要慢慢优化规则,也是件长期头疼的事。
A16:嗯,优化规则问题不大,有优化过的配置文件,但是,如果没有威胁猎人,他也是没有能力验证和发现的。毕竟,如果有威胁狩猎能力,就不会问这些问题了。
A17:每个终端上装sysmon,然后将日志转到大数据平台建模分析。难度不小的,你可以找厂商借edr装,靠edr的能力来做。
A18:我只在进来的跳板机装sysmon看了下。
A19:难度不小的,你可以找厂商借edr装,靠edr的能力来做。没有的话就没有意义了。出名的就是SwiftOnSecurity。已经配置优化好的,尤其是现在的最新版sysmon老强了。我很早以前在freebuf写过一篇文章叫手工打造EDR系统,里面就是利用sysmon做的方法,时间比较长了,只能做参考了,需要比较大的调整。
A20:被入侵会做权限维持,做的权限维持,一般不会bypass autorun:
  1. autorun把这台失陷服务器的启动项流水打出来

  2. 再登录到另一台确认未失陷的server机器,把流水打出来。

  3. 再用beyond compare对比启动项差异。找到差异项,对比文件目录,创建时间,mft时间,拿hash查微步 vt。

这么操作,一般就没啥问题了,对反入侵技能要求也不高。
A21:如果有edr模块,自动就能生成了。如果说大批量用autorun, 那就用kape吧。自动采集远程机器应急数据,用在这里也好,但,还是要有人分析。
https://www.giac.org/paper/gcih/34611/kape-fast-flexible-incident-response/152146
https://github.com/EricZimmerman/KapeFiles
A22:这是个很有名的取证软件,这人是取证届的大神,国内写的取证文章,80%-90%是抄他的。对的,现在就是要取证嘛,所以用kape的一部分功能就可以批量了,或者直接在所有的机器上跑psexec 执行autoruns导出csv后,进行分类统计,合并,异项就出来了。
A23:严格来说,如果有迹象表明一台机器可能被入侵了,那最多只能证明它当前没行为,没有什么方法能100%保证它干净了,最好还是业务上能降级、切换、恢复,而不是带病跑。他是用计划任务维持权限的。
0x2 本周精粹
重磅!西北工业大学遭境外网络攻击,攻击者竟是美国国安局NSA!
国家互联网信息办公室关于《网信部门行政执法程序规定(征求意见稿)》公开征求意见的通知
0x3 群友分享
【安全资讯】
TikTok在用户数据和源代码泄露后否认黑客攻击
蚂蚁集团网络安全技术入选全国网安周“网络安全优秀创新成果”
Keep等APP被通报,技术类问题值得关注!
360首次发布国家级黑客组织攻击能力象限图,打造数字空间“预警机”
免费送月饼?高校发4万多封钓鱼邮件,结果……
公安部发布“百日行动”期间打击网络违法犯罪十大典型案例
公安部:零容忍打击涉数据安全违法犯罪
等你来战!深信服全民有奖网络安全知识竞赛火热开启
为强化信息防护,西北工业大学150万采购国产防火墙!
【安全技术】
安全工具 EasyPen alpha 1.0 发布
政务数据共享授权决策模型研究
关于“魔盗”窃密木马大规模传播的风险提示
郭启全:大力加强数字政府网络安全综合防御体系建设https://baijiahao.baidu.com/s?id=1738659876992653950&wfr=spider&for=pc&searchword=
--------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
数据安全、网络安全和信息安全最根本区别是什么?评估公有云安全方案之WAF、云防火墙、云安全中心等的讨论 | 总第163周
关于企业密码管理、特权账号管理、双因素身份认证的讨论,涉及海外用户的网站在数据出入境、内外部合规方面的一些建议 | 总第162周
通过XFF获取客户端请求的真实IP地址的讨论,攻击者能否让目标忽略reset继续通信?如何评价乙方渗透测试效果?|总第161周

如何进群?

如何下载群周报完整版?
请见下图:

知识来源: mp.weixin.qq.com%2Fs%2Ffl6YIoNwxQbrGc5XNv-N9g&id=3a0d7c3d488993975bd5642f83960117

阅读:185815 | 评论:0 | 标签:后门 审计 windows 网络安全 合规 安全 网络

想收藏或者和大家分享这篇好文章→复制链接地址

“关于网络安全人才缺口达327万的讨论、个人IM的内容审计如何合规又合法?windows服务器后门如何排查和取证?| 总第164周”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁