攻击溯源反制抓到一个就是出彩 | 7月FreeBuf甲方群话题讨论集锦

炎热的7月终于过去，伴随全国大部分地区高温，攻防演练行动也拉开序幕。在7月的话题讨论中，我们探讨了外包与项目安全、攻防演练和钓鱼、内网文件安全、系统日志安全管理与审计等话题，以下是讨论摘录：

 话题：外包与项目安全 

Q1：外包开发项目整套流程中，可能会存在哪些安全风险？如何避免风险。

A1：外包开发主要的风险在于安全漏洞和信息泄露风险。对于安全级别较高的企业（例如银行）会要求：

1.外包商进驻甲方场地，使用甲方的开发环境和基础设施，内部统一管理源代码

2.对需求和架构进行安全评审

3.使用自动化工具进行代码质量检查和代码审计，定期进行Code Review

4.和外包商签订保密协议，在合同中明确SLA指标

5.做好互联网源代码、敏感信息泄露等监测

A2：风险方面我这说三点：

1.信息泄露和测试不完全做一个测试报告直接上线生产，导致生产事故

2.开发人员完全不在意信息安全，没有相关意识，依赖甲方安全重度参与做风险控制

3.甲方安全整个周期介入太晚，其实已经很难有所作为

A3：个人认为最需要关注的安全风险有是人员风险和数据（泄露）风险。人员风险来自于人员安全意识的稂莠不齐，没有良好的保密意识和工作习惯，以及随外包公司的多项目交叉开展带来数据泄露风险；数据泄露风险来自于人员风险延伸的人员异动（入、转、调、离）、代码不规范、功能逻辑理解偏差等。

避免上述风险的方法：与外包公司和外包人员签订严格的合约，约束项目人员的异动，加强需求沟通和代码评审，做好安全测试和上线检测流程。

Q2：选择外包服务商时，可以从哪些方面进行审计来确保安全基线？

A1：驻场类：外包安全培训、签安全保密协议、权限管控、源代码检查、敏感信息泄露、终端口令安全、终端病毒防护等；

非驻场类：参考物理安全、网络安全、数据安全、应用安全、权限安全、终端安全和运维安全等。

A2：除了合同约束，也要依照企业自身安全管理需求，对人员、操作、数据流转、组件（服务）资产、工作流程、文档、代码存储及备份、BYOD等进行审计。攻防演练期间无需特意控制外包风险，做好（上述）日常管理就好。

 话题：攻防演练和钓鱼 

Q1：在钓鱼实战中，可以有哪些策略有效检验员工的安全意识？

A1：验证意识最好的办法，就是内部发起钓鱼，而且结合公司内部互动效果更好。

A2：内部钓鱼我们一直有做，内容就是最常见的IT提醒你账号异常要登录OA修改，然后模仿OA首页弄一个钓鱼页面收集密码，根据我们近几次的数据看，入职安全意识培训前钓鱼的刨去不看邮件的，几乎100%中招。然而作为对照组，培训完之后钓鱼的也还有一半人会中招。

A3：针对钓鱼的防御，不应只单单关注外来钓鱼手段何应对之策，而还应更关注钓鱼的对象--内部员工、供应商人员，不断加强、不断强调提高安全意识，双管齐下。

事先需要对全体员工进行教育，使其了解快速的反馈流程，加入现有的应急处置策略里面，已经识别钓鱼攻击发生，普通员工的快速反应能力，决定了能否快速约束其权限、通知扩散到全员，防止更大受害范围。

Q2：攻击溯源的方法分享，或者采取哪些反制措施？

A1：溯源靠蜜罐的时代已经过去了，可以分享个HVV期间的逮人小技巧。现在攻击队用的环境都很干净，我们曾经用桌管反制过诈骗犯。之前有个骗子冒充高管要求转账，我们就说桌管是转账助手，那玩意直接拿系统最高权限还永久免杀。

A2：2019年、2020年蜜罐溯源各单位得分不少，现在攻击队们对渗透环境有标准化培训，就算踩到蜜罐或者反制木马也难以拿到太多有效信息。

对于溯源工作，要有一个清晰的定位：抓不到就算了，抓到一个就是出彩。我们在近两年和几家头部安全厂商的白帽子们做攻防演练，发现现阶段白帽子防反制意识比较弱的点是个人手机号。各类接码平台越来越少，无痕号码成本也越来越高。白帽子们对手机号注册还报有很大的侥幸心理。

因此可以在攻防演练开始前两周，或者一周半，划定时间界限，对新增注册账号严密监视。制定好查询脚本对接WAF日志，访问Cookie和账号快速查询通道，社工库。对带有Cookie数据，哪怕产生一点点或者单引号的攻击行为（一般不会有大面积漏扫，只会有不小心的手贱探测），立刻通过Cookie找到账号，对接社工库尝试拿人员身份信息。对于拿到的人员信息输出简单的可疑人员报告，结合HVV全程按需使用。

 话题：内网文件安全 

Q1：文件外发流程如何设置？

A1：外发文件分为两类，一是普通类型文件，可通过企业微信和邮件附件外发，二是重要文件，只允许通过文档系统外链发送，且需审批。内部区分重要部门，重要岗位，对重要文件做加密。重点研发部门做了网络隔离，如果需要外发文件到办公网，只能使用指定的文件摆渡工具。

A2：我司这边，如果是恶意泄露那没办法，主要防的是过失泄露。之前我基本上秉持一个原则，鼓励大家用Office365的OneDrive：

1.避免出现把交接文件放某些网盘上泄露的风险

2.避免文件丢失

3.可以防止勒索病毒

用了飞书之后，很多文件也是直接飞书云文档了。所以我控制好OneDrive，不得外部分享，飞书有一套不太完善的权限管理方案，也勉强能用。

A3：我这目前暂未针对文件交换制定相应的要求，也未对常用文件进行密级区分（企业管理类文件除外）。对于内部文件交换，以某企业级即时通讯工具为主，以协同办公系统为辅；

涉及与供应商、服务商或外部合作方的文件交换也以某企业级即时通讯工具为主。涉及某些特定场景的客户需求，以专用服务器+点对点专线+VPN+PGP+重要数据分离传输（例如，文件密钥与文件通过不同渠道进行传输）的方式进行交换。此外，移动存储形式的文件交换需要进行审批和权限开通。

 话题：系统日志安全管理与审计 

Q1：系统日志在攻击中被删除，有什么恢复方法？

A1：日志被删除了，如果没被其他数据覆盖的话可以尝试数据恢复，但是一般不推荐这样做，这是靠运气，靠不住啊。所以才有了SOC，SOC除了安全综合分析、运营的作用，也可以作为安全日志数据的备份，防止原始日志被删除。

A2：日志Syslog或者Kafka发到态势感知平台，为提升查询效率，数据量大可考虑冷热数据分离存储（冷数据：长周期数据，如1-12个月；热数据：短周期数据，如1个月内的数据），流量或者行为数据缩短保存周期。

Q2：异构日志审计如何兼顾兼容性和响应速率？

A1：有二开能力可以做日志融合工作，这样可以按照自己想法去优化日志这块工作。

A2：不太建议在日志格式统一做太多的工作，在日志种类较多的现在，此工作量巨大，占用资源较多，可以将日志格式定粗一点，更多利用规则将日志利用起来。

其实日志处理工作，很多安全设备已经帮你去处理了，更多可以关注在IP、攻击特征等的关联上，而不是去从底层去做分类、定义，这工作投入与产出完全不成正比，严格上说，没多大实际意义。

最后补充一点，要想利用好SOC，最好尽量少地址转换或者可以备注，无法有效地址溯源发现也没啥用，因为后续的溯源追踪会很难搞。

A3：异构日志处理的话，一个是内部从日志合规等角度推进日志规定的起早跟落地实践，拉研发一起给出标准化的参考案例，但这个部分只对自研的部分起作用，外购的系统还有老旧系统的日志就只有自己去把关键信息去解析出来，无法用的部分丢弃掉，然后重组存到集中日志平台中去。

A4：想要做好日志审计，技术、产品内力缺一不可。不同格式的问题在技术上来说简单地去切割日志转换成统一的格式即可。通过单体告警+可疑事件思路快速找到准确的入侵或违规事件。

单体告警：商用安全设备自有规则，根据渗透、合规经验自定义规则。

可疑事件：聚合多个告警产生准确事件。笼统地说可分为人员事件（违规、泄密）和入侵事件（同一主机入侵深度、不同主机入侵广度）。将准确事件抛给预置的SOAR剧本进行快速处置（前期手动，完全训练成熟后才能考虑逐步自动化）。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

精彩推荐