各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 203期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

上期精彩内容请点击：密码的安全管理；OA登录锁定策略及特权账号管理方案

话题抢先看

1.针对终端安全风险专项排查，应该如何排查，如何发现终端安全的风险敞口，如数据泄露等问题？

2.对于全员采用macOS系统办公的企业来说，是否就一定比采用Windows系统为主的企业更加安全？有没有一些macOS系统特有的安全风险？

3.注册接口第三方验证码被绕过，在WAF规则做了IP限制、不想批量封IP影响正常业务的情况下有何止损办法？

4.春节期间的企业安全值守怎么做？有没有好的思路或者应急预案？

话题一：针对终端安全风险专项排查，应该如何排查，如何发现终端安全的风险敞口，如数据泄露等问题？

A1：

终端没有安全管理软件吗？看看有没有违反安全策略的行为，看看日志啥的。

A2：

领导让我做这个专项排查，办公用的，有天qin，有DLP，现在是要把内鬼作案也考虑进去，如何考虑终端安全的风险敞口。

A3：

目前只想到DLP白名单可能导致的文件解密以及如QQ远程桌面登录导致的信息泄露。

A4：

这个不是内审的活儿吗？

A5：

是啊，因为DLP和防病毒都在其他部门手里，他们只管建设，所以会留下安全敞口，现在领导想安全去内审这些东西，是否存在新的安全敞口。

A6：

有既定的策略或者规则吧？有的话，就做告警处理就好了；告警误报多，常规运营不就出来了嘛。碰到事件再对应处理。

Q：请问安全合规检查类如等保、27001、安全自评估等发现的风险闭环管理大家是怎么归类记录的？一般来说渗透漏扫发现的安全漏洞有系统去记录跟踪闭环，这些安全漏洞比较客观，合规风险类的问题有点偏主观和结合业务场景（一般涉及多个团队），这类的问题大家是怎么去闭环管理的？

A7：

前期调研，然后匹配规范或者法规，手动记录归档，有管理平台就录入管理平台。

A8：

27001（2022）告诉你了啊，组织、流程、人、技术，就这四类。

A9：

笔记本电脑 把硬盘拆卸下来，拷贝数据，再安装回去，这个风险，业界的安全软件能监控到吗？有记录这个的日志吗？是否需要Bios层面的日志？

A10：

这是物理安全范畴， 我们有两种做法：

1.是把磁盘锁了，密钥保存在云端，定期自动修改，用户通过物理读取硬盘资料需要提交申请后获得密钥解密才可读；

2.使用文件加密系统，文件需要解密才可读，文件的流转和读取就可以通过日志去捕获。

A11：

会不会影响工作效率，以及部门间、公司外的交流与合作？

A12：

效率这个要看你们的做法和领导的喜好了，我们当前的情况是：
磁盘锁：使用操作系统登录会自动解锁磁盘内容，不会影响使用效率，这块用的是bitlocker；
文档加密：解密申请需要一定时效，部分部门是委托部门管理员解密，部分文件和部门是自动解密，日志记录，这块使用的是IPG。

Q：请问绕过堡垒机属于哪类不合规项？是逻辑访问控制吗？

A13：

对操作行为缺失监控和审计。

A14：

绕过安全控制系统，主要看你们内部怎么定义违规类型的吧。

A15：

根据实际情况判断比较合适；如员工通过技术手段或利用漏洞绕过堡垒机访问业务系统，应当算故意违规场景；如果是业务系统本身没有经过任何访问控制措施，员工可以不受限的绕过堡垒机访问业务系统，这种情况处罚员工估计员工也不会服气。

A16：

根据实际情况判断比较合适；如员工通过技术手段或利用漏洞绕过堡垒机访问业务系统，应当算故意违规场景；如果是业务系统本身没有经过任何访问控制措施，员工可以不受限的绕过堡垒机访问业务系统，这种情况处罚员工估计员工也不会服气。

A17：

其实我是在看SOX404，普遍的都有堡垒机以及其他安全控制措施的检查项，要求在审计周期内提供是否绕过的截图和举证，那么我就在想，如果绕过了，或者没有，那对应的，是不符合SOX404的哪些条款，该怎么做才能让SOX404报告“好看”。

A18：

如果开发自留隐秘通道、只要网络通就能绕过、配置态势感知基线监控。

A19：

我们的开发比靠谱，是外包部署应用的时候，申请了台服务器，然后在服务器上安装了向日葵、ToDesk、TV这些，比较头疼。

A20：

这算啥，我们之前采购哪家的app检测设备，然后在流量端看到上面有反向代理流量，还以为被黑了，结果设备原厂说那是他们装的。我们当时部署在测试网段，测试网段是可以外联的。

A21：

我们曾经也有一台语音拨号设备，供应商送的，然后自建了一条VPN隧道到他们本地，某天，供应商本地被黑了，黑客利用这条隧道，使用我们的语音设备拨号，当月，我们的话费花了20个W。

A22：

所以厂家上东西一定要盯着。

A23：

到供应商隧道和专线其实不可控地方确实多，很难做到全面、有点拼人品。我有发生供应商员工自己电脑远程端口放公网、还设111111这种密码，结果可想而知。

话题二：对于全员采用macOS系统办公的企业来说，是否就一定比采用Windows系统为主的企业更加安全？有没有一些macOS系统特有的安全风险？

A1：

Mac更不好管理，全员苹果电脑得是啥单位啊。

A2：

设计院吧，或者某个项目的ios研发团队。我感觉这种就是要么非常安全，要么被盯上了，一中就一大片。

A3：

不能说比Win安全，Mac版本管控也困难些，有很多管理软件都拿不到授权。如果有黑客木马越狱啥的，恶意软件反而可以突破系统防护，正常安全软件是不能这样干的（同时也得不到授权）。

Mac正常来说就有WIFI、蓝牙等外发，USB端口等不好管控，另外还有越狱，还有恶意病毒和木马。

A4：

Mac没有默认杀毒和检测，算不算就是特有风险了？Win还有个Defender。关于外发那些，其实都有产品能实现管控。最近几年针对Mac的木马啥的也在不断增多，因为现在基本上随便编译跨平台的程序了。

然后针对Mac的MDM管控，像老牌的Jamf之类的都很贵很贵，相对而言性价比不高，而传统的软仓桌管不一定能管到Mac的东西。首先这里会有个产品兼容性的问题，其次不买的话，单靠苹果的Apple Configurator能限制的东西不多，但是像iCloud禁用之类的是可以的。

A5：

还有一块，就是Mac权限没有特别好的办法回收，Win还能有域管理员，员工没办法自己安装软件和调设置。Mac自己都是管理员，啥都能改和下载使用，有使用未经授权的软件，甚至盗版软件的风险。

A6：

我觉得风险是相对的，全员使用MacOS，一方面体现这个公司的绝大多数资产都会在知识领域上，对于这样的公司，风险可能是从外部到内部的业务/应用系统上，MacOS系统的的问题相对少很多，但也不是绝对，高价值的目标，风险不能以使用什么系统来定。

另外就是安全应该会更严格，既然全部是MacOS，那么就不会差钱，可以上整套MacOS的安全管理，针对MacOS的安全风险，更多的会是企业风险吧。

A7：

现在大多数杀毒软件厂商都没有Mac客户端Agent, 导致Mac更危险， 少部分有Mac客户端 ，但Mac的机制是无法常驻后台运行，根本就是个摆设，而且病毒库更新可能几个月半年才更新那么一次。

A8：

都作为操作系统，通用的风险都会有，我更烦的是苹果的系统一些Agent不好装。

A9：

从可用性来说，Mac有过奇葩的升级带来了Bug导致VPN报文乱序不能正常工作，用户反馈给我们头都大了。

Q：说到这，有谁见过MacOS的安全配置基线吗？

A10：

从来没有，只有LINUX安全配置基线。因为Mac是类UNIX系统，命令和LINUX 90%一样的，当LINUX来处理。

Q：在不考虑设备预算的情况下，大家是否愿意利用MacOS系统从事网络安全相关工作？

A11：

完全不适合。
1：最关键的一点：安全人员平时做的最多的事就是写报告， Mac上的Office格式兼容都是有问题的，怎么写报告？
2. Mac尤其是用了M1、M2处理器，很多软件兼容性问题，很多安全工具都没法装；
3.  WIN+虚拟机装KALI更适合安全研究人员。

A12：

我觉得MacOS更清爽方便，我的选择是Mac>Linux>Windows。
优点：MacOS采用命令行操作，shell原生支持，更方便写脚本代码。更利于提升渗透和攻击效率。颜值高。
缺点：很多小工具和驱动只有window支持，需要借助虚拟化进行配合。最新版M芯片兼容性差。

A13：

最新版M芯片兼容性差，Wireshark都装不了。

A14：

办法总比困难多，没有Gui命令行一样的，一看你就是Gui用的多了，日志分析，渗透数据处理等，用Windows都很恶心的。

A15：

我们公司办公电脑95% Mac，剩下5%是财务，要支持金蝶之类的软件。目前是MDM(计划还没做) + DLP。

刚好我有问过IT为什么用Mac，他们答复是Mac维修率比较低，长期来看综合成本比Win要低，所以还是因为成本而用的Mac。

A16：

之前全公司都是某品牌的PC终端，安装加密软件各种蓝屏，代码都不一样，搞死人了。

话题三：请教下，现在有个场景，注册接口， 公司对接的某厂商验证码被绕过，现在能刷短信，这个除了业务更改逻辑（成本高，添加参数等等），目前WAF规则做了IP限制（目前攻击批量换IP、UA，所以WAF作用不太大），但业务不想批量封IP影响正常业务，这个情况下还有什么方法可以止损呢？

A1：

单个手机号一个小时只能发M次，一天发N次？

A2：

单个手机号有规则，一分钟一次，现在是不同手机号恶意注册。

A3：

一般来说，感觉那种复杂一点的图形验证码，如果别人不是盯着你搞，都还好的。

A4：

有知道是在哪个位置被绕过了吗？另外恶意注册能获得什么好处？

A5：

就是恶意消耗短信费用，被盯上了。

A6：

有没有可能是验证码平台本身没问题，而是你们调用的逻辑有缺陷。

A7：

也有可能是没有跑去验证，我们之前给开发提需求要加验证码，他们就搞个假的验证码（有前端，但不到三方验签），最后被拉出来在开发部门通报了。

A8：

业务安全测试过，校验逻辑没啥问题，还是一直刷。

A9：

先排查一下，恶意的手机号对应调用的接口日志，再去找厂商日志看看是否有对应记录，确定一下是接口问题，还是真正验证码被绕过了。一般这种第三方验证码都比较难绕过。

Q：请问内网穿透工具都是怎么进行管理的呀，除了使用软件管理工具（覆盖不全且管控没有那么严格）本地禁止安装外，还有什么其它的控制手段吗？

A10：

核心层上行为管理设备，在网络层面上控制流量。

A11：

我的确是不懂，所以想要问一下远程登陆工具和内网穿透工具的风险是一样的吗，需要同样的管理，如果不管理远程登录工具，管理内网穿透工具是否就是无意义的。我之所以认为内网穿透工具和远程登录工具不同，是因为态感对于内网穿透工具会报高危报警，而对于远程登录工具没有报警，所以内网穿透工具和远程控制工具都是同样的管理手段吗？

A12：

远程登录工具：可控的，由IT部门或者安全部门维护的。

内网穿透工具：不可控的，由开发人员或内部员工私自搭建的。

A13：

内网穿透如FRP等可以理解为黑客工具吧。而远程工具如TeamViewer、QQ远程、ToDesk等，确实是有可能有业务需要使用的，这块可以从终端按需给权限运行。

A14：

远程工具多用于PC终端办公，内网穿透工具大多是研发自己瞎搞，类比菜刀原本是用来切菜的，行凶不算是正当用途。

话题四：春节期间的企业安全值守想知道大家都是怎么做的？有没有好的思路或者应急预案？

A1：

和日常周末一样，7*24准备处理高危告警，其他不重要的就稍稍慢点。

A2：

安全设备日志联动上手机告警，不行的话，买的安全设备一般都支持邮件发送吧，只不过体验不咋样。

A3：

ISO27001不要求有应急预案的嘛？可基于那个细分拓展，基本都是按应急预案处理，具体要看安全事件的严重性去处理，重大级别的基本都是要回公司处理。

A4：

也要看看行业，国企和央企，工信部有自己的管理规定，银行金融有网监的，他们都不怎理， ISO27001也就是公安，在一些政府和私营企业用用。

A5：

其实假期真出了比较大的问题，应急响应肯定还是要去现场支援，这个运维必须得有人配合。

FreeBuf 观点总结

在关于终端的安全风险，乃至安全合规类风险闭环的管理讨论中，有群友认为前者可通过常规既有策略或规则进行告警处理，后者可依托管理平台通过制定、匹配规范或者法规进行管理。至于绕过堡垒机属于哪类不合规项，有人认为是对操作行为缺失监控和审计，有人也认为主要需要看内部如何定义违规类型。

对于MacOS系统的安全性是否真的优于Windows等其它系统，大家众说纷纭，虽然总体而言Mac所遭遇的恶意软件比Windows要少，但也存在WIFI、蓝牙等外发，USB端口等不好管控等特有风险，而近来针对Mac系统的恶意攻击也有逐渐抬头之势。对于安全从业人员是否可以选择Mac，有人认为完全不能，MacOS的兼容性对许多安全工具还做不到兼容，也有人认为MacOS更加清爽，采用命令行操作、Shell原生支持，更方便写脚本代码，也有从长期来看，Mac维修率比较低，综合成本由于Windows。总结下来虽然Mac还存在诸多不足，但也不乏行业使用者，关键是要适合自己，同时不影响自己所属职位的工作开展。

在春节假日的安全值守中，安全似乎也不能怠慢，除了7*24准备处理高危告警，也需要根据情况安排运维人员现场处理，当然，各个企业也会根据相关行业指导采取更细致的安全策略。

本期话题讨论到此结束啦~此外，FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群已满，如有疑问，也可添加Kiki群助手微信：freebuf2022，备注：甲方会员