▎大家好Buffer,FreeBuf第211期B方群讨论话题来了! FB方B社区不时围绕安全热点、前沿技术、操作系统构建等话题进行讨论。 Kiki群助理每周都会整理精华、干货的讨论内容,为您提供第一手有价值的资讯。
重要提示:在这个话题讨论中,有社区成员“偷懒”,用ChatGPT来回答,你能看懂吗? 欢迎在文末留言,我们将随机抽取三位猜对的读者,送出“神秘奖品”~(留言格式:主题序号+答案序号,例如:主题1 A3)
注:下一期精彩内容请点击
先看这个话题
1、现阶段以ChatGPT为代表的人工智能模型在辅助网络安全方面发挥了多大作用?
2、企业在管理或使用联通应用时应注意哪些安全问题?
3、未来企业是否会像办公笔记本一样管理联通设备?
主题1 以ChatGPT为代表的人工智能模型对现阶段网络安全起到多大的辅助作用? 有没有实际的应用场景,比如漏洞扫描、威胁情报等?
A1:
FreeBuf有一篇关于ChatGPT的一些应用的文章:《攻防潜力股:ChatGPT实习报告》
A2:
今天下午我刚刚听到一篇关于这个的文章:
A3:
什么时候会有一个高效的私有AI系统来实现AI安全实践,私有公司通过OpenAI套接字做事是行不通的。
A4:
所以写基本的文档就可以了,需要公司内部的数据信息时,建议自动补全,外企千万不要用。
A5:
通常我认为最大的帮助就是提供框架和模板。 帮助写报告模板、做总结、写演讲稿等,实际应用的场景很多,但对数据脱敏的要求也很高,直接使用运营成本也很高。
必须考虑诸如丢失扫描、情报等问题。 总体来说,我认为纯ChatGPT会更多地用于公共保密性不强的场景。 其他情况就根据需要使用,自主开发的模型又是另外一回事。 您可以尝试图中的这些字段。
答6:
您是否考虑过chatgpt内部开发和使用所带来的数据泄露风险?
A7:
这确实是考虑到的,所以内部肯定有相应的说明,哪些场景可以使用,哪些场景不能使用。
A8:
我最近也在想,你有什么好的方法,主要是审计方法,禁用它是不可避免的。
主题2 联通应用可以提升企业内部信息传递和业务流程审批的效率,但也带来了很多安全风险。 您能否分享一下企业在管理或使用联通应用时应注意哪些安全问题?
A1:
中国联通的应用程序应经过充分测试并上线后才能投入使用。 同时,既然是企业内部使用,就不应该放到应用市场上。 应在企业内部下载并安装,以减少暴露。
A2:
50%的企业信息安全事故是由内部员工造成的,约20%的安全事故被认为是不法分子的恶意行为,例如员工可能从泄露的数据中受益。 员工的主要泄密渠道不仅是泄露照片并存储在手机中,还有离职员工复制企业重要信息。
A3:
在测试中国联通应用时,尽量使用测试数据而不是真实数据,并且测试版本的数据库应与真实环境隔离。
A4:
1、最重要的是数据泄露的问题。 需要考虑限制APP数据范围、限制截屏录制、远程擦除数据等;
2、其次,对于BYOD,需要考虑隐私合规性,进行必要的合规性检查,防止合规性问题;
3、最后就是APP本身的安全性,上线前的安全检查和扫描等。
A5:
先说一下可能存在的安全问题:
1、联通应用可能非法收集、使用、共享、转让或公开披露用户个人信息,可能给用户隐私和利益带来潜在风险和损害,也可能导致企业违反相关法律法规并受到处罚监管部门。 处罚或用户投诉;
2、中国联通应用中可能存在跨境数据传输,必须遵守目的地国家或地区的数据保护法律法规,同时保证数据传输的安全,防止数据被截获、被篡改或被盗;
3、联通应用可能会以明文方式传输数据,导致个人信息、敏感信息、商业秘密等数据在网络传输过程中被泄露或被窃取;
4、联通应用可能存在逆向分析、盗版篡改、不良信息插入、操作干扰和破坏等风险,影响联通应用的正常功能和性能,损害联通应用的品牌形象和商业利益。公司;
5、中国联通应用程序可能存在漏洞或缺陷,可能导致中国联通应用程序受到攻击或被黑客利用,造成数据泄露、系统崩溃、恶意代码植入等后果。
为了解决这一安全问题,企业可以采取以下措施:
1、完善和建立中国联通应用程序个人信息保护制度和流程,遵循最低必要原则收集、使用、共享、转让或公开披露用户个人信息,明确告知用户收集、使用、共享、转让或公开披露用户个人信息的目的、方式和范围收集个人信息,并征得用户同意;
2、数据跨境传输过程中,违反目的地国家或者地区数据保护法律法规,采取加密、匿名化等技术措施保障数据传输安全,并与境外数据接收方签订相关合同约定数据保护责任和义务;
3、数据传输过程中,采用HTTPS等安全合约和标准对数据进行加密,避免网络传输过程中数据泄露或被盗;
4、对联通应用程序进行安全加固处理,避免联通应用程序被逆向分析、盗版篡改、不良信息插入、操作干扰破坏等风险;
5、对中国联通应用程序进行安全测试和审计,及时发现和修复漏洞或缺陷,防止中国联通应用程序遭受黑客攻击或利用;
6、申请并通过中国联通应用安全认证,获得权威合规证书和竞争优势。
答6:
分支机构资产和个人资产,不同类型,可能有不同的管理方式。 在监管合规的前提下,一是防止外部恐吓,二是防止内部信息泄露。 具体的技术和管理方式取决于你的支付意愿。 多少钱。
A7:
数据泄露:联通应用程序可能会处理企业内部的敏感信息,例如客户数据、业务流程、财务信息等。为此,需要确保应用程序在传输和存储数据时使用安全加密,避免数据泄露。
身份认证和授权:联通应用应具有强大的身份认证和授权机制,确保只有授权的用户才能访问该应用及其功能。 采用指纹、面部识别、两步验证等多重身份验证可以提高应用程序的安全性。
恶意软件和病毒:中国联通应用程序可能受到恶意软件和病毒的威胁,可能导致数据丢失、系统崩溃等安全问题。 为此,应采用安全开发实践,包括定期更新应用程序和操作系统,以及使用数字证书和代码签名等方法来防范恶意软件。
数据备份与恢复:中国联通应用程序中的数据应定期备份,以保证有效恢复。 这可以帮助应对数据丢失、系统故障等意外情况,保护企业的数据安全。
社会工程攻击:社会工程攻击是通过网络钓鱼、冒充等方式误导用户获取敏感信息的方法。企业应提供培训和教育,教会员工识别和防范社会工程攻击,防止敏感信息被窃取在中国联通应用中。
设备管理:企业应采取设备管理策略,包括远程锁定、擦除、设备密码等方法,保护联通设备的安全。 如果员工使用个人设备访问公司应用程序,请定义安全策略并确保设备是最新的。
权限控制:联通应用应实施严格的权限控制,保证用户只能访问自己需要的功能和数据。 对于敏感操作和数据,应实行细粒度的权限管理,只有授权的用户才被授权。
更新和漏洞修复:企业应及时跟踪联通应用程序的更新和漏洞修复情况,并在漏洞修复发布后尽快更新应用程序,避免已知漏洞被利用。
安全审计和监控:企业应建立安全审计和监控机制,定期测试联通应用的安全配置、日志记录、风暴监控等。 这样可以及时排查和响应潜在的安全威胁,使联通应用在持续运行过程中保持安全状态。
员工教育和安全意识培训:企业应定期对员工进行安全教育和安全意识培训,增强员工对中国联通应用安全的认识和防范。 员工应了解如何正确使用联通应用程序、如何处理敏感信息以及处理安全事件的应急措施。
第三方应用安全:企业如果使用第三方应用或服务,应仔细评估其安全性,确保其满足企业的安全要求。 应定期审查和监控第三方应用程序的安全性,并与供应商建立安全合作伙伴关系。
合规及法律要求:企业在使用联通应用时应遵守相关法律法规及合规要求,如数据隐私法、个人信息保护规定等。确保联通应用的设计和使用符合当地法律法规、评估和管理可能的合规风险。
总体而言,企业在管理或使用联通应用时应关注数据安全、身份认证与授权、恶意软件防护、数据备份与恢复、社会工程攻击防范、设备管理、权限控制、更新与漏洞修补等。 安全审计与监控、员工教育与安全意识培训、第三方应用安全、合规与法律要求等一系列安全问题,确保企业的联通应用能够有效防护敏感信息和业务流程,同时保护敏感信息和业务流程安全威胁和风险。
A8:
某本书的终极版本可以限制文件保存到本地和加密存储。 而如果你想进一步限制截图,禁止复制发送,可能就得去找MDM了,这个权限还蛮大的。 这是 DLP 安全问题。
问:中国联通的应用程序有互联网使用场景。 如何管理相关业务暴露并降低被攻击的风险?
答9:
开发过程中引入事前审批机制,提前报告敏感API和隐私信息的使用情况。 上线前做好动态监控和静态扫描。 动态监控覆盖绝大多数场景,为大多数用户预防问题。 静态扫描分为白盒扫描和AST扫描。 例如,AST 可以从编译的产品中发现隐藏的问题,防止车祸。
答10:
最大限度地减少暴露:仅暴露必要的业务功能,不要在应用程序中包含未使用或不必要的功能。 通过限制应用程序可以使用的 API 和权限,可以减少应用程序的功耗面。
强身份验证:在应用程序中使用强密码、多触发身份验证和其他安全措施,以确保只有授权用户才能访问敏感数据和功能。
安全存储数据:确保应用程序存储的数据经过加密,包括用户个人信息、凭据和敏感数据。
安全数据传输:使用安全传输合约,例如HTTPS,确保应用程序和服务器之间的数据传输是加密的。
定期审查和更新:定期审查应用程序的代码和配置,以检查潜在的安全漏洞和缺陷。 同时,更新应用程序及相关库和框架以获得最新的安全补丁和修补程序。
持续监测和响应:建立监测和预警机制,及时发现异常情况并采取必要的应对措施。
答11:
1、采用安全通信合约:联通应用与前端服务器进行数据交互和通信时,应采用安全通信合约,例如HTTPS。 HTTPS可以提供数据加密、完整性保护、身份验证等功能,可以有效降低数据被拦截或篡改的风险。
2、采用安全的身份认证机制:在联通应用中,身份认证机制极其重要。 应使用安全的身份认证机制,例如OAuth。 同时,在实施身份认证机制时,应注意密码的安全性,如使用强密码、密码加密等,防止密码被破解或被窃取的风险。
3、限制数据访问权限:在联通应用中,应根据用户角色和权限限制数据访问权限。 对于某些敏感数据,应仅允许授权用户访问。 同时,应定期审查和更新权限配置,以确保权限控制的有效性。
4、采用安全存储机制:在联通应用中,应采用安全存储机制,如加密存储。 对于一些敏感数据,应采用较高级别的加密,以避免数据泄露或被盗。
5、加强应用安全测试:开发联通应用时,应增加应用安全测试。 可以采用黑盒测试、白盒测试等方法进行测试,排查应用中的安全漏洞和风险并及时修复。
问:未来企业管理联通设备是否会像管理办公笔记本一样? 比如安装杀毒软件、安装防数据泄露软件、或者限制安装未签名的联通软件?
A12:
根据联通终端应用的使用程度,一般来说,防止敏感、重要数据传输到联通终端较为可靠。 联通终端的安全防护先天不如终端笔记本。
A13:
会有,但是公司发手机用于办公,私人手机上几乎不可能安装。
A14:
这就涉及到边界问题,联通设备的工作终端和个人终端如何划分。
A15:
无需分割,只需公司手机即可连接。
A16:
中国联通通过中国联通沙箱控制进行安全控制已经相当成熟。 数据不能出空间,访问空间必须经过身份验证。
A17:
联通必须要管理,不一定是从终端,可能是终端应用,也可能是联通门户。
A18:
行业内是否有大规模使用移动沙箱? 我手下的兄弟之前考察过,说在行业小范围内有用,但没有大规模使用过。
A19:
我们督导落地的兄弟单位有几个。 在小范围内,还不如专用手机、卡住、定制运营商保密线路。 有很多问题。
A20:
联通保安不知道怎么办。 我们的业务安全还是落后的,比市场落后5、8年。 最好还是做好运维工作。 我们的运维应该有市场平均水平,回报率应该不错。
答21:
如今,已经有了联通终端管理。 只有系统内的人员才能控制工作机的联通终端。 其他公司通常不区分工作手机和个人手机。 联通终端管理推进难度大。
A22:
我记得现在有些厂家提供一些远程访问,而且还提供虚拟系统进行远程操作,数据不落到本地。
A23:
我有个问题。 如今,加密的文件并不多。 之后联通端文件就被加密了,即使拿出来也无法读取。 可以在APP中阅读。 是APP中的secret文件的key,还是需要读取文件socket来调用secret,而socket调用暴露的KEY也有KEY泄露吧?
A24:
那就是APK防破解和源代码审计。
A25:
手机是员工的个人财产。 除非是涉密单位或者特定单位,原则上不应强迫员工安装公司自行认定的软件。
话题三
单位安全管理谈低阶端口(小于1024及以上端口)不安全,表示不理解
A1:
默认端口不安全。
A2:
是否应该有后置条件? 例如,一般使用什么样的端口? 一般来说,管理需求就是约定使用什么端口,任何使用非管理需求的端口都可能不受保护(因为我不知道,基础设施也不能很好匹配)。
A3:
1024是动态端口企业移动网站模板,很难确认申请的使用情况,需要提交申请审批并保留。
A4:
1-1024端口基本都是面向服务的。 通过查看端口基本上就可以知道启用了哪些服务。 对于低级别的端口,如果随意申请,会导致后期信息资产采集时无法确认承载哪些业务或服务。 如果你按照他说的流程申请的话,那么资产信息是可以匹配到的。
从安全运营管理的角度来看,资产管控不严造成的问题非常严重,可能产生暗资产,或者脆弱点、暴露面。 所以,大家对安全管理的需求当然是合理的。
A5:
端口使用可以备案、审批等,低级别端口并非不安全端口。
答6:
其实也不完全对,因为虽然整个WEB都是80/443,但是不一定知道这个80/443对应的资产或者业务是什么。
A7:
一般来说,80和443承载WEB应用。 你不知道什么是WEB系统,你基本上知道它是WEB吗? 事实上,没有限制。 乱用80和443。 如果我不说的话,这些都是极端情况。
A8:
我觉得还是要做好资产管理工作。 仅通过开放端口来管理服务有点不合理,也说明低级别端口并不安全。
答9:
我认为,任何一个口岸的开放都应该经过审批程序。
答10:
是的,都认可,但是最好是和CMDB、洛库对接。 后续核查资产申请人、用途、所属部门均可匹配。
答11:
这个成本很高。
A12:
平台和流程有所改进,虽然不高。 你所说的高是指建设成本和定位责任。
A13:
安全运营中使用的资产、威胁和漏洞,没有资产,前两者无从谈起。
A14:
收到最多通知的资产是未知资产的漏洞。 由于没有纳入管理和控制,存在很大的安全隐患。
A15:
一般来说,安全管理所做的就是风险评估。 从风险评估的角度来看,只要不在可控范围内企业移动网站模板,甚至存在安全风险和隐患。
A16:
如果安全无法控制网络出口或者在控制之前已经对外开放怎么办?
A17:
我们在初审流程中增加了安保人员的风险评估,这个流程早就对外开放了,我们也定期进行风险评估,逐步趋同。
A18:
就是说对于一些已经被控制的,但是对于一些开放时间较长、没有评估过的,会比较困难,是逐步的,但不是一步到位的。 而且,有的单位资产过多,难以应对下属公司、子公司、支援单位等大集团。
A19:
是的,事实上,一旦打开,就很难关闭。 关闭港口需要进行初步审查。 有时候你查不出端口为什么打开,但又不敢轻易关闭。 一旦影响生意,就被扔掉。 。
A20:
安全始终为企业服务。 对于无法关闭的港口来说,是存在风险的。 您可以写一份风险告知书,业务部门签字。 还有对风险的接受。
答21:
所以,最好能够从源头进行控制,开放端口,以及安全人员。
A22:
流程能够得到有效控制后,就会有一个正常的流程,业务需求-安全评估-业务拒绝-风险责任书(业务系统负责人除外,通知上级主管/业务负责人)部门)-风险转移。 其实要看大家的工艺流程,接受或不接受风险肯定不是安全审批的,安全负责告知风险。
FreeBuf观点总结
在ChatGPT火起来的同时,我们也谈到了这类人工智能模型在网络安全方面的应用。 目前,一些厂商已经开始测试一些实际场景,但随之而来的数据泄露和泄密风险也让安全从业者心存疑虑。 需要进一步细分各类应用场景,规范人工智能模型的应用。
近年来,联通办公的趋势越来越明显,联通应用安全的重要性也日益显现。 在本专题中,我们讨论了可能存在的安全问题,例如非法收集、使用、共享、转让或公开披露用户个人信息、因漏洞导致数据泄露、应用程序被逆向等。 为了解决此类问题,可以概括为应用层:加强联通应用程序的安全性,进行安全测试和审计; 系统层:构建和建立中国联通应用程序个人信息保护制度和流程; 在使用办公过程中树立良好的网络安全意识。 至于未来企业如何像办公笔记本一样管理联通设备,一些企业已经开始探索,但过程中仍涉及安全边界、资产归属等问题,需要进一步解决。
本期话题讨论结束啦~ 据悉,FreeBuf乙方社区每周都会举办不同的话题讨论,快来扫描二维码加入我们吧!
【申请流程:扫码申请-背景初审(2-5个工作日)-邮件通知-加入社区】
