不好意思在各位先進面前班(騙)門(騙)弄(P)斧(幣),
不過從另一種"資安"的角度看來貴公司組長也並非全無道理,
端看從哪一個角色來看事情罷了。
以下是另一方的看法,並不是要打您臉,
只是提供另一方的看法,提供您Change Mind的機會看看。
※ 引述《Akaski (拂曉)》之銘言:
: 小弟最近進了某間公司的資安部門的監控組
: 才進來沒多久,就感覺組長對資安不是很了解
: 目前監控中心還在建置中,會接觸到的有負責建置的「廠商」
: 跟監控中心軟體的「原廠」
聊在前面,廠商無能?那當初為何要選這間SI協助導入呢?
雖然兩光兩光的SI也比比皆是啦。
一般來說,原廠提供的建議也往往也是原廠設計的Best Practice,
雖然這通常不會考慮預算,希望你全部買到頂用到最好,
但是這也通常是讓該系統可以達到最佳效益的實踐方式。
對我來說去原廠官網尋找Best Practice或Guide Line會優於詢問SI啦。
如果找到了Best Practice跟SI講的南轅北轍,
那就該研究研究到底是原廠的問題還是SI的問題,也可以多找幾間SI來聊聊。
如果是原廠的問題,那有問題的產品幹嘛買?
手冊都教錯了,產品開發就不會錯嗎?怪怪的吧。反之若SI的問題,換SI阿!!
畢竟台灣很多SI比原廠更愛賣東西,而且是賣SI自己熟的東西,
更慘的是SI熟的東西或好賺的東西≠適合客戶的東西。
PS. 會賣東西和會導東西也是兩碼子事,我也看過有SI工程師邊看手冊邊安裝,
邊安裝邊念說他不熟該產品,很難用很爛幹嘛買balalaa... 我邊看邊搖頭.. =__=a
不過這也不是沒有反例啦,聽說那個南x人壽不就是找SAP原廠來導入嗎? LOL...
不過ERP不是我的專長,我就不贅述了... xDa
: 一、
: 因為監控軟體是吃流量計價的,所以廠商會建議不要收普通的traffic log
: 按照廠商建置了那麼多案子的經驗,建議收安全性流量或告警事件就好
: 但是組長認為普通的traffic log也是非常需要的(實際上是沒什麼用的)
: 因此目前光內部主機溝通,每天就會用掉20GB的空間
: 原廠當然很樂見這個狀況,因為這樣等到正式上線,一年可以賺一大筆錢
: 而組長比較聽信原廠的話,認為是廠商無能
第一個問題,流量計費問題,未看先猜是SIEM之類的產品。
SIEM產品收Traffic Log到底重要不重要?是不是只要收安全性流量或告警就可以了?
要從源頭看,什麼樣的Log會被定義成告警事件?
被設備抓出來的異常流量才會被列為告警,那沒被抓出來的呢?
今天如果只收告警事件,表示100%依賴設備分析的準確度,
但是近年爆發的APT攻擊哪一次不是優先避開各大檢測設備的告警呢?
下面是案例,這些單位都有裝防毒軟體卻還是中標:
https://www.ithome.com.tw/news/130895
https://www.ithome.com.tw/news/137685
https://www.ithome.com.tw/news/137447
今天SIEM存在的一大目的就是打算透過行為樣態分析尋找攻擊路徑還有潛在的攻擊行為。
如果直接把80%以上設備認為沒有異常的流量略過不看,
那直接看設備的Log就好,何必大手筆買SIEM?
另一方面,內部主機溝通佔20G,這20G都略過不看,
不就表示完全不打算發現內部主機可能潛藏的攻擊行為嗎?
從上面那幾個事件看來,如果AD中標了,
是不是一樣得等到惡意程式派送完才等著重灌?
回到本來原Po的問題,內部正常流量這麼多該怎麼辦?
建議可以反向評估,有哪些流量"不可能有問題",
這些分到"不可能有問題"的流量就略過不看,
但是如果他不幸出了問題,認命吧!
資安本來就是越做越花錢,花越多錢看越多,
什麼都不看的上市公司也大有人在不是嗎?
如何有限的經費達到最大的效益?就看中點囉!
流經閘道的流量佔多少?看得完嗎?
所有內部流量都會經過閘道嗎?如果會的話網路切割路由協定就要研究研究了。
今天您可以去研究研究資安健診和SOC的流量監聽分析的方法論,
教材會告訴您監聽點放在哪裡都可以,端看您打算看到什麼東西。
: 二、
: 日前測試環境的伺服器有對外IP,因此有國外的IP連線紀錄
: 這是正常不過了,畢竟這世界上每天都有一堆botnet在掃
: 但組長看到中國的IP連入就緊張得要死
: 要我把所有伺服器在那個時段的LOG都翻出來
: 還說搞不好中國駭客已經入侵巴拉巴拉雞巴拉
: (別說中國了,俄羅斯古巴這些都送給你)
: 事實當然是伺服器上沒有任何入侵跡象
: 但組長在會議上煞有其事的報告這件事情已經讓他的形象在我心中打了個大問號
這也要看攻擊的定義囉,
資安處長都能說台灣政府每個月遭受三千萬次攻擊了,
主管說的也不完全錯誤啦。
按:https://news.ltn.com.tw/news/politics/breakingnews/2966795
但是反面想,這的確是攻擊行為啊!
只是暫時沒打進來而已,您是否該評估評估這些伺服器是否開了多餘的對外Port?
最外層防火牆Rule是不是開太鬆了?
主管擔心的總不是中國IP連線到貴公司網站吧?
如果他擔憂的Log是3389遠端桌面、22SSH、23Telnet等等跟遠端連線相關的紀錄,
是否該評估這些門是否鎖好了?有沒有排除弱密碼?有沒有鎖來源?
有沒有兩階段驗證...
這種亂掃很多,不代表不會成功。
我們執行滲透測試時,總是發現有廠商或是SI用自家統編或是英文名字當密碼組合,
而且還被我們破出來。這種低階問題還是要小心啊!
另一方面,很多攻擊在潛藏期是不一定很輕易可以找得到跡象的,
不能說登入看看服務正常,沒有多的使用者,就認為完全安全。
很多時候自我感覺安全和安全是有一段距離的。(雖然大家通常都覺得自己沒這麼衰)
按:https://www.ithome.com.tw/news/108118
: 三、
: 收Log理論上來說是最後才要做的事情
: 目前公司的系統也還在開發測試階段
: 組長似乎是急於表現?就要我去找開發組的人要Log
: 但開發組的人根本沒時間管我,畢竟東西要能動比較重要
: 對於這些Delay,組長認為是廠商無能、屬下無力
這邊的Log其實我看不出是誰家的Log?
伺服器服務的Syslog?
我並沒有很精準Catch到這個Log是指什麼,
如果是套裝服務的Syslog應該是設上去就好了?
如果是應用服務的Auditlog,的確建議在開發同時就考慮進去,
有機會可以研究研究SSDLC,資安議題的確應該在開發期間就考慮進去,
您的想法,先讓東西能動再說,是很多開發團隊未求速成產生的盲點,
如此一來所有安全選項都成為加裝,檢測出問題才頭痛醫頭腳痛醫腳。
永遠補不完,因此若關鍵系統需加入Auditlog功能,
當然需要在開發流程就加入探討,慢了就要穿鞋子改鞋子了。
說是這樣說,實務上怎麼走又是另一回事。
軟工說要先完成文件在開始實作,台灣大部份公司的現實是怎樣我想大家都知道。
: 抱歉打了一大串的抱怨文
: 想請教一下是不是該跳車離職了呢?
抱歉打了一大串消火文,
跳不跳車離職您可以慢慢想,
但是我這麼一大篇主要要帶給您的是:
很多時候做資安的需要有被害妄想症,
畢竟資安就是一種防範未然,
資安往往也跟效率、方便是站在天平兩端的,
您的老闆也許有些理想化,但是也沒有您想像的那麼不堪。
端看您怎麼和他溝通討論取得平衡囉。
加油!
Best Regards,
by ASimon