各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 238期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1. MSS服务过程中，有可能需要提供资产信息、架构信息、或者提供多个安全设备访问权限等，大家与厂商共享资源范围如何确定？

2. MSS服务往往要采集不限于安全设备、应用日志、系统日志等，如何确认MSS服务要采集的日志范围？

3. 如何评估不同MSS供应商之间在服务质量、响应速度和专业知识上的差异？

4. 企业存在很多高危漏洞的情况下是否每一个都需要处置？

话题一：MSS服务过程中，有可能需要提供资产信息、架构信息、或者提供多个安全设备访问权限等，大家与厂商共享资源范围如何确定？

A1：

我们是请外部安服团队来进行安全运营，所以安服团队是必须详细了解资产情况和内部网络架构，同步也会把需要7*24监控的资产清单提供给MSS。

A2：

服务前先签好相关的协议，特别是MSS的保密协议以及MSS人员的保密协议，设备、架构、运营相关的权限都可以分享给MSS，操作要有对应的操作日志。另外，要确保过程中涉及业务数据的日志、文件、备份的安全，减少内部数据泄露的风险。

A3：

总结一下，就是：

1.签保密协议；

2.核心资产和非核心资产分开， 限定；

3.不断评估审计。

A4：

根据最小化原则，只提供MSS提供商绝对需要的信息和访问权限。避免共享过多的敏感信息或授予过多的访问权限。

A5：

厂商可以构建类似SOC的平台，通过平台来收集信息进行分析和告警。

A6：

签协议，别的都不管，签署协议最重要。而且厂商经常人员变动，协议里面要写清楚。

A7：

我们采购MSS托管，第一就是合同规定，第二就是SLA服务协议，主要还是托管服务商能够访问接入哪些服务，一般根据你们的需求来授权设备的权限。例如我这边主要安全设备都是XXX的，采购了XXX的MSS托管，基本所有的设备都授权给到了那边运营中心，基本就是你这边需要监控的资产地址，还有设备的访问权限，他们需要接入日志来进行分析以及设备权限来进行阻断操作。

A8：

多久对他们审计一次？

A9：

一年一次，要不然你们没有SOC，没有人员驻场，MSS主要还是远程的方式，多品牌的设备，都没必要采购这种远程的托管服务，还不如买一些驻场。我这边已经第二个年了，刚进行续费了，还是有用的，在人力资源缺乏，设备品牌大多数为一家的情况下，效果还是可以的。

A10：

既然选择了MSS，那就是对服务商信任，资产的界定取决服务范围，这是服务合同的问题。在实际工作中，我们的MSS，是按需提供最小的必要访问权限，在每次需要访问的资产和权限时进行授权，而MSS拥有最外部的集中安全平台，根据安全中心提供的日志进行处置，在处置时遇到的问题会提交给我们内部的安全人员，内部的安全人员就会根据需要提供相应支持。

Q：MSS服务往往要采集不限于安全设备、应用日志、系统日志等，如何确认MSS服务要采集的日志范围？

A11：

我们不直接将日志给MSS，会先集中到内部的SIP上后，再传递给MSS。

A12：

这个要看托管服务能够接入哪些日志吧，一般都是安全设备日志接管，你A厂的设备，B厂肯定没有权限和技术接入日志，除非你授权远程登入查看或者做了SOC平台。

A13：

1.初步沟通：先和MSS厂商沟通一下，了解他们需要采集哪些日志，厂商会有经验，可以建议采集哪些重要日志；
2.内部评估：评估一下内部有哪些关键设备、系统和应用，确认哪些日志是必须的，哪些是可选的；
3.合规性：看看行业有没有什么合规性要求，必须采集哪些日志，确保符合这些要求；
4.具体执行：先按最小必要原则来，尽量只采集必要的日志。定期和厂商沟通，评估采集效果，有需要再调整。

A14：

一是限制包含敏感信息的日志，二是确实很有必要的业务日志，可以做脱敏处理。

Q：对于MSS服务可能涉及敏感内容的数据，如何保证数据安全性？

A15：

除了保密协议，也没啥能约束了，内部资源加密，带不走。

A16：

不开放过去，脱敏后的数据我个人觉得其实没必要再分析，能提取出有效信息也比较少，还不如不开放授权，既然在开放那就信任厂商吧。

A17：

感觉真正敏感的不会上MSS。

Q：如何评估不同MSS供应商之间在服务质量、响应速度和专业知识上的差异？

A18：

这个要取决于内部的原有安全产品和威胁监控产品（如态感），服务质量、响应速度这些其实各家大差不差，很难去客观衡量。

A19：

先看看其他客户对这些供应商的评价，有没有什么特别好的或者不好的反馈，还有他们的SLA条款，看看对服务质量、响应时间这些是怎么承诺的，了解一下他们用的技术和工具，看看是不是先进，能不能应对最新的安全威胁。

A20：

其实这个问题没有太大意义， 都差不多，不管是大厂还是小厂都一样， 都是外包。真正的厉害的黑客不会当安服仔，都在甲方做CIO，所以就看谁便宜。

A21：

多试用一下吧，这种东西也很难说，主要还是看厂家人力够不够充足。

话题二：我这里现在高危漏洞很多，领导觉得并不是每一个高危漏洞都要处置，能够给业务系统造成毁灭性打击的才要去处置，比如是远程代码执行、提权这些他觉得问题都不大。

A1：

漏洞重评估，把通用漏洞重新定义成事件型漏洞。

A2：

没毛病，重新评估提权后能做什么和不能做什么，会不会造成重大风险。

A3：

领导这么说也没错，漏洞具体还是得看业务这边是否能受影响，如果修复难度不大，无论高危还是低危都可以修了，修复难度大就得看对于业务的风险程度了。当然，监管风险也是风险。

A4：

只要是个漏洞，或多或少都有风险。如果以危害不大为理由不修复，多半是说不通的，至少要结合业务、修复难度等因素确定。

A5：

如何定义毁灭性打击？领导的意思就是说只要业务能跑，哪怕因为漏洞而造成巨大损失也能接受吗？

A6：

就是这个意思，业务不停就好。

A7：

如果做过风险评估就知道领导这个想法没啥大问题，风险的高低本身就不能单看脆弱性的影响程度，要结合利用难度、威胁发生可能性、资产重要性来综合评估。

A8：

你只要证明领导说过这个话就行了，其他的不重要，工作主打一个留痕。

A9：

建议：
1.如果有合规需求，从合规角度去说明，毕竟这都是高风险；
2.如果既没有合规压力，公司也没有明确管理办法，那就说明风险，汇报留痕吧，出了事不在自己这边。

A10：

危害可以按照自己企业的标准改，可以接受的风险确实也不是高危。

A11：

领导的原话是：信息安全要评估一下，哪些风险会给公司造成毁灭性打击的。比如前几天中的勒索病毒，如果在生产环境，那就是毁灭性搭建，你要有一个方案来防御。之前那么多高危漏洞，是每个漏洞都会造成这种毁灭性打击吗，不一定的，你要重新去评估一下漏洞带来的危害。信息安全的投入，还是主要在这些毁灭性防御上面，你再看看。

A12：

有没有给足够的支撑去做漏洞评估，这个事情真的很好，但是很多都是一刀切的。漏洞价值评估体系这个做好了，以后吃的很香。

A13：

要不就扩展一下吧，这个时候我感觉TARA就很合适，资产—资产的安全属性—资产价值—资产损坏场景—攻击路径—攻击可行性评级—风险值—风险等级，稍微变动一下，给领导量化一下。

A14：

没错，最后的风险折算成价值，是最能理解的，而且这个做好了，以后绩效就大大的好，每次都是减少损失XX万，防护价值XX万。

A15：

你领导的话偏口语了，用术语来说是先区分风险，再判断脆弱性，然后去判断CIA三性和资产价值，最后判断投入，然后优先处置脆弱性较高的风险，这么看就合理很多。

本周话题总结

本期话题在讨论MSS的过程中，为确保信息安全，应签署保密协议、限制资产信息和访问权限的共享、最小化日志采集范围并加密敏感数据。评估MSS供应商时，需考虑服务质量、响应速度、专业知识和成本，通过客户评价、SLA条款和技术工具进行综合评估，以选择最合适的合作伙伴。

在围绕企业处理高危漏洞的讨论中，主要认为需要平衡漏洞修复的业务影响、投入成本、风险等级以及合规要求。安全团队在漏洞管理时，不仅要考虑漏洞的技术严重性，还要结合业务影响、修复成本、资产重要性等因素进行综合评估。

近期群内答疑解惑

Q：有无终端电脑修复的漏洞等级和修复时间的表或标准？

A1：

终端的很少有这种要求吧，一般开启Windows 自动更新，杀软啥的必须安装，零信任Agent就行了。一般都没啥漏洞，有啥服务弱口令直接按服务器漏洞处理。

A2：

可以按照风险管理标准来或者引用国家漏洞标准，看是什么终端，重要终端高危直接按高风险来处理。

Q：钓鱼网站识别有什么好的办法吗？

A：

基于威胁情报吧。钓鱼网站一般都是跟邮件捆绑的吧，现在可行的解决方案是在邮件中增加外部邮件的提醒，或直接把外部发件人的邮件直接移动到一个新的文件夹中，我司用的微软的邮件网关感觉能过滤掉99%的钓鱼邮件。

Q：对于公司网盘空间， 你们都是怎么清理的？设置数据生命周期还是？

A1：

看你们网盘上放什么东西，根据数据重要程度，对数据进行清理。

A2：

拿老旧服务器把几年以上的历史数据单独存储。

A3：

有审计要求的，什么数据要存3年、5年、10年或者永久存。

A4：

定规则（法律法规要求长期存储的、近X年的、活跃度XX时间内的、不活跃的僵尸内容....）公示期间自行处理，公示期结束强制处理。

A5：

我这基本都是扩容，CDP也是，无限扩容，磁盘不够，加，授权不够，加。

甲方群最新动态

上期话题回顾：

常态化HVV有哪些特性，该如何应对

活动回顾：

碰撞AI安全的火花，探索企业安全建设新路径 | FreeBuf企业安全俱乐部广州站

活动预告：

马上报名 | 红蓝军攻防与数据安全主题研讨会·北京站启动

近期热点资讯

华硕曝出高危漏洞，影响 7 款路由器
黑客竟能用表情符号控制恶意软件
虚假的谷歌浏览器错误正诱导用户运行恶意PowerShell脚本
出于安全考虑，拜登下令禁用卡巴斯基杀毒软件
CrowdStrike市值将破千亿美元

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1300+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。