各位 Buffer 晚上好，FreeBuf 甲方群话题讨论第 245期来了！FB甲方社群不定期围绕安全热点事件、前沿技术、运营体系建设等话题展开讨论，Kiki 群助手每周整理精华、干货讨论内容，为您提供一手价值信息。

话题抢先看

1、办事处的网络流量和安全事件的监控怎么发现、及时的处置与响应？
2、办事处员工终端电脑，尤其是国外员工电脑的软件和操作系统的安全性应该怎么保障？
3、入职、离职人员的电脑怎么进行安全管控？尤其是国外离职人员电脑方数据怎么安全的清除？
4、如果遇到突发性安全问题，办事处所依赖外部服务供应商可能导致响应不及时，影响正常业务运转，应如何应对？

背景：某企业在国内和国外有很多办事处，但很多办事处没有专职的IT人员，希望找的合适的方法或策略提升各个办事处安全运维的效率。

Q：办事处的网络流量和安全事件的监控怎么发现、及时的处置与响应？

A1：

办公接入专有网络，办公电脑装上EDR，设备层面+网络层面+制度层面进行管理。设备上EDR，网络用VPN，制度严罚。

A2：

使用零信任加DLP方式，应用部署在数据中心通过零信任访问，并且承接一定的桌管作用，限制网盘云文档使用。

A3：

集团HVV抽调下面子公司管理员去总部统一让安全乙方培训，再上一个安全事件处理平台。

A4：

一个是统一网络出口，走总部，但是成本太高了；另一个是每个点放探针，成本也高。我们用的方法是SaaS的终端安全+OneDNS。

A5：

如果办事处仅办公人员，无机房和应用部署，使用EDR和UEBA进行监控终端，集中管理即可，有个兼职的IT或者外包进行处置。

A6：

办事处尽量不要向互联网开放网络端口，优先做好防病毒和上网行为，通过零信任访问，降低事件发生概率，关键告警发总部分析。

A7：

没专职IT人员，主要方向是

• 升级技术措施了，比如终端上部署XDR产品、联动威胁情报等，告警统一汇入SOC等类似安全管理中心，一同做运营处理等。

• 安全意识教育也可以做做。

A8：

1、网络设备、安全设备日志全部拖走做分析和告警，再自己写脚本做处置或者人工处置。

2、部署安全运维专用机1-2台。

3、内网部署检测系统，例如蜜罐。

4、办事处部署好后门，方便随时远程改硬件设备配置，后门例如WireGuard、向日葵等。

5、确定子公司联系人，并进行简单培训，培训内容就是不要关机，如何重启相关设备。

A9：

反正不要既要又要，有钱直接招人驻场7*24，钱少一点外包驻场7*24，再少一点MSS远程托管7*24，一分钱都不花，移交去其他部门负责，没人接管那就不要考虑7*24，5*8差不多的了，没有专业人员那就直接不用管，厂家调好策略自己跑就得了。

A10：

有预算的话，可以考虑上MSS，缺少岗位可能是短期岗位，不适合长期定岗，这种场景下MSS应该合适了；再不就二线远程支撑了，但是这种在应急的时候效率肯定比较低。

A11：

办事处设备多，可以远程Web设备连接上去看，中间走IPsec；如果没有防火墙的办事处，那就是用桌管+域控；人员的话，只能总部去联系办事处的人员，一年去一次办事处，看看有没有问题。

A12：

1、内部：岗位兼职授权，制定有效的安全目标，以OKR或KPI来绩效评估。也要有对应的奖惩措施，不定期公告效果整改复核情况。

2、内部：宣传活动一条龙，培训、签到、考试、视频、沙龙，让相关部门参与其中，信息安全靠大家，提升安全意识。

3、外部：安全托管MIS服务，使用第三方人员解决安全技术产品执行层面的运营。

4、外部：使用第三方SRC平台，人多有外包可自建，人少可使用SASS服务，第一时间知晓对外暴露面、解决措施。

A13：

我们会在办事处找到对安全有兴趣的同事，作为安全联系人，分享安全信息。因为有很多一手消息，大家也感兴趣，参与度就会好。当然也会收集各地的安全情况。主要还是靠人，系统性的措施我就不多讲了，很多办法。

A14：

既然都没有专职IT人员，肯定在也就没有自己部署的IT系统，安全人员就更没有了。这种情况要不就是总部资源给所有办事机构提供共享服务，所有办事机构都用总部的IT资源，安全管控也都是总部，但是这是境内。如果是境外，肯定涉及到数据跨境问题，如果依然用国内总部资源的，那就得进行数据出入境评估和备案，安全管控本地话放一个人进行，或者海外MSSP。否则就单独境外部署业务，搞一个境外分中心，给境外进行提供服务。

A15：

各子公司分别有机房系统，安全产品类型都不一样，总部单位领导要求安全集中化，又要求不得大刀阔斧废弃原有产品，这种场景才比较头疼。

A16：

问题也不大，有旁路模式或者双重纵深来搞。

A17：

把安全日志收集下，集中分析，其他的产品什么时候过保替换，什么时候再废弃。

Q：办事处员工终端电脑，尤其是国外员工电脑的软件和操作系统的安全性应该怎么保障？

A18：

零信任+DLP+杀毒+降权限。

A19：

这个场景下面挺多公司用SASE作为解法，降权限对于办事处的运维成本有点高的感觉。

A20：

SASE确实不错啊。以后发展发展，都不用分公司网络，也不要SDWAN，MPLS了。

A21：

终端杀毒+正版化检测+磁盘加密&文件加密系统。

A22：

小范围就用云桌面，开水印和录屏，费用还低。

A23：

有钱就统一下发云桌面，没钱的话就EDR、终端管控或者文件加密了。

A24：

云桌面贵，一般是零信任配合基线检查，零信任集成DLP和桌管，然后配合终端安全进行检测。

A25：

外部员工装EDR之类的做准入认证+数据的DLP就可以，最麻烦的是国内员工出去，一扒拉破解软件容易触发法律风险。

A26：

小的分支机构基本上没有专职IT，设备都是BYOD，什么安全策略都别想，按照零信任的思维来对待吧，从服务端进行管理。

A27：

杀软+DLP，加上制度、策略、每年盘点。盘点很重要，然后所有的系统开MFA，还有一点，有的类似WEWORK这样的办公室，有专门的IT得花钱请这个服务，国外的ALLIANCE都是这种。

A28：

1、办事处边界网络设备禁止开放端口到互联网，如需开通，需要董事长审批。

2、EDR+DLP等终端安全产品组合拳，必要的策略全部开起来例如屏保、禁止装软件，定期更新终端。

3、每月第二个周二的windows补丁必须要打，不打的开除。

4、内网检测，如有开启3389且是弱口令的，开除。如需开通，需要CTO和董事长审批。

5、检查打印机安全配置，禁止默认共享并且扫描文件保存到打印机。如打印机比较落后不支持安全配置，建议员工不要打印，无纸化办公。

办事处这种，特别连IT都没，根本就不会有开端口映射的需求。基本就不用考虑外部网络攻击的风险，主要还是在内网和终端安全。

A29：

技术思维，当地核心骨干，没打补丁，你确定开除？

A30：

感觉这个就别指望子公司的人，让他们知道放假断电的时候别把这个设备关机，需要的知道重启哪个设备就行。

A31：

这是基操，重点是分子公司别瞎用U盘，别瞎上网，别乱传 ，更别乱鼓捣总部的系统，还有就是微信啊、QQ啊、邮件啊，别啥都发。

A32：

办事处就两点，电脑的安全和电脑的维护。不用想那么复杂，最短路径找到问题的本质，办事处跟子公司差别可大多了。

Q：入职、离职人员的电脑怎么进行安全管控？尤其是国外离职人员电脑方数据怎么安全的清除？

A33：

DLP根据角色做策略，清除直接擦除得了，没那么多机密数据。

A34：

数据应该都在应用系统中，而不是在设备中。

A35：

上云，离职就直接清或者备份。

A36：

云桌面管理吧，数据不要落地，要不涉及本地处理都比较麻烦。

A37：

正规要求是需要做数据覆写的，但是实际上就重装系统。

A38：

还给OFFICE ADMIN。OFFICE ADMIN每个月都要去首都开会，给首都IT过一下。

A39：

1、入职 电脑带回家，签外带协议，同时电脑丢失第一时间上报。

2、离职 电脑归还公司重装系统，邮箱、其他账户等删除。

A40：

禁BIOS，禁安全模式，桌管一安装，完事儿。离职了交接好资料走人，重装系统。所以需要电脑运维，这个要找服务商去做了。

A41：

得分场景吧，如果自带、公司提供，都不同，一揽子解决方案自然是云桌面，入职或者都很好管控，直接由管理人员在后台操作即可。但是如果物理设备，入职前肯定要提前装好安全相关软件。离职的话，资产交还后，得基本的体检下，然后OK后在格式化安装新系统，新同事一来，桌管一装，完事儿~

A42：

用模板装系统一次性全安装了，新人来了，账号桌管绑定。

Q：如果遇到突发性安全问题，办事处所依赖外部服务供应商可能导致响应不及时，影响正常业务运转，应如何应对？

A43：

定期评估服务商水平， 严格对齐SLA

A44：

约定SLA，达不到要求罚钱。另外摇人并紧急派遣自己人去；多签家服务商，安服框架签两家以上。

A45：

办事处出事不应该影响业务系统，如果指不能处理工作这种影响业务，那解决办法有很多，换个接入方式先恢复业务，问题慢慢处理。

A46：

这个感觉就像为了突出卖产品提出的纸上谈兵的问题，实际这玩意就看你预算。你预算足，乙方合同里面都会有这种考虑进去的，背锅人家都考虑到了。预算不足，那没办法，肯定先恢复业务，想要薅乙方羊毛，他们也不傻。感觉这个就是为了问而问，甲方也肯定有自己的应急团队，真解决不了的，呼叫厂商完全看你付费等级，有钱都好说。

本周话题总结

本期话题探讨了某企业在国内外设有多个办事处，面临IT人员不足的问题，需提升安全运维效率。针对网络流量和安全事件监控，建议采用EDR、VPN、SaaS终端安全和OneDNS等技术措施，并结合安全意识教育和制度管理。

对于员工终端电脑的安全性，尤其是国外员工，推荐使用零信任、DLP、杀毒、降权限和云桌面等策略。入职和离职人员的电脑安全管控应通过DLP策略、数据清除、云管理和重装操作系统等方式进行。

在突发安全问题时，需依赖外部服务供应商，应定期评估服务商水平，严格对齐服务水平协议（SLA），并考虑签订多家服务商以确保及时响应。企业应根据自身预算和需求，选择合适的安全技术和服务，以保障办事处的安全运维。

近期群内答疑解惑

Q：办公网要上IDS吗？还是用XDR？

A1：

办公网上网行为管理防摸鱼和终端防护防乱装，IDS这种没必要。

A2：

办公网用防火墙和行为管理即可，有条件没条件的上防病毒和行为管理，最少弄个防病毒。

A3：

上ACG ，FW，串进去的基本就这两个，再上个桌管，基本上就这些。XDR基本上我是HW才上，平时不上，没有预算没有人员值守不要上，浪费。

A4：

办公网可以搞IDS，防止内部人员向外发攻击（主动/被动）。

Q：请教下WAF透明代理和透明桥都不支持防篡改功能吗？

A1：

对。透明模式的WAF底层是实时转发，要求延迟低，防篡改功能会有页面对比算法影响延迟；所以大多数设备不支持。

A2：

是不是有厂家支持？我们的是硬件的WAF，我现在想用透明代的模式，又想有防篡改功能。

A3：

云WAF可以。

Q：面向公司领导如何汇报安全运营价值，如：只汇报处置事件，还是有将安全运营赋能业务通过业务状态结合汇报安全运营，还有没有其他的汇报维度？

A1：

挽损价值计算：根据漏洞等级*发生概率*市值这种计算

A2：

拦截多少高危攻击，阻挡多少人外发核心数据，为业务部门提供多少解决方案，为公司避免多少损失，间接创造多少利润，提升多少公司赞誉度，为业务提供的方案产生了多少收益，都可以算到你头上；还有一种是如果没有这个方案，正常营收是多少，现在的营收有多少，汇报价值嘛，怎么算都不嫌多。

Q：请教个问题，使用域名访问业务系统显示使用证书是安全的，使用IP加端口的方式显示证书是不安全的。1、问下显示证书不安全的，这个有没有安全风险 2、这种IP+端口的访问方式没有是否使用了证书，没有使用是不是就是没加密的通信？

A1：

看是HTTP还是HTTPS

A2：

HTTPS的：

1、xxx.cn 可以访问（证书安全）
2、IP+端口访问（证书不安全）

A3：

由于HTTPS请求的HOST和证书域名不一致，浏览器确实是这么提示。

A4：

正常来说应该是没认证域名，但是在在加密的，是加密通讯，就是对不上域名。

A5：

配置是针对域名的，你用IP肯定显示不安全啊。 SSL证书颁发给域名，不是IP地址。你申请证书的时候是这样一个逻辑。

A5：当出现HTTPS中间人劫持的时候，证书的域名和服务器域名会不一样，所以浏览器以此判定存在风险；当出现HTTPS中间人劫持的时候，客户端使用的证书的域名和服务器域名会不一样，所以浏览器以此判定存在风险。

在没有出现劫持，但是浏览器依旧告警，只会有两种情况
1、服务器配成了别的域名的SSL证书
2、使用IP访问的

A6：只要使用了HTTPS协议，通信就是加密的。 使用IP访问提示风险，因为SSL证书是针对域名签发的，和IP不匹配。

A7：明白，https://ip+端口访问方式。通信加密还是用的我域名的证书吗？

A8：是的。

Q：我有一个想法哈，想问一下合不合理，就是现在安全已经前置到功能评审的阶段了，但是安全风险点不好管理，我直接搞一个缺陷或者Bug提前的思路，就是功能评审的时候把认为可能存在的风险提交缺陷，然后研发在开发的时候一边开发一边确认缺陷是否存在并且关闭缺陷，提前修漏洞。

A1：

这不能叫缺陷吧，应该算是安全功能需求了，让开发去实现的。

A2：

弄个列表，把可能出现的漏洞钩上。

A3：

表我发现他们不看。

A4：

这个就是推行方面的问题了。一般是制定要求，给研发确认，之后编码，一般都不看的。可以在研发部门的质量要求上加入安全要求，作为强制性制度推行，然后你给的checklist他们才会抽空去看一眼。其实代码安全还好，都会配合，升级依赖库才是大头，不理你，进度赶，他们还要测试兼容性。

关键这个工作量大，2000+的依赖，花一个月时间升级好，这个月一扫，又几千个，谁受得了，所以很多都要自建Maven库。

A5：

推动就是比较慢，但是还是会改，实在修改不了的才加白。

A6：

自建库，把高危的挑出来，自家的JAR加入白名单

A7：

源网关限制，存量的每次变更升级点，只能慢慢来。

送你一本网安人的“小绿书”

光看不过瘾？想要加入话题深入交流？

那就来FreeBuf知识大陆电台小程序

网安人的“小绿书”

找报告、搜文档
行业新闻 、经验分享、职场八卦、同行互动

AI变声和匿名功能

专为社恐人士打造

让大家以更轻松的姿态

随时随地，想聊就聊

我们已经邀请数位网安行业大牛开设电台房间

等你来「撩」

扫码进入小程序，参与话题讨论

甲方群最新动态

上期话题回顾：

你遇到过哪些奇葩面试题目；如何考察渗透测试与安全管理能力

活动回顾：

迈向安全服务化，探索网安行业和社区发展新动能 | FCIS 2024网络安全创新大会举行

近期热点资讯

香港网络安全攻防演练也开始了？

AI自动挖洞不是梦，谷歌AI工具OSS-FASZ又发现26个开源漏洞

全球175国和地区面临风险：14.5万个工控系统暴露于互联网中

CISA红队发现惊人的关键基础设施风险

漏洞盒子特供服务：组建“白帽全明星红队”，企业攻防演练定向“星”选择

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

【申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入社群】

注：目前1群、2群已满，如有疑问，也可添加Kiki群助手微信：freebuf1024，备注：甲方会员

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1300+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。