不好意思在各位先进面前班(骗)门(骗)弄(P)斧(币)， 不过从另一种"资安"的角度看来贵公司组长也并非全无道理， 端看从哪一个角色来看事情罢了。 以下是另一方的看法，并不是要打您脸， 只是提供另一方的看法，提供您Change Mind的机会看看。 ※ 引述《Akaski (拂晓)》之铭言： : 小弟最近进了某间公司的资安部门的监控组 : 才进来没多久，就感觉组长对资安不是很了解 : 目前监控中心还在建置中，会接触到的有负责建置的「厂商」 : 跟监控中心软体的「原厂」 聊在前面，厂商无能？那当初为何要选这间SI协助导入呢？ 虽然两光两光的SI也比比皆是啦。 一般来说，原厂提供的建议也往往也是原厂设计的Best Practice， 虽然这通常不会考虑预算，希望你全部买到顶用到最好， 但是这也通常是让该系统可以达到最佳效益的实践方式。 对我来说去原厂官网寻找Best Practice或Guide Line会优於询问SI啦。 如果找到了Best Practice跟SI讲的南辕北辙， 那就该研究研究到底是原厂的问题还是SI的问题，也可以多找几间SI来聊聊。 如果是原厂的问题，那有问题的产品干嘛买？ 手册都教错了，产品开发就不会错吗？怪怪的吧。反之若SI的问题，换SI阿！！ 毕竟台湾很多SI比原厂更爱卖东西，而且是卖SI自己熟的东西， 更惨的是SI熟的东西或好赚的东西≠适合客户的东西。 PS. 会卖东西和会导东西也是两码子事，我也看过有SI工程师边看手册边安装， 边安装边念说他不熟该产品，很难用很烂干嘛买balalaa... 我边看边摇头.. =__=a 不过这也不是没有反例啦，听说那个南x人寿不就是找SAP原厂来导入吗？ LOL... 不过ERP不是我的专长，我就不赘述了... xDa : 一、 : 因为监控软体是吃流量计价的，所以厂商会建议不要收普通的traffic log : 按照厂商建置了那麽多案子的经验，建议收安全性流量或告警事件就好 : 但是组长认为普通的traffic log也是非常需要的(实际上是没什麽用的) : 因此目前光内部主机沟通，每天就会用掉20GB的空间 : 原厂当然很乐见这个状况，因为这样等到正式上线，一年可以赚一大笔钱 : 而组长比较听信原厂的话，认为是厂商无能 第一个问题，流量计费问题，未看先猜是SIEM之类的产品。 SIEM产品收Traffic Log到底重要不重要？是不是只要收安全性流量或告警就可以了？ 要从源头看，什麽样的Log会被定义成告警事件？ 被设备抓出来的异常流量才会被列为告警，那没被抓出来的呢？ 今天如果只收告警事件，表示100%依赖设备分析的准确度， 但是近年爆发的APT攻击哪一次不是优先避开各大检测设备的告警呢？ 下面是案例，这些单位都有装防毒软体却还是中标： https://www.ithome.com.tw/news/130895 https://www.ithome.com.tw/news/137685 https://www.ithome.com.tw/news/137447 今天SIEM存在的一大目的就是打算透过行为样态分析寻找攻击路径还有潜在的攻击行为。 如果直接把80%以上设备认为没有异常的流量略过不看， 那直接看设备的Log就好，何必大手笔买SIEM？ 另一方面，内部主机沟通占20G，这20G都略过不看， 不就表示完全不打算发现内部主机可能潜藏的攻击行为吗？ 从上面那几个事件看来，如果AD中标了， 是不是一样得等到恶意程式派送完才等着重灌？ 回到本来原Po的问题，内部正常流量这麽多该怎麽办？ 建议可以反向评估，有哪些流量"不可能有问题"， 这些分到"不可能有问题"的流量就略过不看， 但是如果他不幸出了问题，认命吧！ 资安本来就是越做越花钱，花越多钱看越多， 什麽都不看的上市公司也大有人在不是吗？ 如何有限的经费达到最大的效益？就看中点罗！ 流经闸道的流量占多少？看得完吗？ 所有内部流量都会经过闸道吗？如果会的话网路切割路由协定就要研究研究了。 今天您可以去研究研究资安健诊和SOC的流量监听分析的方法论， 教材会告诉您监听点放在哪里都可以，端看您打算看到什麽东西。 : 二、 : 日前测试环境的伺服器有对外IP，因此有国外的IP连线纪录 : 这是正常不过了，毕竟这世界上每天都有一堆botnet在扫 : 但组长看到中国的IP连入就紧张得要死 : 要我把所有伺服器在那个时段的LOG都翻出来 : 还说搞不好中国骇客已经入侵巴拉巴拉鸡巴拉 : (别说中国了，俄罗斯古巴这些都送给你) : 事实当然是伺服器上没有任何入侵迹象 : 但组长在会议上煞有其事的报告这件事情已经让他的形象在我心中打了个大问号 这也要看攻击的定义罗， 资安处长都能说台湾政府每个月遭受三千万次攻击了， 主管说的也不完全错误啦。 按：https://news.ltn.com.tw/news/politics/breakingnews/2966795 但是反面想，这的确是攻击行为啊！ 只是暂时没打进来而已，您是否该评估评估这些伺服器是否开了多余的对外Port？ 最外层防火墙Rule是不是开太松了？ 主管担心的总不是中国IP连线到贵公司网站吧？ 如果他担忧的Log是3389远端桌面、22SSH、23Telnet等等跟远端连线相关的纪录， 是否该评估这些门是否锁好了？有没有排除弱密码？有没有锁来源？ 有没有两阶段验证... 这种乱扫很多，不代表不会成功。 我们执行渗透测试时，总是发现有厂商或是SI用自家统编或是英文名字当密码组合， 而且还被我们破出来。这种低阶问题还是要小心啊！ 另一方面，很多攻击在潜藏期是不一定很轻易可以找得到迹象的， 不能说登入看看服务正常，没有多的使用者，就认为完全安全。 很多时候自我感觉安全和安全是有一段距离的。(虽然大家通常都觉得自己没这麽衰) 按：https://www.ithome.com.tw/news/108118 : 三、 : 收Log理论上来说是最後才要做的事情 : 目前公司的系统也还在开发测试阶段 : 组长似乎是急於表现？就要我去找开发组的人要Log : 但开发组的人根本没时间管我，毕竟东西要能动比较重要 : 对於这些Delay，组长认为是厂商无能、属下无力 这边的Log其实我看不出是谁家的Log？ 伺服器服务的Syslog？ 我并没有很精准Catch到这个Log是指什麽， 如果是套装服务的Syslog应该是设上去就好了？ 如果是应用服务的Auditlog，的确建议在开发同时就考虑进去， 有机会可以研究研究SSDLC，资安议题的确应该在开发期间就考虑进去， 您的想法，先让东西能动再说，是很多开发团队未求速成产生的盲点， 如此一来所有安全选项都成为加装，检测出问题才头痛医头脚痛医脚。 永远补不完，因此若关键系统需加入Auditlog功能， 当然需要在开发流程就加入探讨，慢了就要穿鞋子改鞋子了。 说是这样说，实务上怎麽走又是另一回事。 软工说要先完成文件在开始实作，台湾大部份公司的现实是怎样我想大家都知道。 : 抱歉打了一大串的抱怨文 : 想请教一下是不是该跳车离职了呢？ 抱歉打了一大串消火文， 跳不跳车离职您可以慢慢想， 但是我这麽一大篇主要要带给您的是： 很多时候做资安的需要有被害妄想症， 毕竟资安就是一种防范未然， 资安往往也跟效率、方便是站在天平两端的， 您的老板也许有些理想化，但是也没有您想像的那麽不堪。 端看您怎麽和他沟通讨论取得平衡罗。 加油！ Best Regards, by ASimon --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.134.25.104 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1590079516.A.782.html