员工电脑软件管控与数据库审计系统相关探讨 | 总第247周

‍‍

‍‍

0x1本周话题

话题一：请问各位大佬，员工电脑安装软件如何进行管控？

A1：看你的成本咯，有域控，也有桌面管理软件，都可以控制的，方法很多。我们是用桌管。域控给员工普通权限，安装不了软件，但是常用的办公软件还是想让员工能自行安装的。

Q：打算做黑名单还是白名单？

A2：白名单，黑名单也不好做吧。

Q：桌管是怎么一个逻辑实现？大家是采用白名单还是黑名单？

A3：桌管就是管理权限回收+本地化软件商店，只能安装软件商店中的软件。我们是软件黑名单，我理解白名单更难，你要充分调研业务需求。

A4：白名单更好控制一点吧，不知道黑名单会不会有漏洞。我们是软件白名单，白名单可控。理论上白名单更好，但是调研起来费劲，无法保证调研结果百分百。

A5：黑名单覆盖不过来但是省事，白名单前期工作量挺大。黑白名单之外还是需要自己掌握一个灰名单比较好，灰名单内的给个缓冲期，过期未完成准入申请流程直接进黑名单。

Q：黑名单怎么来的呢？

A6：黑名单自己收集，比如网盘类，笔记类的。

A7：我这边是桌面管理的软件商店，非商店的软件自动拦截安装，一开始建设商店花费精力多点，通过用户反馈和安装拦截数据进行查漏补缺。稳定后日常就是软件版本更新，没太多压力了。

Q：自动拦截安装是用终端安全软件实现么？微软有没有自带的能力呀？

A8：桌管能拦截，绿色软件也能拦。

A9：白名单前期反对声音大，运营了一段时间后基本就没什么反对声音了。白名单还能降低软件盗版的法律风险。

A10：我们也是白名单，有特殊需求走审批。白名单一开始肯定困难，投入大，但是过了顶峰就好了。

Q：生产柜员机也启用了白名单吗？生产柜员机的一些插件之类的，这些不好控制吧。

A11：这个目前还没，自助机软件、插件、运行库、驱动包多的要命，不好搞。

Q：ad域统一员工账号是user权限，那通过软件商店安装是不是也得提权才行？

A12：一般软件商店都是桌管的功能，桌管agent本身就是admin权限了，所以桌管的形式不需要user额外提权，因为安装行为是桌管发起的。不过可以adt或者sccm后台推软件，走IT工单的形式，需要啥就推啥。

Q：桌管怎么管绿色软件？

A13：服务层面管不了绿色软件和木马病毒。进程层面管得更多一些，进程识别、文件拷入管控、文件下载管控。hash也能管控一些绿色软件。

话题二：各位大佬，监管有对数据库审计系统的审计数据提过必须留存时间的吗？另外，就是对于数据库审计系统的审计数据，是否需进行离线备份呢？这块儿不知道监管是否有进一步的要求。

A1：根据等保测评要求至少6个月，三级是会要求异地备份的。我想的是放一份在SOC里面，再做一个离线备份。

A2：这个数据那么大，本地都存不了，数据库审计那玩意数据量太大了。

A3：数据量很大，得考虑冷数据存储或者备份存储。用的时候加载。

A4：这比soc的数据量大多了。如果记录返回集数据，那就更大了，如果不记录返回集，那数据库审计设备对数据安全也没啥用。数据库审计，就挂个数据库的名头，但感觉和数据安全关系不大，数据库运维可能还有点用，看看慢查询、数据库账号是不是连错了。

A5：还有脱裤。

A6：数据库审计旁路丢包，这些场景不好吧。

Q：脱裤好像看不到吧，底层数据库的查询五花八门，怎么判断是脱裤行为？我们用的旁路流量，没用其他方式，还有什么好的方式吗？

A7：在数据库做，比如查询返回了明文个人信息。

A8：目前，数据库审计，我还没想到有什么好的数据安全方面的告警规则。删库删表权限只有dba有，基本没有这样的行为。数据库存的是明文，查出来当然也是明文。

A9：那为啥查，能不能查，频率如何，有没有失控，这不就是数据安全关心的吗。

A10：查询发起都是应用服务器，查询请求忽高忽低。

A11：首先还是得有个数据访问链路，正常的范围可以忽略，对象一般有很多元数据，光一个身份证号就可能涉及几十个字段，数据无法脱离业务了。

A12：得梳理重要数据活动场景，由粗到细。不然，根本判断不了，也看不过来。做得越多安全ROI越低。个人拙见。

0x2 群友分享

【安全资讯】

被问懵了，加密后的数据如何进行模糊查询？

百家讲坛 | 肖文棣：Docker容器镜像安全与实践

差点让谷歌赔50亿，「无痕模式」真的无痕？；交通银行App崩了一度冲上热搜！交通银行回应：目前已恢复

关注 | 《麒麟软件操作系统勒索病毒防护指引》正式发布

--------------------------------------------------------------------------

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将君哥的体历加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的****展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

关于系统日志中信息加密和脱敏的讨论 | 总第246周

关于勒索病毒演练融入HW及资产与网络安全的讨论 | 总第245周

关于开源许可实施与管理的讨论与思考 | 总第244周

如何进群？

如何下载群周报完整版？

请见下图：