0x1本周话题
话题:各位大佬,目前各应用系统通过国密算法对报文进行了加密,使得传统基于规则的WAF\IPS等设备无法有效检测,因为报文数据均已加密,最终只有在HIDS上能检出部分风险,但是检测点滞后且检出率均无法有效保证。针对此种情况,大家是如何保证安全防护及监测的有效性呢?
A1:是指的ssl加密,还是指对应用报文做的加密?报文级别的话,估计比较麻烦,只能靠应用解密后再分析了,旁路流量无解。或者别费事了,直接RASP吧。
A2:是指应用报文,在SSL卸载之后。RASP之前也了解过,但是对于兼容性这块儿目前还在验证过程。另外我比较担心防护和监测滞后了。
A3:在防log4j2的时候,我们就意识到了这块,前期部署数据安全工作的时候,要求对应用层数据做了大量的加密,导致log4j2,太容易漏了。还有一种是,和开发约束好加密的内容,不要全报文加密,同时在后端落实好字符类型校验,成本比较高。
A4:当年log4J几个小时一个新绕过方法,折腾的要死,最后WAF的规则连30%都覆盖不到,纯粹尽职免责。
A5:依赖纵深吧,waf的作用还是最大化的消耗、浪费攻击者的时间成本,不得指望他干了所有的事。串waf在waf解密并重新加密的话,可以用,反而是可用性要关注。
A6:这个和国密无关啊,商密的应用加密报文,waf也解不开啊。目前的商业waf,解应用层的编码都吃力,加密基本无解了,性能也撑不住。
Q:都有ssl证书了,除了某些密码字段,其他字段还要报文级加密吗?
A7:一些场景是有要求,二层,传输层加密和应用层加密。
A8:解密、负载xN、代理、纵深的墙xN,一会儿就是一串巨长的糖葫芦,响应速度和可用性全是问题。
A9:商密一般两层,一个是类似SSL加密,这个要看WAF是否支持国密算法。一个是业务数据加密,这个是针对个别字段的,密钥片段加密,这层没必要解密。第二层也不应该解密,不会所有数据都按第二层来。
A10:所以,就要看看这个要求合不合理,比如把报文的一些字段加密了,现在安全设备没法看了,两害相权,取谁。报文加密在各类技术规范都有强制要求的,不加也是错,加了就成睁眼瞎了。
现在回头看,要不要加呢?或者说不加的话,风险显著增加了吗?在解密后,应用有可能把敏感信息写到日志中,写到数据库中,其实这个加密作用也不大。这些风险都是需要治理的,还有日志中的数据也要进行管控。
A11:这个问题是看安全域的,出安全域加密。内网传输、存储和外网传输、存储,应该是不一样的。成本比较高。得看具体的投入和收益了。
存储是不需要解密的。(如果有查询需求,可以参看 GBT去标识化里提到的脱敏技术。) 或者说不能明文存储的。报过写Log和DB、OSS等存储介质。同样成本很高。得看具体场景和收益。
A12:我之前也想过在通道卸载之后整个解密,再往防护和检测去送,论证下来成本过高。得针对每一个应用每一个请求做。日志存储可以反向解密,其实还是找关键字,加密和不加密都不会对排查产生多大的阻碍。
A13:现实的类比就是:坦克很安全,但是不适合轿车,那在车辆安全要求标准中要不要把坦克的安全标准写成通用要求,如果大家都不能实施的话,这个要求就要看是否合理。
Q:报文加密的最大收益在哪里?网络报文字段级加密和数据库字段级加密,敏感信息防护效果的确很美好,但真的通用吗?我们的信息保密要求真的需要这么强的要求吗?
A14:一般实践就是SSL层和应用层敏感字段加密,最大的收益就是除了开发谁也读不懂报文,客户端抓包啥的也没法分析,除非逆向客户端把加密破了。
A15:现在的问题是这个敏感字段包括哪些。我的理解只有各类密码,但从目前大家的期望,感觉姓名、身份证号、手机号都算。金融数据分类分级那个标准,要求加密的应该也只有密码字段。
Q:能不能说说是哪些技术规范?会不会个人理解错了?
A16:我也有疑问,可能我看漏了哪里说必须报文加密,重要数据字段加密的我记得有。
A17:我理解应该还是应该和业务数据分级的定义相关,需要保护的字段,一般来说个人隐私和认证鉴权相关的字段会加密。
A18:网银通用技术规范,web渗透测试指南,里面应该都有这个要求,不过没有明确具体字段吧,只是笼统地说“重要字段”,但是重要的面就很广了。
0x2 群友分享
【安全资讯】
----------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的****展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
如何应对传统关系数据库中数据加密和搜索的挑战?| 总第236周
如何下载群周报完整版?
请见下图: