话题1:我看见一个案例,企业在自己公司内安装摄像头监控员工工作是不是偷懒,然后开了一个偷懒员工,企业拿这个录像做证据应诉劳动仲裁,员工告法院,法院判决是侵犯隐私
A1:关键看有没有告知过,签过协议,员工手册,或者接受过相关教育培训。程序是否合法
A2:不一样:这条 应符合第二十六条 在公共场所安装图像采集、个人身份识别设 备,应当为维护公共安全所必需,遵守国家有关规定,并设置 显著的提示标识。所收集的个人图像、身份识别信息只能用于 维护公共安全的目的,不得用于其他目的;取得个人单独同意 的除外。不得用于其他目的,除非取得个人同意
A3:我理解的是公司出资为员工购买的计算机和手机应该算公司资产,个人自己的电脑和手机如果在上面处理了公司的业务,这块的信息应该也属于公司的。所以公司 一般只能在门的地方安装图像采集。关于公共场所,这个法律上有专门的解释。我忘记了,至少不是私密场所
A4:非常模糊,公共场所一般是广场,商场,商店,对不特定人开放的地方。银行网点算,但职场不算。所以 要真相用于取证,必须取得个人同意。这里要界定清楚的,除了资产的归属外,更多的应该是上面的数据,那些是公司的,那些是个人的
A5:
A6:接入公司网络,访问公司内部资源,我觉得即使使用的个人终端,也应该纳入公司管理范畴,接受公司监控。是否最好有隔离,对公司资源进行监控审计,但不要对个人区域有太多侵入性过强的手段。监控的时间段是不是也有要求?
-
监控的话,个人感觉不宜在个人所有权上的设备上搞,除非能做到个人信息保护那样明示告知并获取同意,如果资产所有权在公司,那问题不大。
-
我个人觉得,单位监控,在不针对特定人员情况下,不违法,要平等对待所有员工,如果监控特定工位,需要告知,并取得个人同意
A8:那就考虑在接入网络的时候让用户同意了,不同意不给接入。检出不难,准确检出还是有挑战的,actionable很重要。感觉这种ossec 应该也能。我看他也有这样的规则
A9:
A10:现学分析:前面的例子,发现员工用手机拍屏幕,开启摄像头。听见敏感词,开启录音。 这里是针对特定还是非特定?需要开启时告知员工吗?
A11:“能”和“好”差别挺大的,a厂用户赶紧看看自己告警日志有没这玩意了。从这几次linux的漏洞来看,乙方同学的漏洞公告还是处于一条歪路上,还是简单的翻译,走心一点的会精简下,提高可读性,但依然不够actionable,用户看完还是拿不准主意
A12:没,我们就是测了一下exp,成功了,然后被a厂检出了
A13:我觉得对于乙方来说,考虑的还是自身的投入产出,搭环境这种需要投入人力和设备,而且产出无法用金钱衡量的活,工作积极性不高,也能理解
A14:
A15:wazu倒是把ossec 里边没有的资产识别做了些 这个功能还是没有的。因为没日志 所以ossec 就瞎了。这个得配合auditd搞。还是需要做点系统侵入的 要不确实能力有限。感觉社区没有这方面动力,也蛮奇怪的。
估计还是走偏合规的方向了吧 rootkit检测都很久不更新了
A16:ossec适合二开。wazuh算是在ossec上包一层,不过ossec agent好像还没有改吧。以前用ossec好像服务端比较挫,agent量级大了后,很容易就死了。6千多agent吧?默认有一个峰值好像。ossec量大了要做架构拆解一下,反正都是好几个独立进程。可以修改,agent 数最早是hardcode到代码中的。
A17:所以他们其实有 server-hybrid-agent 三层模式的。不过他们有个bug 安装的时候选cn的话就看不到hybrid这个选项了。wazuh 要做深度检测还得配合audit 只盯着日志真的不太够用。auditd有消息的,其实可以不用消费auditd的写日志,直接消费消息也可以。这样auditd性能还会好一些。wazuh除了日志,还得结合FIM来用,对付一般黑客足够了。不管攻击者怎么进来的,归根到底到了维持阶段大部分都会对系统原有配置文件动手脚
A18:fim也要看的,做还是部分做。肯定只监控特定的目录,agent有很多参数需要定制化
话题2:各位大佬,最近想设置KRI针对SOC的话?有什么好的建议?特别是能关联到高危风险的指标,最好是能体现趋势,预测风险的指标。
A2:一直以来安全的工作重点就是发现入侵,尤其是发现常规技术发现不了的成功入侵,这带来一个问题就是如果没有有效的安全告警或事件,安全人员就有些心慌,体现不了价值。所以在安全监测的基础上,要考虑安全绩效的内容,即如何体现安全工作的价值。比如安全攻击的自动拦截次数、安全应急预案的有效性、安全成熟度的提升以及安全防御改进的效果等。
A3:其实这次设置KRI或者KPI的目的不在于考量安全做的怎么样,主要是考虑SOC所收集或者监测的风险点的趋势如何,关联的风险是不是已经在控制范围内。举例一下,比如设置一个指标关于ips的高危威胁的变化率。绕过堡垒机登录的情况。持续监测,看看变化的情况如何,超过阈值是不是有对应的资源去处置。
举例一下,比如设置一个指标关于ips的高危威胁的变化率。绕过堡垒机登录的情况。持续监测,看看变化的情况如何,超过阈值是不是有对应的资源去处置。
话题3:银行的朋友们反映招安全人员很困难。其实从行业来看,金融行业属于整个行业金字塔顶端(现阶段被互联网行业有一些压制),性价比和稳定性都很好,特别是30岁以后,需要一些时间照顾家庭(男性也需要照顾家庭),在银行工作,有一种大家庭的感觉,虽然年轻时会觉得这种大家庭环境下,周边同事领导有一些啰嗦和大家长主义,但他们是真的像照顾自己的家庭成员一样照顾你。从学习和成长来看,金融机构预算充裕,使用的都是最好的技术和产品,而且使用新技术都很激进,只要你想,都能获得成长。要说不足,可能就是大锅饭和等级明晰,凡事有利有弊。
这几年由于安全人才稀缺,银行已经大幅降低进入门槛,从职业生涯长远发展来看,值得进入,而且未来门槛会收紧。
A1:其实并不是招安全人员难,而是招到合适的安全人员难。大部分安全人员都是红队那套路,脚本小子巨多,实际上对银行,甲方,帮助非常小,甲方要么是依托项目为生,要么是分工明细,一辈子就搞一个。而这些要求对于很多目前非系统化培训的安全人员来讲困难很大。
A2:我从5-6年前的网络安全,感觉要做成信息科技全面风险管理了。都不是技术问题,上到治理架构下到补丁生效。工作内容丰富多彩,技能图谱挑战潜力。
我不知道国内银行是什么情况,但是我在国外的银行业朋友,从之前只负责SCCM管理,到现在10几年过去了,依然只负责SCCM管理,其它啥都不用做,也不准做。
1、中高级,专家级别多数学历不是非常高,但是企业卡学历,导致招不到人;
2、金融业安全建设相对一般互联网建设,更完善一些,因此人员需求从要有变为了要精,因此招聘难度大大提高;
3、安全涉及的技能太泛了,企业想要全才,但是一般情况下安全里专才比较多,也是招聘难的一个点。个人见解。
A4:金融业招聘两个卡点:学历+年龄,如果非要说第三个,就是平台,对技术栈要求其实一般。
年龄这个是全行业通病,非金融业,和互联网,都是卡到35-45左右这样。高学历一定有他的优势,持续学习、坚持不懈、追求荣誉感,这些品质自然也是很难得的。加上现在每年毕业生这么多,但凡企业有点规模,自然会优中选优。
这个没毛病,但中国网络安全正式高速发展,被重视起来是14年左右,时间太短了,高学历且技术俱佳的人还是太少了。目前那些有工作经验和项目经验的多数学历不会很高。
本周群里共有 172 位群友参与讨论,群发言率为38.83%,群发言消息数为 852 条,人均发言数为 4.95 条。
本周群里共有 67 位群友参与讨论,群发言率为14.47%,群发言消息数为 257 条,人均发言数为 3.83 条。
——————————————————————————–
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
如何进群?
原文始发于微信公众号(君哥的体历):对企业在公司安装摄像头监控员工工作,以视频为证据应诉劳动仲裁的讨论 | 总第138周
