Defensive Security Podcast Episode 285
01:08:00 Share

今天是2024年11月10日星期日。这里是防御安全播客的第285期。我是杰里·贝尔，今天和我一起的是安德鲁·凯利先生。

晚上好，杰里。您今天过得怎么样？

很好。

您怎么样？我很好。我有点惊讶，11月已经快到了感恩节，但其他事情也发生了。

我很好。时间过得真快，我有点惊讶。

但我看到您又回到了您未公开的南部司令部所在地。

这是最后一次。

哇，哇。享受您能享受的一切吧。

最近很疯狂。天气非常温暖。所以感觉真的很好。

但我认为我们……

正朝着感恩节的方向前进，计划在海滩上度过几天。

我总是提醒大家，我们在这个节目中表达的观点和意见不代表我们雇主的观点。我们今天的第一个故事来自BleepingComputer，标题是“黑客从公开的Git配置文件中窃取了15,000个云端凭证”。所以这里有一个恶意行为者，我想这很酷。我想我们必须坚持昨天关于为他们命名的那条建议，你知道，一些不酷的东西。

所以这应该像，你知道，脉动的心脏之类的。

并且保持完全相同，你知道，我的头有点偏。

而且听起来像一个坏人的名字，你知道，坏人或什么的。

所以我们听到的问题是，组织一直在系统地将Git配置文件包含在他们的网页目录中，这些目录会填充到他们的外部网站上。这里的行为者正在使用开源工具，例如Masking，来寻找同时监听网络和查询目录结构的系统，寻找这些Git配置文件，并且显然找到了很多包含云端凭证的配置文件，这真是太惊人了。

唉，对我来说，这并不令人惊讶。老实说，我不断看到这个问题，反复出现，那就是秘密管理。在基础设施、代码和一般代码的秘密管理中，使用和安全性之间存在很大的关注点。我觉得这是一个被低估的问题，我反复看到。

所以，这篇报道写了一篇关于微软的文章，有趣的是，他们发现这个行为者收集了大约15,000个云端凭证，然后这个行为者将它们存储在一个S3存储桶中，该存储桶显然也暴露了。访问该S3存储桶的权限也是以同样的方式收集的。但是，他们将它描述为数据泄露中的一个可怕的秘密。我不知道如何将15,000个凭证与可怕的数据泄露联系起来，但是是的。

特别是当秘密是一个微小的代码字符串时。

是的，如果我们能把这个放在一边。第二点很有趣，你知道，a，行为者使用他们从受害者那里窃取的东西。

b，包含潜在凭证的S3存储桶显然暴露在互联网上。它们没有得到保护。所以，这真是糟糕透顶。

对吧？我想，当其中一些人出现时，有一些像AWS令牌或其他东西，他们可以立即登录到许多云环境中，使用这些配置文件中找到的东西。

对吗？对，顺便说一句，显然发生了这种情况，或者类似的事情发生在互联网档案馆上。我想，我想在第二次尝试中。

至少他们经历了糟糕的时光。

他们确实经历了糟糕的时光，这很不幸。但是，即使是最先进、资金充足的组织，也会成为这类事情的受害者。所以，正如文章中所描述的那样，这些包含凭证的URL列表本身就是一种有价值的商品，可以进行交易。

他们说，这个URL列表的价值大约为100美元。但是，如果您能够从中提取合法的令牌，那么每个令牌的价值将是一个待确定的金额。所以我的猜测是，如果它还没有工业化，它即将工业化。

这是我过去，在做一些有益的事情时，一直非常关注的事情，直到最近才有所缓解。大多数情况下，当这些凭证被盗并提供对云帐户的访问权限时，它们被用于托管恶意软件或非法内容，或者最常见的是，用于挖掘加密货币。实际上，他们会花费大量资金或虚拟服务器或黑暗容器来挖掘加密货币，这可能是最糟糕的事情，因为很容易看出发生了什么。这并不是一个数据泄露本身。

但我认为随着时间的推移，我们已经开始看到，行为者正在发现他们可以用这些凭证提供的云帐户访问权限做更多有价值的事情。所以，我认为这是该行业有点措手不及的领域。是的，是的。

围绕初始访问存在一个完整的生态系统，对吧？所以这些找到这些东西的人可以立即将其出售给初始访问经纪人，他们可以从中提取信息。他们甚至不需要进一步处理这些信息。一旦他们发现他们可以快速处理这些信息，他们就可以将其出售。

然后，这些信息可以转售给其他恶意行为者。另一件事，从我的笔记中，我对此文章有点异议。所以，引用文章，他们谈论这些Git配置文件，例如.git/config，等等，通常具有积极的路径、分支和远程信息，有时甚至包含凭证信息。

这些是访问令牌和密码。开发人员可能会包含这些秘密，以便于使用，以便于进行API交互，而无需每次都执行身份验证。

好的，这是我开始真正不同意的地方。引用，只要存储库与公共访问隔离，这就不危险。我完全不同意。

我也这么认为。

这些东西有一个令人讨厌的小习惯，那就是突然变得公开，你知道，内部人员泄露信息或故意泄露信息，或者恶意行为者在你的一个机器上获得立足点并移动到其他机器。总的来说，我认为你应该将这些秘密视为放射性物质。你真的不想让你的代码泄露。

你真正想要的是能够按需安全地调用它们，并在你的代码中包含一些引用，该引用会访问你使用的任何系统并按需获取和使用它。但是仅仅依靠这些文件来声明秘密，我认为这真的很麻烦，因为通常情况下，有人会犯错误，并将它们发布，然后几乎没有办法撤销。现在你必须旋转……

密钥和其他东西，你说的很好。这绝不是我们应该假设的，只要你有一个防止它们出现在你的公共HTML文件夹中的实践，就足够了。是的，这还不够。这些东西迟早会成为问题。如果你确实暴露了它们，我还建议你应该寻找机会缩短这些凭证的有效期。当然。

因为，例如，如果这些凭证用于你的CI/CD管道，它们可能不需要有效期超过几个小时。不，不，不。

建议的秘密有效期是15年。

不，你可能不需要那么久。

你可能不需要那么久，就像你换内衣一样。我想，对于大多数人来说，就是这样。对不起。所以，我不想谈论这个话题。我想知道这些工具是如何被使用的。

理想情况下，扫描我自己的东西，就像坏人一样扫描我的公共攻击服务，并比他们更快地找到这些东西。因为通常情况下，他们可以找到这些东西，但他们可以找到一些东西，我想起这个例子。但我见过其他案例，我们的朋友鲍勃甚至告诉过你，有人实际上只发布了一个私有内容，并将其发布到公共组。坏人几个小时内就找到了它。速度很快。

所以是的。

我的意思是，你必须小心。但我认为我们应该进行同样的扫描，以坏人的方式寻找这些东西。

绝对。顺便说一句，没有什么能阻止你在你的网络服务器上运行一个cron作业或类似的东西，它会持续寻找这些文件，也许与HR系统连接，以便处理有罪的人。

然后你意外删除了所有网页内容，然后网站就崩溃了。

但是你的秘密是安全的。

对吧？如果你不注意，你就不能离开。

对。完全正确。我们下一个故事也来自BleepingComputer，标题是“微软SharePoint RCE漏洞被利用……”

……入侵企业网络。

所以，故事是，7月份，微软在其补丁星期二中发布了一个修复程序，用于修复一个不太引人注目的、严重的SharePoint漏洞，其版本为7.2。但是，新消息是，美国网络安全机构（CISA）将其列入了已知被利用的漏洞列表。这显然是由于一次入侵事件。调查并对此做出回应的Rapid7，这篇文章就是关于他们的，发现该漏洞实际上是造成似乎相当严重的系统破坏的原因。所以，我有点惊讶的是，人们还在互联网上公开SharePoint 7.2，我认为这在90年代就消失了。

就像喇叭裤一样回来了。

好的。然后，你会有一个连接到互联网的微软产品，它运行了一些易受攻击的代码。所以，那些……

你没有快速打补丁。

你快速打补丁了吗？是的。特别是，因为这显然是一个相对较大的组织，他们能够支付Rapid7来做出回应。

所以，我假设这不是一家花店，或者，我想很明显，他们不知道受害者是谁，但是，你知道，我……我不知道我们如何才能谈论它，我们过去谈论过很多次。限制你的暴露程度非常重要。

我不知道如何再说了。我可能有点轻浮，但是，这应该不是在互联网上公开的东西。对不起，这只是……

我认为这与攻击面管理有关，了解发生了什么，了解哪些东西容易被快速攻击，并确保你对每个人都进行补丁。但是，我知道你是对的。感觉我们只是在重复说同样的话。

有一件事我想谈谈，我认为值得讨论。当你阅读这篇文章时，他们谈论了这次入侵事件发生的顺序，对吧？有一个RCE漏洞。恶意行为者使用了公开可用的漏洞利用工具。

我们应该迫使你打补丁，好的，上传一个Webshell。然后，我有点玩游戏了。他们创建了一些计划任务。

他们进行了一些帐户发现。他们使用一些工具，例如Mimikatz，进行了一些凭证收集，这让我难以置信，这已经是2024年了。我还在谈论Mimikatz。但这是让我困扰的地方，对吧？也许我不应该困扰自己。

我……

我……

我正在努力，因为我生气了，我需要发泄。

先发泄出来。安全的空间。没有人会听到。一切都会好起来的。

为什么在地球上你会将任何类型的外部暴露的Windows Web服务器连接到你的内部活动目录？

因为这更容易。

我知道，这对坏人来说也更容易在你的网络中四处游荡。这是这些高级威胁发生的方式，你不会……这类事情在Linux环境中非常难以做到，这并不是因为Linux本身更安全。

我知道有些人会争论这一点，但这是因为所有不同组件之间没有这种关系、这种信任关系。顺便说一句，我不是说它没有意义。从操作的角度来看，这很有意义。例如，如果我的某个人离开，我可以禁用活动目录中的ID，他们将无法登录到任何地方，包括我的外部Web服务器。这非常强大。

没有远程代码漏洞。

是的，没有远程代码漏洞。所以，我理解这一点。但我认为我们必须更多地考虑更好的分段和最小特权的概念。感觉就像我们一直在重复说同样的话。

你知道，再次担心。

那是2025年。

是的，没错。你可以运行一个比这更安全的AD，这比当前的AD实例更安全，我不会再称呼它了。有办法减轻所有这些问题。

所以，我的意思是，微软在这方面有点力不从心，就像有更安全的方法来做到这一点，使用防御和分层分段的概念，以及各种方法。只是没有人这样做。我说，许多不成熟、IT能力低的公司没有这样做。

这可能有许多原因。我的意思是，他们有员工。他们可能有一些策略。我们不知道是谁，或者他们的员工可能很糟糕。

他们可能忘记了一个服务器在那里，并且不知道它甚至存在，谁知道呢？对吧？我以前见过这种情况。你知道，关于攻击的一切都很有趣。

所以，所以很好。不，不好。

我认为恶意行为者为了隐藏他们的入侵而做的事情是加载一个冲突的AV工具，关闭现有的AV工具。这无论如何都很聪明。

但是……

这应该会引发你安全堆栈中的所有警报。

那个点。所以，我发现一个非常普遍的情况，特别是针对特定杀毒软件。

但我认为，即使你看看一些更高级的EDR（事件响应）工具，它们也会关注触发传感器的事情，就像它们在杀毒软件中那样。我的观察是，人们确实有日志记录，如果发现病毒，他们会记录登录情况。顺便说一句，如果IT部门保持沉默，对吧？

顺便说一句，甚至有些组织会说，你知道，像杀毒软件，如果被检测到并被隔离，IT部门就不会受到任何伤害，他们甚至不会查看它。这只是操作的一部分，因为人们假设如果杀毒软件发现了它，那么坏事就不会发生。如果杀毒软件没有发现它，那么杀毒软件对它来说就像瞎了一样。

所以，就像你把它放在角落里，让它自己做这些事情。我认为这显然是一种非常糟糕的处理方式。特别是当你有一个网络服务器或共享服务器连接到互联网时，是的，如果你的杀毒软件触发了类似的事情，就应该进行调查。发生了什么？发生了什么导致了这种情况？

说实话，我最近的经验中，并非所有情况都是误报。但这完全是另一个话题。

嗯，所以，是的，这有点不同。

仍然需要调查，仍然需要了解为什么你会有关于小疲劳书的整个事情。但在这种情况下，运行这个竞争性AV软件似乎只是在某个地方杀死了现有的AV软件。不，你有一些本地指示灯。

我假设在这个时候，如果你已经完成了远程代码执行，你可能会感到兴奋，并欢呼。你可以关闭它。是的。

我的意思是，如果你将该系统的日志拉到一个集中系统，并且你正在学习这些日志，如果你足够聪明，你可能会做一些事情，例如监控可能发生的任何日志事件。但这仅仅基于你了解IOC（指标、控制）并且你已经正在寻找它和新事物。

我的猜测是，他们试图隐藏在后面，顺便说一句，他们显然在几周内没有被发现。所以我认为他们知道自己在做什么。但我认为他们安装其他软件的目的是让公司的主要活动代理崩溃。

所以，如果他们查看日志，他们可能会看到代理崩溃。这可能不会……他们可能不会……像杰斯一样，像McAfee崩溃一样。

对吧？这甚至会生成日志吗？是的，是的，在2020年，有很多共享的季度报告，对吧？

但是，对吧，这是……

很有趣。所以，另一个……

回到你之前说过的事情，对吧？是的，我认为我最近进行的一些讨论中，许多组织如何运行他们的活动目录，这与他们上世纪90年代做出的决定有关。

哦，绝对。他们被困在那个遗产中。而且，除非是在事件发生后，否则花太多时间、精力和工作来更新和修复它是不值得的。

是的，这很有趣。这真是一个令人着迷的概念，就像我发现一个公平的设置，但这实际上并不一定意味着更糟糕的结果，正如他们所说。但直到你有了桥梁，你的组织才有动力花钱并经历重新设计的停机时间，这通常来说，在事先这样做并没有吸引力。

所以，这几乎就像你在政府部门，我很久以前就听说过这个，但在政府部门，他们过去有一个“铲子准备就绪”的项目概念，对吧？就像你知道你想要有一系列需要完成的事情，并且已经准备好、计划好、成本计算好了等等，然后钱就落到了你的桌子上，就像你已经有了它一样。这几乎就像……我不想这么说，对吧？但你必须准备好类似的东西，以防发生入侵，否则你将不得不以战争状态制定所有这些计划和决策。

是的，你同意吗？我认为人们想知道为什么公司不做这些事情，我会说大多数公司会将重建AD系统（活动目录）的活动，以及所有相关的成本、停机时间和中断，视为价值很低的活动，因为他们认为入侵的可能性很低，影响可能很高，但可能性很低，并且他们的人力、时间和精力有限。对大多数企业来说，资本或资源就是时间。

这对于投资回报率来说非常低……

……对于可能发生的事件。现在，在事件发生后，情况就不同了。

对吧？每个人都只是做一些事情，只是修复它。我们永远不能让这种情况再次发生。

因此，这种可能性已经消失，帮助我们提升。每个人对如何有效利用精力、时间和资源的计算都发生了变化。但大多数企业都在勉强维持运转，或者至少不比他们绝对需要的多。

因此，他们通常在预算中没有空余时间来追求重建AD系统，以防他们的首席执行官用它来恐吓他们，而不是部署一项新技术，这将在下一笔交易中带来8%的增长。我认为这是很多企业的做法。看看这个，我认为你是对的。如果不是值得的，就不要修复它。

所以，为什么会有……

……所有这些神奇的盒子推销员进来，说“把我的托管盒子安装上，解决你的问题，阻止它发生”？因为这是一种更容易解决的、一次性的解决方案，或者可能是一个SaaS解决方案，可以降低风险，而无需真正解决问题。抱歉。

所以，我认为你在所有方面都是正确的，但我带着一种普遍的……

……感觉……

……是的，关于我们评估可能性和可能影响的能力，因为我的意思是，很明显，一旦发生这种情况，你肯定……毫无疑问，因为发生了这种情况，你现在可以量化影响。但我认为，组织中今天的世界与过去不同。

而且，我觉得总的来说，企业领导者仍然像2005年那样看待IT风险，就像你知道的，你只是运气不好，某个坏人会盯上你，现在真的没有正确思考它的方法。它以工业规模运作。

你知道，你拥有整个犯罪市场，这些参与者试图找到初始访问点，然后将其出售给更深层次的犯罪市场。所以我只是……想知道，总体上，有多少组织经历过某种不好的事情，以及这种比例增长得有多快？

是的，而且不要过于悲观，有多少人会说，“我们有网络安全，所以我们只是转移了责任”？

是的，无论如何。

这是好消息时间。

是的，是的，奶酪。下一个故事来自黑客新闻。标题是2024年五种最常见的恶意软件技术。所以，关于这一点的警告是，它与一家名为Any的运行沙盒软件或沙盒服务的公司有关，这很有趣，但在我的脑海中有点次要。不，我认为我……

我们没有为他们做任何事情。不知道它们工作得怎么样。

我实际上……

我不知道。

是的。

我不知道。但我认为，关于恶意软件实际在做什么的观察值得讨论。我不想再谈论另一件事，我认为这可能有点问题。你知道，我们谈论的最后两篇文章都与公司做的事情有关，我觉得并非所有……但我们关于安全方面的大部分新闻都是……

……结果……

……来自某个特定市场中的网络安全供应商。我不想称之为宣传文章，因为我认为那并不公平，对吧？但我们得到的大部分内容都是通过我们公司的过滤器，试图从发生的事情中赚钱。所以，无论如何。

无论如何，我同意你的看法。这让我想知道为什么我认为……我不应该吹嘘自己。但我发现，关于汽车，一个不偏不倚的视角，而不是来自试图宣传其解决方案的供应商的视角，这很有用，对吧？他们定义了他们能够解决的问题，现在他们正在宣传这个问题以及他们如何解决它。

而且，对于……

……缺乏供应商，当我们通过供应商教育行业和劳动力时，我们可能会得到一个有偏见的视角，无论他们的意图如何，无论如何，即使是其中一些最好的、最受尊敬的出版物，比如Rising Data报告等等，我称之为非常受尊敬的，有很多很棒的数据。

它仍然受到销售或营销其服务给市场的利益驱动，对吧？你知道，还有其他信息来源，书籍，不是由特定组织撰写的，我认为这是一个很好的，我们没有在播客中讨论它，或者尝试避免围绕特定赞助商进行编辑。赞助是必要的邪恶。这些节目并不便宜，这是我们在这个节目中从未做过的事情，但我们可能在其他场合暗示过……

……嗯……

……但这是一个挑战，对吧？我们如何获得好的、无偏见的、有价值的信息，而不仅仅是受到供应商视角的影响？我承认，当我从事销售工程工作时，我甚至遇到过被要求撰写文章的情况，这些文章非常侧重于如何教育市场。

但它确实带有该工具的偏见。我强调了该工具的能力，而忽略了其他工具。这是一个非常真实的行业方面。

是的，我仍然为经理工作，抱歉，这里有点跑题，但他为经理工作，他的教育预算观点是我们真的不需要它，因为我们不需要在培训上花钱，因为市场上有许多供应商或供应商可以免费提供教育。我认为在某种程度上这是真的。

但就像你说的那样，你得到的是一个非常有偏见的视角。你并不一定了解实际问题。你通过该供应商的产品或提供的解决方案来理解问题。

这意味着他们会宣传自己的优势，并尽量减少或忽略他们的……

……弱点……

……直到你被咬到为止，你才发现他们的局限性。

也许是的，好吧。所以，在杰里（愤世嫉俗的杰里）时间结束之前，我认为……

……听众会欣赏……

……他们看到的第一个技术是禁用Windows事件日志。顺便说一句，这并不一定意味着完全禁用事件日志。其中一个特定部分谈到实际上启用远程访问服务，但实际上禁用了远程访问服务的日志记录。

所以，总的来说，日志记录仍然有效，但他们通过注册表禁用了该特定进程或应用程序的日志记录，我认为这很重要。因为我以前工作的地方，我们设置的日志记录非常重要。并且对监控日志的能力有信心。

这非常重要。所以，你做一些复杂的事情，比如寻找静默传感器。是的，我可以看到，我的系统在我的监控下，三天没有收到日志。

发生了什么？有时是网络电缆断开了，有时是蓝屏，有时有许多不同的原因。但在这种情况下，你知道，这是有针对性的禁用日志，这将表明他们的活动。所以，仅仅假设坏人会完全禁用日志，然后通过这种静默传感器监控策略来捕捉它，这不再是一个安全的赌注。

对吧？顺便说一句，必须这样说，静默传感器技术并不适用于移动设备和笔记本电脑，而……

……对服务器有用。对。

也许知道这一点很有用。嘿，我通常在这个服务器上获得每小时28兆的传输速度，现在降到了零。那么你可能需要检查一下。

接下来是PowerShell漏洞利用。很明显，这长期以来一直是一个问题。而且，我会说，我认为下一个是商业……

……我基本上只是将两者结合起来，你知道，恶意软件倾向于使用操作系统上存在的应用程序或其他东西，作为绕过或降低警报可能性的手段。所以，如果你使用PowerShell或商业工具，你可能会期望在系统上看到这些东西。很明显，PowerShell你可以进行监控，有很多关于如何监控PowerShell的文章。

这绝对值得关注，但并非每个人都这样做。所以，你所寻找的只是异常进程，你期望看到命令。你看到那个exe和PowerShell的exe，你就会感到警觉。这就是这些攻击者在这里依赖的东西。

我认为我经常想到的术语是“利用本地工具”。看看，进入系统，使用你自己的工具。

然后下一个是注册表项的修改。我见过一些非常有创意的使用方法，例如，当远程系统连接到终端服务器时，该远程系统的本地文件系统映射到终端服务器，如果该终端服务器被攻击者控制，该攻击者实际上可以在启动程序中添加内容，从而创建注册表项。

所以，他们可以保持持久性。但总的来说，这是一种非常常见的持久性机制。我认为大多数EDR（事件响应）工具，甚至许多杀毒软件，都有监控和防御此类攻击的能力。

但你再次，就像有人安装了另一个代理，然后我认为下一个，最后一个，在沙盒的背景下很有趣。所以，再次，这家公司，这家公司提供沙盒服务。

这是基于时间的规避。所以基本上他们说，在你的运行中，你那些可疑的执行者在同一美元符号下，你看，那和我们之前谈论的所有关于恶意行为证据的东西都不一样。他们说的是，嗯，就像复杂的邮件一样，我们会等几个小时，是的，因为你的沙盒过一段时间后会超时。

它不会一直运行下去。所以，如果你等待超过几分钟才能执行，那么在同一美元符号监控结束之后就会发生。所以，这也很有趣，我实际上有一个我从未听说过，在野外使用过这个的实例。所以很有趣。

是的，你知道，我记得红队的早期，比如火眼是第一个大型沙盒工具之一，并且还有各种各样的有趣技术，比如，在当时，先进的时钟是什么？我们运行得更快，这样我们就能弄清楚，解决这个问题，谁知道，有多少这样的东西实际上在现实世界中捕捉到了任何东西。

有一些聪明的技术，我们尝试过，没有一种引擎。但是，围绕着这一点，有各种各样的想法，因为再一次，这是你的沙盒无法永远运行的权衡，事情仍然需要完成。所以，在将文件交给IT完成并卸载等等之前，你保留文件多长时间？所以很有趣。

问题。下一篇文章来自注册，标题是，windows 2025安装后，在更新标签中被震惊。我就像在CrowdStrike事件之后。这个让我很震惊。

公平地说，我很难真正验证这一点，因为它似乎影响很小，并且有一些关于它的普通说法。但我只是觉得这个故事有一些黄旗，但好吧，但它很准确，哇，出去看看，有各种各样的安全。

公司，嗯，我猜是讨论了，这可能是一个黄旗。我想，他们来上班时发现他们的一些windows 2022系统以一种意想不到的方式更新到了2025。

根据火眼的一些调查，这个说法是，这可能是由于windows server 2025升级被标记为补丁，我不太清楚在什么情况下。所以，从表面上看，这是通过某种补丁管理系统完成的。再次，假设这是真的，看起来像你应该部署的补丁。

但实际上，它实际上是windows server 2025。微软似乎没有回应，也没有提供任何进一步的信息。所以，我没有听到关于这个故事的任何后续信息。所以，但它又是在CrowdStrike事件之后出现的。我想，这让我感到不安。

我们对自动补丁系统的信任。

是的，当我读到这篇文章时，我的想法完全一样，我们已经足够努力让组织中的员工接受自动补丁。好吧，看看我们之前。

关于SharePoint自动补丁开启时出现问题的文章，对吧？所以我们实际上在节目中互相争论。当然，但你知道我的意思吗？这只是为了有计划、有条理地推出关键环境、测试环境和生产环境。但再一次，这些设置和运行起来并不简单，不是微不足道的。抱歉，我打断你了。

因为我的岔开话题。据我所知，除了有些组织在安装windows 2025后发现自己拥有未授权的软件之外，并没有发生什么坏事。但你知道，这是你想要进行非常有条理和计划好的测试和部署的事情，在这些情况下显然没有发生。所以，我想，我的担忧是，对自动补丁的信任会受到影响，我觉得我们已经到了一个转折点，我们必须越来越依赖自动。

更新。

以及诸如此类的事情。再一次，如果这是真的，它会把我们引向错误的方向。

在我看来，这给了IT团队一个理由去告诉他们的老板，我们不想打开它。即使是好奇的时候，这里有一个例子，为什么这可能会发生在我们身上，他们抛出了另一个黄旗，完全正确，甚至不完全错误。但也是我犹豫的原因，我们还没有看到关于它的广泛报道。

这篇文章是在我们录制当天四天前发布的。我只是不知道这是否是一个巨大的错误。我不是说不可能，但我只是想问，为什么我们只从一家公司那里听到这件事，这完全可能是假的。

就像一家公司在一个情况下被抓住，但这感觉像是我们会看到更多的情况。老实说，我做了一些快速的搜索，我看到了很多渠道和阅读。你怎么知道？但是，好吧，让我们把它当作一个完全合法的面值来对待。是的，这对我们来说是一个问题，因为我们正在敦促人们尽快打补丁，因为我们知道现在利用补丁窗口的机会非常短，我们不想建立所有这些，只是万一情况发生，IT团队想要测试，我不怪他们，因为有这些例子。所以，这确实有助于支持我们不应该快速自动打补丁的观点，但坏人会利用这一点。

如果你不这么认为。是的。

有很多讨论，在文章的链接中。

有人能把史蒂夫·鲍尔叫来吗？

我们最后的故事与我们谈论过很多的东西有关，即为供应商进行网络尽职调查的概念。我们已经谈论过，我们已经做过。

有趣的主题派对。

哦，这绝对就像有人走到你面前说，你做什么，你说，我是网络风险经理，你提供风险管理。

你关注的是一组问题。

是的，是的。拿出熊头等等。所以，我们过去谈论过，这有多令人沮丧，我想我们已经嘲笑过，基于问题的散布式垃圾邮件，以及坦率地说，在我过去的一些角色中，我们遇到了供应商问题。

我们有供应商在某个地方被妥协了。而且，这总是学习经验。所以我想知道，是什么原因导致了这种情况，而我们不知道这种情况很可能会发生？不幸的是，没有。我们有自己的保护措施，从未真正伤害过我们，或者至少从未伤害过我们的客户。

但是，你有没有看到过一些常见的指标，你可以询问并提前发现，并警告你？

或者是什么？所以，在所有情况下，这很有趣。他们都在运行旧的、已停止支持的防火墙。

这真的变得非常奇怪。过了一会儿，我开始怀疑。没有补丁。

网络结构的管理。

真的吗？是的，安全。但这是关键，显然，我从未直接问过问题。你确定你信任你防火墙的版本吗？

你信任他们放在纸上的东西，对吧？是的，他们可能会回答，我们有一个强大的产品经理。

计划，做同样的事情，你真的没有机会深入研究。现在，我认为这可能是供应商安全评分卡之类的评估的潜在好处之一，但即使那样也不完全是。你知道，事实上，就像我们一样，如果你是一个服务提供商，你的客户对这些事情负责，这是一种令人沮丧的经历，因为你得到的只是糟糕的结果。所以，你对这些报告的信任度会下降很多，而且它们通常很嘈杂，因为很难弄清楚哪些IP地址与哪些公司相关联。

尤其是在云环境中。

是的，是的，尤其是在云环境中。

我不能告诉你，在过去，我处理过供应商报告，声称我们的IP一直存在问题，一直存在问题，是的。我甚至不知道，在某个时候，一个黑客是否曾经访问过我们的环境。我不知道这怎么可能与我们的环境相关联。但如果你不密切关注，这会很令人沮丧，因为他们声称有这些东西，它就在那里，人们就相信了。所以，当你花大量时间纠正他们的。

糟糕的报告，这几乎就像敲诈勒索，因为如果你不订阅他们的服务，你可能不知道他们对你客户说了什么。直到你。

收到客户报告。

你收到报告。

如果他们告诉你，你和我。

通常情况下，你知道，季度末，你会收到销售人员的愤怒电子邮件，说，我有一个12、13美元的销售额，正在等待，我有一个报告，你正在运行过时的windows版本。

说我们正在写。

在上面，他们没有。

不是说这种情况曾经发生在我身上。但我认为我们缺乏的是，我看到了很多不同的供应商管理方法。我与银行监管机构密切合作，他们有一个相当。

供应商管理方法。但我认为我们一直缺乏的是一个框架，这个故事或这篇文章。它是由国家标准技术研究所发布的。

他们发布了一份名为“NIST网络供应链风险管理尽职调查评估快速入门指南”的文件。它包含一些关于如何思考风险管理的高级类别，我将其描述为一个框架。首先，你需要将你的供应商分解成层级。

他们建议的方法是，第一层是你的直接供应商，第二层是那些供应商的供应商，以此类推，一直到最底层。然后他们谈论了外国所有权，因为这是外国所有权，受外国影响，是的，顺便说一句，我认为在当前的政治气候中，这可能不是一个全球现象，但在美国，我们确实关注不同国家如何参与供应链。

例如，现在可能会有所改变，对吧？我们美国对俄罗斯的任何东西都深感怀疑。当然，中国不如俄罗斯，但中国的影响力正在上升。我们还对古巴、叙利亚、朝鲜等国家实施了长期禁运。所以，当你评估你的供应链上下游的风险敞口时，这与下一条建议有关，即了解。

你系统的来源是什么，你的供应商来自哪里？特别是，我认为许多公司没有考虑的一点是，当你从一个供应商或两个供应商移开时，他们是否都依赖于同一个上游供应商，这可能会对你的风险产生影响。

例如，如果你的所有供应商，你的所有评估提供商都在弗吉尼亚州同一AWS数据中心托管，那可能不是一件好事。所以，寻找这些集中风险是其中一个例子。

当然，从财务角度来看，这是许多人在考虑传统第三方风险管理时考虑的事情，比如他们明年是否还会继续营业？他们是否被起诉过？他们是否曾发生过数据泄露事件？

我认为这些是现代网络风险管理的重点。然后，他们将实际的网络风险分为两类。第一类是他们称之为网络动力学1。和网络实践2，网络实践1侧重于，我会称之为开源情报。这有点回到你的问题，我的供应商有什么迹象？这就是机会。

如果我运行了一个站点报告，发现这些供应商使用的是10年前的防火墙，已经过时了，并且存在许多漏洞，这可能是我发现问题的机会。所以，他们建议了一系列不同的建议。然后，网络实践2围绕着关于安全开发实践的相对较新的行政命令。

因此，政府正在大力推动，这是由于几年前的一项行政命令，关于开发安全实践。对于希望将其软件出售给美国政府的公司来说，许多内容是强制性的。他们必须证明这是。

联邦计划的一部分。现在，我认为。

我认为这是联邦计划的一部分，但基本上，任何时候你想要将软件出售给政府，即使它不在云服务中，你都必须有。

在适当的位置。顺便说一句，这并不完美，就像这。对我来说，这就像一个计划的版本1.0。但我能看到一些东西正在形成。这是一个朝着我认为好的方向迈出的切实步骤，实际上它提出了问题，提出了可操作的建议。它不仅仅是我们在过去看到的那些普通的废话。所以，实际上，就像这样，我知道我解释得不好，但我不是一直很喜欢NIST在这个领域发布的东西，但我有点喜欢他们。

正在做的事情。我做得不好，这不好。这是你最好的工作吗？但糟糕似乎有点过分。你知道，我们将在本周的评论中讨论。总的来说，我基本上同意你对这件事的看法。我还想知道，如果我们发现某人的支持很弱或很糟糕，无论你如何决定，这会阻止公司达成交易的频率是多少。

个人。

一家公司真的觉得第三方有多强大？风险管理团队是其中一个问题，我很好奇他们对此的看法。我认为许多人今天通常会回答“红色”，这类问题就像一个报告，他们会说：“看，我们有外部审计员准备好了。你们已经审核过我们。”

这是他们对我们符合所有这些标准的认可。相信他们。去看看。你认为这种信任足够好吗？

但是，我会说，你真的会看到，就像我看到的那样，它滑入公园，我看到了两万七千年的距离。报告，无论我看到什么，这些都符合网络实践，对吧？就像那样，即使如此，大多数测试都不是针对你的政策，对吧？

所以，去看看。

所以，好吧，是的，我有一个SharePoint。我在互联网上有一个脆弱版本的SharePoint。但是IT部门说，只要管理层批准了IT，并且我能证明管理层批准了IT，我就可以这样做。

因此，我遵守了我的政策。所以他们没有开始执行质量尾部评估，并了解你做出的决定。他们想看看你是否制定了合理的流程并遵循了这些流程。

所以，我认为这就是我长期以来对诸如SC之类的工具的看法。是的，它们很棒，顺便说一句。我认为我们这个行业面临的挑战是，如果你考虑服务提供商，他们没有能力——我的意思是，服务变得越来越昂贵。

他们没有能力接待来自他们每个客户的审计员。所以他们必须使用诸如SC之类的工具。这就是IT的运作方式。

另一方面，你知道，为云服务每年支付五千美元的公司不想雇佣一个每年一百万或两百万美元的审计员来审核五千美元的服务。供应商提供五千美元的服务，这也不是很有效。所以，我认为我们被迫这样做。但我认为IT无法满足市场需求，我认为这是一个输入，我认为……

如果……

如果没有IT，那应该引起警报；但如果他们有IT，你不应该说“哦，一切都很好”。他们有他们的报告，是的。这就是杰瑞的世界观。是的。

是的，我认为IT仍然归结于如何提出正确的问题并获得足够诚实的答案，从而做出有效的风险决策，并且这种决策不会在五分钟内改变。

是的，因为风险不是静态的，它是一个动态点。所以我很难……

他们的品牌与其他一些问题不同，例如，从一个网络安全公司来看，一些其他问题。我认为我们女士们对公司财务状况如何，公司维持持续经营的能力如何？他们是否由我们目前不信任的某个实体拥有，例如中国或其他国家？我明白这一点，但我认为网络安全方面只是很多空谈，让IT看起来好像我们做了什么，我不知道这个项目对他们有什么影响。

老实说，你问一个问题，风险管理部门是否有能力拒绝与他们认为危险的供应商进行交易？我会说，我见过，我的意思是，我见过。而且，顺便说一句，热情可能会变得很糟糕，有时会像你预期的那样被写得过分。

但与此同时，如果发生类似的事情，例如，你知道，你知道，你知道，在那个时候，你什么也藏不住。你知道你已经尽职调查，发现了一些令人担忧的事情，但你却忽视了它。所以，你继续你的工作，这并不一定是不合理的，因为他们知道，如果这是一家管理你午餐菜单的公司，那可能没什么大不了的。

但是，如果这是一家处理客户个人健康信息的企业，你发现了一些令人担忧的事情，那可能不是一件好事，因为你可能会遇到严重的问题。所以，我认为这归结于风险。这依赖于公司领导层在做出这些风险决策时拥有正确的思维方式。我们知道有些人会做出错误的决定。所以，我认为比应该发生的情况更频繁的是，人们会继续使用存在问题的供应商。

只是……

是的，是的，所以今天就到这里？我希望这对你们有所帮助，尽管我结结巴巴的。

我只是让你如此激动，只是……

我只是觉得，你真的就是你，这是公平的，但……

你知道这一点，你做了。你做了尽职调查，但你仍然邀请我参加节目，继续邀请我。

我在这里，对吧？

你知道你在得到什么。

总之，感谢你们的光临，希望你们仍然喜欢视频格式。如果你们喜欢我们，喜欢听到的内容，请在你们收听的任何播客应用程序或格式上给我们一些支持。顺便说一句，你们可以在我们的网站www.defensivecuritydataworks.com上找到我们讨论的所有故事的链接。你们可以在那里找到它，先生。凯利。

我在X和基础设施交易所的个人资料是erd.lrg。

很好。我在Infor安全交易所的个人资料是jury。顺便说一句，过去两周，我们有相当多新用户注册了Infor安全交易所，他们表示是听了我们的节目才来的。

他们听节目。

所以这很酷。

这很酷。希望对他们来说值得，那么，他们应该打个招呼。

不要害羞。总之，我们很快再见。非常感谢大家。