0x1本周话题

话题一：大家有游戏公司类型的安全规划给参考一下吗？发现和传统互联网有些不太一样，涉及的部门和内部沟通跟互联网感觉就是两码事。

A1:哪里不一样，赚钱为主、网信办个保等合规底线都差不多吧。

A2:差不多一个人的安全部+Network，和我认知里的企业整体性不太一样。

A3:游戏公司是孵化模式，内部甚至有竞品。

A4:以前待过，好像所谓“制作人”独大吧，我感觉更看重内容版权和游戏策划内容，其他都是为游戏业务团队服务的。不知现在组织架构模式。

A5:游戏是有特殊，对老板是重运营指标、客诉、外挂，对内的话，资产可能美术资产、版权是高优于cvm 这种。

A6:快速试错，败者淘汰，更加不关心安全了，但盗号等又肯定关心。做好合规就行了，其他他们自己扛着吧。

A7:游戏公司主要是外挂和ddos吧。现在了解下来主要是办公网安全，然后防范素材、代码泄露、监控github代码外泄、后续再引入一些渗透测试之类的。

A8:兼职网络的话，账号业务风控这类业务安全的应该另有团队做。

A9:看你们要怎么做，源码、美术、活动策划这三类是不能泄露的。也还是相对常规的事情，独立一些。

A10:但是规划肯定要把其他的也规划上去。汇报给CTO，需要做一个相对全面的，但是前期又能务实的规划。有一个很重要的，游戏公司泄密，经常提前被人曝光。

A11:前期务实保住试用期，后面中长期持续输出，稳定公司。

A12:针对重要产品监控、闲鱼、淘宝之类的，小红书，github一般作用不大。可以考虑discord + reddit + x，买个威胁情报 +关键字监控。

A13:游戏行业安全也挺难的，大公司也有上线前出现私服的。

A14:一般东西出去了，会快速出私服，然后这些渠道会铺满了宣传。

A15:那估计威胁情报也要搞起来，之前面试聊的时候主要是针对防泄漏这一块，主要是代码防泄漏，素材防泄漏，然后就是能够溯源追踪，对应事发前、事发中、事发后三个情况去做把。

Q：生产网没隔离吗？

A16:刚起步，都很粗糙，测试和开发都在一套里。先把研发环境圈起来吧，我n年前游戏公司时候，研发机器包括美术画图板还用铁笼子锁起来呢。（旧经验仅供参考娱乐。）

Q：没有两套环境？

A17:游戏公司，移动设备调试网络就是开发网。

A18:一套研发网，一套办公网。研发网纯内网，机箱锁住。

A19:研发都是可以出外网的。

A20:那要防，就有点困难哦，可以上追踪。

A21:目前在出口设备针对一些远程软件和代理做了管理。

Q：游戏公司能接受开发网纯内网吗？

A22:我们是这样的架构：两台机器，互联网+纯内网隔离。

A23:只要领导重视泄露，都可以接受。买套文件加密系统就搞定。

A24:我就打算这样去做，但是，看情况估计推广的时候很难，因为涉及到代码和素材的调试。

A25:文件加密要注意，很可能对终端的影响很大，比如落盘全加密，文件读写性能都很受影响，到时候别公司员工群起而攻之。

A26:性能问题不大，一般慢15%-15%，公司有预算的就上固态硬盘。最麻烦的问题应该是ide的兼容性，尤其是mac电脑的兼容。

A27:我看了一下mac的少。

A28:你的规划里可以都有，已经想了很多，然后在优先级上，先做影响小的、旁路的、掌控现状的，比如去访谈聊天，去摸清底数，去上监控。

然后拿着数据再告诉老板，经过这一段时间，这个风险存在但未实际发生过，我们的员工素质很高，可以再放放，这个风险每个月都发生X次，必须处置了，下一步做XX。游戏公司都是务实的，没有必要一上来就管死，扎口监控也可以。

A29:有个接受度的问题，在银行金融提这个大家会觉得很正常。不是网上常说么，看到封闭内网开发的赶紧跑路。

A30:有能耐跑就跑呗，现在谁还怕你跑啊。这东西跟是否金融没有关系，而是看船多大，小船都不会管，两套多费钱呢，大船就会担心漏水胜过航速了，就算是币圈该防也防。

从无到有，由奢入俭都是难的，所以我说得数据说话事件驱动，不能莫须有地搞。如果没到那份上，可以先搞些更要紧更要命的工作。

话题二：从互联网做渗透时，一般建议在waf ips上对测试ip加白名单吗？

A1:我们不会，不封就行。

A2:看目的是什么，是为了检验对抗能力？还是为了收集漏洞？收集漏洞可以在测试环境搞。

A3:既然在互联网侧，感觉更多是验证防护有效性？

A4:我这边是这么做：给渗透测试厂商开白名单，例如渗透测试发现了组件漏洞还是要靠代码层去修复。

A5:加白，先尝试多发现问题，验证防护有效性，取消加白重放下就行。

A6:常规的上线检测，倾向于相对客观地评估暴露缺陷。

A7:封的叫实战演练，不封的叫渗透测试。看你需求都可以，讲清楚就行。waf都不防护了，那就是测的应用自身漏洞，不测安全防护效果。

A8:既然是从互联网做渗透测试，大体应该是想找到应用系统本身的问题，WAF不加白的后果更多变成了跟WAF规则的对抗，效果会稍微差一点。

A9:那这种为什么不在测试环境做呢，考虑生产测试的差异？

A10:也可以说既然从互联网做，就想模拟最真实的攻击场景，都能说吧。其实是仿真环境就够了。

只是为了找漏洞的话，直接找测试环境测就行。生产测试的差异，一般是测试比生产多，生产复验就行。

A11:一层层的，每层都说得通。再进一层，测试环境直接给到代码审计也不是不行嘛。

A12:划出边界那就白盒，灰盒，黑盒，演练四类，应该比较公认。互联网加白做，还得考虑对方会不会更容易拿到数据，把数据偷走不告诉你，过不过演练平台。测试环境做还容易控制点。

A13:还有会不会带脏数据也是麻烦点。能在测试肯定优先测试环境。互联网生产不关防护应该是比较标准的，起码可以说，没有增加风险。虽然也有道德风险，但没增加。

0x2 群友分享

【安全管理】

《空中投放与隐蔽突防——A2PT组织对iOS手机的两起攻击案例的对比解析》

《蚂蚁集团刘宇江：安全切面，构建可演进的关基免疫体系》

《蚂蚁密算牵头成立全国数标委WG6-SG2密态计算研究组，推动数据可信流通体系构建》

【安全资讯】

《“中国方案”登场！铜锁混合抗量子技术喜提国际标准编号！》

《可能是今年值得一看的泄露数据之一》

《关于网传美国国家安全局文件泄露事件的几个小讨论》

《暗流第1期｜数字炼金术：揭秘信用卡盗刷背后的黑色产业链》

【法规解读】

《此次网络安全法的修订传递了哪几个关键信息？》

《由蚂蚁集团牵头制定的“隐私保护计算安全分级”IEEE国际标准已正式发布！》

《赞|国科大密码学院破解XCB加密标准》

由于微信修改了推送规则，需读者经常留言或点“在看”“点赞”，否则会逐渐收不到推送！如果你还想看到我们的推送，请点赞收藏周报，将【君哥的体历】加为星标或每次看完后点击一下页面下端的“在看”“点赞”。

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

如何进群？