各位 Buffer 晚上好，FreeBuf 甲方群年度总结来了！作为2024年话题讨论的最后一期，我们将从甲方人的视角回顾一年来令人印象深刻的安全事件，并探讨对2025年新兴技术、行业趋势及未来布局方面有哪些想法。

 话题 

2024年刚刚过去，这一年有哪些令你印象深刻的事件或漏洞，带给你怎样的思考?

A1：

新加坡通过法案允许警方限制银行账户。

A2：

WPS和网易的事件，没白嫖到他们给的补偿。

A3：

印象最深的安全事件是“以色列BP机爆炸事件”，竟然可以这么没有底线。

A4：

确实，印象深刻的事件，主要都是供应链安全的，而且监管也开始要求加强供应链安全了。

A5：

监管趋严了，被通报的次数多了。

A6：

印象最深，HVV持续很久，拖欠工资还是存在。

A7：

印象最深的就是7月份微软杀毒软件更新引发的全球宕机事件了，安全产品不安全，安全厂商不可靠，供应链安全，国产崛起。

A8：

工商银行被勒索两次，让我时刻要保持警惕，别人投了那么多人力物力，都能被搞两次，你是个什么牛马，不好好提升多做演练，迟早要被打。

A9：

说得真好，我们领导也这么说，让我们多花精力研究研究被勒索了该怎么办。

A10：

微软6W美元漏洞算一个。

A11：

微信群聊艾特全体人漏洞？

A12：

某安全软件IP开头的导致微信账号异常，也算一个。

A13：

搜狗输入法抽象漏洞，可以无账号密码直接进去。

A14：

PHP CGI远程代码执行漏洞(CVE-2024-4577) ，因为我们真中招了。

A15：

2024年的漏洞肯定是那个大华的漏洞，发个漏洞分析人都没了。

A16：

2024年印象最深的漏洞是监管部门通报我单位的漏洞，要求限期整改，还要写报告汇报。说明监管的漏扫和渗透日常化了，今后日子不好过了。

A17：

今年遇到了一个XXL-JOB的漏洞，然后被打穿了。还好在k8s里，定位到问题，干掉Pod就干净了。我是万万没有想到居然有这种会单独再起一个控制端口的依赖库。默认密码的后门库啊。擦咧。

A18：

这种是经常遇到的XXL-JOB在k8s里面起服务，问题就在于它竟然把端口映射出去了，这才是关注点吧，它在k8s容器里面，起个服务，占个端口，其实很正常的。

A19：

圣诞过完第二天就挖矿应急，最后溯源失败，日记见：

https://www.freebuf.com/articles/system/419066.html

顺便求个教育：Failed password for root from 127.0.0.1这种SSH爆破，到底是从哪里发起的？

A20：

嫌犯利用AI伪造“三只羊”录音门言论。

A21：

在24年算是AI审计的发扬光大了，AI中YOLO算法，对于自研算法+开源算法，有很深的印象。

尤其是应用在风控方面，当漏洞模型下逐层算法精准度提升，能够更准确的解决业务问题。

A22：

这阵子听说了一个针对红队的供应链攻击。好像是Cobaltstrike的某个国人常用的插件被外国投毒了，如果是真的那么打攻防演练时红队用过这个插件的，企业就可能被老外借刀杀人了。

A23：

印象最深刻的就是你们拍的短剧（狗头）。

Q：2025年面对新兴技术比如AI驱动的钓鱼等，你准备在安全建设中修改或增加什么新的策略以增强安全能力？

A24：

没有预算，啥也干不了，在开源威胁情报方面下点功夫吧。

A25：

网络+终端各买一套服务，交给厂商，然后躺平，被动处理事件。

A26：

已经在测试了效果还不错，但是比较依赖人进行处置，依靠系统还是不太靠谱。但是重保期间可以用。

A27：

全面测试并使用AI安全产品或方案，并看看市场上有没有适合投资的AI安全公司。

A28：

AI驱动的反钓鱼。把新兴技术的特征分享到安全培训内容中去。

A29：

本质都是钓鱼、骗，有时间搞多几场培训，没时间就看看威胁情报有没有命中算了。

A30：

1、多搞钓鱼演练，增加多场景化，例如增加远控后门盗取浏览器信息。更有利于了解钓鱼危害。2、云上告警规则维护，运营成本高，还可能漏掉，准备接入CSPM。

A31：

一旦涉及到AI都是高对抗、搞混淆了，这个看后续业界整体的发展了，反正都是攻防同步发展的，目前能做的只能是意识教育方面添加AI安全防护的内容，其他的见招拆招。

A32：

问题拆解从攻防两个维度，每个维度，需要建立漏斗模型，在模型中每一层解决一类问题。

对于同学，要分而论之，对于安全不同敏感度，也要有对应的策略。设置策略可以从同学行为审计，做成喜好判断，分析风险点再尝试利用AI处理钓鱼问题。

对于AI的剧本钓鱼，可能会因同学行为习惯不同，反而导致负面的效果。比如说财务和商务两个部门，都去用老板让打款，明显不合适的呀。

A33：

AI驱动的钓鱼一般针对个人多一些吧，诈骗那种，冒充熟人，无论对个人还是对公，提高安全意识，涉及到敏感操作的，电话确认。

A34：

我司采用的策略是被钓鱼扣奖金 ——不是开玩笑—-贼好使，连正常邮件能不点都不点，更别说钓鱼邮件了。

A35：

安全培训做了很多次，直到有一次现场查杀，我问运维你的密码是多少。运维很自信的给我演示了一遍，哐哐按着键盘顺序一顿输出，我当时就俩眼一黑。太讷了，这密码很复杂，啥都有。

Q：今年业内发生了不少事情，国家发布了不少新政策。大家觉得该怎么评价今年的安全行业，明年可能会有哪些趋势？

A36：

保住工作，等到经济复苏。或者早点转行。

A37：

都在降本，促销费，安全行业也会更卷。

A38：

继续提升独立自主能力，并对外反对美国霸权。

A39：

最大的趋势是AI+，安全服务内生，更多的基础设施和云厂商提供默认的安全服务。

A40：

政府财政缩减。影响国内安全公司。内卷裁员，开源节流。甲方稍微好过一点点，发个岗位来投简历的人多的离谱，七天沟通超过一百四个，明年争取破三百。

A41：

去年安全行业太不景气了，好多销售催我们项目验收回款，可惜我们单位也不景气，只能拖着不付了。今年随着监管力度不断加大，估计更要去BP供应商了。好在我们选的供应商规模还算不小，应该不会噶了。

A42：

2024年网络安全行业在政策推动下快速发展，AI和大数据技术在安全领域的应用日益广泛，但安全事件频发暴露出防护不足。人才需求激增，产业生态逐渐完善。展望2025年，法规将更细化，云安全和AI安全应用成重点，人才培养加速，技术创新和国际合作将进一步加强，安全意识将普遍提升。

Q：这两年安全行业受大环境影响，2025年是转机之年，大家对明年有什么布局和想法？

A43：

布局AI安全，容易提升估值。

A44：

信创安全，AI+，专注攻防本身，提升产品效率，聚焦解决真正的安全问题。

A45：

工作从安全领域可以先扩展到风险管理；个人随意放飞创新。

A46：

明年的预算都砍了，就算明年大环境好了，转机也就是明年年底能提26年的预算了。

A47：

稳住别浪，学习新的工作技能，做好转岗或转行的准备。

A48：

趁着消费补贴把电动车买上，明年入职美团。

A49：

2025年甲方估计是如何保证在低预算的前提下不出事、不背锅，保住饭碗吧，乙方就是如何活下来。

A50：

预测趋势可能会受不可抗力的影响。很多降本、提效是方向，裁人是手段，明确自身职业规划才是我自己更应该做的事情，适应环境吧。

A51：

这两年估计更难，预计安全事件也会更多，只有安全事件多了领导才重视，才能进入下一个安全周期。

经济下行周期，安全需求会增加，但是需要是平价产品，类似服装里面的优衣库这种，这就会导致整个行业大内卷，预计会有一大批安全企业消失，剩下的都是要么有渠道、要么有技术。

A52：

各行业都会受到宏观经济影响，至于未来，要看宏观经济情况和国际环境，起码看看2024年GDP。安全的影响不知时好时坏，实际只是受到公众号、自媒体等等的影响，作感官判断，其实没有看到数据支撑，而之前每年（起码5年以前）安全企业前十基本都亏损。所以时好时坏，一时之间难以确定。至于大环境，大江东去，只有顺势而为，能洞察世情的不多，能做的只有：保持积极精神状态，健壮体魄，持续学习，上群签到并与大神交流学习了。以上，谢谢。

2024年安全行业事件频发，如微软杀毒软件全球宕机、阿里云机房火灾、工商银行遭勒索等，凸显安全产品及基础设施的风险。众多漏洞被发现，像大华、PHP CGI 等漏洞给相关单位带来整改压力。

面对AI驱动钓鱼等新兴威胁，应对策略多样，有采用AI反钓鱼、购买安全服务、开展培训与演练等，但也受预算限制。

2024 年行业在政策推动下有发展，技术应用拓展但防护存不足，人才需求与产业生态有变化。2025 年趋势为法规细化、云与AI安全受重视、人才培养及国际合作加强。受经济影响行业内卷，企业要降本提效，从业者需规划职业方向。个人有布局新领域、转岗转行等想法，企业则关注生存与保障安全，整体行业在挑战中寻求变革与突破。

Q：为实时掌握公司的信息安全状态，请问大家是否会考虑建设SOC安全营运中心？如建设，是选择MSS外托还是部署在本地（共建或自建），考虑的理由是什么？

A1：

考虑监管要求和数据敏感程度，还要看预算啊

A2：

有资源就建设(这个是必经之路)，MSS最好是本地，可以参考华为。

A3：

本地部署，数据必须自己掌握，选择MSS外托立项阶段就会被质疑了。

A4：

在资源有限的情况下，我们尝试请厂商带着设备+人+MSS，两年来越发觉得还不如做做渗透测试、搞搞漏扫。实践证明把安全交个别人是个错误的决定。

A5：

看公司规模吧，如果大型企业或者监管要求，安全能自主掌控，至少能派出来2个人做安全运营，当然优先自建SOC。如果公司规模小或者已经快活不下去，一个人的安全部，还是MSS吧。

A6：

自建SOC优先级高，再有一定预算和人力资源时，优先考虑自建SOC，能够发挥统一联动、管理等作用，方便运营人员，如果在没有预算，没有人员的情况，采购MSS托管就可以，降低成本和运营压力。

A7：

如果是从甲方信息安全管理角度看，有专职信息安全管理人员，肯定是优先自建，有资源有人——自建 ，有资源没人——可以外包人员，没资源没人——可以托管，没资源没人没钱——自己搞。

A8：

没资源没钱，就随便搞搞，提前说好，效果可能一般。

Q：国内云服务器访问Docker Hub镜像，有没有什么加速的方法？

A1：

自己搭建内网服务器，同步过来。

A2：

https://docker.hlmirror.com/试试这个，私人的。

A3：

你可以用阿里的镜像服务，在外网把镜像传到阿里的，然后从阿里下载，速度杠杠的。

A4：

{
"registry-mirrors": ["https://uzu8i0ok.mirror.aliyuncs.com",
"https://hub-mirror.c.163.com",
"https://mirror.ccs.tencentyun.com",
"https://05f073ad3c0010ea0f4bc00b7105ec20.mirror.swr.myhuaweicloud.com",
"https://registry.docker-cn.com",
"https://docker.m.daocloud.io",
"https://docker.1panel.live",
"https://hub.rat.dev",
"https://dockerpull.com",
"https://dockerproxy.cn",
"https://docker.rainbond.cc",
"https://docker.udayun.com",
"https://docker.211678.top"]
}

Q：请教一下，咱们现在企业对使用公网的大模型服务，有什么管控措施吗，比如说ChatGPT、文心一言、豆包，之前三星使用ChatGPT造成设计资料泄密，闹得沸沸扬扬的，现在又没什么消息了。

A1：

每个企业自己制定措施吧，国家层面没有，首先ChatGPT先排除掉， 要爬梯子本来就是非法的，
然后百度文心，企业管控办法参考百度网盘，让用百度网盘就让用文心，反之一样。

A2：

感觉除非用本地大模型，公网大模型太难管控了，员工随便输点东西都能泄密。

A3：

其实很简单，不用搞那么复杂，就算没有公网大模型，也有百度贴吧这类，也能发帖求回答，一样的。

A4：

只能条规约束，管控不了。

A5：

除非把几个常见的模型入口给ban掉，但ban不了的，ChatGPT小插件就有几十万个。

Q：ISO对日志保存时间有要求么?比较关心保存多久?

A1：

ISO要求建立日志管理机制，保存多长时间，要依据拟定的日志管理要求，我这边以往遇到的审核老师建议对标网安法，至少6个月。ISO的套路就是有没有管理要求，再核实有没有按要求执行。

A2：

嗯，等保有看到。今天被人说ISO只要求30天。我是一脸懵。

A3：

我们内部制度还真写的30天，因为视频监控只能存30天。

Q：各位CSO们，想咨询一个笼统的问题，针对一家五百人的互联网公司，公司的安全建设应该怎么做呢？公司发展也遇到了瓶颈，现在裁员了几波，目前专职做安全的只剩下一个人了，不知道接下来安全还能做啥，也没预算。

A1：

老板不重视不给预算，做个锤子。出点事情管理层重视才有机会开始。

A2：

基于互联网暴露面做安全，或者基于产品痛点做安全，配合监管单位合规做安全。围绕着事件做。

A3：

做安全第一步，高层支持，没高层支持你干啥都不行，最基础的，把备份给做了。备份EDR、防火墙 、加密/DLP，优先级由高到低，然后才是各种花里胡哨的东西，别的不说，备份先搞了，不然一出事就得辞职。

A4：

都是事件驱动的，留个杀毒软件防火墙和备份，出了事人能苟下来，以后就能活。我现在就是这么来的。

A5：

备份的事情，我们有专门的运维和IT去分担，我这边目前做的事情，只有安全合规(等/通保、数据安全和监管侧要求的各种安全检查)、日常的安全运营(安全告警处理、误报优化、应急处置、渗透和漏洞修复推进等等)和安全培训。公司整体采用云平台，很多东西都可以自动备份。线下的IDC机房的东西和IT比较熟，然后就交给IT做了，所以不知道要干啥。想去更好的公司，也不知道他们对岗位的要求什么，看了一些招聘的JD，根据和我目前做的差不多，有的会要求一些代审的能力。

A6：

你没在IT下面吗？安全一般要么挂审计下面要么挂IT下面。

A7：

没有，我们是有专门的信息安全部，不过大部分人是做风控的，现在专职做应用安全和安全合规的，只有我一个人了。

A8：

可以按照最低标准，NIDS+XDR+DLP、按需购买外网渗透服务。这套下来500w左右，服务+License包五年的，五年之后，就不知道了。如果想特别省钱，我能降到100w不太方便这里讲了。

A9：

很难，现在没预算，本来这些东西是要采购的，后来遇到了紧急事故，原本的采购预算被砍了。现在零预算。

A10：

都裁成这样了，就不要基于项目去做安全了，起项目做安全就是为了骗预算写周报。

A11：

如果安全和运维分开，备份之类的运维去做， 没预算，做做等保，漏扫一下系统服务器、扫描一下代码，做做培训这些基础吧。

光看不过瘾？想要加入话题深入交流？

那就来FreeBuf知识大陆电台小程序

网安人的“小绿书”

找报告、搜文档
行业新闻 、经验分享、职场八卦、同行互动

AI变声和匿名功能

专为社恐人士打造

让大家以更轻松的姿态

随时随地，想聊就聊

我们已经邀请数位网安行业大牛开设电台房间

等你来「撩」

点击进入小程序，参与话题讨论

Fortinet新的零日漏洞被黑客利用

美日韩称朝鲜黑客去年窃取了超过 6.59 亿美元加密货币

不干净的视频评论区，攻击者利用Youtube传播窃密软件

Azure AI被黑客越狱，提供“黑客即服务”

研究人员成功入侵苹果新型USB-C控制器

FreeBuf甲方社群每周开展不同的话题讨论，快来扫码加入我们吧！

“FreeBuf甲方群”帮会已建立，该帮会以三大甲方社群为基础，连接1300+甲方，持续不断输出、汇总各行业知识干货，打造网安行业甲方专属资料留存地。现“FreeBuf甲方群”帮会限时开放加入端口，让我们一同加入，共同建设帮会内容体系，丰富学习交流地。