胡珀谈安全运营

admin 2021年3月1日16:49:04评论307 views字数 3867阅读12分53秒阅读模式


人物简介


胡珀(lake2),目前任腾讯公司安全平台部总监,因负责腾讯TSRC(安全应急响应中心)为广大白帽子所熟知,江湖人称“TSRC CEO”。




近期,我们邀请资深安全专家在“金融业企业安全建设实践”微信群,进行在线直播分享。本期,我们邀请到的嘉宾是腾讯公司安全平台部总监胡珀
胡珀谈安全运营
lake2:】本来8月答应了君哥要在BCS上分享安全运营的,结果时间不巧放了君哥鸽子,非常不好意思我看BCS上几个大佬讲安全运营都讲得很好,我就从自己的实践经历来讲一下,准备得比较匆忙,大家见谅。
lake2:】大家都在谈运营,我理解的安全运营是什么呢?除开系统研发之外的所有工作都属于运营,比如:策略的调优、事件的跟进处理、还包括安全意识的宣导。总之,一切围绕着提升安全能力开展的工作都属于安全运营。
lake2:】我看到行业里有个普遍现象,很多团队“重建设、轻运营”。就是说,很多人非常关注一个系统的部署上线,而往往忽视了上线之后的运营工作。这个很容易理解:系统上线是一个重大工程,往往备受关注;运营工作属于常规工作,自然不受重视。于是就有人这样生产了一个又一个不运营的系统和项目,最终成为了烂尾楼。但现实却恰恰相反,系统上线只是开始,真正让系统发挥作用、产生价值的是上线后的持续运营工作。我自己在腾讯的安全团队待了十二年,在互联网安全领域不断摸索,深深感受到安全运营的重要,也感谢腾讯的领导和同事以及外部安全专家、白帽子的帮助。我经常说安全是一个过程,要不断修炼,就是持续不断运营的意思。试为群友分享一二,各位行业大佬多多批评指正。
lake2:】我毕业后到腾讯做的第一件事就是跟进Web漏洞扫描器发现的漏洞。当时的Web漏洞扫描器是腾讯扫描器之父保哥(后来跟君哥是同事)写的,当时主要检测SQL注入和XSS漏洞。因为SQL注入漏洞判断逻辑是比对两次返回的页面是否不同,但是有些页面是动态变化的,所以这里会产生误报,每天大约有50单。后来处理多了,我每天看一眼就知道这个是误报。我想提升这里的效率,就提出新增一个逻辑:即多一次探测先排除动态刷新的部分。保哥从谏如流迅速优化了策略,误报大幅降低了。这也是互联网行业一般喜欢自研的原因,可以迅速迭代。关于更多保哥和扫描器的故事可以参考这篇文章自研之路:腾讯漏洞扫描系统的十年历程
lake2:】后来我又经历了多个系统的建设和运营,通过多个案例,逐步摸索出安全运营的思路,也深深感受到运营才是王道。
lake2:】08年的时候,网站挂马攻击比较多。腾讯就做了一个挂马检测系统,原理就是模拟JavsScript解析执行去判断是否是挂马,比当时主流做法虚拟机去跑浏览器检测执行exe效率高。系统上线后也发现了很多网站被挂马,当时经常有新的网马出来,黑特征发现不了新的网马,所以得想办法自动发现新的网马而不是等新闻。通过对所有网马样本的分析,我发现网马大体可以分为两类:逻辑漏洞和堆栈溢出。前者一般是AX控件的download、exec、update这种函数且带有二进制文件的网址,后者包含关键字符串0x0c0c0c这种。所以我就梳理这两类特征作为通用规则,每天看数据,结果就发现了flash的一个堆溢出0day漏洞正在被网马利用,报给官方后得到了CVE-2009-1862。这个过程就是运营。试想,如果系统上线后就只看告警而没有不断的迭代运营,就不会有0day的发现。
lake2:】运营的思路主要是通过分析当前情况,发现主要矛盾,然后解决主要矛盾。这个主要矛盾解决后就有新的主要矛盾,所以运营是个不断循环的过程。比如前面提到的SQL注入漏洞误报就是一个问题,主要矛盾是页面动态变化,所以就增加一个流程先发现动态变化的部分,去掉之后再进入比较。网马0day检测的主要矛盾就是需要提炼通用检测特征。其实我们的好几个CVE都是通过运营发现的,包括这个flash的溢出0day,还有一个绕过flash同源策略的0day,以及当年针对phpMyAdmin的供应链攻击(当时还没有软件供应链攻击这个概念)。所以运营,是非常的重要。
lake2:】当然主要矛盾是不断发生变化的,需要不断调整运营策略。比如腾讯06年之前是IDC对外的高危端口。经过一系列整治(规范、策略),腾讯几乎不再有高危端口开放到互联网,于是主要矛盾就集中到了业务端口,主要是Web端口(80),所以主要矛盾就转移到Web漏洞利用和上传WebShell上。于是根据主要矛盾持续运营,大力研发Web漏洞扫描器和WebShell检测系统(后来发展为服务器安全系统“洋葱”),也按照纵深防御思路不断去优化迭代这里的策略,大概如图这样的策略。这部分也可以参考这篇文章《捻乱止于河防——浅谈企业入侵防御体系建设》

胡珀谈安全运营

lake2:】前面谈的是技术运营,下面再谈谈意识运营。公司大了,员工多了,会带来很多问题,那些没有安全意识的员工就是木桶的短板。安全团队应该抓住机会去进行安全意识教育。机会很多,我感觉有效的方法包括事件驱动教育、红蓝对抗、结合热点等。比如今天正好有个Facebook数据泄漏的新闻,就有同事在内部论坛问这个事,这时候就该安全宣传上了,讲一下危害以及正在进行的数据保护的事情,然后再跟论坛沟通推一波。事件驱动也好理解,整出漏洞了,找过去,业务同学肯定认真积极学习。红蓝对抗经过这两次HW,群友肯定更理解了。
lake2:】安全运营展开讲其实可以讲很久,我今天比较仓促,准备也有限,就到这里吧,等我整理下思路,有机会在某个会议或者写篇文章来详细分享下我对安全运营的理解以及实践。谢谢大家!
嘉宾分享环节到此结束,以下是提问环节的问题精选。

---------------------------------------------------------------------

Q&A精选

 

Q:请教一下大佬,安全运营中你们是如何处理特例,特别是中高级管理人员的“例外”导致的安全运营缺口?

A:我理解是中高级管理人员的安全风险你们不推动?不不不,我们是要推动他修复的。

 

Q:问个关于安全运营人员配备的问题,运营是不是偏产品思维多一些,这里技术和管理该怎么配备呢?

A:不一定,系统运营应该是安全技术+数据分析多一点,但是如果你的是产品运营,那就是产品纬度要多一些。

 

Q:1、在人力不够的情况下,如何深挖持续运营?2、每一个项目上线后运营需要跟其他部门联动才能促成,这里面有没比较好的打法借鉴?

A:如果人力不足,你就尽量让运营工作自动化,比如尽量由程序来分析数据,非常非常可疑的才由人看,提升效能。另外就是一些老旧项目可以下线,比如前面我提到的挂马监测系统,因为现在已经不再是主要矛盾,我们已经下线;2、这个没有好的办法,跟他们协作吧。

 

Q:那天bcs现场我其实就有个问题想问宇总,今天这个问题依然想问胡总,就是分母要怎么界定,大家很喜欢定覆盖率,资产发现率,漏洞整改率,代码覆盖率,分母怎么定,怎么检查?

A:每一个要自己去定,我们定防病毒安装率的分母,改了14稿才觉得可以了。

 

Q:我想问一下攻击沉淀后的数据如何运营呢?

A:也是类似的方法呀,进行数据运营分析,招聘相关技能的人来做,这种攻击数据里面有很多宝藏,说不定就隐藏了0day。

 

Q:看胡总的演讲就可以发现,不懂挖洞的人是无法做运营的……

A:各有所长,不懂挖洞的人也有优势,比如他可以不会局限传统的挖洞经验,往往有新的思路;我们团队也有挖洞技术相对弱一些,但是呢对数据分析算法很精通的同事,就让他做UEBA模型,效果肯定比挖洞的人强。

 

Q:规则优化的问题,能讲讲诀窍吗?

A:规则优化那个真的是要具体问题具体分析的,

我觉得,首先你选择的数据就要适合做这件事,选对了数据,规则做起来本身是不难的。

举个例子:

你想做黑客恶意命令执行的模型,黑客执行了一个 id ,你就想告警,那么黑客执行的id,和好人执行的id,到底区别是什么?
首先要找到的是真正有区别的地方。比如,黑客是在php webshell或者java RCE环境下执行的id,所以父进程是不是不同?如果采集的字段里都没有父进程的字符串信息,仅仅是有ppid一个数字,那你很难做出 php派生的 id 和 好人的 id的区别。
而且一个字段往往是不够的,这个id上下文的一些数据,这个机器所属的业务历史上有没有出现过,在这一个session(切片)期间,除了id,还执行了别的什么?最后你会发现单命令可能就是很难告警的,但是一些特别的进程(php、java)派生的进程,业务历史上很少出现,而且上下文里还同时出现一些其他psnetstat之类的命令,一看就是有人不熟悉环境在探测,最终才得到一个你想要的模型。

----------------------------------------------

企业安全建设,离不开“守望相助”。金融业企业安全建设微信群。

入群方式:请加以下微信为好友,备注:姓名-公司-负责领域。销售从业人员暂时不邀请入群,不保证每位申请者入群,敬请谅解。


扫一扫,加入企业安全建设实践群

胡珀谈安全运营


未能加入“企业安全建设实践群”的朋友,可以加入知识星球,查阅每周实践群讨论话题和发言记录。

知识星球:金融企业安全建设实践

 

胡珀谈安全运营


附注:

  • 聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。

  • 本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。



  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月1日16:49:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   胡珀谈安全运营http://cn-sec.com/archives/276713.html

发表评论

匿名网友 填写信息