漫谈网络安全应急要略

【注】：本文仅代表个人观点，与公司立场无关。

早上看到朋友圈有人说Metasploit公布BlueKeep远程执行漏洞的利用，一些安全群里也有人喊着加班了，但这漏洞明明很早就已经发布补丁了，现在才加班应急明显是有问题的。本文就来谈谈关于安全应急的一些个人想法。

要略一：急则治其标，缓则治其本

在韩剧《幽灵》中，男主角在入侵犯罪者的电脑后，发现他正在上传受害者视频，在电脑里他看到一份名为申孝静的文件，里面全是照片，男主在照片里看到那个戴金表的男人，但还没看清他的脸，对方就把网线拔掉了。

假如服务器因漏洞被入侵，是先修漏洞还是先像上面韩剧那样拔网线呢？

估计你想拔网线都拔不到，但可以先关闭外网止损。虽然这里本因是漏洞导致的，但如果入侵后，还想着线上补漏洞，估计等你补完，裤子都被脱光了。

这里的"标"是数据泄露，"本"是漏洞，紧急情况下，先治标，及时止损，防止数据泄露；缓解之后，再治本，修补漏洞，也包括安全系统监控与拦截机制被绕过的问题。

如果今天还在应急BlueKeep漏洞，说明补丁日的时候没有及时打补丁，才导致今天的局面。

毕竟，你总不能老是靠拔网线来解决问题吧！

要略二：数据安全高于一切

日剧《医龙》中，跟随男主的一位护士突发气胸，情况危急，如果叫救护车可能来不及，于是男主直接拿根笔管折断，插入患者的两侧胸腔放气，以降低胸腔压力。

正常人的胸腔是负压，当气体进入后会压缩肺脏，导致呼吸困难，片中的场景应该是张力性气胸，即胸腔压力大于外部气压时，才插入胸腔放气。但是，如此风骚的非常规手段，未消毒，还产生新创伤的治疗手段，明显是不符合医疗操作流程的，但若不这样做，又可能没命。所以，危急情况下，总有一点最高优先级的参考标准，那就是：生命高于一切！

在各公司里面，都有自己要求的产品发布流程，从需求、开发、测试、发布都有一系列的流程要走，这也是对产品质量的保证。但是，若被外部发现严重漏洞，想发布补丁也这样走一遍，中间还涉及各种审批，搞完都得好多天了，到时候，裤子又要被脱光光了！

那到底是遵守，还是不遵守呢？

这就要求同样要有一条最高优先级的参考标准，那就是：数据安全高于一切！

数据包括公司保密信息、用户数据等等不宜公开的数据，如果在危害数据安全的情况下，就不该过于拘泥于繁文缛节，应有相应的应急通道去帮助快速发布安全补丁的途径。

要略三：举一反三，触类旁通

每起安全应急事件背后，都有其导致事件的问题存在，很多时候它又代表着一类问题，而非单一案例作单一处理，最好能保证一个案例，其所引出的一类问题一起解决掉。

比如由于SQL注入导致的拖库事件，并非止损修漏洞就完事了，其背后的扫描器为何漏扫，WAF为何被绕过，或者漏洞代码为何回滚（上个月苹果就因此导致iOS 12.4被拿旧洞越狱）。解决背后引发漏洞的各类问题，是不是就能够拿扫描器发现更多业务的同类漏洞，WAF是不是能够帮各多业务防御漏洞，代码发布流程的完善是否可以避免代码回滚导致的漏洞……

要略四：广开言路，以德服人

在电影《巴斯特·斯克鲁格斯的歌谣》中，巴斯特·斯克鲁格斯是个牛仔，穿戴着闪闪发光的马刺和崭新的白色马裤，喜欢唱歌，还有无人能敌的好枪法，他自诩是全西部决斗掏枪最快的枪手，还把这编成了歌谣，天天弹着吉他唱在口头，他以一种无敌的姿态一路杀，一路唱，一路跳。但最终他遇上了旗鼓相当的对手，被人以自己惯用规则和套路一枪爆头。

这个故事告诉我们，装逼一时爽，过头火葬场。

同样地，再牛逼的安全系统也可能被绕过，再安全的网站也可能被入侵，没有绝对安全的地方。

现在流行建设SRC与众测，也是为了与自身安全团队的能力作互补，广开言路，博采众长，改善自身安全系统，解决自己未能发现的问题。

为何提到以德服人，一方面是指善待白帽子，保持有效沟通，另一方面是指避免"文人相轻"的现象。谁都年轻过，搞技术的人有时多少有点傲气，报洞的BS收洞的，甚至报洞者之间互相BS，同时收洞的也可能BS报洞的。如果自己也带着相同的情绪，难免会导致与白帽子之间沟通矛盾，所以说善待白帽子，以德服人。哪怕白帽子因此少在凌晨两三点搞事，也是好的。

这些年，微软对漏洞的处理的态度变化最大，从最初放言绝不为漏洞买卖，散漫的漏洞处理态度，到现在及时响应，建立完善的漏洞奖励计划，奖金力度也在不断提高，同时每年在BlackHat上公布TOP 100最具价值的安全研究员名单，赋予帽子荣誉感。

这些都代表着行业对漏洞，对白帽子的态度都与时俱进地改变着。

要略五：未雨绸缪，防范未然

现在行业都在推广DevSecOps，是由Gartner 在2012年的一份报告中提出的概念。在这份报告中，Gartner提出信息安全专业人士需要更主动的融入DevOps的实践中，秉承DevOps的精神，拥抱团队协作、敏捷和职责共担的哲学。说得直白点就是，将安全融入到研发、运营等各个流程中，以实现安全自动化，连续响应和检测的机制，帮助各团队之间协同合作。

在应急事件中至少覆盖到：

1. 事前防范：包括漏洞扫描、代码审计、渗透测试、威胁情报、数据保护等等；

2. 事中拦截：包括WAF、EDR、RAPS、IDS、杀软等等；

3. 事后追溯：包括日志记录、取证系统等等。

要略六：犯罪者，虽远必诛

早作最坏的打算，因为白帽子也有"黑化"的可能。之前微软得罪过多少个白帽子了，就曾有白帽子在一气之下，每隔一段时间就爆0day出来。虽然其中微软也有责任，但白帽子这种行为总是不可取的。

特别鄙视那些借测试之名，行不轨不事的人，搞了破坏还要钱，这就是不厚道，耗人品的耻事。

即使是现在的SRC与众测平台，虽说是奖励机制，但本质上依然是种利益交换行为，有利益就可能产生冲突。所以，需要时刻为这种冲突准备着。

坚持"不搞事，不怕事"的态度，贯彻"决不放弃使用武力"的作战方针，保留犯罪证据，在必要的时候，坚决拿起法律武器捍卫自身权益。

一句话：犯罪者，虽远必诛！

本文始发于微信公众号（漏洞战争）：漫谈网络安全应急要略