0x1 本周话题TOP3

话题1：大家购买演习服务，攻击队会提供清楚的攻击步骤吗？在演习完毕后提供验证修复服务吗？是比较显然的服务内容，还是说得单独明确、额外写在合同里才可以提供？

A1:目前合作的蓝军只提供攻击结果和结果相关的一些漏洞细节，具体步骤不会提供，如果合同具体写明应该可以。

个人觉得详细的攻击步骤意义不大，不管采用什么攻击步骤，最终都归结到利用的漏洞。

A2：确实主要是利用漏洞，而且很多公司的报告都有意不写这些细节。至于为何不写，可能是他们手上有一些私货不方便说，怕你抓到。真正交流的时候，通常给一个攻击流程图，你得问他们细节、工具、步骤，要不然白交流。

A3:问就是用的挖掘的0day，不方便透露，所以我都是私下来和红队的几个朋友交流攻击细节，然后自己处置。红队很多都是买的，后面一大帮人给他们做技术支撑，如工具平台建设team，包括魔改的cs；典型一点的像数字公司的bugclub就是收集购买各种漏洞的。

附上一篇讲挖web0day的文章：

https://0xboku.com/2021/09/14/0dayappsecBeginnerGuide.html

Q：现在对攻击队都是录屏的，有人对录屏进行分析过么？感觉这就是详细步骤，除非用外围打下的，并没有用指定平台来操作。

A4:很多操作都是在外围打，操作机录屏只有必要的操作，而且录屏基本按周起步，一周的录屏分析起来脑袋都大了，工作量也太大了。

Q：除了保密协议啥的？目前还没有什么好办法吗？最近我正在写红蓝的合同，没想清楚怎么写要求。

A5：可以让红队记录攻击时间点，然后根据攻击时间点去找视频，并结合当时和指挥部报备时间、要素等情况。相对于之前盲目的翻视频，工作量小了很多。

A6:这个意义不大，因为乙方红队在做项目时碰到关键漏洞也不是他们自己打的，都是去买。当然，关键漏洞还是要自己操作录屏的，不然就属于违反保密协议和合同内容了。

A7:确实可能不是，因为乙方一般挖漏洞和打红队的属于两个部门，部门之间也不想分享漏洞细节，甚至有一部分是红队自己去购买漏洞的，没有用公司挖掘漏洞团队的东西。

Q：如果买那岂不是违反合同了？

A8:是这样子的，红队探测出了甲方的资产有哪些东西，然后看自己手上有没有这部分的洞，没有的话就去找周围做代码审计或者漏洞挖掘的业内人士购买。这儿的资产不局限于公网资产，还有内网资产。

总之这个特别复杂，有红队自己挖的，红队从朋友那借的，自己公司研究院挖的，漏洞平台收的，还有骗来的，比如通过弱口令等登进某个系统，然后让有漏洞的打，抓流量自己分析。

A9:我觉得红队大部分还是要靠个人的经验和手里掌握的漏洞来得分，买漏洞的有可能存在，但比较少存在这种情况，主要是存在于小乙方想拿名次的。

A10：这个不同设备不同厂商不同类型的day价格差距挺大的，现在0day都泛滥了。一是因为挖漏洞的收入高还能卖，一大堆人去挖漏洞，从提供设备的-破解代码的-代码审计的都成产业链了；二是漏洞一直在那，结果就形成分布式代码扫描器，挖的基数大了，漏洞就更多了。

A11:回到正题，关于怎么从签合同的红队里面找出来攻击细节，通常在复盘的时候，请红队分享经验，提供细节。这需要甲方在签合同里定义好红队的职责，要求提供详细的报告，在招标的时候写在标书里。

（PS:关于红蓝对抗，红军及渗透攻击人员也可现身说法，欢迎大家在留言区畅所欲言，一起探讨）

话题2：公司主营业务是数据服务，目前IT设施主要以自建为主，每年投入好几千万（不含人力成本），可用性这块也不理想（如出现多次通信线路故障），业务上云也是一种行业趋势，CTO提出技术部去调研下业务上云的可能性（采用业务分拆上云，核心数据类服务不会上云），但公司无业务体系化上云的经验。对此，个人理解需要搞清楚几个问题：

• 调研的维度：除技术改造成本，费用，迁移上云辅助技术工具，云设施安全性，云服务多样性，用户案例等之外还有其他维度吗？
• 是否有主流供应商的竞品分析可以分享一下？
• 选择云供应商应该遵循哪些原则？

冬奥临近，中国周边有哪些APT组织正在实施网络攻击

刘颖 译：《日本个人信息保护法》（2020年最新版本）

如何进群？