在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
|
1、面向情报公司付费信息的应急 2、面向互联网侧舆情信息的应急 3、客户侧产品推送样本事件处置 4、某邮箱被攻击情报的自我检查 5、办公网出口地址攻击客户蜜罐 6、SRC白帽子突破边界进业务网 7、某部门下发零日漏洞确认函处置 8、公司溯源团队查到团队内部成员 |
本章为该系列的第十篇,亦是进入白热化战时状态的第4篇。主要介绍:根据软件供应链上游被攻击的情报,快速在内部组织排查和响应的安全事件。其中有两部分最为重要,一是获取情报渠道(真实性和速度),二是内部响应(速度和安全措施),在这场几乎是全公司参与的网络安全活动中,展现出了安全公司在演习期间获得一手情报的绝对优势。
01
—
事件描述
某日在指挥中心值班,PM组同事突然跑到身边,问我公司使用XX相关产品的情况。据在客户现场值守的同事上报:XX邮箱公司内网已经被攻破,其云端和公共服务也已经沦陷,使用相关服务的公司很可能遭到供应链攻击。
演习相关常识1:实战攻防演习,亦打情报战。战场上的争分夺秒,就可以躲过炮火的攻击。当防守方掌握了可靠的情报,就好比和其他防守方、甚至攻击队赛跑时,有了加速器。演习相关常识2:安全公司具备丰富的安全信息源,更厉害的是客户侧驻场人员就好比是一个个探针,随时将现场的攻防情况传到总部进行“验真-降噪-分析-提炼”,然后再通过更新规则的方式赋能到各安全产品。演习相关常识3:软件供应链攻击的热度是逐年上涨,不少公司会因为上游供应商被攻击而被攻击。故针对供应链攻击的防范,将成为具有一定成熟度企业的安全建设重点之一。
02
—
响应动作
快速上网搜了下XX的产品,大致有电话、视屏会议等业务,突然反应过来IM电话会议使用的就是它。立即拨通了相关同事的电话,拉群做应急响应。 
会议上达成一致意见,从以下几个角度开展排查及临时加固:
-
情报求证:联系XX公司,询问情报的真实性及受影响范围; -
影响评估:确定可能泄露的敏感数据范围,包括通话录音、会议记录、会议密码(电话会议的录音数据是否有泄露风险?保存位置在哪儿?),最终圈定可能受到影响的资产是与XX对接公共服务的四台服务器、XX后台的登陆账密及云上存储的通话录音; -
功能关停:在不影响正常使用的情况下,关闭公司的通话录音功能,防止新增的录音泄露(先联系运维方,再发全员通知); -
安全加固:修改XX后台的用户密码;检查相关资产的hids、日志采集等工作情况,并针对这些资产编写安全检测规则做持续监测。
03
—
处置结果
电话会议相关的四台服务器均安装了hids且为最新版本,状态正常;对日志采集进行了有效性验证,日志能够产生、外发,功能正常;后续一直对其进行重点监测,也没发生相关联的安全事件。
04
—
经验总结
这是在实战攻防演习期间,引入前场安全情报,对内部网络安全的一次应急响应。笔者发挥了指挥中心值班现场的情报优势,对内组织相关部门和同事做出判断分析,快速的完成了一次排查。
长按识别二维码,和我交流
More...
--------- 实战演习 ---------
--------- 安全运营 ---------
--------- 软件安全 ---------
--------- 企业安全 ---------
--------- 渗透测试 ---------
--------- 安全开发 ---------
--------- 个人体验 ---------
原文始发于微信公众号(我的安全视界观):某邮箱被攻击情报的自我检查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论