在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
|
|
本章为该系列的第十二篇,亦是进入白热化战时状态的第6篇。主要介绍在演习期间,白帽子利用已知漏洞进入公司某内网,开展应急响应的经历。相对于真实的攻击(真实攻击不可控,白帽子的相对可控),虽说是虚惊一场,但也暴露出大问题:演习前,对自管子公司或部门的网络安全管理缺乏力度及粒度。另外个人做了一些之前没做好(只低头做事儿)、之前没做过的工作内容(起草保密协议),在认知上也有了一些提升。
01
—
事件描述
02
—
响应动作
-
产品源代码是否被拖走; -
其它高价值的安全资料是否被带走; -
白帽子进入内网后还进行了哪些动作?
03
—
处置结果
04
—
经验总结
-
上报领导:当我从指挥中心回到自己工位时,负责人告之已经将事件定级为三级、上报了老板,并得到指示按应急流程处置。这是我没意识到的点,出事儿要及时上报到最高层,并且还不是自己直接负责的范围内出错,是帮事业部处理和兜底。
-
保密意识:由于A部属于安全密级较高的部门,故自己有一张内网,其数据、资料相对比较敏感。为了保险起见,与白帽子沟通达成一致后,额外支付了一笔保密费,让其签署保密协议。起初是我一个人在弄,后续也请法务袁同学一起评审,其专业和配合程度都令人难忘,刷新对公司法务的好感。
-
抬头看路:在处置这次事件时,没有埋头独自傻干,而是将A部的负责人拉上一起,包括电话沟通处置措施、审核保密协议等,让产线也要深度参与进来、并一起做决策。之前一般都是单兵作战靠自己的技术思维,这样不仅可能得不到广泛认可,还可能因为自己视野的局限性耽误了事情。
长按识别二维码,和我交流
More...
--------- 实战演习 ---------
--------- 安全运营 ---------
--------- 软件安全 ---------
--------- 企业安全 ---------
--------- 渗透测试 ---------
--------- 安全开发 ---------
--------- 个人体验 ---------
原文始发于微信公众号(我的安全视界观):SRC白帽子突破边界进业务网
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论