SRC白帽子突破边界进业务网

在每一年的演习中，我们都会处置好几十起产品安全事件，虽然绝大多数都是已知的漏洞，但仍然有记录和总结的价值。另外身处应急响应大厅，还会得到来自几千同事传来的一手情报，他们犹如探针一样驻扎在客户侧进行防守，又或是攻击队员，在演习期间不间断的上报情报，可以帮助提升公司网络安全（安全部做出相应排查、加固和检测动作）和产品安全能力（产品线依据情报详情编写检测规则）。回顾历年写下的笔记，提炼出八个典型场景进行分享：

1、面向情报公司付费信息的应急 2、面向互联网侧舆情信息的应急 3、客户侧产品推送样本事件处置 4、某邮箱被攻击情报的自我检查 5、办公网出口地址攻击客户蜜罐 6、SRC白帽子突破边界进业务网 7、某部门下发零日漏洞确认函处置 8、公司溯源团队查到团队内部成员

         

本章为该系列的第十二篇，亦是进入白热化战时状态的第6篇。主要介绍在演习期间，白帽子利用已知漏洞进入公司某内网，开展应急响应的经历。相对于真实的攻击（真实攻击不可控，白帽子的相对可控），虽说是虚惊一场，但也暴露出大问题：演习前，对自管子公司或部门的网络安全管理缺乏力度及粒度。另外个人做了一些之前没做好（只低头做事儿）、之前没做过的工作内容（起草保密协议），在认知上也有了一些提升。

         

01

—

事件描述

SRC收到白帽子提交的某产品漏洞，经过审核人员判断为历史漏洞。但是白帽子通过漏洞直捣A部门自管的内网，并碰到了他们的Jenkins、代码库等敏感信息。

         

02

—

响应动作

联动安全运营组和A部门，建立内部群进行处置。白帽子碰到的资产均不在集团管理范围内，属于独立的内网、与集团不通。对此A部安排自己的安服人员进行应急响应，主要排查：

• 产品源代码是否被拖走；
• 其它高价值的安全资料是否被带走；
• 白帽子进入内网后还进行了哪些动作？

03

—

处置结果

A部门安服进行了排查，并将结果以报告的方式提交到集团。从报告来看，白帽子分别使用账号lizz（内网权限）、hann（生产环境访问权限）进行内网扫描和访问内网平台，未发现其拖数据。

         

04

—

经验总结

技术人员思维一般会严格按照流程独自处置，不太会跳出处置细节来看事情走向。对于新场景，可能不会有太多灵活的应变。通过这件事的应急处置和观察，在认知上有了一些提升：

• 上报领导：当我从指挥中心回到自己工位时，负责人告之已经将事件定级为三级、上报了老板，并得到指示按应急流程处置。这是我没意识到的点，出事儿要及时上报到最高层，并且还不是自己直接负责的范围内出错，是帮事业部处理和兜底。

  
  

• 保密意识：由于A部属于安全密级较高的部门，故自己有一张内网，其数据、资料相对比较敏感。为了保险起见，与白帽子沟通达成一致后，额外支付了一笔保密费，让其签署保密协议。起初是我一个人在弄，后续也请法务袁同学一起评审，其专业和配合程度都令人难忘，刷新对公司法务的好感。

  
  

• 抬头看路：在处置这次事件时，没有埋头独自傻干，而是将A部的负责人拉上一起，包括电话沟通处置措施、审核保密协议等，让产线也要深度参与进来、并一起做决策。之前一般都是单兵作战靠自己的技术思维，这样不仅可能得不到广泛认可，还可能因为自己视野的局限性耽误了事情。

         

---

长按识别二维码，和我交流

More...

--------- 实战演习 ---------

• 1 何为多维度的视角

• 2 关于对演习的期望

• 3 公司层面统筹布局 

• 4 实战攻防演习下的产品安全保障 

• 5 产品安全事件定级评分方法

• 6 演习前红队暗泉涌动投毒

• 7 面向情报公司付费信息的应急

• 8 面向互联网侧情报信息的应急

• 9 客户侧产品推送样本事件处置

• 10 某邮箱被攻击情报的自我检查

• 11 办公网出口地址攻击客户蜜罐
  

  
  

--------- 安全运营 ---------

• 安全事件运营SOP：软件供应链投毒事件

• 安全事件运营SOP：接收漏洞事件

• 安全事件运营SOP：webshell事件

• 安全事件运营SOP：蜜罐告警

• 安全事件运营SOP：网络攻击

• 安全事件运营SOP：钓鱼邮件

• 安全事件运营SOP：基于实践的安全事件简述

• 企业级供应链投毒应急安全能力建设

• 应急能力提升：实战应急困境与突破

• 应急能力提升：挖矿权限维持攻击模拟

• 应急能力提升：内网横向移动攻击模拟

• 应急能力提升：实战应急响应经验

• 应急能力提升：应急响应报告点评

• 应急能力提升：应急响应专题总结会

• 应急响应：redis挖矿（防御篇）

• 应急响应：redis挖矿（攻击篇）

• 应急响应：redis挖矿（完结篇）

  
  

--------- 软件安全 --------- 

• 开篇

• 安全培训

• 安全需求

• 安全设计

• 安全开发

• 安全测试

• 安全审核

• 安全响应

• 完结篇（全系列paper下载）

• 浅谈安全产品的hvv安全之道

• Shift Left在开发安全中的应用

--------- 企业安全 ---------

• 企业安全建设需求
  

• 企业安全威胁简述

• 企业安全架构建设

• 企业安全项目-测试环境内网化

• 企业安全项目-Github信息泄露

• 企业安全项目-短信验证码安全

• 企业安全项目-前端绕过专项整改

• 业务安全之另类隐患

• 应用发布之安全隐患

• 甲方眼里的安全测试

• 基于堡垒机的自动化功能实践1

• 基于堡垒机的自动化功能实践2

• 基于堡垒机的自动化功能实践3

• 基于堡垒机的自动化功能实践4

• Nmap操作系统探测技术浅析

• 漏洞情报调研

• 漏洞调研报告（非完整版）

• 从漏洞视角看敏捷安全

--------- 渗透测试 ---------

• 安全运维那些洞

• 安全业务那些洞

• 那个简单的威胁情报

• Android APP数据存储安全

• 搜集SRC信息中的“技术活儿”

• 常规渗透瓶颈，发散思维突破 

--------- 安全开发 ---------

• python武器库

• 漏洞扫描器资产处理

• python代码审计武器I

• python代码审计武器II

• Nodejs代码审计武器

• fortify漏洞的学习途径

  
  

--------- 个人体验 ---------

• 如何学习这么多的安全文章（实践篇）
  

• 如何学习这么多的安全文章（理论篇）

• 漫谈在安全公司做内部安全的体验

• C3安全峰会参后感

• 提高认知效率秘籍

• 向上型技术人的职业素养

原文始发于微信公众号（我的安全视界观）：SRC白帽子突破边界进业务网