Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:15853 篇
已收录公众号数量:90 个
本站文章为爬虫采集,如有侵权请告知
本周热门文章
Dibrary 第二季——好书推荐预告   2020.11.26 17:54:30  33
CVE-2020-14882​&14883:Weblogic RCE复现   2020.11.27 17:40:52  32
我拿到月薪3W的offer了   2020.11.29 22:20:04  31
CVE-2019-11580 RCE漏洞分析   2020.11.29 15:01:02  31
千万别把钱放在余额宝里!!!   2020.11.27 19:00:58  31
MySQL 漏洞利用与提权   2020.11.24 15:00:30  31
天融信科技集团正式完成公司更名   2020.11.26 10:45:21  30
已收录微信公众号
网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
漫谈网络安全应急要略
本文来自公众号:漏洞战争   2019.09.07 21:28:52


【注】:本文仅代表个人观点,与公司立场无关。

早上看到朋友圈有人说Metasploit公布BlueKeep远程执行漏洞的利用,一些安全群里也有人喊着加班了,但这漏洞明明很早就已经发布补丁了,现在才加班应急明显是有问题的。本文就来谈谈关于安全应急的一些个人想法。

要略一:急则治其标,缓则治其本

在韩剧《幽灵》中,男主角在入侵犯罪者的电脑后,发现他正在上传受害者视频,在电脑里他看到一份名为申孝静的文件,里面全是照片,男主在照片里看到那个戴金表的男人,但还没看清他的脸,对方就把网线拔掉了。

假如服务器因漏洞被入侵,是先修漏洞还是先像上面韩剧那样拔网线呢?

估计你想拔网线都拔不到,但可以先关闭外网止损。虽然这里本因是漏洞导致的,但如果入侵后,还想着线上补漏洞,估计等你补完,裤子都被脱光了。

这里的"标"是数据泄露,"本"是漏洞,紧急情况下,先治标,及时止损,防止数据泄露;缓解之后,再治本,修补漏洞,也包括安全系统监控与拦截机制被绕过的问题。

如果今天还在应急BlueKeep漏洞,说明补丁日的时候没有及时打补丁,才导致今天的局面。

毕竟,你总不能老是靠拔网线来解决问题吧!

要略二:数据安全高于一切

日剧《医龙》中,跟随男主的一位护士突发气胸,情况危急,如果叫救护车可能来不及,于是男主直接拿根笔管折断,插入患者的两侧胸腔放气,以降低胸腔压力。

正常人的胸腔是负压,当气体进入后会压缩肺脏,导致呼吸困难,片中的场景应该是张力性气胸,即胸腔压力大于外部气压时,才插入胸腔放气。但是,如此风骚的非常规手段,未消毒,还产生新创伤的治疗手段,明显是不符合医疗操作流程的,但若不这样做,又可能没命。所以,危急情况下,总有一点最高优先级的参考标准,那就是:生命高于一切!

在各公司里面,都有自己要求的产品发布流程,从需求、开发、测试、发布都有一系列的流程要走,这也是对产品质量的保证。但是,若被外部发现严重漏洞,想发布补丁也这样走一遍,中间还涉及各种审批,搞完都得好多天了,到时候,裤子又要被脱光光了!

那到底是遵守,还是不遵守呢?

这就要求同样要有一条最高优先级的参考标准,那就是:数据安全高于一切!

数据包括公司保密信息、用户数据等等不宜公开的数据,如果在危害数据安全的情况下,就不该过于拘泥于繁文缛节,应有相应的应急通道去帮助快速发布安全补丁的途径。

要略三:举一反三,触类旁通

每起安全应急事件背后,都有其导致事件的问题存在,很多时候它又代表着一类问题,而非单一案例作单一处理,最好能保证一个案例,其所引出的一类问题一起解决掉。

比如由于SQL注入导致的拖库事件,并非止损修漏洞就完事了,其背后的扫描器为何漏扫,WAF为何被绕过,或者漏洞代码为何回滚(上个月苹果就因此导致iOS 12.4被拿旧洞越狱)。解决背后引发漏洞的各类问题,是不是就能够拿扫描器发现更多业务的同类漏洞,WAF是不是能够帮各多业务防御漏洞,代码发布流程的完善是否可以避免代码回滚导致的漏洞……

要略四:广开言路,以德服人

在电影《巴斯特·斯克鲁格斯的歌谣》中,巴斯特·斯克鲁格斯是个牛仔,穿戴着闪闪发光的马刺和崭新的白色马裤,喜欢唱歌,还有无人能敌的好枪法,他自诩是全西部决斗掏枪最快的枪手,还把这编成了歌谣,天天弹着吉他唱在口头,他以一种无敌的姿态一路杀,一路唱,一路跳。 但最终他遇上了旗鼓相当的对手,被人以自己惯用规则和套路一枪爆头。

这个故事告诉我们,装逼一时爽,过头火葬场。

同样地,再牛逼的安全系统也可能被绕过,再安全的网站也可能被入侵,没有绝对安全的地方。

现在流行建设SRC与众测,也是为了与自身安全团队的能力作互补,广开言路,博采众长,改善自身安全系统,解决自己未能发现的问题。

为何提到以德服人,一方面是指善待白帽子,保持有效沟通,另一方面是指避免"文人相轻"的现象。谁都年轻过,搞技术的人有时多少有点傲气,报洞的BS收洞的,甚至报洞者之间互相BS,同时收洞的也可能BS报洞的。如果自己也带着相同的情绪,难免会导致与白帽子之间沟通矛盾,所以说善待白帽子,以德服人。哪怕白帽子因此少在凌晨两三点搞事,也是好的。

这些年,微软对漏洞的处理的态度变化最大,从最初放言绝不为漏洞买卖,散漫 漏洞处理态度,到现在及时响应,建立完善的漏洞奖励计划,奖金力度也在不断提高,同时每年在BlackHat上公布TOP 100最具价值的安全研究员名单,赋予帽子荣誉感。

这些都代表着行业对漏洞,对白帽子的态度都与时俱进地改变着。

要略五:未雨绸缪,防范未然

现在行业都在推广DevSecOps,是由Gartner 在2012年的一份报告中提出的概念。在这份报告中,Gartner提出信息安全专业人士需要更主动的融入DevOps的实践中,秉承DevOps的精神,拥抱团队协作、敏捷和职责共担的哲学。说得直白点就是,将安全融入到研发、运营等各个流程中,以实现安全自动化,连续响应和检测的机制,帮助各团队之间协同合作。

在应急事件中至少覆盖到:

  1. 事前防范:包括漏洞扫描、代码审计、渗透测试、威胁情报、数据保护等等;

  2. 事中拦截:包括WAF、EDR、RAPS、IDS、杀软等等;

  3. 事后追溯:包括日志记录、取证系统等等。

要略六:犯罪者,虽远必诛

早作最坏的打算,因为白帽子也有"黑化"的可能。之前微软得罪过多少个白帽子了,就曾有白帽子在一气之下,每隔一段时间就爆0day出来。虽然其中微软也有责任,但白帽子这种行为总是不可取的。

特别鄙视那些借测试之名,行不轨不事的人,搞了破坏还要钱,这就是不厚道,耗人品的耻事。

即使是现在的SRC与众测平台,虽说是奖励机制,但本质上依然是种利益交换行为,有利益就可能产生冲突。所以,需要时刻为这种冲突准备着。

坚持"不搞事,不怕事"的态度,贯彻"决不放弃使用武力"的作战方针,保留犯罪证据,在必要的时候,坚决拿起法律武器捍卫自身权益。

一句话:犯罪者,虽远必诛!