·设为首页收藏本站📧邮箱修改🎁免费下载专区💎积分✅卡密📒收藏夹👽聊天室
DZ插件网 门户 网站安全 查看内容

SRC白帽子突破边界进业务网

2024-8-22 16:19| 发布者: 迪巴拉| 查看: 87457| 评论: 0

摘要: 在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守 ...


在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:

1、面向情报公司付费信息的应急2、面向互联网侧舆情信息的应急3、客户侧产品推送样本事件处置4、某邮箱被攻击情报的自我检查5、办公网出口地址攻击客户蜜罐6、SRC白帽子突破边界进业务网7、某部门下发零日漏洞确认函处置8、公司溯源团队查到团队内部成员

       

本章为该系列的第十二篇,亦是进入白热化战时状态的第6篇。主要介绍在演习期间,白帽子利用已知漏洞进入公司某内网,开展应急响应的经历。相对于真实的攻击(真实攻击不可控,白帽子的相对可控),虽说是虚惊一场,但也暴露出大问题:演习前,对自管子公司或部门的网络安全管理缺乏力度及粒度。另外个人做了一些之前没做好(只低头做事儿)、之前没做过的工作内容(起草保密协议),在认知上也有了一些提升。
       

01



事件描述
SRC收到白帽子提交的某产品漏洞,经过审核人员判断为历史漏洞。但是白帽子通过漏洞直捣A部门自管的内网,并碰到了他们的Jenkins、代码库等敏感信息。
SRC白帽子突破边界进业务网1218 作者: 来源: 发布时间:2024-8-22 16:19
       

02



响应动作
联动安全运营组和A部门,建立内部群进行处置。白帽子碰到的资产均不在集团管理范围内,属于独立的内网、与集团不通。对此A部安排自己的安服人员进行应急响应,主要排查:
SRC白帽子突破边界进业务网89 作者: 来源: 发布时间:2024-8-22 16:19
  • 产品源代码是否被拖走;
  • 其它高价值的安全资料是否被带走;
  • 白帽子进入内网后还进行了哪些动作?


03



处置结果
A部门安服进行了排查,并将结果以报告的方式提交到集团。从报告来看,白帽子分别使用账号lizz(内网权限)、hann(生产环境访问权限)进行内网扫描和访问内网平台,未发现其拖数据。
SRC白帽子突破边界进业务网4903 作者: 来源: 发布时间:2024-8-22 16:19
       

04



经验总结
技术人员思维一般会严格按照流程独自处置,不太会跳出处置细节来看事情走向。对于新场景,可能不会有太多灵活的应变。通过这件事的应急处置和观察,在认知上有了一些提升:
SRC白帽子突破边界进业务网1451 作者: 来源: 发布时间:2024-8-22 16:19

  • 上报领导:当我从指挥中心回到自己工位时,负责人告之已经将事件定级为三级、上报了老板,并得到指示按应急流程处置。这是我没意识到的点,出事儿要及时上报到最高层,并且还不是自己直接负责的范围内出错,是帮事业部处理和兜底。


  • 保密意识:由于A部属于安全密级较高的部门,故自己有一张内网,其数据、资料相对比较敏感。为了保险起见,与白帽子沟通达成一致后,额外支付了一笔保密费,让其签署保密协议。起初是我一个人在弄,后续也请法务袁同学一起评审,其专业和配合程度都令人难忘,刷新对公司法务的好感。


  • 抬头看路:在处置这次事件时,没有埋头独自傻干,而是将A部的负责人拉上一起,包括电话沟通处置措施、审核保密协议等,让产线也要深度参与进来、并一起做决策。之前一般都是单兵作战靠自己的技术思维,这样不仅可能得不到广泛认可,还可能因为自己视野的局限性耽误了事情。
       



长按识别二维码,和我交流



More...

--------- 实战演习 ---------

  • 1 何为多维度的视角

  • 2 关于对演习的期望

  • 3 公司层面统筹布局

  • 4 实战攻防演习下的产品安全保障

  • 5 产品安全事件定级评分方法

  • 6 演习前红队暗泉涌动投毒

  • 7 面向情报公司付费信息的应急

  • 8 面向互联网侧情报信息的应急

  • 9 客户侧产品推送样本事件处置

  • 10 某邮箱被攻击情报的自我检查

  • 11 办公网出口地址攻击客户蜜罐


--------- 安全运营 ---------

  • 安全事件运营SOP:软件供应链投毒事件

  • 安全事件运营SOP:接收漏洞事件

  • 安全事件运营SOP:webshell事件

  • 安全事件运营SOP:蜜罐告警

  • 安全事件运营SOP:网络攻击

  • 安全事件运营SOP:钓鱼邮件

  • 安全事件运营SOP:基于实践的安全事件简述

  • 企业级供应链投毒应急安全能力建设

  • 应急能力提升:实战应急困境与突破

  • 应急能力提升:挖矿权限维持攻击模拟

  • 应急能力提升:内网横向移动攻击模拟

  • 应急能力提升:实战应急响应经验

  • 应急能力提升:应急响应报告点评

  • 应急能力提升:应急响应专题总结会

  • 应急响应:redis挖矿(防御篇)

  • 应急响应:redis挖矿(攻击篇)

  • 应急响应:redis挖矿(完结篇)


--------- 软件安全 ---------

  • 开篇

  • 安全培训

  • 安全需求

  • 安全设计

  • 安全开发

  • 安全测试

  • 安全审核

  • 安全响应

  • 完结篇(全系列paper下载)

  • 浅谈安全产品的hvv安全之道

  • Shift Left在开发安全中的应用


--------- 企业安全 ---------

  • 企业安全建设需求


  • 企业安全威胁简述

  • 企业安全架构建设

  • 企业安全项目-测试环境内网化

  • 企业安全项目-Github信息泄露

  • 企业安全项目-短信验证码安全

  • 企业安全项目-前端绕过专项整改

  • 业务安全之另类隐患

  • 应用发布之安全隐患

  • 甲方眼里的安全测试

  • 基于堡垒机的自动化功能实践1

  • 基于堡垒机的自动化功能实践2

  • 基于堡垒机的自动化功能实践3

  • 基于堡垒机的自动化功能实践4

  • Nmap操作系统探测技术浅析

  • 漏洞情报调研

  • 漏洞调研报告(非完整版)

  • 从漏洞视角看敏捷安全


--------- 渗透测试 ---------

  • 安全运维那些洞

  • 安全业务那些洞

  • 那个简单的威胁情报

  • Android APP数据存储安全

  • 搜集SRC信息中的“技术活儿”

  • 常规渗透瓶颈,发散思维突破


--------- 安全开发 ---------


  • python武器库

  • 漏洞扫描器资产处理

  • python代码审计武器I

  • python代码审计武器II

  • Nodejs代码审计武器

  • fortify漏洞的学习途径


--------- 个人体验 ---------

  • 如何学习这么多的安全文章(实践篇)


  • 如何学习这么多的安全文章(理论篇)

  • 漫谈在安全公司做内部安全的体验

  • C3安全峰会参后感

  • 提高认知效率秘籍

  • 向上型技术人的职业素养





上一篇:CSDN批量搬运Github项目伪造开发者主页
下一篇:市工信委发布公示通告,腾讯众创空间(哈尔滨)运营机构被正式授予哈尔滨市中小企业创业(孵化)基地及哈尔滨市中小企业公共服务平台称号

鲜花

握手

雷人

路过

鸡蛋

评论

您需要登录后才可以发表言论 登录立即注册
创宇盾启航版免费网站防御网站加速服务
投诉/建议联系

discuzaddons@vip.qq.com

未经授权禁止转载,复制和建立镜像,
如有违反,按照公告处理!!!
  • 联系QQ客服
  • 添加微信客服

联系DZ插件网微信客服|最近更新|Archiver|手机版|小黑屋|DZ插件网! ( 鄂ICP备20010621号-1 )|网站地图 知道创宇云防御

您的IP:18.191.189.119,GMT+8, 2024-12-26 08:47 , Processed in 0.191637 second(s), 43 queries , Gzip On, Redis On.

Powered by Discuz! X5.0 Licensed

© 2001-2024 Discuz! Team.

关灯
扫一扫添加微信客服
QQ客服返回顶部
返回顶部