在每一年的演习中，我们都会处置好几十起产品安全事件，虽然绝大多数都是已知的漏洞，但仍然有记录和总结的价值。另外身处应急响应大厅，还会得到来自几千同事传来的一手情报，他们犹如探针一样驻扎在客户侧进行防守，又或是攻击队员，在演习期间不间断的上报情报，可以帮助提升公司网络安全（安全部做出相应排查、加固和检测动作）和产品安全能力（产品线依据情报详情编写检测规则）。回顾历年写下的笔记，提炼出八个典型场景进行分享：

1、面向情报公司付费信息的应急2、面向互联网侧舆情信息的应急3、客户侧产品推送样本事件处置4、某邮箱被攻击情报的自我检查5、办公网出口地址攻击客户蜜罐6、SRC白帽子突破边界进业务网7、某部门下发零日漏洞确认函处置8、公司溯源团队查到团队内部成员

       

本章为该系列的第十二篇，亦是进入白热化战时状态的第6篇。主要介绍在演习期间，白帽子利用已知漏洞进入公司某内网，开展应急响应的经历。相对于真实的攻击（真实攻击不可控，白帽子的相对可控），虽说是虚惊一场，但也暴露出大问题：演习前，对自管子公司或部门的网络安全管理缺乏力度及粒度。另外个人做了一些之前没做好（只低头做事儿）、之前没做过的工作内容（起草保密协议），在认知上也有了一些提升。
       

01

—

事件描述
SRC收到白帽子提交的某产品漏洞，经过审核人员判断为历史漏洞。但是白帽子通过漏洞直捣A部门自管的内网，并碰到了他们的Jenkins、代码库等敏感信息。

       

02

—

响应动作
联动安全运营组和A部门，建立内部群进行处置。白帽子碰到的资产均不在集团管理范围内，属于独立的内网、与集团不通。对此A部安排自己的安服人员进行应急响应，主要排查：

• 产品源代码是否被拖走；
• 其它高价值的安全资料是否被带走；
• 白帽子进入内网后还进行了哪些动作？

03

—

处置结果
A部门安服进行了排查，并将结果以报告的方式提交到集团。从报告来看，白帽子分别使用账号lizz（内网权限）、hann（生产环境访问权限）进行内网扫描和访问内网平台，未发现其拖数据。

       

04

—

经验总结
技术人员思维一般会严格按照流程独自处置，不太会跳出处置细节来看事情走向。对于新场景，可能不会有太多灵活的应变。通过这件事的应急处置和观察，在认知上有了一些提升：

• 
  上报领导：当我从指挥中心回到自己工位时，负责人告之已经将事件定级为三级、上报了老板，并得到指示按应急流程处置。这是我没意识到的点，出事儿要及时上报到最高层，并且还不是自己直接负责的范围内出错，是帮事业部处理和兜底。
  
  
• 
  保密意识：由于A部属于安全密级较高的部门，故自己有一张内网，其数据、资料相对比较敏感。为了保险起见，与白帽子沟通达成一致后，额外支付了一笔保密费，让其签署保密协议。起初是我一个人在弄，后续也请法务袁同学一起评审，其专业和配合程度都令人难忘，刷新对公司法务的好感。
  
  
• 
  抬头看路：在处置这次事件时，没有埋头独自傻干，而是将A部的负责人拉上一起，包括电话沟通处置措施、审核保密协议等，让产线也要深度参与进来、并一起做决策。之前一般都是单兵作战靠自己的技术思维，这样不仅可能得不到广泛认可，还可能因为自己视野的局限性耽误了事情。
  

       

---

长按识别二维码，和我交流



More...

--------- 实战演习 ---------

• 
  1 何为多维度的视角
  
• 
  2 关于对演习的期望
  
• 
  3 公司层面统筹布局
  
• 
  4 实战攻防演习下的产品安全保障
  
• 
  5 产品安全事件定级评分方法
  
• 
  6 演习前红队暗泉涌动投毒
  
• 
  7 面向情报公司付费信息的应急
  
• 
  8 面向互联网侧情报信息的应急
  
• 
  9 客户侧产品推送样本事件处置
  
• 
  10 某邮箱被攻击情报的自我检查
  
• 
  11 办公网出口地址攻击客户蜜罐
  
  

--------- 安全运营 ---------

• 
  安全事件运营SOP：软件供应链投毒事件
  
• 
  安全事件运营SOP：接收漏洞事件
  
• 
  安全事件运营SOP：webshell事件
  
• 
  安全事件运营SOP：蜜罐告警
  
• 
  安全事件运营SOP：网络攻击
  
• 
  安全事件运营SOP：钓鱼邮件
  
• 
  安全事件运营SOP：基于实践的安全事件简述
  
• 
  企业级供应链投毒应急安全能力建设
  
• 
  应急能力提升：实战应急困境与突破
  
• 
  应急能力提升：挖矿权限维持攻击模拟
  
• 
  应急能力提升：内网横向移动攻击模拟
  
• 
  应急能力提升：实战应急响应经验
  
• 
  应急能力提升：应急响应报告点评
  
• 
  应急能力提升：应急响应专题总结会
  
• 
  应急响应：redis挖矿（防御篇）
  
• 
  应急响应：redis挖矿（攻击篇）
  
• 
  应急响应：redis挖矿（完结篇）
  
  

--------- 软件安全 ---------

• 
  开篇
  
• 
  安全培训
  
• 
  安全需求
  
• 
  安全设计
  
• 
  安全开发
  
• 
  安全测试
  
• 
  安全审核
  
• 
  安全响应
  
• 
  完结篇（全系列paper下载）
  
• 
  浅谈安全产品的hvv安全之道
  
• 
  Shift Left在开发安全中的应用
  

--------- 企业安全 ---------

• 
  企业安全建设需求
  
  
• 
  企业安全威胁简述
  
• 
  企业安全架构建设
  
• 
  企业安全项目-测试环境内网化
  
• 
  企业安全项目-Github信息泄露
  
• 
  企业安全项目-短信验证码安全
  
• 
  企业安全项目-前端绕过专项整改
  
• 
  业务安全之另类隐患
  
• 
  应用发布之安全隐患
  
• 
  甲方眼里的安全测试
  
• 
  基于堡垒机的自动化功能实践1
  
• 
  基于堡垒机的自动化功能实践2
  
• 
  基于堡垒机的自动化功能实践3
  
• 
  基于堡垒机的自动化功能实践4
  
• 
  Nmap操作系统探测技术浅析
  
• 
  漏洞情报调研
  
• 
  漏洞调研报告（非完整版）
  
• 
  从漏洞视角看敏捷安全
  

--------- 渗透测试 ---------

• 
  安全运维那些洞
  
• 
  安全业务那些洞
  
• 
  那个简单的威胁情报
  
• 
  Android APP数据存储安全
  
• 
  搜集SRC信息中的“技术活儿”
  
• 
  常规渗透瓶颈，发散思维突破
  

--------- 安全开发 ---------

• 
  python武器库
  
• 
  漏洞扫描器资产处理
  
• 
  python代码审计武器I
  
• 
  python代码审计武器II
  
• 
  Nodejs代码审计武器
  
• 
  fortify漏洞的学习途径
  
  

--------- 个人体验 ---------

• 
  如何学习这么多的安全文章（实践篇）
  
  
• 
  如何学习这么多的安全文章（理论篇）
  
• 
  漫谈在安全公司做内部安全的体验
  
• 
  C3安全峰会参后感
  
• 
  提高认知效率秘籍
  
• 
  向上型技术人的职业素养