漫谈网络安全应急要略
【注】:本文仅代表个人观点,与公司立场无关。
早上看到朋友圈有人说Metasploit公布BlueKeep远程执行漏洞的利用,一些安全群里也有人喊着加班了,但这漏洞明明很早就已经发布补丁了,现在才加班应急明显是有问题的。本文就来谈谈关于安全应急的一些个人想法。
要略一:急则治其标,缓则治其本
在韩剧《幽灵》中,男主角在入侵犯罪者的电脑后,发现他正在上传受害者视频,在电脑里他看到一份名为申孝静的文件,里面全是照片,男主在照片里看到那个戴金表的男人,但还没看清他的脸,对方就把网线拔掉了。
假如服务器因漏洞被入侵,是先修漏洞还是先像上面韩剧那样拔网线呢?
估计你想拔网线都拔不到,但可以先关闭外网止损。虽然这里本因是漏洞导致的,但如果入侵后,还想着线上补漏洞,估计等你补完,裤子都被脱光了。
这里的"标"是数据泄露,"本"是漏洞,紧急情况下,先治标,及时止损,防止数据泄露;缓解之后,再治本,修补漏洞,也包括安全系统监控与拦截机制被绕过的问题。
如果今天还在应急BlueKeep漏洞,说明补丁日的时候没有及时打补丁,才导致今天的局面。
毕竟,你总不能老是靠拔网线来解决问题吧!
要略二:数据安全高于一切
日剧《医龙》中,跟随男主的一位护士突发气胸,情况危急,如果叫救护车可能来不及,于是男主直接拿根笔管折断,插入患者的两侧胸腔放气,以降低胸腔压力。 正常人的胸腔是负压,当气体进入后会压缩肺脏,导致呼吸困难,片中的场景应该是张力性气胸,即胸腔压力大于外部气压时,才插入胸腔放气。但是,如此风骚的非常规手段,未消毒,还产生新创伤的治疗手段,明显是不符合医疗操作流程的,但若不这样做,又可能没命。所以,危急情况下,总有一点最高优先级的参考标准,那就是:生命高于一切!
在各公司里面,都有自己要求的产品发布流程,从需求、开发、测试、发布都有一系列的流程要走,这也是对产品质量的保证。但是,若被外部发现严重漏洞,想发布补丁也这样走一遍,中间还涉及各种审批,搞完都得好多天了,到时候,裤子又要被脱光光了!
那到底是遵守,还是不遵守呢?
这就要求同样要有一条最高优先级的参考标准,那就是:数据安全高于一切!
数据包括公司保密信息、用户数据等等不宜公开的数据,如果在危害数据安全的情况下,就不该过于拘泥于繁文缛节,应有相应的应急通道去帮助快速发布安全补丁的途径。
要略三:举一反三,触类旁通
每起安全应急事件背后,都有其导致事件的问题存在,很多时候它又代表着一类问题,而非单一案例作单一处理,最好能保证一个案例,其所引出的一类问题一起解决掉。
比如由于SQL注入导致的拖库事件,并非止损修漏洞就完事了,其背后的扫描器为何漏扫,WAF为何被绕过,或者漏洞代码为何回滚(上个月苹果就因此导致iOS 12.4被拿旧洞越狱)。解决背后引发漏洞的各类问题,是不是就能够拿扫描器发现更多业务的同类漏洞,WAF是不是能够帮各多业务防御漏洞,代码发布流程的完善是否可以避免代码回滚导致的漏洞……
要略四:广开言路,以德服人
在电影《巴斯特·斯克鲁格斯的歌谣》中,巴斯特·斯克鲁格斯是个牛仔,穿戴着闪闪发光的马刺和崭新的白色马裤,喜欢唱歌,还有无人能敌的好枪法,他自诩是全西部决斗掏枪最快的枪手,还把这编成了歌谣,天天弹着吉他唱在口头,他以一种无敌的姿态一路杀,一路唱,一路跳。但最终他遇上了旗鼓相当的对手,被人以自己惯用规则和套路一枪爆头。
这个故事告诉我们,装逼一时爽,过头火葬场。
同样地,再牛逼的安全系统也可能被绕过,再安全的网站也可能被入侵,没有绝对安全的地方。
现在流行建设SRC与众测,也是为了与自身安全团队的能力作互补,广开言路,博采众长,改善自身安全系统,解决自己未能发现的问题。
为何提到以德服人,一方面是指善待白帽子,保持有效沟通,另一方面是指避免"文人相轻"的现象。谁都年轻过,搞技术的人有时多少有点傲气,报洞的BS收洞的,甚至报洞者之间互相BS,同时收洞的也可能BS报洞的。如果自己也带着相同的情绪,难免会导致与白帽子之间沟通矛盾,所以说善待白帽子,以德服人。哪怕白帽子因此少在凌晨两三点搞事,也是好的。
这些年,微软对漏洞的处理的态度变化最大,从最初放言绝不为漏洞买卖,散漫的漏洞处理态度,到现在及时响应,建立完善的漏洞奖励计划,奖金力度也在不断提高,同时每年在BlackHat上公布TOP 100最具价值的安全研究员名单,赋予帽子荣誉感。
这些都代表着行业对漏洞,对白帽子的态度都与时俱进地改变着。
要略五:未雨绸缪,防范未然
现在行业都在推广DevSecOps,是由Gartner 在2012年的一份报告中提出的概念。在这份报告中,Gartner提出信息安全专业人士需要更主动的融入DevOps的实践中,秉承DevOps的精神,拥抱团队协作、敏捷和职责共担的哲学。说得直白点就是,将安全融入到研发、运营等各个流程中,以实现安全自动化,连续响应和检测的机制,帮助各团队之间协同合作。
在应急事件中至少覆盖到:
- 事前防范:包括漏洞扫描、代码审计、渗透测试、威胁情报、数据保护等等;
- 事中拦截:包括WAF、EDR、RAPS、IDS、杀软等等;
- 事后追溯:包括日志记录、取证系统等等。