本章为该系列的第四篇,主要介绍面对国家级的实战攻防演习,产品安全保障工作的目标和方案。在设计保障方案前,将紧绕目标制定设计原则,方案中主要围绕漏洞挖掘方案和应急响应方案展开,最后将介绍在经历多年实战演习后、对产品安全保障的一些新的感触。
产品安全保障专项
01
—
产品安全目标
产品安全的目标其实很明确,就是保障产品的自身安全性,避免在任何时候被任何方式攻破。但在实战演习期间,目标可以具象化为:
02
—
安全保障方案
一切围绕目标、结合现状和资源展开,在有限的时间里(一般演习前T-45天是备战阶段),需要集中式的、尽可能的发现公司产品漏洞,快速输出解决方案并同步至客户侧进行修复。面对庞大的产品线,需要抓住重点以保障整体效果,以下为主要考量的因素:
在2021年的演习之后,总结并发表了《浅谈安全产品的hvv安全之道》。如今看来,那些安全专项依旧很有效,大多数都还在延用。以下将回顾最近三年的主要安全专项:
为了保障产品安全事件应急的有序开展,需要提前制定应急响应处置策略,包括应急场景预设、流程及SOP制定、面向全员进行宣贯、组织相关方应急演练。
犹如《浅谈安全产品的hvv安全之道》结尾的预测一样:在未来的几年里,攻击队对安全产品的攻击火力依旧猛烈。这在22年得到了印证,产品遭受高度自动化和破坏力极强的武器化攻击,利用多个漏洞的组合(数据库服务漏洞+应用程序漏洞),并对抗程序保护机制进行底层hook,自动收集产品上的敏感信息并切片外传...这种场景好像在电影里或真实的APT组织案例中才能看到,没想到直接搬到了眼前。
提升产品的实战化对抗能力,已经迫在眉睫。一方面是借助企业蓝军的思路,组建产品安全蓝军,定期逐一攻击公司产品,与常态化安全测试不同的是目标不一样(想方设法拿到产品权限);另一方面建立产品自我感知风险的能力,当面对不同层面的攻击时,能够立即发现并产生告警,以供运营人员处置。
未完待续,下期再见~