演习后对工作技能的复盘总结
每一年实战演习的结束,就应该有一次总结和提升。至今还清晰记得总裁在启动会上的一席话:深度参与,总结创新(并非原话,略有改动)。这与个人信奉的格言一致,在重大事情上不要做表面功夫,这不仅是荒废时间,更是浪费了机会。有人可能觉得比较虚,但是总裁的每次发言我都会认真去听去想,几乎每次都能扩宽自己的思路。此处主要想表达可能大而虚、但向上的内容,值得花时间琢磨并去实践,长期坚持下来会有裨益。比如通过本次实战演习,在专业技术、职业素养和认知视野方面,有如下收获:
1、对工作技能的总结2、认知外的见微知著3、后续安全研究方向4、演习内外部变化及趋势 |
|---|
本章为该系列的第十五篇,亦是进入战后总结与复盘阶段的第一篇。主要围绕工作技能来进行总结,包括专业技能、职业嗅觉和内部资源。专业技能,顾名思义是演习中保障安全产品需要用到的硬实力;职业嗅觉,则体现在处置或处事的硬核能力;内部资源是指在演习期间公司内部的大量优质安全资源,通过订阅或关注他们的发布渠道,可以见识到诸多安全研究团队夜以继日奋战的成果,从而促进自我实力的提升。
01
—
专业技能
安全产品的应急响应要求更高,因为通常会面临线索会很少、登陆设备提取日志有门槛及模拟攻击还原攻击链三座高峰。
- 攻击痕迹少:安全产品若是硬件盒子交付,其硬件性能设计可能仅为供产品正常运行,期间产生的应用日志、操作日志都不能长时间存储在本地,但也会提供了syslog/rsyslog等日志外发功能。不过从目前来看,未开启的客户还是占据了大多数。此外面临的是武器化装备的攻击队,即使本地会留存一些日志,大概率也会被想办法清除。有人可能会说从流量层面做分析,但实际情况很可能是NTA检测未覆盖,即使覆盖了基本上也都是未解密。在诸如此类的因素下,就导致了产品被攻击时,很难直接找到日志判断出被利用的漏洞。此时不起眼的程序debug等其他底层打印的日志,起到了关键作用,在以往的案例中均是通过分析这些日志,找到蛛丝马迹从而取得突破。
- 日志分析有门槛:主要是指获取日志有权限、查看日志有难度,得让产线和安全部门齐上阵才能解题。前者是安全设备的一个常见现象,硬件形式交付时不会提供系统的root及相关权限账密,在产品遭受攻击时,客户一般都是要找原厂支持,即使到了原厂的前场交付,他们也很有可能不知道账密,必须联系产线开发操作;后者是有的产品日志先加密再打印,也是需要原厂工程师解密后才能看懂,这类情况一般发生在底层C/C++实现、客户端和服务端通信的部分;
- 攻击复现还原链路:在安全产品的应急事件处置过程中,绝大多数都是证据链不足,所以大多数时候都是一边看少得可怜的日志,一边review代码,根据日志中发现的线头,到代码中去挖洞验证。团队经常是大半夜、后半夜都在指挥中心值班挖漏洞,或是写漏洞利用工具,通过攻击复现的方式去验证产品被攻击场景或外部传播的舆情。根据攻击视角的路径还原情况,决策产品是否出补丁、是否按照PSIRT战时流程和要求到客户侧做修复。
至此,从上面的应急响应介绍不难看出:日志分析、流量分析是安全产品应急响应的基础,真正起到关键作用的是产线和安全协作、产品安全团队的漏洞挖掘和利用能力。后者展开来讲,应该包括代码审计、复杂exp编写、漏洞修复bypass、逆向补丁等实战技能。
02
—
职业嗅觉
犹如上面提到的,产品安全的技术人员通常聚焦在挖洞、复现和写工具上,存在视野不够广的问题。但是演习保障期间考验的是综合能力,既要深究细节也要能把控事件走向。作为产品应急组长,深知这方面的重要性与不足,故曾提取出三条能力分享给演习期间值班组长和平时做体系建设的同学:
- 感知潜在风险:先拿零日漏洞处置事件来说,要求盖公司章印和领导签字须在48h内反馈,但持续不断地还有漏洞发过来,且正值周末不好盖章。初步评估按照要求完成不了,故为了避免处理不好带来的影响,主动找某所接口人沟通反馈事宜。再看某邮箱被攻击的自我检查事件,更好的说明了安全人员不要站在旁边看其他家的热闹,而要反思自己并自检。
- 细扣关键过程:在处置产品安全事件的过程中,不时发现对研判后的安全事件处置流程不通畅,以及各小组存在的各种问题,都及时找到对应组长指出并在群里同步,让其他组引以为鉴。尤其是在产品漏洞的研判、定级环节,是整个处置流程的关键节点,作为产品安全负责人一定要清楚演习期间的每个事件甚至细节,及时纠偏以免造成更大的不良影响。
- 推动问题闭环:还是在实战演习保障期间,产品应急组是四个班次,每个班在交接班时都需要review交接报告,多次强调当班事儿当班闭,但不同组别的执行情况却相差较大。平时主动、负责的组长在这时表现得更好,太技术的组长相对做的差,这大概率是认知问题,但这其实又是做好事情的基本准则。
03
—
内部资源
在前面的章节中,曾提到实战演习是安全行业的盛宴,也是安全公司大展身手的好时机。此时的安全公司几乎全员all in,有产品线、后台安全研究团队、市场部门、后勤保障...其中最吸引我的还是各安全研究团队。他们也会在保障期间进行15*24h的值班,分析各类产品的安全数据、网上传播的安全漏洞、工具等,加工后对内或外进行分享,甚至可以约相关团队进行面对面的交流,这无疑是优质的学习资源,其他公司几乎都不能与之媲美。
每逢实战演习前后,我都会有意识的关注这些内部公众号,观摩他们的分析过程、学习他们的思路,无形之中也扩宽了自己的攻防知识面。我想,这就是在安全公司的隐藏福利了吧!