“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”
01
—
背景
随着信息技术的快速发展,网络安全威胁日益复杂化和隐蔽化。企业面临的网络安全挑战也越来越多,如何有效应对这些威胁成为了一个亟待解决的问题。
在这种背景下,漏洞情报在安全运营体系的核心构建中起到了举足轻重的作用。漏洞情报是安全团队制定防护策略、验证安全措施有效性的基础依据。及时、详细的漏洞情报可以帮助安全团队迅速采取措施进行防护,防止潜在的攻击。
情报收集
在漏洞情报的收集过程中,我们需深入多个数据源进行细致挖掘与实时信息采集,对漏洞实施全面而多维度的属性标定,以确保所获取的漏洞信息既全面又具备高度的时效性。
对于数据源,我们可以通过以下渠道进行收集:
1、供应商、厂商 供应商通常会发布关于其产品漏洞的官方信息,包括漏洞公告、修复方案等。根据供应商和厂商的安全通告或安全补丁,我们能更有效、更快速地进行漏洞的修复工作。供应商的信息具有较高的权威性和准确性,是了解漏洞影响范围和修复方案的重要渠道。
然而,其不足之处在于,厂商们通常不会公开漏洞的详细信息,这导致我们无法仅凭历史流量数据来确切判断系统是否已遭受潜在入侵。
2、微信、推特等社交平台 一些安全研究人员或机构会在微信、推特等社交平台发布关于漏洞的研究文章,分析漏洞的成因、影响及利用方式。对于漏洞的POC/EXP等信息,安全团队可以通过代码审计等手段进行分析,以了解漏洞的具体利用方式。同时,结合官方公告和修复方案,安全团队可以制定针对性的防御措施,如更新版本、配置防火墙规则等,也有利于后续的入侵排查工作。
3、Github、Gitee 等代码托管平台
众多安全研究人员和开发者会在代码托管平台发布POC和EXP,以帮助安全行业验证漏洞修复程序或确定漏洞的影响和范围。
但这数据源的信息也可能存在一些问题:
◦ 信息真实性难以保证:由于代码库众多,且部分代码库可能未经严格审核,因此漏洞信息的真实性难以保证。
◦ 恶意代码风险:对验证漏洞 POC 或 EXP 有可能是虚假的,其中一些可能含有恶意软件。因此,在下载和执行这些代码时需要格外小心。
4、安全论坛、博客 主要为安全团队或个人分享的安全文章,可能包含以下信息:
◦ 漏洞分析:对漏洞的成因、影响范围及利用方式进行分析。
◦ POC/EXP:提供POC或EXP以展示漏洞的利用过程。
◦ 修复建议:根据漏洞分析提出修复建议或防范措施。
4 然而,博客文章可能存在质量参差不齐,部分文章可能缺乏深入的分析或存在误导性的信息。因此,安全团队在阅读博客文章时需要保持审慎态度,并结合其他情报源进行综合评估。
5、第三方安全厂商/团队 对于第三方安全厂商/团队这个情报源的话主要就是做一个查漏补缺吧(毕竟人家有专门的平台进行监控,还有专人进行漏洞分析)。第三方安全厂商通常拥有专业的安全团队和丰富的安全经验,能够提供较为全面和准确的漏洞信息以及修复方案。部分安全厂商可能出于商业考虑,对漏洞信息的披露有所保留或延迟。此外,不同安全厂商之间的信息可能存在差异和冲突,需要安全团队进行综合分析和判断。
6、...等(笔者见识较浅有待补充吧:D)
为了获得全面且准确的漏洞信息,建议从多个情报源获取信息,并进行综合分析和比对。
漏洞情报分析
漏洞情报分析是确保网络安全的重要环节,其核心在于准确评估漏洞的真实危害程度。在分析过程中,确实需要考虑漏洞利用的前置条件,因为这些条件会直接影响漏洞的威胁等级和潜在影响。
比如需要身份验证后才能利用的漏洞,如果系统完全由内部账户管理,且没有外部访问渠道,那么漏洞的利用就受到了极大的限制。在这种情况下,攻击者必须首先获得系统内部账户的访问权限,这通常意味着需要系统内部账户信息的泄露,或者通过暴力破解等复杂手段获取账户密码。再比如 CSRF、反射型 XSS、URL 重定向等需要用户交互触发的漏洞,需要攻击者诱使用户进行特定操作才能触发,这增加了攻击的难度和复杂性,也可能会暴露攻击行为并引起用户的警觉。此外,某些漏洞可能需要在特定的系统配置、环境,或需要特定的工具才能利用。这些前置条件增加了漏洞利用的难度,因此可以适当降低对该漏洞的危害评估。
前置条件多数情况下均可以在漏洞的描述中会体现,如果没有的话就可能需要进阶分析的话就需要分析 POC/EXP 了,那如果没有 POC/EXP 要怎么办呢?
这边提供三个思路:1)我有很多钱;2)我有一个朋友;3)脑子
有钱就去买第三方安全厂商的服务。安全厂商们基本都有一个专门的团队,对那些漏洞影响较广的危害较严重的漏洞进行深入的分析,以更新防护产品的规则(突出自身产品的防护能力)。
俗话也说了,“有钱能使鬼推磨”。对于一些不怎么常见的漏洞,您也可以花钱让安全厂商们进行分析
但如果你没钱,那可以尝试请教下万能的群友/朋友。就像上面说的————安全厂商有专门团队进行分析,团队的组成是人(内鬼)。只要关系铁,说不定能 py 到一两个 POC/EXP。
如果即没有钱,也没有人脉,那就只能自己通过分析官方补丁来获取 POC/EXP,当然过程是比较漫长的,可以和群友一起分析学习,这也是技术和人脉积累的过程。
漏洞响应
在深入分析并明确漏洞情报的具体危害之后,紧接着便是至关重要的漏洞响应阶段。此时,需着手进行以下几项核心任务:
• 抑制影响:迅速更新安全规则,限制或拦截对漏洞入口的非法访问
• 实施修复:立即通知并协调相关负责人,对漏洞进行修复工作
• 全面排查:对系统日志和监控数据进行排查分析,以确认系统是否已遭受不法入侵。一旦发现入侵迹象,需立即启动全面排查机制,深入检查是否对其他主机造成了连带影响
• 追溯源头:追溯攻击者的来源与路径,为后续的安全防范与反击提供线索与依据。
总结
漏洞情报运营是一件较为复杂且细致的事情,我们需要通过大范围多方面的渠道搜集信息,深入挖掘与实时采集漏洞数据,经过严谨的分析评估漏洞的真实危害程度,并据此及时有效地修补漏洞,以保证企业信息系统的安全稳定。
