前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >安全事件运营SOP:接收漏洞事件

安全事件运营SOP:接收漏洞事件

作者头像
aerfa
发布于 2023-09-02 00:23:04
发布于 2023-09-02 00:23:04
1.4K0
举报

在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。

本文将从基础概念、运营处置、内部响应实现和事件处置策略四个维度,对接收漏洞事件运营SOP进行阐述。由于作者所处平台及个人视野有限,总结出的SOP虽然经过大量重复的操作、总结及提炼,但仍会存在错误或不足,请读者同行们不吝赐教,这也是分享该系列实践的初衷。

01

基础概念

在企业网络安全运营中,有一类事情可能不太被重视,但却常会遇到,如果处置不当可能会给公司带来比较大的麻烦 - - 接收漏洞事件。之所以称之为安全事件,是因为存在不可控因素,处置时需要考虑的范围已经超过漏洞原理本身,被人利用可能给社会或公司带来负面的影响。

1.1 接收渠道分类

漏洞接收事件的渠道可以分为内部和外部两类,可能会有疑问:内部渠道为什么会算进来,以及内部渠道是指SDLC中发现的漏洞吗?从安全事件的定义来看,内部发现的漏洞也有可能导致负面影响,不过概率会比外部的低。内部的漏洞事件是指:非安全部门直接发现的漏洞。比如安全部门发起的SRC奖金悬赏活动收到的漏洞、安全公司有非常多懂攻防的员工、开发也可能对安全比较感兴趣从而提交漏洞…这并非他们的本职工作,所以也可以算作内部的“外部人员”,漏洞在他们手里就有可能导致事件。

1.2 常见接收渠道

内部渠道相对可控,外部就比较被动了。不仅不能清楚何时会以何种方式被通知有漏洞,还可能会被各种要求,比如有反馈要求、时限要求、处置动作说明、责令整改等。在外部的漏洞接收渠道中,包括国家级的漏洞库或平台、行业监管单位下发漏洞、民间漏洞收集相关平台,前两者会得到明确的漏洞通知,最后一种却比较艰难,因为民间平台不会通知企业、可能得通过白帽关系等才能弄清楚漏洞。以下为漏洞接收事件的常见渠道:

02

安全运营SOP

面对“在野”的漏洞细节,无论是何种渠道的漏洞事件,都需要快速响应与处置,通常可以参照以下流程:

2.1 分析研判

在对应的环境进行漏洞信息验证,测试漏洞是否真实存在、以及判断被利用带来的影响。针对监管单位下发的漏洞,即使不存在也会被要求按照既定格式、时间进行正式回复。

2.2 风险定级

除了漏洞的利用难度、被利用带来的直接影响,还应该从外部舆论、产品在客户侧的覆盖面等方面,全面对漏洞事件进行评估,从而采取不同的应对措施。

2.3 修复验证

安全人员组织对应的产品线进行漏洞修复,在修复之后进行验证,验证漏洞是否被彻底修复、漏洞修复方法是否可能被bypass、漏洞修复是否带来新的安全问题。在确认无误的情况下,将验证结果告知产线,产线输出修复方案和经过验证的补丁。

2.4 处置反馈

漏洞修复后,对各来源渠道需要有明确、及时的答复,如在SRC上确认漏洞并定级给奖金、回复修复计划给监管单位/国家级漏洞库、记录并给与内部提交人一定奖励、对反馈漏洞的客户进行修复与致谢。

2.5 复盘总结

针对漏洞接收、处置、修复、验证、回复等整个环节进行总结,反向来优化现有标准与现有流程;对漏洞产生的原因进行分析,反向加强安全测试和内部安全管控。

2.6 SOP流程图

2.1 – 2.5描述的内容,如下图所示:

注:图中的监管单位,默认包括国家级漏洞库、平台和相关行业的监管单位。对于民间的漏洞库或平台,由于没有固定的方式暂不纳入SOP。

03

内部响应实现

漏洞事件的处置其实是一件比较复杂的工作,仅凭安全部门是做不好的。比如漏洞事件需要与GA对接,事件在外部已经产生舆论,事件涉及到侵权,事件处置措施出现分歧无人拍板…

3.1 事件响应组织

不少公司已经建立了SRC/安全运营团队,对于安全技术运营方面没问题,但当遇到“漏洞”升级为“事件”时,则需要将团队扩大化。比如在成立公司级PSIRT(Product Security Incident Response Team,产品安全应急响应小组-更适合于非SaaS化的产品及服务),由研发、安全、技术服务、客户经理、法务、公关等各岗位专家组成,覆盖供应链、研发、工程交付及技术服务等各环节。

同时设置领导小组和工作小组,领导小组负责产品安全事件的议事与决策,工作小组依据领导小组决策及职责分工进行工作落地。

3.2 事件定级标准

在2.2中,简要介绍了影响定级的要素,但对于每个因素的占比、事件的分级未提及。此处将针对这部分内容进一步说明:

  • 定级要素:从以往的经验来看,可以从产品重要程度、产品影响范围、社会舆论、漏洞利用条件、漏洞实际影响五方面,对漏洞事件进行定级,比例分别为10%、20%、30%、10和30%(长期运营的结果,没有标准参考);
  • 事件分级:漏洞事件也分为四个等级,分别为红色特别重大事件(9.0-10.0分)、橙色重大事件(8.0-8.9分)、黄色较大事件(7.0-7.9分)和蓝色一般事件(3.0-6.9分),事件分数为定级要素的各项评分之和。

在日常运营中,按照以上规则,对每个接收漏洞事件进行评分,就可以得到事件等级。附:某次接收漏洞事件的定级示例

04

处置漏洞事件策略

4.1 化被动为主动

被动就是处理起来比较难受,与其被动的等待不如主动接收。当安全建设到一定程度(如主要安全基础设施已建设,进入运营阶段),可以从以下方面着手:

  • 按照平台的要求,主动注册账号:一般可以提供企业营业执照、企业邮箱、联系人等信息在漏洞库系统注册账号,后续收到漏洞信息能先在平台上看到,比起邮箱接收会提高时效性,减少被动感;
  • 加强自身安全性,积极减少漏洞:打铁还需自身硬,加强自身安全建设才是硬本事。自己发现的漏洞比别人多,别人发现的就少了;自己发现漏洞的速度比别人快,自己就不会那么被动;
  • 建立自有外部漏洞接收渠道和机制:自建SRC或使用托管的SRC服务,主动发起悬赏活动,也是一种常见的漏洞风险收敛措施。但前提得有预算,不一定适合于所有的公司,但一定是从外部收敛风险的好方法。

4.2 按规及时反馈

在处置外部接收的漏洞事件时,经常会碰到一些特殊的场景:

  • 内部已知的漏洞(内部安全测试发现、SRC已经发现),并对外已经发布补丁和公告信息,漏洞库下发通报;
  • 已退市多年的产品存在漏洞,也对外部发过下市通告,漏洞库下发通报…

曾尝试过与漏洞库沟通,此类漏洞是否出具证明就直接在系统上关闭?但得到了否定的答案,须按照时限和格式进行邮件反馈。自此以后,内部建立SOP和SLA标准化处置每一次漏洞事件。

4.3 对白帽子的呼吁

除了上面撞洞的情况,还经常会有另一种情况:SRC前不久刚收到漏洞,怎么没过多长时间漏洞库就来通报了?仔细查看内容,所有的描述甚至连截图、涉及到的IP都一样。这很难不让人联想到一洞多投,价值最大化。

虽然SRC声明:要求白帽子对提交的信息进行保密、禁止传播,但还是很难去约束。我们曾经也是一名白帽子,很理解白帽子挖洞付出的辛劳,故在漏洞审核时间响应速度、漏洞现金奖励、季度奖励、年度奖励方面投入很多。但换来的却还是多平台刷洞,这难免有点让人心寒。不过好在绝大多数白帽子能坚守住,高质量的漏洞也基本没出现过此类情况。在此,还是想趁机呼吁所有的白帽师傅:遵守SRC或平台的规则,做个正直诚信的人。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-06-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 我的安全视界观 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
安全事件SOP:基于实践的安全事件简述
在《应急能力提升7-整体总结与提升》文中提到了:在企业安全运营建设时,大致会经过依赖人工或安全公司提供服务、安全事件处置标准化、自动化响应三个发展阶段:
aerfa
2023/03/08
3.2K0
安全事件SOP:基于实践的安全事件简述
【SDL最初实践】安全响应
“ 漏洞总是在不断的涌现,即使是前面的各项安全活动中均已达标,产品在上线后依旧会面临新增漏洞的攻击。对于安全风险的警觉和发现能力以及渠道,需要逐步建立并完善、运营。”
aerfa
2020/03/04
1.5K0
安全事件运营SOP:软件供应链投毒事件
在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。
aerfa
2023/09/02
2K0
安全事件运营SOP:软件供应链投毒事件
实战攻防演习下的产品安全保障
本章为该系列的第四篇,主要介绍面对国家级的实战攻防演习,产品安全保障工作的目标和方案。在设计保障方案前,将紧绕目标制定设计原则,方案中主要围绕漏洞挖掘方案和应急响应方案展开,最后将介绍在经历多年实战演习后、对产品安全保障的一些新的感触。
aerfa
2023/09/02
2510
实战攻防演习下的产品安全保障
产品安全事件定级评分方法
本章为该系列的第五篇,主要介绍产品安全事件定级及方法。从实际需求来看,在应急响应时仅有流程和SOP还不够,缺少一个维度对SOP中的动作进行分级分类,故诞生了事件定级方法。不同级别的事件,映射了不同的执行动作,使整个产品安全应急流程更加顺畅、合理和完善。
aerfa
2023/09/02
2460
产品安全事件定级评分方法
发现漏洞后怎么办?
【原创】 作为安全行业的甲方(如互联网企业),经常会收到外部报告的漏洞或者发现安全事件,比如SQL注入、XSS、逻辑漏洞、APP缺陷等等。那么,收到漏洞报告之后,应该如何处理,才能最大程度的降低风险呢?
用户U2
2022/06/02
1.1K0
解读 | 国家战略 《网络产品安全漏洞管理规定》释放了什么信号?
奇安信集团副总裁、补天漏洞响应平台主任张卓认为,该《规定》释放了一个重要信号:我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
CloudBest
2023/03/03
5430
解读 | 国家战略 《网络产品安全漏洞管理规定》释放了什么信号?
SRC白帽子突破边界进业务网
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023/09/13
2360
SRC白帽子突破边界进业务网
客户侧产品推送样本事件处置
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023/09/02
1770
客户侧产品推送样本事件处置
面向互联网侧舆情信息的应急
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023/09/02
2100
面向互联网侧舆情信息的应急
面向情报公司付费信息的应急
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会收到来自前场几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023/09/02
1850
面向情报公司付费信息的应急
从Log4shell事件看资产风险运营工程化的困局与盲点
这几天想必各位同行都被这个漏洞折腾疯了,不管是甲方的同学还是乙方的同学,毫不夸张的这个漏洞应该是近五六年以来仅次于永恒之蓝事件的安全事件了,只要你是 Java 公司,或多或少都会收到这个漏洞的影响。从上周五开始,几乎所有的小伙伴们都开始在群里喊应急了,我本人也是因为这个事儿毁了一个周末,本来还约了人去滑雪。但是周一一看国内基本上收敛了,但是国外开始了,各种黑产和僵尸网络开始层出不穷的出现。根据 360netlab 那边的数据,最早从 12 月 1 号开始就有黑产开始利用这个漏洞摸鱼了,并且各个厂商也不断的去更新各种各样的 IoC,有趣的事情是,卡巴斯基旗下 SecureList 更新了差不多 10 几个 IoCs,紧接着趋势马上把这个数量拉到了将近 100 个,可见黑产有多么的狂欢(IP 大多数来自于俄罗斯)。
信安之路
2021/12/15
4210
浅谈关键信息基础设施运营者专门安全管理机构的组建
笔者认为,无论是关键信息基础设施运营者(以下简称运营者)还是其他网络运营者,在网络安全保障过程中,人的因素都是至关重要的。在安全运营实践中,通常认为人、工具、流程三者融合并持续加以改进,才能做好安全运营工作。今天,笔者结合我国关键信息基础设施保护的相关政策、法律法规、未来即将发布的国家标准规范的相关要求,结合ITIL实践,运营者网络安全建设、运行与保障实践,来谈一谈运营者如何组建专门安全管理机构来落实网络安全主体责任,推动各项关键信息基础设施安全保护工作。
FB客服
2021/09/16
1.5K0
五月实施!一文带你看懂《关基保护要求》
文 | 流苏  编 | zhuo 自2010年以色列制造“震网”病毒袭击伊朗核设施,直接造成伊朗20%离心机损毁以来,关键信息基础设施一直笼罩在网络攻击的阴影之下。尤其是近年来,在全球网络攻击威胁呈现出分布化、规模化、复杂化的趋势下,如何保障关键信息基础设施安全已经成为牵动国计民生的大事件。 “没有网络安全就没有国家安全”,我国对于关键信息基础设施安全保护一直非常重视。2021年8月,国务院公布《关键信息基础设施安全保护条例》(以下简称《关保条例》)。 作为我国《网络安全法》的重要配套法规,《关保条例》于2
FB客服
2023/04/26
1.5K0
五月实施!一文带你看懂《关基保护要求》
某部门下发零日漏洞确认函处置
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023/09/13
2500
某部门下发零日漏洞确认函处置
美国司法部是如何打造漏洞披露计划框架的?
美国司法部(DOJ)刑事部门网络安全分部日前打造了“在线系统漏洞披露计划框架”,旨在帮助组织机构开发正式的漏洞披露计划。 实际上,现在越来越多的企业机构都已经意识到,漏洞奖励计划有助于更高效地发现网络
FB客服
2018/02/28
1.2K0
美国司法部是如何打造漏洞披露计划框架的?
【全文】工信部正式发布《公共互联网网络安全突发事件应急预案》
公共互联网网络安全突发事件应急预案 1. 总则 1.1编制目的 1.2编制依据 1.3适用范围 1.4工作原则 2. 组织体系 2.1领导机构与职责 2.2办事机构与职责 2.3其他相关单位职责 3. 事件分级 3.1特别重大事件 3.2重大事件 3.3较大事件 3.4一般事件 4. 监测预警 4.1事件监测 4.2预警监测 4.3预警分级 4.4预警发布 4.5预警响应
安恒信息
2018/04/10
2.4K0
办公网出口地址攻击客户蜜罐
在每一年的演习中,我们都会处置好几十起产品安全事件,虽然绝大多数都是已知的漏洞,但仍然有记录和总结的价值。另外身处应急响应大厅,还会得到来自几千同事传来的一手情报,他们犹如探针一样驻扎在客户侧进行防守,又或是攻击队员,在演习期间不间断的上报情报,可以帮助提升公司网络安全(安全部做出相应排查、加固和检测动作)和产品安全能力(产品线依据情报详情编写检测规则)。回顾历年写下的笔记,提炼出八个典型场景进行分享:
aerfa
2023/09/13
2320
办公网出口地址攻击客户蜜罐
【愚公系列】《网络安全应急管理与技术实践》 032-网络安全应急技术与实践(PDCERF 应急响应方法-准备阶段)
PDCERF方法于1987年由美国宾夕法尼亚匹兹堡软件工程研究所在关于应急响应的邀请工作会议上提出。该方法将应急响应分成准备(preparation)、检测(detection)、抑制(containment)、根除(eradication)、恢复(recovery)、跟踪(follow-up)6个阶段,如图13-1所示。尽管PDCERF方法是一种较为通用的应急响应方法,但并非安全事件应急响应的唯一选择。在实际应急响应过程中,这6个阶段并不一定严格存在,也不必严格按照这6个阶段的顺序进行。然而,PDCERF方法目前被认为是适用性较强的通用应急响应方法之一。在应对安全事件时,组织可以根据具体情况灵活运用PDCERF方法的各个阶段,以确保有效、及时地应对安全威胁,并最大程度地减少损失。
愚公搬代码
2024/09/27
2960
【愚公系列】《网络安全应急管理与技术实践》 030-网络安全应急技术与实践(应急预案的编写)
应急预案是为应对突发事件或紧急情况而制定的一套应急措施和操作流程的文件,它用于指导和组织相关人员在突发事件发生时进行应对和处理。应急预案通常包括对应急响应组织机构的设立与职责分工、应急资源的调配与使用、应急通信与信息报送、应急处置措施的规定等内容。
愚公搬代码
2024/09/26
2340
推荐阅读
相关推荐
安全事件SOP:基于实践的安全事件简述
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档