办公网出口地址攻击客户蜜罐

在每一年的演习中，我们都会处置好几十起产品安全事件，虽然绝大多数都是已知的漏洞，但仍然有记录和总结的价值。另外身处应急响应大厅，还会得到来自几千同事传来的一手情报，他们犹如探针一样驻扎在客户侧进行防守，又或是攻击队员，在演习期间不间断的上报情报，可以帮助提升公司网络安全（安全部做出相应排查、加固和检测动作）和产品安全能力（产品线依据情报详情编写检测规则）。回顾历年写下的笔记，提炼出八个典型场景进行分享：

本章为该系列的第十一篇，亦是进入白热化战时状态的第5篇。主要介绍公司攻击队碰到客户蜜罐带来的一系列处置动作，尤其是在演习期间必须给客户合理的说法。在事件处置的背后，是安全部门内部安全建设成熟度的体现，亦是对跨部门协作、以客户为中心的考验。

01

—

事件描述

XX客户的销售前来询问：x.x.x.x1/x2/x3这三个IP，是之前给客户做项目时候报备过的公司出口地址。今天客户看到这三个IP踩了他们的互联网蜜罐，想问一下是不是攻击队的行为？

02

—

响应动作

查询内部IM记录，搜到1年前是XX外包的VPN出口；

在安全运营工作群提问，网络同事回答是办公网出口；运营同学查了下自己的出口地址，确实是办公网出口。于是联系销售找客户提供蜜罐地址，其提供蜜域名cloud.c.com:8090。运营同学查询NTA日志，发现无线网段访问过，并确认为安服员工xx。

03

—

处置结果

客户侧，销售给了统一说法：今天公司攻击队拿到一份扩大名单，里面有客户。公司内部有个三、四个人的辅助团队，负责为攻击队打辅助，提供资产收集服务。辅助团队级别比较低，不知道哪些目标能打哪些目标不能打（能不能打只有公司领导和攻击队队长知道），所以对所有的目标都进行了扫描。这个扫描IP是公司办公区的出口地址，因此之前报备的安全测试项目组IP相同。特别抱歉添麻烦，已经通知禁止对客户资产做扫描。

演习相关常识1：
安全公司在分到目标信息后，
需要由公司高层进行决策，划出可攻击的目标范围（不能攻击防守客户和重要客户）；

演习相关常识2：
攻击队基本上都会有帮手，
外围人员会辅助其进行信息收集、漏洞储备、漏洞利用自动化等工作；

演习相关常识3：
通常会按照上分规则，将可以打的目标进行分类，
优先好打又能翻倍积分的目标。

公司内部对该人员进行了处理，并将自主权交给安服部门。（违反公司网络安全红线：禁止使用公司网络资源进行渗透测试）

04

—

经验总结

在网络安全公司做内部安全，经常会遇到具备攻防防能力员工带来的压力与挑战，比如本案例中的渗透行为。故需要做好比较扎实的基础工作，如各类日志收集全，做相对应的检测规则并常态化运营。

• 日志查询：比较基础的能力，如在kibana上根据源、目的地址、时间段等进行查询，找出内部人员。同时也是很常见的场景，但在使用工具背后的基础工作（日志收集、标准化、富化、分类等），却少有人关注；
• 运营能力：内网对外部进行漏洞扫描，应该会被安全运营人员发现，但是没见着相关事件，也没有见到事件处置结果。追问了运营同学，内网扫描事件非常多，涉及到安服的一般都会发给接口人处置。