演习后认知外的见微知著

每年实战演习的结束，就应该有一次总结和提升。至今还记忆犹新，总裁在启动会上的一席话：深度参与，总结创新（并非原话，略有改编）。这与个人信奉的格言一致，在重大事情上不要做表面功夫，这不仅是荒废时间，更是浪费了机会。有人可能觉得比较虚，但是总裁的每次发言我都会认真去听去想，几乎每次都能扩宽自己的思路。此处主要想表达可能大而虚、但向上的内容，值得花时间琢磨并去实践，长期坚持下来会有裨益。比如通过本次实战演习，在专业技术、职业素养和认知视野方面，有如下收获：

1、对工作技能的总结

2、认知外的见微知著

3、后续安全研究方向

4、演习内外部变化及趋势

本章为该系列的第十六篇，亦是进入战后总结与复盘阶段的第二篇。主要围绕演习期间观察到的一些现象，并跟进思考和进一步分析，得到一些浅显但是有意思的道理。乍一看很平淡无奇，不过只有经历了，才会有深刻感悟和成长。人生贵在体验，工作亦是如此。

01

—

全国防守值班人员，就是情报传感器

在企业安全建设过程中，常见到传感器（Sensor）及覆盖率之类的专业名词，但都用于安全产品身上，很少用于类比人员。然而在实战演习期间，公司派出去的好几千人员，纷纷驻扎在客户现场做防守，就好比是传感器，接收客户现场的攻击情况、漏洞利用和安全事件等一手信息，传到总部的指挥中心进行清洗、富化、提炼并输出：

• 正向用于产品能力赋能：处置过的漏洞信息会从威胁情报中心分发到各产品线，产线的安全研究人员编写相应的检测规则，再通过补丁的方式推送到客户侧增强安全检测能力；
• 正向用于安全事件应急：不仅是公司会将情报用于自我检查，客户侧也同样有需求。一些项目经理就曾反馈，因为第一时间获得xx软件的供应链消息，在客户现场进行了同步，得到客户领导的认可和表扬；
• 反向用于漏洞情报研判：在追求安全技术的道路上，有时候借助一些事实来辅助推断，有利于提升网传漏洞真实性的研判效率。比如在某年的演习期间，外部谣传NGINX和log4j漏洞，S联系我并询问情报细节，当时啥线索都没有，故他反推一线没有任何情报，说明这两个漏洞大概率都是假的。从结果来看，他的研判是对的。

02

—

已不再是单纯漏洞，而是武器化攻击

随着演习的常态化开展，攻击队在漏洞利用方面早已实现了武器化。毫不夸张的说，在做好信息收集和拿到内网权限等情况下，真的就是一键getshell --> 提权 --> 持久化 --> 横向扩展 --> 获得战果（如收集敏感信息切片外传） --> 清理攻击产生的日志...好比网上公开的漏洞poc或exp的升级版/实战版，是针对目标场景高度定制化的武器。

回顾近些年的产品安全事件，能很明显的感受到其他的几个变化：

• 漏洞类型：从最开始的web漏洞，到后来的基于业务场景的系统漏洞，再到现在的二进制逻辑漏洞，可以看出对抗难度在逐年提升，也说明常见的web漏洞已经比较难挖，产品安全建设工作起到一定效果。不过关注点也应该随着演习攻击态势的风向标进行调整，在二进制漏洞治理方面进行重点投入；
• 漏洞利用：先是从单个未授权RCE漏洞，直接拿到产品权限；又是多个漏洞的组合（如硬编码+后台命令执行），实现未授权RCE效果拿下产品；再到C/C++实现的特殊场景下账号的认证缺陷利用，绕过认证进入后台，隐蔽的使用产品功能帮助其突破边界或扩大攻击面；
• 隐蔽情况：早期的演习，从安全事件的应急情况来看，或多或少都能拿到一些应用日志、审计日志进行分析。到现在情况就变了，攻击队似乎从不怕我们知道变成不想让我们知道。在处置大多数安全事件时，都感觉是非常有意识的清理了痕迹，一点儿都不想留。

03

—

外部谣传的漏洞，基本上都是有缘由

无风不起浪，就是对此现象的最好描绘。在演习期间，产品应急组的重要工作之一是关注产品漏洞情报，主要是来自客户侧、安全微信群、安全社区等。通常会对这些渠道编写工具监测，平时其实也会做，不过在这特殊时期则有专人来盯，一旦发现情报就要跟进、深挖和处置：

• 跟踪并深挖：产品漏洞情报是指公司产品的漏洞情报，并非开源软件或商业软件的。我们一般会有一个在线编辑的大表格，用于记录该类情报、设置不同节点、跟进至闭环。通过多年的经验来看，只要是外部再传，那肯定就会有问题，比如新0day、已知历史漏洞、被夸大的产品功能...；
• 竭力去验证：情报很可能就是几句话或一张打码的截图，通常第一时间拿不到详情，此时需要尽可能想办法去定位产品甚至安全漏洞。对内，发散思维去枚举可能存在的问题点、功能点，然后在值班现场review代码进行check；对外，尽可能去顺藤摸瓜，找到线索知晓人，引导其提交SRC换取奖励。

04

—

有实力就有地位，同时也就有话语权

在处置产品安全事件时，产品应急组会把产线安全专员、产线一把手和指挥中心领导拉到一个交流群，同步事件和处置进展。恰巧产线A和B都相继爆出漏洞，他们都没严格按照事先计划和演练的流程、要求进行响应，体现出来的态度也大有不同：

• 产线A负责人响应事件很迟缓：在反馈信息时响应慢、负责人迟迟不出面主导产线侧响应，导致整体节奏变慢、安全专员跨部门协调资源难等问题。之所以不积极，很可能是因为其职位的变化，之前非常配合甚至很主动提出安全要求，与现在形成了鲜明的对比；
• 产线B不听指挥中心自己处理：产品应急组在收到产品漏洞情报时，产线B（当前公司热卖产品）都已经定位安全问题点并制定了修复方案。没有第一时间上报产品应急组，只是在面向客户侧进行修复时，流程卡壳了才同步过来。这件事儿及时上报了执行总指挥，其表示产线具备攻防实力，就让他们自己去处理吧。

在实战演习中，似乎看到了一个社会现象的本质：产品线在公司的地位重要，人在产品线中的位置高，就可以有越过常规的话语权，甚至藐视这些既定规矩和流程。这令我加深了对其的理解，且记忆深刻