部署DeepSeek模型,进群交流最in玩法!
立即加群
首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >安全事件运营SOP:接收漏洞事件

安全事件运营SOP:接收漏洞事件

作者头像
aerfa
发布于 2023-09-02 00:23:04
发布于 2023-09-02 00:23:04
1.4K0
举报

在开篇《安全事件运营SOP【1】安全事件概述》中,介绍了安全事件的定义、分级、处置原则及处置流程。当发生某类安全事件时,该如何快速处置?以及如何保证不同人员处置的效果都达标?安全事件的种类虽然繁多,但是处理起来并非无据可循。为了解决上述两个问题,同时提升工作效率和降低安全风险。经过大量的运营处置实践,总结出以下常见的处置标准操作程序(SOP)。

本文将从基础概念、运营处置、内部响应实现和事件处置策略四个维度,对接收漏洞事件运营SOP进行阐述。由于作者所处平台及个人视野有限,总结出的SOP虽然经过大量重复的操作、总结及提炼,但仍会存在错误或不足,请读者同行们不吝赐教,这也是分享该系列实践的初衷。

01

基础概念

在企业网络安全运营中,有一类事情可能不太被重视,但却常会遇到,如果处置不当可能会给公司带来比较大的麻烦 - - 接收漏洞事件。之所以称之为安全事件,是因为存在不可控因素,处置时需要考虑的范围已经超过漏洞原理本身,被人利用可能给社会或公司带来负面的影响。

1.1 接收渠道分类

漏洞接收事件的渠道可以分为内部和外部两类,可能会有疑问:内部渠道为什么会算进来,以及内部渠道是指SDLC中发现的漏洞吗?从安全事件的定义来看,内部发现的漏洞也有可能导致负面影响,不过概率会比外部的低。内部的漏洞事件是指:非安全部门直接发现的漏洞。比如安全部门发起的SRC奖金悬赏活动收到的漏洞、安全公司有非常多懂攻防的员工、开发也可能对安全比较感兴趣从而提交漏洞…这并非他们的本职工作,所以也可以算作内部的“外部人员”,漏洞在他们手里就有可能导致事件。

1.2 常见接收渠道

内部渠道相对可控,外部就比较被动了。不仅不能清楚何时会以何种方式被通知有漏洞,还可能会被各种要求,比如有反馈要求、时限要求、处置动作说明、责令整改等。在外部的漏洞接收渠道中,包括国家级的漏洞库或平台、行业监管单位下发漏洞、民间漏洞收集相关平台,前两者会得到明确的漏洞通知,最后一种却比较艰难,因为民间平台不会通知企业、可能得通过白帽关系等才能弄清楚漏洞。以下为漏洞接收事件的常见渠道:

02

安全运营SOP

面对“在野”的漏洞细节,无论是何种渠道的漏洞事件,都需要快速响应与处置,通常可以参照以下流程:

2.1 分析研判

在对应的环境进行漏洞信息验证,测试漏洞是否真实存在、以及判断被利用带来的影响。针对监管单位下发的漏洞,即使不存在也会被要求按照既定格式、时间进行正式回复。

2.2 风险定级

除了漏洞的利用难度、被利用带来的直接影响,还应该从外部舆论、产品在客户侧的覆盖面等方面,全面对漏洞事件进行评估,从而采取不同的应对措施。

2.3 修复验证

安全人员组织对应的产品线进行漏洞修复,在修复之后进行验证,验证漏洞是否被彻底修复、漏洞修复方法是否可能被bypass、漏洞修复是否带来新的安全问题。在确认无误的情况下,将验证结果告知产线,产线输出修复方案和经过验证的补丁。

2.4 处置反馈

漏洞修复后,对各来源渠道需要有明确、及时的答复,如在SRC上确认漏洞并定级给奖金、回复修复计划给监管单位/国家级漏洞库、记录并给与内部提交人一定奖励、对反馈漏洞的客户进行修复与致谢。

2.5 复盘总结

针对漏洞接收、处置、修复、验证、回复等整个环节进行总结,反向来优化现有标准与现有流程;对漏洞产生的原因进行分析,反向加强安全测试和内部安全管控。

2.6 SOP流程图

2.1 – 2.5描述的内容,如下图所示:

注:图中的监管单位,默认包括国家级漏洞库、平台和相关行业的监管单位。对于民间的漏洞库或平台,由于没有固定的方式暂不纳入SOP。

03

内部响应实现

漏洞事件的处置其实是一件比较复杂的工作,仅凭安全部门是做不好的。比如漏洞事件需要与GA对接,事件在外部已经产生舆论,事件涉及到侵权,事件处置措施出现分歧无人拍板…

3.1 事件响应组织

不少公司已经建立了SRC/安全运营团队,对于安全技术运营方面没问题,但当遇到“漏洞”升级为“事件”时,则需要将团队扩大化。比如在成立公司级PSIRT(Product Security Incident Response Team,产品安全应急响应小组-更适合于非SaaS化的产品及服务),由研发、安全、技术服务、客户经理、法务、公关等各岗位专家组成,覆盖供应链、研发、工程交付及技术服务等各环节。

同时设置领导小组和工作小组,领导小组负责产品安全事件的议事与决策,工作小组依据领导小组决策及职责分工进行工作落地。

3.2 事件定级标准

在2.2中,简要介绍了影响定级的要素,但对于每个因素的占比、事件的分级未提及。此处将针对这部分内容进一步说明:

  • 定级要素:从以往的经验来看,可以从产品重要程度、产品影响范围、社会舆论、漏洞利用条件、漏洞实际影响五方面,对漏洞事件进行定级,比例分别为10%、20%、30%、10和30%(长期运营的结果,没有标准参考);
  • 事件分级:漏洞事件也分为四个等级,分别为红色特别重大事件(9.0-10.0分)、橙色重大事件(8.0-8.9分)、黄色较大事件(7.0-7.9分)和蓝色一般事件(3.0-6.9分),事件分数为定级要素的各项评分之和。

在日常运营中,按照以上规则,对每个接收漏洞事件进行评分,就可以得到事件等级。附:某次接收漏洞事件的定级示例

04

处置漏洞事件策略

4.1 化被动为主动

被动就是处理起来比较难受,与其被动的等待不如主动接收。当安全建设到一定程度(如主要安全基础设施已建设,进入运营阶段),可以从以下方面着手:

  • 按照平台的要求,主动注册账号:一般可以提供企业营业执照、企业邮箱、联系人等信息在漏洞库系统注册账号,后续收到漏洞信息能先在平台上看到,比起邮箱接收会提高时效性,减少被动感;
  • 加强自身安全性,积极减少漏洞:打铁还需自身硬,加强自身安全建设才是硬本事。自己发现的漏洞比别人多,别人发现的就少了;自己发现漏洞的速度比别人快,自己就不会那么被动;
  • 建立自有外部漏洞接收渠道和机制:自建SRC或使用托管的SRC服务,主动发起悬赏活动,也是一种常见的漏洞风险收敛措施。但前提得有预算,不一定适合于所有的公司,但一定是从外部收敛风险的好方法。

4.2 按规及时反馈

在处置外部接收的漏洞事件时,经常会碰到一些特殊的场景:

  • 内部已知的漏洞(内部安全测试发现、SRC已经发现),并对外已经发布补丁和公告信息,漏洞库下发通报;
  • 已退市多年的产品存在漏洞,也对外部发过下市通告,漏洞库下发通报…

曾尝试过与漏洞库沟通,此类漏洞是否出具证明就直接在系统上关闭?但得到了否定的答案,须按照时限和格式进行邮件反馈。自此以后,内部建立SOP和SLA标准化处置每一次漏洞事件。

4.3 对白帽子的呼吁

除了上面撞洞的情况,还经常会有另一种情况:SRC前不久刚收到漏洞,怎么没过多长时间漏洞库就来通报了?仔细查看内容,所有的描述甚至连截图、涉及到的IP都一样。这很难不让人联想到一洞多投,价值最大化。

虽然SRC声明:要求白帽子对提交的信息进行保密、禁止传播,但还是很难去约束。我们曾经也是一名白帽子,很理解白帽子挖洞付出的辛劳,故在漏洞审核时间响应速度、漏洞现金奖励、季度奖励、年度奖励方面投入很多。但换来的却还是多平台刷洞,这难免有点让人心寒。不过好在绝大多数白帽子能坚守住,高质量的漏洞也基本没出现过此类情况。在此,还是想趁机呼吁所有的白帽师傅:遵守SRC或平台的规则,做个正直诚信的人。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2023-06-18,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 我的安全视界观 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
OC字符串常用函数
创建一个字符串对象: NSstring * str1 = @"hello"; NSString * str = [[NSString alloc]initWithString:@"hello world!"]; NSString * str_1 = [[NSString alloc]initWithUTF8String:"hello world"];//把C的字符串转化为OC的字符串 int a = 123; NSString * str_3 = [[NSString alloc]initWithForma
猿人谷
2018/01/17
9000
OC知识--Foundation框架详尽总结之『字符串类』
本文首发于我的个人博客:『不羁阁』 https://bujige.net 文章链接:https://bujige.net/blog/iOS-Foundation-String.html 本文对Foundation框架中的字符串类(NSString、NSMutableString)的使用做一个详细的总结。 1. NSString 1. NSString介绍 Foundation框架支持一个名为NSString的类,用于处理字符串对象,由unichar字符组成。 一个NSString对象就代表一个字符
程序员充电站
2018/05/31
6760
Objective-C精选字符串处理方法
        无论是什么编程语言对字符串的操作是少不了的,对复杂的字符串的分析和操作我们可以用正则表达式来达到我们的目的。简单的字符串处理我们可以借助OC中NSString封装好的字符串处理方法,不过前提是你得了解每个方法如何使用,以下做了一个简单的总结,便于以后使用。以下事例是原创代码,转载请注明出处。         1.字符串的创建         字符串的创建有多种方法,下面的例子中给了常用的几种字符串创建方法(还有好多) 1 2 3 4 5 6 //字符串创建工厂
lizelu
2018/01/11
8950
Objective-C 学习记录4
1.创建字典的NSString可变字符串,和NSMutableString不可变字符串.都是objective的对象.
叉叉敌
2019/06/26
4640
iOS中的NSString与NSMutableString
xy_ss
2023/11/22
2360
iOS中的NSString与NSMutableString
Objcetive-c基础知识
Foundation Kit基础知识 1.范围作用 NSRange typedef struct _NSRange { unsigned int location; unsigned int length; } NSRange; 使用:location是开始位置,length是元素个数;通常在字符串范围或者数组使用 创建NSRange 1.1)直接赋值给字段(range.location = 12,range.length=13) 1.2)使用聚合机制(range={4,5}) 1.3)
苦咖啡
2018/05/08
7330
iOS开发——十六进制字符串与NSData的转化
最近在完成一个需求时,遇到了NSData类型转换为十六进制的字符串这个需求的函数,在stackoverflow中翻找的时候,给出的答案基本上是如下的:
Originalee
2018/08/30
2.4K0
iOS开发——大大节省代码量的小技巧
总结一些开发中的常用方法,大量节省开发时间 觉得好用的,烦请帮点喜欢 1. 判断手机号码格式是否正确,利用正则表达式验证 + (BOOL)isMobileNumber:(NSString *)mobileNum { if (mobileNum.length != 11) { return NO; } /** * 手机号码: * 13[0-9], 14[5,7], 15[0, 1, 2, 3, 5, 6, 7, 8, 9], 17[6, 7
Originalee
2018/08/30
4770
Objective-C之NSArray学习笔记(IOS 9.1)
---- NSArray类简介 有序且只可以存储Objective-C对象的数组 初始化后,内容不可变,长度也不可变,不能进行增、删、改操作 不能存放nil (nil是标志数组的结束) 在MRC模式下,会发送retain消息于每个加入数组中的元素都进行保持,数组被释放的时候会发送release消息 ---- 属性表(@property) @property 描述 @property(readonly) NSUInteger count 数组元素的个数 @property(nonatomic,
半纸渊
2018/09/04
6870
iOS开发·NSString字符串的各种基本操作,数值转换及衍生操作
但有时候,仅仅停留在这些基本操作还不能直接满足一些需求,这时候可以利用这些基本操作进行一些字符串的衍生操作。
陈满iOS
2018/09/10
2.3K0
Objective-C: 字符串NSString与NSMutableString
      字符串算是OC中非常重要和常用的一部分内容,OC中的字符串与我之前在学习C,C++,Java中的字符串有一定的不同,它非常类似于C++中容器的概念,但用法却与之还是有很大的不同,也许是因为OC的语法就与其他我们常用的编程语言不尽相同。        这里总结一下字符串NSString与NSMutableString。 一. NSString       NSString代表字符序列不可变的字符串,NSString的功能非常强大,OC的字符串处理比C语言的饿字符串简单、易用得多。       这里
猿人谷
2018/01/17
7560
编码篇-开发中关于数字的那些事儿
在日常的开发中我们随时都会跟数字打着交道,对数字的处理也是很平常的事,本文仅对常用的数字操作一个小结,当一个笔记方便日后查看,也希望读者能从中收获些感觉有用的知识。
進无尽
2018/09/12
1.2K0
编码篇-开发中关于数字的那些事儿
OC基础--字符串
做iOS开发有3年了,从当初的小白到现在,断断续续看过很多资料,之前也写过一些博文来记录,但是感觉知识点都比较凌乱。所以最近准备抽时间把iOS开发的相关知识进行一个梳理,主要分为OC基础、UI控件、多线程、动画、网络、数据持久化、自动布局、第三方框架等几个模块进行梳理。本系列的所有博文集合参见:iOS开发知识梳理博文集。本文主要介绍 OC基础--字符串。
mukekeheart
2020/09/07
1K0
利用Runtime实现简单的字典转模型
前言 我们都知道,开发中会有这么一个过程,就是将服务器返回的数据转换成我们自己定义的模型对象。当然服务器返回的数据结构有xml类型的,也有json类型的。本文只讨论json格式的。 大家在项目中一般是怎么样将服务器返回的json转化成自己定义的模型类呢? 我在项目中一般都是使用的MJExtension。 本文讲解的也基本就是解读MJExtension中的部分源码。 好了,废话不多说,直接上代码,let's go 简单字典转模型 首先,从最简单的字典开始,例如我们需要将如下的字典转化成自定义的模型。
Scott_Mr
2018/05/16
2K0
《Effective Objective-C 》干货三部曲(三):技巧篇
继上一篇《Effective Objective-C 》超级干货三部曲(二):规范篇之后,本篇即是三部曲的第三篇:技巧篇。本篇作为三部曲的最终篇,归纳讲解的是本书中关于Objective-C开发的技巧性知识。
用户2932962
2018/08/30
7960
《Effective Objective-C 》干货三部曲(三):技巧篇
iOS小技能:封装银联接口协议(收银台的订单退款、查询机制)【上篇】
背景:如果商家平台侧服务出现问题,商家需要一个备选方案进行正常的收退款;因此在POS机新增一个开关进行切换支付通道,智能机app直接与银联对接。并在本地维护产生的订单数据和维护订单状态。
公众号iOS逆向
2022/08/22
1K0
iOS小技能:封装银联接口协议(收银台的订单退款、查询机制)【上篇】
IOS开发系列—Objective-C之Foundation框架
概述 我们前面的章节中就一直新建Cocoa Class,那么Cocoa到底是什么,它和我们前面以及后面要讲的内容到底有什么关系呢?Objective-C开发中经常用到NSObject,那么这个对象到底是谁?它为什么又出现在Objective-C中间呢?今天我们将揭开这层面纱,重点分析在IOS开发中一个重要的框架Foundation,今天的主要内容有: 1. Foundation概述 2. 常用结构体 3. 日期 4. 字符串 5. 数组 6. 字典 7. 装箱和拆箱 8. 反射 9. 拷贝 10. 文件操作
用户1941540
2018/06/20
8110
【IOS 开发】Objective-C Foundation 框架 -- 字符串 | 日期 | 对象复制 | NSArray | NSSet | NSDictionary | 谓词
-- 创建字符串 : 使用 init 开头的实例方法, 也可以使用 String 开头的方法;
韩曙亮
2023/03/27
1.4K0
JavaScript 浮点数陷阱及解法
众所周知,JavaScript 浮点数运算时经常遇到会 0.000000001 和 0.999999999 这样奇怪的结果,如 0.1+0.2=0.30000000000000004、1-0.9=0.09999999999999998,很多人知道这是浮点数误差问题,但具体就说不清楚了。本文帮你理清这背后的原理以及解决方案,还会向你解释JS中的大数危机和四则运算中会遇到的坑。
laixiangran
2018/10/22
1.9K0
JavaScript 浮点数陷阱及解法
iOS-Foundation框架中常用的类
Foundation框架中最常用的类。 Foundation框架中最我们经常用的类大致有NSString、NSArray、NSDictionary等等,虽然不需要将每一个类中提供了什么方法都记下来,但是需要做到心中有数,知道Foundation框架提供了什么样的方法,能够达到什么效果,用到的时候直接去API中查找即可,避免因为不知道有这些方法,而走弯路。 NSString NSString创建与内存存储 NSString是1个数据类型,用来保存OC字符串,NSString的本质是1个类,既然是1个类,所以,
xx_Cc
2018/05/10
1.8K0
相关推荐
OC字符串常用函数
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档