浅谈安全产品的hvv安全之道

2021-04-26 15:30:14 浏览数 (1)

“读书节,最好的过节方式可能不是看书,而是写作;HVV结束,最好的纪念方式可能不是小龙虾,而是总结与成长。从安全公司的产品安全建设角度,来看安全产品的自身安全和HVV,别有一番风味。”

01

我思故我在

好久没能够随心所欲的写点文字,两年前那种才思泉涌的“心流”状态,被繁忙的工作与生活的琐碎逐渐磨灭。今天下班后特别疲惫,甚至在路上看NBA都觉得眼睛疲乏,且内容无趣。按照往常,慢跑能够清醒并让人满血复活。但最近身体状态不佳,果断选择了放弃。戴上耳机,试图跟着音乐的节奏,让满身的细胞随之舞动,来忘却周围的一切。

思绪飞扬,脑子似乎高速转动起来。从早上到现在的画面,犹如放幻灯片一样历历在目。最令人深刻的片段,与今天这个日期相关。正值04-23,如果不看手机,估计也不会记得是读书节。那么,

读书有什么用?

怎么安排(挤)时间来读书?…

一系列问题,成了阅读的拦路虎。其实,如果把读书当做和吃饭一样的日常行为,估计就不会觉得那么困难。实际上也是这样,仅是食物上的输入,没有给大脑准备佳肴,人会变得越发迟钝直至平庸。就我而言,读书最大的收益是:内心的充盈与满足。

高质量的输出,来自持续不断的输入。输出又倒闭输入,阅读就是一种不错的输入,可以获取大量信息,亦能提升文字功底。抓住这种思考的感觉,内心油然而生奋笔疾书的冲动。

02

阶段性总结

昨晚的朋友圈,是安全人(网络安全从业人员)的狂欢圣地。十四个白天与黑夜的奋战,在最终一刻以倒计时和聚餐结尾。生活不止小龙虾,还应该有战役之后的总结与成长。“总结须及时”,因为要带着激战的余温,才更有味道。

安全产品,从去年便成为安全人茶余饭后的话题。五年前,因为没有安全设备而被攻破;现在是因为买了安全设备被攻破。类似的话语,屡见不鲜。身为一名乙方安全人,又是负责着公司安全产品的自身安全,心里有好多话想说。至于后来,一切归咎于平淡,安全人接受了安全产品存在漏洞的事实,甚至因为漏洞被攻破也能理解。前者是因为专业性,后者多半是由于每年渐变的得分规则。(红军不丢分就是打胜仗;到不丢分不代表胜利,要反制才能加分,要抓到0day才能赢)

关于安全产品,最想分享两点:

一是,安全公司其实都比较重视产品的安全性,谁也不想在行业里面反向出名,但由于起步晚,有的产品自身安全做的确实差,需要填的坑特别多;

二是,hvv前务必按照乙方给的加固手册操作,修改弱口令、减少对外暴露面、集权类严管控制台、开启日志记录、修复已知安全漏洞,很大程度上能够防止被有效攻击。

03

安全产品保卫战

很多人可能不一定知道,安全公司的hvv办公室下,有一个稍微特别点的队伍--产品安全保驾护航团队,由产线、安全、公关、交付等不同实体部门组成。在攻防演习期间,齐聚应急响应大厅,迎接前线和互联网传来的产品安全相关情报,并在严苛的SLA下进行验证、研判、分析、止血方案、输出补丁、外部公告直至客户侧修复。

然而,在这儿之前的备战阶段,类似于hvv防守单位。需要从组织、流程、技术方面,做大量的专项能力提升工作。

1 已知漏洞修复专项

在备战阶段,要求各产品线修复已知的安全漏洞,来源主要有2类:

(1) 在历次安全提测中,未完成修复的高、中、低危漏洞,;

(2) 从外部(SRC、CNVD等渠道)接收到的高、中、低危漏洞。

在漏洞修复后,须对外输出补丁包或升级包,并出具对应的操作手册。针对漏洞难修复的问题,建立了内部IM群。拉入相关领导进行每天进展公布与同步,极大的推动了漏洞修复工作。

2 产品渗透测试专项

产品的渗透测试包括:黑盒安全测试、白盒安全测试、仿真环境渗透测试三种。黑白盒想必并不陌生,这里主要介绍仿真环境,即模拟客户的组网(正常部署安全产品),邀请攻击队针对安全产品进行渗透。(安全公司都有攻击队,提前约定好)

该部分工作主要是由产品安全团队来负责,但HVV是全公司的头等大事,邀请/协调其他具备漏洞挖掘能力的团队加入,变得十分有必要。

3 SRC奖金飞升计划

这场大型的攻防演习实战活动,犹如军事比赛一样,军备武器在其中扮演举足轻重的作用。战前不少攻击队就在花钱买其他产品、花钱收0day做储备,产品安全依旧借鉴其思路,在备战期间到结束,设置极具诱惑力的奖金换取产品的安全漏洞。

  • 产品分类:对公司的安全产品进行分类,参考维度不限于产品部署位置、是否集权类产品、产品销售量等,区分区ABC类,分类进行奖励;
  • 漏洞质量:HVV中比较怕的是前台无条件RCE漏洞,故可以将实现该类效果的漏洞或漏洞组合,提高奖金,真正收到高价值漏洞。

由于受产品的版本复杂性影响,可能会遇到漏洞奖金定级时有异议,故加入主流版本或最新版本等条件更加合理。

4 产品客户侧安全加固

按照公司/产线流程,将安全补丁同步在客户侧修复,以便保证使用中产品的安全性。备战期间的渗透测试与漏洞修复专项工作事关重大,要求各产线直属负责人“亲自部署、亲自落实”。由产品线盯交付团队完成客户侧升级,也会遇到客户不配合、客户难配合等情况。但给客户讲到失分的时候,多数还是愿意配合加固。

5 重点产品开源组件安全

结合备战期间互联网上的“热度”漏洞,对安全产品进行排查。通常影响较多的是开源组件相关问题,故有必要开展重要产品的开源组件专项工作,提升产品的自身安全性。

6 基础平台安全风险同步迭代排查

在处理已知漏洞时,单个产品修复没问题,但涉及到以下情况可能存在隐患:

(1) 产品使用存在漏洞的基础平台:基础平台存在漏洞已修复,但未通知使用到的产品线;

(2) 产品之前共用代码且触发点不同:产品之间共用代码的现场比较正常,有的会进行二次开发,从而导致存在漏洞的触发点不同。当A产品中共用的代码被发现存在漏洞时,未同步给其他引用相关部分代码的产品。

问题的解决关键在于建立产品血缘关系清单、建立漏洞同步机制。一旦产品发现漏洞后,立即同步给相近的产品进行排查。

7 客户侧产品控制台暴露面收敛

本来不打算分享该条措施,但简单思索之后,认为攻击队肯定也知道这条攻击路径,故还是讲出来吧:利用云测绘等网络空间探查系统,通过搜索关键字的方式针对产品进行搜索,发现管理后台或不应该对外开放的产品页面,输出相关清单并关联用户信息,通知用户进行风险收敛。

但有的产品比如VPN需要对公网开放,有的用户全国都有分支机构需要对互联网开放等情况,则可以告知用户通过ACL等控制访问来源从而减小受攻击面。

8 产线HW产品安全承诺书签订

公司的产品线特别多,为了保证齐心协力进行战斗,拉上产线一把手签署产品安全承诺书,必须要手签才有仪式感,才能达到预期效果。承诺书的内容包括备战阶段的各项安全专项落地情况和决战阶段的应急工作保障。

  • 备战阶段,积极开展各项自检/加固工作:包括但不仅限于白盒安全测试、黑盒安全测试、已知漏洞修复、编写加固手册、互联网侧暴露面收敛等措施;
  • 决战阶段,做好值班、应急工作,遇到突发情况第一时间响应:如遇到相关产品安全漏洞须立即响应,协助一线人员15min完成取证、30min内完成分析、60min内出具加固方案、在指定时间内推出补丁等。

9 产品安全事件响应团队成立

在集团层面建立公司级产品安全事件响应团队(PSIRT,Product Security Incident Response Team),负责接收、处理及公开发布产品和解决方案的安全漏洞信息,协同客户和利益相关方有效合作,解决产品漏洞信息及时同步到用户的问题。这不仅是平时的组织,也是战时经历锤炼的组织。

10 HW前产品安全工作要求布置会议

在决战前一天,邀请公司高层比如总裁等讲话,对各产品线和相关部门提出应急响应要求,明确处罚内容,从组织上极大的提供了保障。

11 供应商产品安全应急响应要求与同步机制

为保证客户侧的产品安全,联动、及时、高效解决客户侧发生的问题,安全产品中不乏有OEM in,对于特殊时期的安全应急响要求,应该与公司的一致。在战前,就以邮件 附件(盖公章)等正式的方式,告知并要求供应商全力配合。

  • 提供接口人:供应商提供2名主备接口人,并保持接口人7*24h手机畅通,一旦发生涉及贵司产品的安全问题,立即响应;
  • 建立漏洞上报机制:若供应商的产品发现有安全漏洞,依据1h时限要求进行漏洞上报,上报指定邮箱和联系人;
  • 同步漏洞修复机制:若发现供应商产品涉及安全漏洞,将及时反馈给供应商接口人,要求按照以下规定时间进行修复(漏洞等级按照CVSS3.0评分):

12 暂时关闭产品软件和使用手册下载通道

同样是出于减小攻击面,关闭下载通道。外部人员将不能直接获取产品安装包、补丁等信息,从而不会对其进行研究和漏洞挖掘,一定程度上减少产品的安全风险。产品的补丁信息通过联系客服单独获取,这一点并不与业务需求冲突。

04

安全产品展望

2020年,通过匹配历史漏洞,顺利通关;

2021年,历史漏洞 值班现场代码审计确定漏洞,勉强支撑过来。

在未来的几年里,不难预测攻击队的火力依旧猛烈,但产品的自身安全能力也在增长。犹如企业的安全建设一样,安全产品也有一个安全建设周期,随着外部环境和政策的发展,安全水位必将逐步提升。

0 人点赞