面向情报公司付费信息的应急

在每一年的演习中，我们都会处置好几十起产品安全事件，虽然绝大多数都是已知的漏洞，但仍然有记录和总结的价值。另外身处应急响应大厅，还会收到来自前场几千同事传来的一手情报，他们犹如探针一样驻扎在客户侧进行防守，又或是攻击队员，在演习期间不间断的上报情报，可以帮助提升公司网络安全（安全部做出相应排查、加固和检测动作）和产品安全能力（产品线依据情报详情编写检测规则）。回顾历年写下的笔记，提炼出八个典型场景进行分享：

1、面向情报公司付费信息的应急2、面向互联网侧舆情信息的应急3、客户侧产品推送样本事件处置4、某邮箱被攻击情报的自我检查5、办公网出口地址攻击客户蜜罐6、SRC白帽子突破边界进业务网7、某部门下发零日漏洞确认函处置8、公司溯源团队查到团队内部成员

本章为该系列的第七篇，亦是进入白热化战时状态的第1篇。面对从客户侧收到的我司产品漏洞情报，既要立即启动预先准备好的应急响应流程，更要超纲的摸清楚情报源头，从源头进行控制。

—

事件描述

某日，一线同事收到客户的询问：XX产品是不是存在漏洞，是什么类型的漏洞？我司部署的版本是不是受到影响？如果是的话，需要立即采取加固措施，得给我们协调工程师过来。

他随即按照PSIRT流程联系到产品应急组，产品应急组拉上交付二线、对应产线的产品安全专员和现场值班人员对此事件进行分析。

—

响应动作

经过研判，该客户不存在情报中提及的漏洞，回复客户即可。

但是该信息已经在外面传开了，需要发表公告对外进行澄清。

对于情报本身，追究其根源：原来是某威胁情报厂商根据我司发布的产品加固手册，反推出产品存在安全漏洞，并推送给其付费用户。

产品应急组评估此事需要向上同步，于是向相关高管进行汇报。经过高管与威胁情报厂商沟通并达成一致：后续再发我司产品漏洞情报时，先同步至PSIRT邮箱进行确认，信息准确后再推送给其客户。

—

处置结果

客户侧产品不受影响，外部舆情在发布澄清公告后也淡然褪去。（攻防演习期间的外部舆论，一般1-2天就会消退，就会出现新的热点漏洞或情报。）

—

经验总结

产品安全事件应急响应，无非就是两件事：一是漏洞研判及修复，纯技术的事儿一般会比较好做，出现安全事件就取证进行数据分析，若是历史漏洞则说明情况、点对点加固，若是新漏洞则出解决方案、根据风险等级铺向客户侧做加固；二是舆情控制，相对来说就比较棘手了，对于舆情发展态势的把控和处置动作，可能并不是SOP就能解决的，需要市场、法务等部门提供建议和领导的决策支持。在演习期间，对于处置时机和动作的判断，考验的是指挥官的智慧、反应力和全局视野。不过也有一些知识和经验是可以沉淀的：

减少对外的暴露面：在演习前，一般会从客户侧控制台暴露面收敛、公司产品下载地址控制等方式，减少对外的暴露面。但从该事件来看，想到的方法还有待完善，对于产品的加固手册，也应该控制传播范围、并在变更说明等地方描述清楚修复的问题或缺陷，以免带来误会；
关于发表对外声明：凡是遇到外部情报（产品漏洞或事件），一经确认就需要做好对外说法的准备，最终是否发布取决于外部舆情的传播情况；无论是内部发公众号还是外部通告，最终都会传播到外面，因此都把其视为外部传播；
对外声明材料审核：最开始以为只需要产品升级公告、一句/段话式的说法给相关领导审核，但后来为了防止在加固手册中出现漏洞细节等信息，要求对加固手册也进行审核。总之，在演习期间为了保障少出事儿、不出事儿，对外的材料都需要经过把关；
审核流程优化提效：审核的内容变多，领导的工作量也陡增，故从两方面来提升效率：①各类模板固化：专人将各类文档固化为模板，每个事件拿着模板来套，提升编写及审核速度；②优化审核流程：加固手册在审核前给交付二线进行审核，通过后才发到对外发声审核群；产品公告在审核前给专人进行审核，通过之后才发到对外发声审核群；
公众号优于一句话：经过多年的摸索，通过一句话传播，可能出现内容歪曲或曲解。对外说法通过公众号来发布更好，内部可见、可截图给外部客户看，能够有效地控制舆论。