首页
社区
课程
招聘
[分享]惊险一刻:公司网络差点被打穿
发表于: 2024-9-20 13:56 2028

[分享]惊险一刻:公司网络差点被打穿

2024-9-20 13:56
2028

作为一家设备齐全、流程完善的大公司的漏洞运营,李明(化名)格外谨慎。他非常清楚,被漏洞打穿意味着什么。


李明也是被搞怕了。之前每天光漏扫都有大几十个漏洞,再加上官方&非官方渠道的漏洞消息,要修的漏洞轻松过百。这么多漏洞,李明一个人一周根本修不完,而且绝大部分的漏洞信息不足,要么不值得修,要么该修未及时修,要么就根本没法修。


前段时间,公司虽然接入了新的商业漏洞情报,但李明心里依旧没底,每天盼着别出事。


快!有漏洞


网络世界的另一头,并没有和李明心意相通。午休刚过,李明刚打开电脑,屏幕就弹出一条消息:M软件高危漏洞告警!

李明又惊又疑,这新上线的漏洞情报,好不容易报一个漏洞,不会和之前的漏扫告警一个尿性,也是一堆误报吧?来不及多想,李明赶紧点开消息,登录微步漏洞情报系统。


“该协议存在远程代码执行漏洞,攻击者可以通过发送特制的网络数据包,触发该漏洞......”短短几句描述,李明看得有些心慌,鼠标继续往下滑,更慌了:无需受害者配合,利用该漏洞,无需任何权限。”


李明初步评估,此洞危险。


漏洞评估


李明打开订阅的微步漏洞详情。


“CVSS综合评估,危害等级为严重。微步VPT风险评估同样为高风险,极有可能被利用。李明眉头一紧,“目前受影响的软件版本有5个。针对该漏洞,公开PoC有4个,微步有已验证PoC及临时缓解措施。”


李明继续滑动鼠标。根据微步提供的漏洞攻击画像来看,该漏洞已被攻击者利用了将近80万次,活跃利用的团伙IP数接近40个。


“被利用得这么频繁?”李明纳闷,一边给领导发消息:”基于目前掌握的信息,这个漏洞危害等级很高,需要内部快速自查,否则存在较大风险。”


排查修复


“有PoC?临时缓解措施有没有?”IM弹出领导回复。


“都有!”李明秒回。


“那赶紧通知业务线,推进修复。”领导回复。


一切都很顺利,李明给业务同事发信息,建议立即自查并修复漏洞。


不过业务同事,给李明泼了一盆冷水。


0验证漏洞真实存在


“漏洞修复的影响很大,也需要投入很多人力,怎么确定我们线上业务真的受这个漏洞影响?” 业务同事提出质疑。


没办法,只有实际复现。“我们可以用PoC打一次。”


李明打开微步漏洞情报,找到该漏洞微步已验证的PoC,将文件下载后发送给业务同事。

0上线临时缓解措施


五分钟后,业务同事发来消息:


“官方补丁生效需重启应用,现在是业务访问高峰,暂时没法打补丁,得等到晚上业务访问量下降后才能升级并完成重启 ......”


李明早有心理准备。


“那就先在WAF上线针对漏洞的临时防护措施,临时拦截该漏洞利用的访问路径”,李明立即将微步漏洞情报相关临时防护措施细节发送给业务同事,在确认无误后WAF上线临时防护措施。

全网修复上线


快速确定一家员工数近万企业,内部是否存在相关软件漏洞,并不容易。所幸李明所在公司一直比较注重资产管理,企业建立了基本的内外部资产台账。排查风险,只需将漏洞及已验证PoC直接与公司产品及组件名称模糊匹配,就能快速筛查存在的漏洞。


有10个相关业务系统存在漏洞,已修复!”几个小时后,李明收到业务同事回复,长舒了一口气。“保住KPI,没被漏洞拿下!”李明窃喜。


第二天刚到工位,李明打开手机一看,微信里行业群“炸锅”了。群里一个接一个在问M软件漏洞的事情。李明随手就是一个漏洞详情链接,丢到聊天群。

此时,窗外阳光明媚。


李明打开文档工具,敲下几个字:基于VPT的漏洞情报落地。 



常态化漏洞运营


微步提供预警及时性国内领先的漏洞情报数据(10%以上2024年漏洞平均早于官方漏洞库80-200天),漏洞总量及覆盖度国内领先(平均漏洞总量超过三大漏洞库及其他厂商20%以上),可第一时间为企业输出最新漏洞情报,快速发现全网最新的漏洞利用情报、PoC/EXP等信息,生成微步VPT漏洞评级。

基于微步漏洞情报能力及李明的规划推进,该公司建立起了全新的常态化漏洞运营,在漏洞运营流程、漏洞预警及时性、漏洞告警量级都有了非常明显的提升:

  • 通过自动化处理及过滤,公司单周需响应的漏洞数量,从每天50+个降低为每周不到10个

  • 针对漏洞,提前预警时效性,从2周缩短到1-3

  • 使用期间感知到多个高危漏洞,并第一时间启动公司内部响应;

  • 基于微步自研的准确无损漏洞PoC,保证了快速漏洞修复与漏洞验证。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//