在搭建一個(gè)合理的安全檢測(cè)流程時(shí)，不能直接進(jìn)入對(duì)代碼分析的階段，在此之前搞清楚用戶代碼生命周期涉及的各個(gè)階段是必要的，只有充分了解被檢測(cè)對(duì)象和檢測(cè)目標(biāo)的基礎(chǔ)上，才能給出一個(gè)合理的流程：
內(nèi)部人員威脅的話題在公司議程上迅速崛起。還覺得公司內(nèi)部員工帶來的安全風(fēng)險(xiǎn)小于外部攻擊者?《Computing》的分析發(fā)現(xiàn)，內(nèi)部人威脅是半數(shù)已報(bào)道信息泄露事件的原因之一。
內(nèi)部威脅造成的數(shù)據(jù)泄露一旦曝光，公司聲譽(yù)會(huì)受到嚴(yán)重打擊，透露出公司文化問題和對(duì)安全的忽視，因而摧毀對(duì)公司的信任。即便數(shù)據(jù)泄露事件沒公開，只要涉及知識(shí)產(chǎn)權(quán)或其他關(guān)鍵資產(chǎn)，也會(huì)極大損害公司的競(jìng)爭(zhēng)力。
無論源于心懷怨恨的員工、無意疏忽，還是系統(tǒng)性的惡意行為，內(nèi)部人威脅都是難以管理的復(fù)雜風(fēng)險(xiǎn)。而且，類似外部威脅，內(nèi)部人所用工具、技術(shù)和規(guī)程 (TTP) 也在與時(shí)俱進(jìn)。
識(shí)別內(nèi)部風(fēng)險(xiǎn)
內(nèi)部威脅比外部威脅更難覺察，僅靠傳統(tǒng)安全工具難以管理。外部攻擊通常需要初始漏洞利用或入侵來獲取目標(biāo)網(wǎng)絡(luò)的訪問權(quán)。大多數(shù)情況下這些行為都會(huì)觸發(fā)自動(dòng)化入侵檢測(cè)系統(tǒng)警報(bào)，調(diào)動(dòng)事件響應(yīng)團(tuán)隊(duì)加以調(diào)查。
但內(nèi)部人員已然掌握網(wǎng)絡(luò)訪問權(quán)，所以他們一般不會(huì)觸發(fā)邊界監(jiān)視系統(tǒng)警報(bào)。識(shí)別可疑或疏忽行為需要關(guān)聯(lián)多個(gè)來源的情報(bào)。包括用戶及實(shí)體行為分析 (UEBA) 、數(shù)據(jù)防丟失 (DLP) 、網(wǎng)絡(luò)日志和終端設(shè)備行為。然而，雖然這些工具可能揭示某員工的異常行為——此前從未出現(xiàn)過的周末登錄行為或郵件中出現(xiàn)表達(dá)對(duì)公司不滿情緒的詞句，但它們無法揭示外部用戶可能觸發(fā)的公司內(nèi)部人威脅風(fēng)險(xiǎn)。
比如說，內(nèi)心不滿的雇員同時(shí)也活躍在深網(wǎng)及暗網(wǎng) (DDW) 非法在線社區(qū)中。又或者，他們?cè)庥隽私?jīng)濟(jì)困難，被外部威脅實(shí)體招募或收買以有價(jià)值數(shù)據(jù);此類情況都需要人力和分析才能處理。源自非法在線社區(qū)的 “業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)” (Business Risk Intelligence) 可將有價(jià)值上下文應(yīng)用到個(gè)體行為上，標(biāo)記可疑行為以作進(jìn)一步調(diào)查。那么，到底要揀取哪類事件呢?

內(nèi)部 TTP 愈趨復(fù)雜
經(jīng)典內(nèi)部人威脅行為涉及向個(gè)人電子郵箱或第三方郵箱地址發(fā)送文件、下載數(shù)據(jù)到可移動(dòng)載體上，以及紙質(zhì)文件，而且惡意內(nèi)部人檢測(cè)的手法越來越復(fù)雜了。意識(shí)到公司企業(yè)對(duì)內(nèi)部人威脅的認(rèn)知不斷提升，有些惡意內(nèi)部人也越來越慣于使用安全通信方法了，比如加密服務(wù)和 DDW 論壇。如果缺乏已取得這些圈子準(zhǔn)入權(quán)的老道分析師幫忙，公司企業(yè)幾乎不可能監(jiān)視此類通信渠道。
安全通信信道和 DDW 使用率增高本身就助推了內(nèi)部威脅風(fēng)險(xiǎn)，因?yàn)檫@意味著作惡者可入手更的 TTP 和資源，更便于以有公司數(shù)據(jù)訪問權(quán)的內(nèi)部人身份實(shí)施系統(tǒng)攻擊和數(shù)據(jù)滲漏操作。而且，加入惡意社區(qū)的公司雇員也將自己置入了被外部人員招募的風(fēng)險(xiǎn)之中。這里所說的外部人員就包括希望收買或脅迫內(nèi)部人員數(shù)據(jù)的國(guó)家代理人，且此類人員占比呈上升趨勢(shì)。
關(guān)注需要資源的地方
必須明確的是，大多數(shù)員工不是惡意的，不帶來惡意內(nèi)部人威脅風(fēng)險(xiǎn)。當(dāng)然，有些員工會(huì)犯錯(cuò)，或者偶爾表現(xiàn)異常。事實(shí)上，新加入員工的網(wǎng)絡(luò)行為也經(jīng)常被自動(dòng)化工具標(biāo)記為可疑，因?yàn)檫@些新員工在游歷公司網(wǎng)絡(luò)時(shí)常會(huì)犯錯(cuò)。只有具備一定程度的上下文，標(biāo)記出影響內(nèi)部人員的外部因素，才可以知道該追蹤什么。業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)就提供此類上下文，令內(nèi)部威脅管理更加有效，保護(hù)企業(yè)王國(guó)不受已持有大門鑰匙的內(nèi)部侵害。

在對(duì)網(wǎng)站程序代碼的安全檢測(cè)當(dāng)中，網(wǎng)站文檔任意查看漏洞在整個(gè)網(wǎng)站安全報(bào)告中屬于比較高危的網(wǎng)站漏洞，一般網(wǎng)站里都會(huì)含有這種漏洞，尤其平臺(tái)，商城，交互類的網(wǎng)站較多一些，像普通權(quán)限繞過漏洞，導(dǎo)致的就是可以查看到網(wǎng)站里的任何一個(gè)文檔，甚至可以查看到網(wǎng)站的配置文檔config等等。我們SINE安全公司在對(duì)gitea開源程序代碼進(jìn)行網(wǎng)站安全檢測(cè)的時(shí)候發(fā)現(xiàn)存在網(wǎng)站文檔任意查看漏洞，沒有授權(quán)的任意一個(gè)用戶的賬號(hào)都可以越權(quán)創(chuàng)建gitea的lfs對(duì)象，這個(gè)對(duì)象通俗來講就是可以利用gitea代碼里寫好的第三方api借口，進(jìn)行訪問，可以實(shí)現(xiàn)如下功能：讀取文檔，上傳文檔，列目錄等等的一些讀寫分離操作。

關(guān)于服務(wù)器被黑我們?cè)撊绾螜z查被黑？賬號(hào)密碼安全檢測(cè)：首先我們要檢查我們服務(wù)器的管理員賬號(hào)密碼安全，查看服務(wù)器是否使用弱口令，比如123456.123456789，123123等等密碼，包括administrator賬號(hào)密碼，Mysql數(shù)據(jù)庫(kù)密碼，網(wǎng)站后臺(tái)的管理員密碼，都要逐一的排查，檢查密碼安全是否達(dá)標(biāo)。再一個(gè)檢查服務(wù)器系統(tǒng)是否存在惡意的賬號(hào)，以及新添加的賬號(hào)，像admin，admin，這樣的賬號(hào)名稱都是由攻擊者創(chuàng)建的，只要發(fā)現(xiàn)就可以大致判斷服務(wù)器是被黑了。檢查方法就是打開計(jì)算機(jī)管理，查看當(dāng)前的賬號(hào)，或者cmd命令下：netuser查看，再一個(gè)看注冊(cè)表里的賬號(hào)。通過服務(wù)器日志檢查管理員賬號(hào)的登錄是否存在惡意登錄的情況，檢查登錄的時(shí)間，檢查登錄的賬號(hào)名稱，檢查登錄的IP，看日志可以看680.682狀態(tài)的日志，逐一排查。
服務(wù)器端口、系統(tǒng)進(jìn)程安全檢測(cè)：打開CMDnetstat-an檢查當(dāng)前系統(tǒng)的連接情況，查看是否存在一些惡意的IP連接，比如開放了一些不常見的端口，正常是用到80網(wǎng)站端口，8888端口，21FTP端口，3306數(shù)據(jù)庫(kù)的端口，443SSL端口，9080端口，22SSH端口，3389默認(rèn)的遠(yuǎn)程管理端口，1433SQL數(shù)據(jù)庫(kù)端口。除以上端口要正常開放，其余開放的端口就要仔細(xì)的檢查一下了，看是否向外連接。如下圖：
Sine是合作過的真實(shí)力的服務(wù)器安全方面的安全公司。
http://www.cxftmy.com