中级蓝队护网外包驻场总结
Last Update:
Word Count:
Read Time:
2021-04 中级蓝队护网外包驻场总结
HW涉及人员框架
我这次参加hw就涉及6种不同类型的人,分别如下:
这里说一下一般护网蓝队产业的大致框架。
甲方: 出钱方
乙方: 参加hw的工具人 (也可以称外包人员)
丙方: 某安全公司,负责面试乙方,与甲方和客户对接,将乙方冒充是自己公司的安全服务工具人,为客户提供服务。
丁方: 丙方公司的真正安服人员(他们不知道乙方是否是他们公司的,会有丙方人员联系他们,说乙方是自己的安服人员)
中介: 四处找乙方的人
客户: 需要受益于丙方提供安全服务的客户。
面试
在面试的时候,接触最多的就是中介与丙方,中介找人,你把简历投过去,他负责将简历投给丙方(各大安全公司),若丙方看中了你的简历,这时丙方会给你安排技术面试,一般只有一面。若面试面过了,丙方一般会再次确认你是否能去,还有薪资等,然后根据客户的需求,他们会将乙方安排到相应的地方。
面试还是比较简单,把简历写得装一点,主要还是你拥有护网经验,价格也不要抬得太高。我第一次面护网是技术面直接垮掉,第二面试简历写得很屌,但是我们说的价格偏高了,也没通过,第三次面试说得不是很好,还好简历上拥有护网经验,由于上海急招,我被安排到上海来了。
入场
一般丙方会让乙方冒充他们自己公司的安服人员,在客户现场,会出现,客户、丁方、还有乙方。客户和丁方都会认为乙方也是丁方,注意这里很重要(出去之后,就要说自己就是丁方)。
接下来就是你要配合丁方工作了,工作性质有两种,一种是一直拥有丁方人员与你一起工作,另一种是你到来之后,只剩你一个人对付客户。看客户和丙方是怎么安排的。
我来到场地之后,丙方会安排丁方请求客户一起来接待我,然后就是听从客户的安排,一定要说自己就是丁方人员,不然会吃大亏,我就吃了。
工作
一般形式是每天工作12小时,有白班和晚班,白班一般早上9点上班,晚上9点下班,晚班的话就相反,晚上9点上班,第二天早上9点下班,天天上班。而我呢,我就比较轻松955工作制度,早上9点上班,下午5点下班,每周只工作5天,因为周末,流量小得可怜。。。
工作内容一般就是,看日志,研判,请求封ip,溯源,写报告。
我是驻场人员,要得更新丙方的监控系统,分析各种可以文件,还要与客户那边对接,比如出现什么可以文件,及时与客户上报,查清可疑文件来源,驻场人员一定要与客户多多沟通交流啊,不然客户都不知道你们这公司在干嘛,驻场人员相当与一个为客户提供安全服务的人,要让客户觉得你们安全服务的提供对他们的业务有安全保障,一定一定要有自己的安全防护策略,每日该干什么,一定要计划好,不要划水,记得每日写流量报告给客户,越多越好。
错误总结
我也是第一次做护网,很多概念不知道,特别是面试成功之后,对接就很懵,没太清楚人员框架,与不该说的人说了某些话,特意写了这份总结来梳理一下,以后少走些弯路。
混淆丙方和丁方,在丁方那边说着与丙方的话,与他谈钱。
没弄清楚丙方排我来的安排,真实的告诉了客户自己的身份,导致泄漏自己是外包人员,客户就知道我是外包人员了。
客户: 你是xxx公司的么?
我: 不算是吧
客户: 那你就是xxx公司派来的外包?
这导致了我周末没上班的原因,少了掐钱的机会了。
误操作修改了客户hw人员的群名称。
误判断ip为内网ip。
轻易判断流量是否危险,比如撞库行为,rsync未授权,sql注入等
感觉危险的操作就轻易封ip
未看清合同工期怎么算,到底一天几小时,几小时才能算一天?
未跟学校请好假,学校闹得鸡犬不宁
之前报告未交给客户,而是交给了丙方,记得两方都交,交给丙方不要透露客户那边的漏洞情况,还有内网结构,避免造成不可估测的巨大损失。
在回答客户问题时,总是慌(慌你妹的慌)
出门在外,不要让别人太看清你,保守一点
未向学校请假出去,就别动态了
做项目是在为客户服务,不是在为丙服务
做事之前考虑清楚,别慌慌张张的。