微步在线以为他在梳理资产，他竟然在办公室做这事四川成都科汇科技分销服务商——成都科汇科技有限公司

大家好，我是老谢，黄药师的老大。最近那小子挺出风头的，我们一个组的帅都被他一个人耍了。在此声明，不是我不够帅，是我最近实在没空，因为一年一度的攻防演练又要来了。

说实话，我们这种中小型企业在大型演练中不太好过，团队小，设备和人都少，去年被打成了筛子。后来还听说一个攻击队发现我们这刷分特快，把消息放给了其他攻击队，攻击队ABCDE轮流上门刷我们，简直是奇耻大辱。

我作为运维部的头儿，该培养培养年轻人，今年演练前的资产梳理，就让黄药师来干：

黄药师全程参与过上一轮资产梳理，流程熟悉；
经过Webshell和挖矿事件，黄药师已经充分证明了他的安***力，研发老王对他也颇为服气；（详见>>真假Webshell：我找到了“问题主机”，却被全公司通报批评……）
有安全演练这柄“尚方宝剑”做靠山，其他部门的配合度会大大提升；

等他搞不定的时候，我再从旁指导两手，刚好显示出我的英明神武。

开工之前，这小子疯狂装可怜

“老大，我压力好大啊！！”我点开企业微信，黄药师的消息成串地蹦了出来：

“我又要跟老王核对资产清单了，你也不是不知道他那个人，可难说话了！”

“这段时间还赶上业务变更，咱们上个月刚做完的资产台账已经作废啦！”

“业务那边好像开了不少新IP，估计端口也有违规的，业务那边的岁月静好，都是咱们运维在他们身后负重前行啊老大！！”

我不慌不忙地开始画饼：“放心，干完了以后给你休2天假，要是成绩好，年底绩效少不了你的！”

他还得寸进尺：“那这个月能不能给我申请点奖金？”

这小子！事已至此，先答应再说。“好好好，只要你做出成绩了，这都不是事儿！”

开工之后，这小子打了鸡血？

黄药师开工没两天，我就收到了一封新邮件：

是一个Excel表格附件。3000多台主机的详细信息都在这一张表里，包括主机IP地址、操作系统、MAC地址、设备类型、是否可联网等信息，同时还有主机的CPU核数、内存容量、硬盘大小等等，十分详细。

我又惊又喜，发消息去问：“你小子有两手啊，熬了好久搞出来的吧？”

“为组织奉献自我，不辛苦！”他还回了个黑眼圈的表情。

过了***，我又收到了黄药师的邮件，这一次是因业务变更而发生变化的主机资产信息，还附带了一个API 接口链接，说是可以将发生变化的主机信息自动同步到运维部门的 CMDB 系统中。

黄药师发消息给我：“老大，别小看这个接口啊，我通宵搞出来的，还和老王磨了好久呢！”

我暗自惊叹，谁说现在的年轻人都只会躺平了，这不是很能奋斗嘛。

午饭时间，我正好和老王拼桌，感慨中说起了这事：“我们部门的小黄，没给你添太多麻烦吧？”

老王一脸惊讶：“啊？什么麻烦？”

我更惊讶：“啊？不是梳理资产的事儿吗？”

老王和我两脸懵：“啊？最近梳理资产了吗？”

啊？？

握了棵草，这小子竟然？

我连忙和老王解释：“最近这不是攻防演练嘛，黄药师是这次资产梳理的负责人，他今天刚把业务变更后的主机信息发给我，还和我说跟你一起搞了很久呢？”

老王若有所思，突然一拍大腿：“是不是还有主机IP、是否可联网之类的？”

我眼睛一亮：“对，你怎么知道？”

老王忍不住笑出声：“这小子骗你的，你回去看看他给你发的文件，看看里面有没有OneEDR的字样。”

我匆匆扒了饭，回去打开邮件，越看越气：

API 链接中的IP地址，赫然就是OneEDR的管理后台。

原来，黄药师之所以能这么快收集到所有主机资产数据，是使用了 OneEDR的主机发现功能：利用一台或多台服务器通过 ping、ARP、TCP 等方式来连接指定端口，以此找到内网中的存活主机，并收集相关信息。

“这不就是内网扫描吗？但这小子没和我打申请啊？！”我反复确认，的确是这货违规在先，便不动声色地挪去他的工位。

还没到了工位，就听见这货在和同事吹水。“3000多台主机小意思啦，我上手那不就分分钟搞定的事嘛，以后都跟我混哈。”

“跟你混？！跟你学不打申请就扫描内网？！”

黄药师被我吓得差点从凳子上蹦下来，我更气了：“万一引发ARP风暴，内网全瘫痪了怎么办？业务连续性多重要你到底懂不懂？！出了事我保得住你吗！？”

这油盐不进的小子反而像是松了口气：“谢哥，你先别生气，我给你解释一下。”

真相大白，让他戴“罪”立功！

只见黄药师重新打开OneEDR界面，给我演示道：“你放心，我有做预防措施的。你看这里，可以设定扫描时的‘***并发扫描数量’和‘每秒***发包数’，这样就不会引起ARP风暴了。”

“对整个内网扫描，会引起其他安全设备大量告警，你还看得到真实告警吗？！”我余怒未消。

“不会的，谢哥。你看，可以将内网安全设备和蜜罐的IP地址都设为忽略地址，这样就不会扫描安全设备和蜜罐了，也就不会引发报警了。”黄药师接着说。

“你就这么偷懒，要是业务开了新端口、上了新IP，怎么办？”

黄药师立马拍着胸脯说：“OneEDR能实时监测的呀！而且研发老王跟我***了，每一台新上线的主机***件事就是安装OneEDR。一旦我发现某台主机没安装，他请我们部门全体同事吃饭！”

这下，我***放心了，但表面还是要做足样子，说：“下不为例！先把内网扫描的申请给我补上，再单独写500字事故复盘！”

“啊？？老大，别呀，我从小就最害怕写作文……”

我把黄药师的哀嚎留在身后，心想：年轻人，出来混，早晚要还的！

· END ·

网络流量检测的威胁感知平台TDP、主机威胁检测与响应平台OneEDR、互联网安全接入服务OneDNS、安全情报网关OneSIG、终端安全管理平台OneSEC，以及威胁情报管理平台TIP等产品，能够全面提升威胁检测与防护的“精准能力”。

微步也具备***的技术专家团队提供专业安全服务。涵盖红队评估、攻防演练、溯源分析、攻击面梳理、渗透测试、应急响应、托管检测与响应等6大安全服务类别，14大安全服务项。

成都科汇科技有限公司（微步在线专注威胁情报四川经销商）

地址：四川省成都市武侯区人民南路四段一号时代数码大厦18楼A5

电话咨询热线：400-028-1235

QQ咨询热线: 1325383361

24小时咨询热线：180 8195 0517（微信同号）

相关文章