一、平台介绍
途虎养车安全应急响应中心(以下简称:THSRC)是用于接收途虎养车相关产品或服务中存在的威胁情报。本则标准描述了THSRC处理情报时的具体流程和做法,同时定义了对于不同类型情报的奖励标准。
二、适用范围
途虎养车所有产品和业务,包括但不限于:
*.tuhu.cn、*.tuhu.org、*.qipeilong.cn、APP、小程序等。
核心业务:途虎养车PC官网/APP/小程序、途虎养车商户PC站点/APP/小程序、以及其他汽车保养、轮胎洗美、道路救援等途虎养车主营业务等。
一般业务:途虎论坛(仅接收高危及以上漏洞)、新的壹/二手车业务、汽配龙业务、公司内部办公系统、途虎收购的业务及系统、以及有业务合作的第三方业务等。
如有其他与途虎相关的情报,无法简单判断是否属于途虎的,也可以提交过来由我们研判。
三、情报评分标准
1安全币=1RMB
THSRC贡献值&安全币体系
|
危害分级 | 贡献值 | 金币值 |
一般业务 | 核心业务 |
低危 | 1-2 | 20-40 | 50-100 |
中危 | 3-5 | 100-200 | 300-800 |
高危 | 6-8 | 1000-1500 | 2000-3000 |
严重 | 9-10 | 2000-3000 | 4000-5000 |
我们将情报的危害程度等级划分为:严重、高危、中危、低危四个等级,每个等级的奖励与漏洞评分标准保持一致:
【严重】
1、对核心业务造成重大影响的业务情报。如大规模盗号、大规模作弊牟利事件且提供核心关注点。
2、对核心业务系统等的入侵情报。如内网漫游、核心系统被入侵、核心数据库被贩卖且提供核心关注点。
3、大规模泄露并验证真实有效的敏感数据情报。如用户信息、商户信息、订单信息、车辆维保信息等且提供核心关注点。
4、对途虎造成重大资金损失的。如严重的支付逻辑漏洞被利用且提供核心关注点。
【高危】
1、非核心系统的完整入侵线索且提供核心关注点。
2、内部机密泄露情报。如尚未公开的重要活动计划或方案等且提供核心关注点。
3、其余对核心业务造成较大影响,或对途虎造成较大资金损失的且提供核心关注点。
【中危】
1、一般风险的业务安全问题。如营销活动作弊,业务规则绕过等。
2、新型可利用的黑/灰产平台、工具。如各类已产生实际数据的扫号工具、分控对抗攻击、引流脚本等。
3、其余对核心业务造成一定影响,或对途虎造成轻微资金损失的威胁情报。
【低危】
1、低风险的业务安全问题。如批量注册账户等。
2、对业务造成轻微影响的威胁情报。如伪冒的钓鱼网站(已产生实际钓鱼效果)、有一定影响的作弊手法等。
【无影响】
指错误、无意义或根据现有信息无法调查利用的威胁情报。包含但不限于上报虚假情报、上报黑/灰产QQ群号,且未提供其他有效信息的、上报已发现或失效情报的、上报单个普通钓鱼站点地址,无其他有效信息的。爬虫、自动化签到等小程序不计入威胁情报。社会上涉及我司的新闻社交媒体的言论,亦不属于威胁情报。
四、情报评分原则
1、同一情报最早提交者得分;无有效信息的威胁情报不计分;无法证实或伪造的威胁情报不计分;THSRC已掌握的威胁情报不计分。
2、由于情报的完整性对情报的价值有着重要的影响,因此我们上报情报的价值会进行情报完整性考量。情报完整性系数的评价将综合考虑情报的多个方面,如情报涉及的人员、利用点、利用方式等。情报完整性系数的评价方式可参考5W2H模式。
核心关注点(3W1H):
谁(Who)在什么位置(Where)利用什么方式(How)做什么事(What):
Who:情报涉及到的威胁人员,如可定位到入侵者个体或组织的情报;
Where:情报所涉及的利用点,如订单信息泄露页面或接口;
How:情报所涉及的问题是如何被利用的,包括相应的流程、技术手段、工具等。
What:情报所涉及的主要问题,如黑产、入侵等;
辅助关注点(2W1H):
When:情报所需要用到的重要时间点,如入侵开始、结束的时间点等;
Why:情报背后的深层原因,如APT的背后组织者、进行攻击的根本原因;
How much:情报所涉及问题已造成的危害程度,如黑产组织已造成的损失等。
3、情报的高时效性是决定情报是否能发挥最大作用的因素之一。对于失效情报不计分,对于及时上报的情报及时止损的可以适当提高情报等级。
4、其余情报评分原则如与前述漏洞评分原则有关联,可以参考漏洞评分原则。
五、情报争议解决办法
在情报处理过程中,如果报告者对处理流程、情报评定、情报评分等具有异议的,请联系THSRC官方邮箱,infosec@tuhu.cn,或联系运营小姐姐微信,会有对应的审核人员给您答疑。THSRC将根据情报报告者利益优先的原则进行处理,必要时可引入外部人士共同裁定。最终解释权归途虎养车安全应急响应中心所有。
请通过正常渠道与工作人员交流反馈问题,对于一些没有证据或使用非正当手段进行诬陷、诽谤等行为,工作人员将适用法律手段维护权益。