本文講的是解決方案 | 打造DT時代網際網路金融行業的安全基石,對于一個超萬億規模的網際網路金融市場來說,繁榮的背後是紛亂和慘烈的競争。在這個硝煙彌漫的戰場上,總可以找到黑客的影子。
萬億市場
從2013年起,網際網路金融行業崛起,到了2015年,P2P網貸、股權衆籌和PE等諸多模式的卷入,促成了一個異常繁榮、紛雜甚至于混亂的超萬億規模的市場。
網際網路金融市場有多大?我們以P2P網貸一個垂直行業為例,據零壹财經預測,2015年P2P網貸行業全年新發放貸款額極有可能遠超5000億。P2P圈内的預測則更為樂觀,借貸機構認為2015年的市場規模将達到1萬億-2萬億。
那麼,這塊1萬億的大蛋糕有多少家企業/機構在分食呢?根據零壹研究院資料中心的另一項監測資料,截止2015年7月31日,國内僅P2P網貸平台就已超過3000家(僅包括有線上業務的平台)。
競争與訛詐
如果将網際網路金融行業與遊戲行業來做一個橫向對比,“競争”絕對是一個關鍵的共性特征。與遊戲行業不同的是,網際網路金融行業的競争更加複雜和慘烈。上文中提到的3000家P2P企業不僅要面對同行間的激烈搏殺,還要面對股權衆籌和PE機構的不斷滲透和業務蠶食。
談到競争,在網際網路的大環境下,就不可避免的提到衆多網際網路行業競争背後的黑客攻擊。在網際網路金融行業崛起之前,一方因業務競争雇傭黑客對其競争對手對網站系統發起攻擊的事件多出現在遊戲行業。一般來說,雇兇者的攻擊目标相對明确。進入2015年後,除了遊戲行業仍舊維持較高的攻擊事件發生率之外,網際網路金融、電商、旅遊甚至貴金屬行業都發生了衆多類似的黑客事件。與此同時,被攻擊目标也從單一對象演變為幾家甚至幾十家存在競争關系的企業。
除了以競争為背景的黑客攻擊之外,敲詐勒索也是黑客攻擊的另一個重要動機。在遊戲行業,黑客對遊戲公司收取“保護費”是一個非常普遍的現象。對于拒絕繳納“保護費”的遊戲,黑客通常會以DDoS攻擊的方式幹擾甚至中斷遊戲業務。這個趨勢也在向包括網際網路金融等行業領域拓展——畢竟網際網路金融企業看上去更有錢。
回顧十餘年的發展,黑客産業已逐漸實作了服務規範化、商業化和産業化。規範化展現在很多黑客服務條款明确,明碼标價,同時保質保量。商業化展現在清晰的盈利模式以及完備的管道建設。而産業化則表現為在漏洞發現、工具開發、人員教育訓練、攻擊實施、情報共享和營銷推廣等細分領域的分工和協作,同時與其他黑色産業,如地下錢莊、賭博,形成了緊密的利益鍊條。下圖是某黑客組織的DDoS攻擊報價頁面,可以很明顯地看到,黑産收費已經非常平民化:
事實上,較上面的國外價格,國内報價普遍更為便宜,例如DDoS攻擊的購買價格已經不到200元/Gbps。
總之,和遊戲、電商等網際網路行業所面臨的挑戰一樣,黑産已經成為阻礙網際網路金融行業健康發展的重要威脅之一,也是網際網路金融行業使用者必須要面對和解決的。
威脅與困擾
對于網際網路金融使用者來說,一個可用的、可靠的以及可以充分保證通信隐私和資料安全的網絡平台是其網際網路業務的基礎。
首先,可用性是網際網路業務的基礎和必要條件,沒有可用性,其他一切都無從談起。其中,對網際網路業務可用性威脅最大的是DDoS攻擊。DDoS攻擊的初衷就是盡可能地對被攻擊目标造成最大程度的資源破壞,導緻使用者無法獲得網站的正常服務。根據阿裡雲雲盾安全團隊統計,阿裡雲雲盾每天防護近千次DDoS攻擊,其中有不少是針對網際網路金融使用者的。DDoS攻擊已經成為對網際網路金融業務可用性最大的安全威脅。
其次,可靠性也是業務正常通路的決定性因素。單點故障是最常見的可靠性風險。小到一個雲伺服器或負載均衡系統,大到一個資料中心都可能因為單點故障引發業務在一定時間段内的不可通路。此外,網絡也可能存在單點故障,問題不僅僅展現在單鍊路上,同時也可能因為網絡規劃不合理導緻業務隐患。例如,目前大部分CDN功能都是針對靜态内容(靜态網頁、圖像和流媒體資料等)。對于一個存在大量互動或内容更新的網站,在設計網絡可靠性的時候隻考慮到CDN對靜态内容的保證而忽視了動态内容,那麼網站的動态部分本身就會存在單點——一旦源站不可通路或通路緩慢,會影響到整個網站業務的正常傳遞。
最後,網站業務的隐私性不僅僅展現在網站平台上資料的隐私保護,同時展現在使用者通路網站業務過程中,即在鍊路層面的通信安全。黑客對網際網路業務的隐私破壞一方面通過入侵網站,完成對資訊對竊取,同時也可能通過諸如DNS劫持等手段,從鍊路上以中間人的方式獲得網站使用者的隐私資料。
上述安全風險涵蓋從網絡到伺服器系統再到應用和資料的各個層面,形成了對包括網際網路金融在内的網際網路全線業務全方位立體化的威脅,這就要求防護一方必須建立相對應的體系化防護方案。
解決
網際網路已經從IT時代進入DT時代。雲計算、大資料等新技術的引入,使得網際網路業務的安全防護同樣取得了突飛猛進的發展。在DT時代,安全依靠資料,沒有資料的安全就像沙灘上的建築。
阿裡雲雲盾是面向DT時代的全新安全解決方案,是滿足網際網路金融業務可用性、可靠性以及隐私安全需求的基石。大資料安全分析平台每天處理超過10TB的資料,結合雲計算技術和威脅情報系統,實作雲到端和端到端的完整覆寫。防禦體系如下圖所示:
“雲端”安全一方面展現在伺服器系統層面的安全防護上。另一方面展現在對雲端應用和資料庫的防護。雲盾安騎士是一個完整和全面的雲伺服器防護方案,不僅包含對雲伺服器的内部脆弱性(漏洞、配置、端口等)的快速定位、修複,同時可以對包括暴力破解、後門木馬等外部威脅迅速發現和阻斷。應用防火牆一方面可以實時攔截諸如SQL注入、XSS等對Web應用的入侵,同時保護雲端資料庫的安全。
阿裡雲雲盾新近推出的彈性安全網絡(以下簡稱ESN,Elastic Security Network),是一個面向廣大網際網路使用者提供的基礎的網絡安全服務,也标志着阿裡雲雲盾“雲-管-端”完整解決方案的形成。
ESN打通了從“雲”到“端”的完整鍊路加密。通過SDK方式,将安全防護直接嵌入開發者的應用用戶端,這樣一來,即建立了一個安全加密隧道。基于用戶端身份指紋識别,IP白名單認證中心等安全鑒别手段做到了之前無法做到的安全防護級别。一方面有效的解決了移動業務包括CC、UDP等DDoS攻擊的“老大難”問題,另一方面實作了端到端的通信加密,避免了DNS劫持等中間人攻擊,實作了全鍊路的業務加密。
在中間層面,即“管”的層面,ESN一方面通過動态CDN功能的靈活排程,解決了動态内容在網絡層面的單點可靠性風險。另一方面ESN基于可動态擴充的彈性資源池,實作秒級IP切換,扭轉了長期以來被動防禦的局面,極大提升了攻擊一方的技術挑戰和資源成本——攻擊一方必須随時跟上防禦一方的步伐,否則連攻擊目标都找不到。此外,對于網際網路金融業務可用性威脅最大的DDoS攻擊,ESN背後的高防資料中心單節點的防護能力為300Gbps,多資料中心關聯防護可以獲得更高的防護帶寬。
态勢感覺是阿裡雲雲盾即将在9月份上線釋出的基于雲計算、大資料分析以及威脅情報系統的全新SaaS服務。這項服務定位在安全管理上,是一款安全管理“神器”。雲盾态勢感覺平台基于阿裡雲大資料安全平台,與阿裡威脅情報中心資料對接,将整個防禦體系均衡地分布在檢測、分析以及防護上,打破了傳統以防護為主的安全理念,讓安全真正實作全程的“可見、可管和可控”。從管理角度上講,也是第一次讓使用者将黑客攻擊(包括源頭、目标、過程)看得清清楚楚,還原攻擊全過程,讓使用者全面、快速、準确地感覺過去、現在以及未來的安全威脅。
最後,專家服務主要包括滲透測試服務,安騎士雲托管和DDoS高防專家服務。我們知道,安全攻防背後是人的對抗。對于絕大部分網際網路金融企業來說,建立一支具有專業技能的全天候安全攻防團隊是非常不現實的。阿裡雲雲盾安全團隊的前身是阿裡安全團隊,由國内最優秀的安全維護和專家組成,先後為包括淘寶、天貓以及阿裡雲在内的阿裡巴巴集團業務的安全營運提供了全天候的防護工作。雲盾安全專家團隊服務包括滲透測試服務,惡意樣本收集、驗證、分析、溯源,處理安全告警、入侵分析和進行必要的政策配置,以及實際的攻擊阻斷操作。顯而易見,雲盾安全專家同樣貫穿在網絡安全、伺服器安全以及資料安全三個層面,同時覆寫是事前(檢查和預警)、事中(防護)和事後(驗證和追溯)的全過程。
原文釋出時間為: 八月 31, 2015
本文作者:aqniu
本文來自雲栖社群合作夥伴安全牛,了解相關資訊可以關注安全牛。