<a></a>
<b> </b>電子商務與我們的生活息息相關,電商行業也是黑産的重要目标之一,這個行業有哪些安全問題?如何解決這些問題呢?
電商行業面臨的安全威脅主要有以下兩個方面:
<b>1. </b><b>盜取電商資料,形成黑色産業</b>
盜賣網站資料庫如今已經成為一個黑色産業,黑客入侵網站後會盜取網站整個資料庫 (拖庫),特别是使用者的帳戶資訊和個人資料,用于黑市出售、廣告推送或網絡欺詐等不法行為;
<b>2. 惡意競争盛行</b>,導緻行業混亂 :
電商網站受到的流量攻擊很多是來自競争對手的行為。這樣的惡意攻擊不僅會導緻被攻擊網站無法正常營運,影響消費者使用,而且還會導緻惡意競争的泛濫,造成整個行業的混亂,整體競争力下降。
對于電商系統來說,它的部署環境應該分為兩個部分:
第一, 部署在企業的内網裡,與網際網路是邏輯隔離的,這種系統的特征為環境是比較封閉的、使用者相對固定、終端相對可控,它的安全風險要少很多;
第二, 電子商務是服務整個網際網路使用者的,業務釋出出去就會面臨一些問題,海量的使用者、開放的環境、不可控的終端。
很多時候,電子商務遇到的問題并不是傳統的ddos攻擊、外部攻擊、sql注入等,而是業務上的一些欺詐行為,刷單、撞庫、黃牛、虛假注冊、賬号盜用等。
網絡、業務、主機應用資料和内容等等各個方面,形形色色的安全問題,會令電商的管理人員心痛,這是電商行業面臨的挑戰。對于建立安全體系來說,需要分析業務場景,阿裡雲提供的網際網路服務通常會有兩個端,雲端和用戶端。雲端需要統一考慮防ddos攻擊、防黑客入侵、防業務欺詐等。用戶端通常需要對app做加強,防止二次打包、流量劫持等問題。
總結來看,傳統的安全解決方案會遇到安全問題不可控、不可見、不可管的問題,這麼多的威脅都是安全意識問題,很多人都是頭痛醫頭腳痛醫腳,缺乏整體安全體系的規劃。
一隻水桶能裝多少水取決于它最短的那塊木闆,安全能力亦如此,黑客總是從你想不到的地方入侵。<b>安全是體系化的對抗,比的是速度。是否能力及時發現攻擊行為,是展現安全能力的核心名額。</b>
那麼,為什麼無法防禦呢?現在的黑客是通過如下幾步來竊取資料的:
<b>1. </b>
<b>了解目标</b>:端口掃描、漏洞掃描、社勞工肉庫。
<b>2. </b>
<b>發起攻擊</b>:0day攻擊、郵件發病毒附件、網盤釣魚。
<b>3. </b>
<b>進入系統</b>:擷取管理權限、深入滲透。
<b>4. </b>
<b>後門控制</b>:過殺軟、降低系統警惕。
<b>5. </b>
<b>偷竊資料</b>:網絡連接配接、接受指令。
阿裡巴巴基于自己研發的雲盾防禦體系,建構了阿裡的基礎防禦體系。阿裡為小微金服電子商務和智能物流提供了整體的安全防禦措施,<b>2015</b><b>年雙十一一天,阿裡雲為淘寶天貓提供了</b><b>ddos</b><b>攻擊</b><b>3000</b><b>次,</b><b> web</b><b>攻擊</b><b>92</b><b>萬次</b><b> https flood 750</b><b>萬</b><b>qps</b><b>的原裝防護</b>。
阿裡雲為大家提供了基礎的計算服務,其中也有很多的安全工作。為了證明阿裡雲的安全能力,阿裡雲通過國家工信部等多家權威部門的認證,基礎平台做到了穩定、可靠、安全、合規。
一個較為完整的安全體系需要阿裡雲和租戶共同來建構,責任共同來承擔。
阿裡雲安全,多層防護+雲端大資料,集阿裡巴巴集團多年來安全技術研究積累的成果,同時結合阿裡雲計算平台強大的資料分析能力,為客戶提供一整套安全産品和服務。阿裡雲為租戶提供的安全服務都有哪些呢?圖為阿裡基于淘寶天貓多年的資訊安全的防護總結出的防禦體系,包括三大部分:
第一部分為網絡安全,ddos高防解決ddos攻擊、cc攻擊,waf解決sql注入、跨站等問題。
第二部分為伺服器安全,在伺服器上部署一個小的agent,叫做安騎士,它是解決異地登陸、暴力破解等問題。
第三部分為業務安全,阿裡雲提供反欺詐服務,内容安全解決色情、廣告等問題。
此外,阿裡雲還有安全管理、專家服務和資料安全。
在dt時代,資料是企業的核心資産,是以我們需要建立起資料安全的防禦體系。那麼,電商需要建構哪些安全能力呢?可分為三大類:安全感覺能力、防禦能力、響應能力。
感覺能力 ,用大資料分析解決原來看不到的安全問題。阿裡雲會收集netflow、主機flow、記錄檔、資料庫日志、企業社工庫、資産收集等資訊,采集後做大資料分析,結合阿裡雲的威脅情報來看,最終告訴你安全決策。
大資料安全分析平台:降低因黑客攻擊導緻資料洩露的問題,識别攻擊和入侵,并回
溯入侵點,可追溯到黑客姓名全記錄入侵後的惡意操作。通過海量異構資料的關聯分析,
對apt攻擊進行精準識别。
那麼,态勢感覺系統是怎樣建構的?首先,阿裡雲會有具體負責采集的系統去做采集流量等工作;緊接着,再去結合威脅的模型去計算;最後對使用者進行安全告警。
基于威脅情報的大資料安全分析:
用大資料分析引擎,實時發現威脅線索和入侵事件
識别黑客滲透/社工/apt攻擊,做快速應急
入侵驗證和0day漏洞掃描
态勢感覺會實時顯示攻防,也會告訴使用者基于大資料的威脅情報分析,黑客是什麼人,在什麼時候做了哪些事情,把黑客的每一步過程回溯出來讓你看到。态勢感覺也會對黑客進行溯源。
先知計劃是用社會化(白帽子、安全公司)的方式幫助電商企業發現安全問題,為電商企業提供及時、安全、私密的安全情報服務平台。它具備私有的安全中心,是可靠的安全專家,有顯著的測試效果,和完整的漏洞閉環。先知計劃結合了阿裡生态的白帽子和安全公司來為使用者做安全測試,它的效果和行為相比傳統的這種滲透測試有很大的改善。
防禦能力 ,用雲的能力解決原來無法防禦的安全問題。惡意攻擊流量經過阿裡雲防禦系統的防禦節點,把惡意的流量清洗成正常的流量。
防禦規則是核心,安全營運是關鍵:
零部署、零維護
全面覆寫owasp top10攻擊
專業的攻防團隊0day漏洞研究,0day防禦規則快速更新
強大的cc防護能力,保障網站可用性
經過阿裡電商、支付寶實踐驗證
反欺詐服務是阿裡大資料風控服務能力的對外輸出,通過整合包含網際網路金融、電商、
第三方支付等衆多行業的資料,配合領先的行為收集技術,經過機器學習模型、大資料關
聯分析和名額計算,解決賬号、活動、交易等關鍵業務環節存在的欺詐威脅。
資料是企業的核心資訊,在雲上或者資料中心,都需要對敏感資料做加密,阿裡提供的加密機制,相當于一個保險箱,使用者可以把敏感資料放進去,密鑰在自己手裡,算法符合國家要求,是有很強的防破解強度。
響應能力共享網際網路安全經驗,解決網際網路+時代的安全問題。
安全專家服務提供日常安全巡檢,緊急事件應急處理活動、大促關鍵時期保障護航。
成熟的安全營運體系:專業團隊随時應對,具備豐富的安全營運經驗為阿裡巴巴集團、阿裡雲提供安全營運。
快速威脅感覺:雲盾先知平台收集收集漏洞,雲平台上的安全事件分析捕獲新增漏洞,安全業界的協作、交流,資訊共享。
高可靠、高保密的安全服務:阿裡安全團隊實施。
初創型的電商客戶預算有限,客戶的通路能力有限,被别人攻擊的可能性也較低,是以,阿裡雲準備了初創電商安全解決方案。阿裡雲在整個入口通過waf來解決常見的攻擊問題,然後在ecs上部署安騎士,開通态勢感覺的專業版,這就簡單地建構了使用者的防禦能力和感覺能力。這個方案可以很大程度解決燃眉之急,不至于在網際網路上裸奔。
發展中的電商過了融資期,得到了很多客戶,被别人攻擊的面也越來越大,就需要繼續加強安全防護,此時ddos攻擊、外部攻擊就會多一些,是以阿裡雲推出了發展電商安全解決方案,重點在防禦的部分加強。
對于成熟的電商而言,擁有了先前的防禦手段和方法後,還需要做什麼呢?此時需要建立整個的感覺體系、防禦體系和響應體系三位一體,通過建構完整的安全體系,有效降低入侵率。
最後,阿裡雲的安全防護措施,并不是自己閉門造車研究出來這麼多的安全産品,而是經過淘寶天貓多年實戰總結出來的經驗産品。阿裡雲非常希望為每個客戶提供一個安全的可靠的環境,讓每個使用者享受安全空間,這是阿裡雲的責任。
本文根據阿裡雲安全專家王曉東(麓飛)在5月17日舉辦的2016雲栖大會·武漢峰會上的演講整理而成。
<b>系列文章:</b>