重大(dà)活動網絡攻擊面前,京東智聯雲的(de)攻防之道
發表日期:2020.11.16 訪問人(rén)數:0
本文轉自:CSDN
原文鏈接:https://www.wxnmh.com/thread-8067428.htm
往年的(de)生活有多(duō)惬意呢(ne)?周末可(kě)以逛商場(chǎng),下(xià)班可(kě)以去超市,回家能夠逛網店(diàn),買買買已經融入生活,不再受到時(shí)間和(hé)地理(lǐ)的(de)限制。但今年,疫情的(de)出現導緻我們的(de)選擇少了(le)太多(duō),網購(gòu)幾乎成爲了(le)唯一的(de)途徑。與此同時(shí),各種電商節和(hé)促銷活動讓用(yòng)戶的(de)注意力更加集中,海量用(yòng)戶湧入電商平台确實帶來(lái)了(le)業務,但如何保障活動安全穩定地進行下(xià)去,也(yě)成爲各大(dà)平台面臨的(de)最大(dà)難題。
不論是6.18年中大(dà)促,還(hái)是11.11活動大(dà)促,京東都會吸引到大(dà)批”剁手黨“的(de)關注。可(kě)問題是,”黑(hēi)手黨“的(de)關注也(yě)不少,活動的(de)開啓往往意味著(zhe)網絡攻擊同步開啓,爲了(le)保障活動的(de)順利進行,京東智聯雲構建起來(lái)多(duō)層次、全方位的(de)保障體系。那麽這(zhè)套體系能夠發揮怎樣的(de)力量呢(ne)?京東智聯雲雲産品研發部安全專家朱延勇在CSDN直播活動《 “重大(dà)活動”網絡安全保障中的(de)攻守實踐》中便進行了(le)詳細的(de)講述。
對(duì)任一平台而言,每年都少不了(le)具有一定影(yǐng)響力的(de)經濟、體育、文化(huà)活動,比如電商平台的(de)6.18和(hé)11.11;比如線上的(de)服貿會、進博會等;再比如重要人(rén)物(wù)、活動的(de)直播,像春晚、元宵節晚會等。 對(duì)這(zhè)些活動分(fēn)析後,不難發現其四大(dà)特點:第一,需要提前籌建臨時(shí)機構進行舉辦;第二,重大(dà)活動受到多(duō)方監管;第三,活動涉及的(de)信息系統往往極其複雜(zá);第四,社會關注度高(gāo),面向廣泛的(de)用(yòng)戶群體。正是因爲這(zhè)些特點的(de)存在,使得(de)活動中的(de)業務穩定性和(hé)安全性有了(le)更高(gāo)的(de)要求。 因爲在活動中臨時(shí)組織的(de)加入使得(de)溝通(tōng)成本增加,産生和(hé)累積各種不穩定因素;多(duō)方監管确實可(kě)以提升安全性,但執行層面上往往存在标準不統一的(de)情況,會讓安全保障工作面臨複雜(zá)的(de)硬性要求;系統複雜(zá),會對(duì)安保設計提出更多(duō)挑戰,需要在有限的(de)資源基礎上協調和(hé)溝通(tōng)具有不同安全能力的(de)子系統,保障整體業務的(de)穩定性、安全性;關注度高(gāo)不僅意味著(zhe)普通(tōng)人(rén)參與的(de)更多(duō),還(hái)意味著(zhe)對(duì)攻擊者的(de)吸引力更強。 不過在重大(dà)活動面前倒也(yě)不必人(rén)人(rén)自危,其不利因素雖多(duō),但攻擊形式卻沒有太大(dà)區(qū)别。唯一的(de)差異點隻在于特定攻擊類型所占比例的(de)增高(gāo),比如今年618活動中,京東智聯雲攔截到的(de)外部攻擊主要還(hái)是CC攻擊、DDoS攻擊這(zhè)些能影(yǐng)響到業務連續性和(hé)頁面穩定性的(de)攻擊形式。
京東智聯雲的(de)多(duō)層次全方位安保體系 攻擊形式雖然不出意外,可(kě)麻煩的(de)是這(zhè)些攻擊一直以來(lái)少有萬無一失的(de)解決方案,再加上重大(dà)活動面前,業務繁雜(zá)、流量巨大(dà)、攻擊複雜(zá),這(zhè)就對(duì)安全團隊的(de)業務能力形成了(le)更加嚴峻的(de)考驗。 京東智聯雲的(de)做(zuò)法是構建多(duō)層次全方位的(de)安全保障體系。立足于等保監管、結合安全保障工作的(de)重點和(hé)流程,将在“重大(dà)活動”中構建安全保障的(de)過程分(fēn)爲:“五大(dà)層次”、“四個(gè)階段”、“三大(dà)原則”和(hé)“兩大(dà)重點”。具體地,“五大(dà)層次”是基于等級保護的(de)要求劃分(fēn)物(wù)理(lǐ)層、網絡層、系統層、應用(yòng)層、數據層五大(dà)防禦層次視角;“四個(gè)階段”是以時(shí)間維度将重大(dà)安全保障活動工作按照(zhào)不同階段的(de)工作内容和(hé)重點劃分(fēn)爲研發部署階段、安保建設階段、安保演練階段、安全保障階段四個(gè)階段;“三大(dà)原則”是指安全保障體系構建過程中三個(gè)基本原則——同步規劃、同步建設、同步運營;“兩大(dà)重點”則是指安全保障建設與落地過程中要關注的(de)兩大(dà)核心内容。 京東智聯雲基于項目介入時(shí)間、工作重點、工作目标等因素考慮将保障工作的(de)四個(gè)階段分(fēn)爲:研發部署階段、安保建設階段、安保演練階段和(hé)安全保障階段。首要原則是:在有限的(de)預算(suàn)下(xià),識别工作重點,合理(lǐ)分(fēn)配防護力量,避免貪大(dà)求多(duō),分(fēn)散防護力量,導緻整體防護效果大(dà)打折扣。
研發部署階段的(de)建設是基礎。這(zhè)一階段主要基于三大(dà)原則開展工作,同步開啓項目研發和(hé)安全建設工作,将安全的(de)考量、機制和(hé)相關制度深度融合到項目的(de)立項、設計、開發、測試、運維監控全流程中。制定必要的(de)組織和(hé)流程、提出具體的(de)安全要求、提供可(kě)操作的(de)安全指導、協助構建基礎安全環境,爲安全保障工作的(de)順利推進夯實基礎。具體地,基于整體安保目标的(de)基礎上組建涵蓋研發部門負責人(rén)、運維負責人(rén)、安全架構師、合規工程師等人(rén)員(yuán)的(de)基本安保工作組;基于等保規範、參考公司安全要求、面向攻防實戰制定具體的(de)整體安全規章(zhāng)制度,并對(duì)其做(zuò)全員(yuán)的(de)宣貫;面向編碼運維實踐提供一些可(kě)讀性高(gāo)、可(kě)操作性高(gāo)的(de)安全編碼規範與實施手冊;基于基礎網絡、應用(yòng)安全、數據安全、安全監控覆蓋等視角與層次對(duì)研發部署過程進行評審與把控;提供定期更新、充分(fēn)審計、符合業務方使用(yòng)需求的(de)安全鏡像、安全組件、安全SDK等基礎環境。 現實中受限于預算(suàn)等因素的(de)限制,這(zhè)一階段工作的(de)形式可(kě)能存在差異,比如“安全咨詢”、“專家服務”等形式,但相應工作内容應盡可(kě)能覆蓋。
安保建設階段是整個(gè)安全保障體系的(de)設計和(hé)初始落地實施階段,是安保體系的(de)核心和(hé)基礎。該階段也(yě)是通(tōng)常意義上外部安保團隊介入執行安保工作的(de)主要時(shí)間節點。本階段主要有三方面内容組成:業務資産和(hé)人(rén)員(yuán)梳理(lǐ)、保障技術方案設計、攻擊面收斂和(hé)加固。
資産和(hé)人(rén)員(yuán)梳理(lǐ)是安保體系建設的(de)數據基礎。本階段可(kě)以通(tōng)過外部掃描、内部掃描、内部走訪等各種手段對(duì)系統資産進行測繪,對(duì)組織人(rén)員(yuán)進行盤點。同時(shí),需要将相關要素彼此關聯,爲安保方案設計及運維人(rén)員(yuán)提供全局的(de)防護視圖及資料庫。 如上圖所示,是以系統視角對(duì)系統所屬的(de)資源、人(rén)員(yuán)、應用(yòng)和(hé)安全配置進行梳理(lǐ)和(hé)關聯。 信息梳理(lǐ)完畢後便可(kě)以基于此進行保障技術方案設計,主要包含安全配置方案和(hé)應急處置預案。安全防護配置需要以“全面防護、縱深防禦”爲原則,對(duì)整體安全架構進行設計、對(duì)安全産品進行選型、對(duì)安全産品的(de)規則配置進行優化(huà)。具體可(kě)能涉及:安全産品的(de)防禦位置、安全産品的(de)部署層次、安全産品的(de)防護規格、安全産品規則的(de)寬松度、審計産品的(de)覆蓋範圍等方面内容。應急預案設計主要是把未來(lái)運維工作以及可(kě)能面臨的(de)風險預案化(huà),以期事件發生時(shí)能以較高(gāo)的(de)響應速度和(hé)精準度進行應對(duì)處置。預案的(de)設計應該做(zuò)到全面和(hé)标準化(huà),應該覆蓋安全保障工作中的(de)所有内容以及參與工作的(de)所有人(rén)員(yuán),以标準定義、标準流程、标準操作以及标準輸出的(de)形式對(duì)預案細節進行固化(huà)并在後續演練過程中改進和(hé)優化(huà)。預案的(de)設定可(kě)以是多(duō)視角多(duō)維度的(de),比如:面向業務系統、面向防禦層次、面向重點威脅形式等。 攻擊面的(de)收斂和(hé)加固是安全保障工作的(de)重中之重,直接關系著(zhe)系統整體的(de)安全性。該階段需要對(duì)内外部潛在的(de)威脅進行識别,對(duì)可(kě)能的(de)脆弱性進行加固,協同、閉環地進行攻擊面收斂和(hé)安全加固。攻擊面收斂主要以合規和(hé)攻擊視角展開,基于全面的(de)資源和(hé)人(rén)員(yuán)數據,利用(yòng)“攻防不對(duì)稱”中的(de)優勢,實現最小化(huà)暴露和(hé)最大(dà)化(huà)收斂。通(tōng)過安全自查、基線合規檢查、安全專項治理(lǐ)、周期性巡查、尋求外部監管等方式進行。同時(shí),該階段工作要注意轉換攻守思維方式,避免單一視角看待問題,避免因單一攻擊或防守視角産生安全盲點及安全妥協。同時(shí)該階段工作同樣需要盡可(kě)能地标準化(huà),避免有限的(de)安全保障人(rén)力被流程性、事務性的(de)非必要工作過多(duō)浪費。
通(tōng)過完備的(de)安保體系建設和(hé)詳細預案制定,基本可(kě)以滿足安全保障的(de)工作需求。但是,以上工作往往是以内部視角爲主,基于有限的(de)假設,依賴于安全人(rén)員(yuán)的(de)過往經驗來(lái)制定,可(kě)能在實際運行過程中存在諸如安全策略與業務不匹配、工作流程不流暢和(hé)特殊安全風險被默許忽視等問題,爲後續保障執行階段埋下(xià)隐患。爲了(le)确保萬無一失,京東智聯雲在安全保障工作中通(tōng)過演練活動,對(duì)安全方案及預案進行驗證。檢驗安全監測、應急值守、應急處置等工作的(de)順暢度和(hé)協調度,确保安保建設階段的(de)工作能按照(zhào)設計目的(de)實現防護效果。演練針對(duì)不同的(de)人(rén)員(yuán)和(hé)系統,從不同的(de)層次,面向不同的(de)事件發展階段,以不同的(de)形式開展,如針對(duì)特定業務事件的(de)聯動處置(安全風控加固演練等);針對(duì)安全措施失效的(de)處置(防護設備掉線、防護規則繞過等);針對(duì)單項問題的(de)預演(DDoS攻擊事件、Web漏洞攻擊事件、0day漏洞事件等);模拟真實攻擊場(chǎng)景的(de)紅藍對(duì)抗;賞金式安全衆測等。如有條件可(kě)以主動引導監管方觀摩或參與演練過程,盡可(kě)能将各類風險在演練階段暴露,避免後期發現安全問題或風險,難以短時(shí)間内加固及修複。 保障演練即是對(duì)系統安全保障體系的(de)實際運行效果進行檢驗,也(yě)是對(duì)安全保障體系人(rén)員(yuán)進行訓練。 保障演練階段同樣需要将安全措施以标準化(huà)、可(kě)執行、簡單明(míng)了(le)的(de)形式進行落地,讓運維人(rén)員(yuán)面對(duì)事件可(kě)以按照(zhào)防守預案手冊快(kuài)速且便捷地完成防護處置工作。
前三個(gè)階段完成後針對(duì)安全保障體系建設的(de)工作就基本完成,但是體系的(de)落地實施需要保障運維團隊來(lái)支撐。尤其是在活動期間:人(rén)工和(hé)自動化(huà)相結合安全監測與報警、7×24小時(shí)安保職守、AI與專家協同的(de)分(fēn)析研判和(hé)安全事件的(de)主動應急響應處置,都是必不可(kě)少的(de)工作。
如上圖所示,京東智聯雲在安全保障體系階段通(tōng)過态勢感知等安全産品提供涵蓋數據資源層、威脅檢測層、關聯分(fēn)析層、威脅展示層的(de)多(duō)層次安全監測和(hé)态勢預測。安全運維團隊可(kě)以直觀地獲知安全事件和(hé)安全态勢,從而推動事件處置。
标準化(huà)同樣要在安全保障階段進行嚴格執行,以威脅封禁操作爲例,京東智聯雲把威脅封禁工作流實現了(le)标準化(huà)、制度化(huà),以便于保障工作在由不同班次不同部門進行執行時(shí)能協調有序。其總體流程如上所示,在發現威脅後由分(fēn)析人(rén)員(yuán)進行威脅分(fēn)析,理(lǐ)清攻擊目标、攻擊方法和(hé)形式,輸出事件初始報告;然後由其他(tā)人(rén)員(yuán)進行二次确認,分(fēn)析攻擊來(lái)源以及是否爲系統誤判,輸出事件确認報告。在确認攻擊後需要對(duì)高(gāo)危險動作進行封禁操作,封禁IP對(duì)所有關聯系統人(rén)進行通(tōng)報,同時(shí)要告知止損策略,輸出事件處置報告;對(duì)于低頻(pín)攻擊則會加入觀測列表,觀測活動特點并進一步處置分(fēn)析,形成處置記錄。同時(shí),在安全保障階段,需要例行化(huà)彙總輸出安全态勢,爲上層提供決策材料、積極響應監管部門要求。
重大(dà)活動面前,京東智聯雲基于雲安全的(de)安保實踐 近期,中國國際服務貿易交易會在線上成功舉辦,京東智聯雲在其中扮演了(le)重要角色。 依托于京東智聯雲原生安全産品的(de)支持,構建了(le)全面縱深的(de)安全保障體系。 基于京東智聯雲原生DevSecOps功能,輕松實現項目管理(lǐ)、代碼研發、産品研發部署流水(shuǐ)線、線上運維管理(lǐ)與系統監控全生命周期的(de)安全防護,爲項目打下(xià)了(le)堅實的(de)安全基礎。 基于京東智聯雲原生安全基礎設施,比如抗DDoS系統、VPC網絡隔離、應用(yòng)安全網關、雲WAF、主機安全、分(fēn)布式掃描系統等,爲系統提供堅實的(de)安全防護基礎。值得(de)一提的(de)是,京東智聯雲的(de)多(duō)個(gè)安全産品同時(shí)提供多(duō)雲部署能力,幫助客戶在複雜(zá)環境中,構建安全基礎。 在應用(yòng)層面,京東智聯雲提供了(le)雲原生的(de)全鏈加密手段,包括KMS開發用(yòng)SDK、 SSL數字證書(shū)、後端數據落地的(de)存儲加密等,形成全方位的(de)數據安全保障。 同時(shí),京東智聯雲還(hái)提供雲原生的(de)應用(yòng)安全、身份認證及安全服務,滿足安全保障過程中如應用(yòng)安全、賬号身份認證管理(lǐ)與審計、安全咨詢服務、安全培訓、漏洞掃描、代碼審計、應急響應服務等多(duō)樣的(de)安全需求。
在活動面前,一支強大(dà)的(de)雲原生安全運營團隊,對(duì)于安全産品的(de)管理(lǐ)和(hé)運維有著(zhe)重要幫助。在活動期間,京東智聯雲基于雲原生安全産品和(hé)久經考驗的(de)專業安全運營團隊,提供雲原生統一安全運營,綜合利用(yòng)基礎數據層的(de)全量資産信息采集、威脅感知層的(de)情報感知、機器學習(xí)的(de)異常檢測、安全沙箱的(de)威脅分(fēn)析、實時(shí)針對(duì)性攻擊分(fēn)析、離線攻擊聚合分(fēn)析、自動化(huà)編排研判等手段,提供統一風險管理(lǐ)、統一事件展示和(hé)系統防護處置,幫助安全保障人(rén)員(yuán)快(kuài)速便捷的(de)執行安全保障運營工作。 在數據時(shí)代,大(dà)量的(de)活動被搬運到線上,網絡安全的(de)重要性也(yě)随之增強。比如京東智聯雲所面對(duì)的(de)電商場(chǎng)景便是一個(gè)很典型的(de)例子,以多(duō)雲化(huà)、系統化(huà)、标準化(huà)的(de)安全手段保障活動的(de)正常進行,這(zhè)大(dà)概是每個(gè)互聯網安全從業者最初的(de)夢想。幸運的(de)是,随著(zhe)京東智聯雲安全産品的(de)不斷推出,開發者有了(le)更加方便快(kuài)捷且安全的(de)上雲手段,擺脫傳統冗雜(zá)的(de)局面存在了(le)現實可(kě)能。