安全有道之如何构建电子商务的“安保系统”?

  1. 云栖社区>
  2. 博客>
  3. 正文

安全有道之如何构建电子商务的“安保系统”?

云学习小组 2016-05-26 07:00:21 浏览4939
展开阅读全文

 电子商务与我们的生活息息相关,电商行业也是黑产的重要目标之一,这个行业有哪些安全问题?如何解决这些问题呢?

电商行业面临的安全威胁和挑战

 电商行业面临的安全威胁主要有以下两个方面:

1. 盗取电商数据,形成黑色产业

盗卖网站数据库如今已经成为一个黑色产业,黑客入侵网站后会盗取网站整个数据库 (拖库),特别是用户的帐户信息和个人资料,用于黑市出售、广告推送或网络欺诈等不法行为;

2. 恶意竞争盛行,导致行业混乱

电商网站受到的流量攻击很多是来自竞争对手的行为。这样的恶意攻击不仅会导致被攻击网站无法正常运营,影响消费者使用,而且还会导致恶意竞争的泛滥,造成整个行业的混乱,整体竞争力下降。 

对于电商系统来说,它的部署环境应该分为两个部分:

第一,   部署在企业的内网里,与互联网是逻辑隔离的,这种系统的特征为环境是比较封闭的、用户相对固定、终端相对可控,它的安全风险要少很多;

第二,   电子商务是服务整个互联网用户的,业务发布出去就会面临一些问题,海量的用户、开放的环境、不可控的终端。

 

很多时候,电子商务遇到的问题并不是传统的DDOS攻击、外部攻击、SQL注入等,而是业务上的一些欺诈行为,刷单、撞库、黄牛、虚假注册、账号盗用等。

 

7d0dd88b29776fb1555a47f9b8df697ed779a13b

网络、业务、主机应用数据和内容等等各个方面,形形色色的安全问题,会令电商的管理人员心痛,这是电商行业面临的挑战。对于建立安全体系来说,需要分析业务场景,阿里云提供的互联网服务通常会有两个端,云端和客户端。云端需要统一考虑防DDoS攻击、防黑客入侵、防业务欺诈等。客户端通常需要对APP做加固,防止二次打包、流量劫持等问题。

 

总结来看,传统的安全解决方案会遇到安全问题不可控、不可见、不可管的问题,这么多的威胁都是安全意识问题,很多人都是头痛医头脚痛医脚,缺乏整体安全体系的规划。

 

一只水桶能装多少水取决于它最短的那块木板,安全能力亦如此,黑客总是从你想不到的地方入侵。安全是体系化的对抗,比的是速度。是否能力及时发现攻击行为,是体现安全能力的核心指标。

 

那么,为什么无法防御呢?现在的黑客是通过如下几步来窃取数据的:

1.         了解目标:端口扫描、漏洞扫描、社工人肉库。

2.         发起攻击0day攻击、邮件发病毒附件、网盘钓鱼。

3.         进入系统:获取管理权限、深入渗透。

4.         后门控制:过杀软、降低系统警惕。

5.         偷窃数据:网络连接、接受指令。

阿里巴巴的安全实践

阿里巴巴基于自己研发的云盾防御体系,构建了阿里的基础防御体系。阿里为小微金服电子商务和智能物流提供了整体的安全防御措施,2015年双十一一天,阿里云为淘宝天猫提供了DDoS攻击3000次,  Web攻击92万次  https flood 750qps的原装防护

 

437ebe18dfefa2e3b1f2326182a5270161fd02f2

阿里云为大家提供了基础的计算服务,其中也有很多的安全工作。为了证明阿里云的安全能力,阿里云通过国家工信部等多家权威部门的认证,基础平台做到了稳定、可靠、安全、合规。

 

1b8ab2e162fa4df680863281d1cce653a687dd5b

 

一个较为完整的安全体系需要阿里云和租户共同来构建,责任共同来承担。

 

07c38091a05946c543e26249397b8853f7963399

 

阿里云安全,多层防护+云端大数据,集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力,为客户提供一整套安全产品和服务。阿里云为租户提供的安全服务都有哪些呢?图为阿里基于淘宝天猫多年的信息安全的防护总结出的防御体系,包括三大部分:

 

第一部分为网络安全,DDoS高防解决DDoS攻击、cc攻击,WAF解决SQL注入、跨站等问题。

第二部分为服务器安全,在服务器上部署一个小的agent,叫做安骑士,它是解决异地登陆、暴力破解等问题。

第三部分为业务安全,阿里云提供反欺诈服务,内容安全解决色情、广告等问题。

此外,阿里云还有安全管理、专家服务和数据安全。

如何利用阿里云构建完整的安全体系?

DT时代,数据是企业的核心资产,因此我们需要建立起数据安全的防御体系。那么,电商需要构建哪些安全能力呢?可分为三大类:安全感知能力、防御能力、响应能力。

感知能力建设

感知能力 ,用大数据分析解决原来看不到的安全问题。阿里云会收集NetFlow、主机Flow、操作日志、数据库日志、企业社工库、资产收集等信息,采集后做大数据分析,结合阿里云的威胁情报来看,最终告诉你安全决策。

 

大数据安全分析平台:降低因黑客攻击导致数据泄露的问题,识别攻击和入侵,并回

溯入侵点,可追溯到黑客姓名全记录入侵后的恶意操作。通过海量异构数据的关联分析,

APT攻击进行精准识别。

d73fca1a375344bf95802af4b3c167f7e0feae48

 

那么,态势感知系统是怎样构建的?首先,阿里云会有具体负责采集的系统去做采集流量等工作;紧接着,再去结合威胁的模型去计算;最后对用户进行安全告警。

态势感知应用场景解析 

3d4cd32d3504fe5b31422e021e7c1c170394afac

基于威胁情报的大数据安全分析:

  • 用大数据分析引擎,实时发现威胁线索和入侵事件
  • 识别黑客渗透/社工/APT攻击,做快速应急
  • 入侵取证和0day漏洞扫描

态势感知会实时显示攻防,也会告诉用户基于大数据的威胁情报分析,黑客是什么人,在什么时候做了哪些事情,把黑客的每一步过程回溯出来让你看到。态势感知也会对黑客进行溯源。

先知计划

先知计划是用社会化(白帽子、安全公司)的方式帮助电商企业发现安全问题,为电商企业提供及时、安全、私密的安全情报服务平台。它具备私有的安全中心,是可靠的安全专家,有显著的测试效果,和完整的漏洞闭环。先知计划结合了阿里生态的白帽子和安全公司来为用户做安全测试,它的效果和行为相比传统的这种渗透测试有很大的改善。

防御能力建设

防御能力 ,用云的能力解决原来无法防御的安全问题。恶意攻击流量经过阿里云防御系统的防御节点,把恶意的流量清洗成正常的流量。

web应用防火墙

dd446948e8c193ccce24bdb45c7cb9744ac64207

防御规则是核心,安全运营是关键:

  • 零部署、零维护
  • 全面覆盖OWASP TOP10攻击
  • 专业的攻防团队0day漏洞研究,0day防御规则快速更新
  • 强大的CC防护能力,保障网站可用性
  • 经过阿里电商、支付宝实践验证

反欺诈

92bc8ede68a18dde1ae1f8321933657d8bdeacd5

 

反欺诈服务是阿里大数据风控服务能力的对外输出,通过整合包含互联网金融、电商、

第三方支付等众多行业的数据,配合领先的行为收集技术,经过机器学习模型、大数据关

联分析和指标计算,解决账号、活动、交易等关键业务环节存在的欺诈威胁。

加密服务

083caf4c03301bd81f8d3f158ffd37120f31300e

 

数据是企业的核心信息,在云上或者数据中心,都需要对敏感数据做加密,阿里提供的加密机制,相当于一个保险箱,用户可以把敏感数据放进去,密钥在自己手里,算法符合国家要求,是有很强的防破解强度。

响应能力建设

响应能力共享互联网安全经验,解决互联网+时代的安全问题。

安全专家服务

安全专家服务提供日常安全巡检,紧急事件应急处理活动、大促关键时期保障护航。

  • 成熟的安全运营体系:专业团队随时应对,具备丰富的安全运营经验为阿里巴巴集团、阿里云提供安全运营。
  • 快速威胁感知:云盾先知平台收集收集漏洞,云平台上的安全事件分析捕获新增漏洞,安全业界的协作、交流,信息共享。
  • 高可靠、高保密的安全服务:阿里安全团队实施。

电商应用场景解析

6af3675247d4759607e85f5b87fa6208629989d4


初创型的电商客户预算有限,客户的访问能力有限,被别人攻击的可能性也较低,所以,阿里云准备了初创电商安全解决方案。阿里云在整个入口通过WAF来解决常见的攻击问题,然后在ECS上部署安骑士,开通态势感知的专业版,这就简单地构建了用户的防御能力和感知能力。这个方案可以很大程度解决燃眉之急,不至于在互联网上裸奔。

 

8e44595ba5e5bf7013b378327c3d1b45509e6e52

发展中的电商过了融资期,得到了很多客户,被别人攻击的面也越来越大,就需要继续加强安全防护,此时DDoS攻击、外部攻击就会多一些,所以阿里云推出了发展电商安全解决方案,重点在防御的部分加强。

 

9612c041986f36a25c9d5781c1eaec3006d5ce1d


对于成熟的电商而言,拥有了先前的防御手段和方法后,还需要做什么呢?此时需要建立整个的感知体系、防御体系和响应体系三位一体,通过构建完整的安全体系,有效降低入侵率。

阿里云安全的优势和责任

最后,阿里云的安全防护措施,并不是自己闭门造车研究出来这么多的安全产品,而是经过淘宝天猫多年实战总结出来的经验产品。阿里云非常希望为每个客户提供一个安全的可靠的环境,让每个用户享受安全空间,这是阿里云的责任。 


本文根据阿里云安全专家王晓东(麓飞)在517日举办的2016云栖大会·武汉峰会上的演讲整理而成。


系列文章:

安全有道之如何打造互联网+医疗的“防弹衣”?

网友评论

登录后评论
0/500
评论