重大活動網(wǎng)絡攻擊面前,京東智聯(lián)云的攻防之道
發(fā)表日期:2020.11.16 訪問人數(shù):0
本文轉(zhuǎn)自:CSDN
原文鏈接:https://www.wxnmh.com/thread-8067428.htm
往年的生活有多愜意呢�?周末可以逛商場�����,下班可以去超市���,回家能夠逛網(wǎng)店�����,買買買已經(jīng)融入生活�,不再受到時間和地理的限制。但今年����,疫情的出現(xiàn)導致我們的選擇少了太多,網(wǎng)購幾乎成為了唯一的途徑����。與此同時,各種電商節(jié)和促銷活動讓用戶的注意力更加集中�,海量用戶涌入電商平臺確實帶來了業(yè)務�,但如何保障活動安全穩(wěn)定地進行下去��,也成為各大平臺面臨的最大難題��。
不論是6.18年中大促�,還是11.11活動大促,京東都會吸引到大批”剁手黨“的關(guān)注����??蓡栴}是�����,”黑手黨“的關(guān)注也不少�,活動的開啟往往意味著網(wǎng)絡攻擊同步開啟,為了保障活動的順利進行����,京東智聯(lián)云構(gòu)建起來多層次���、全方位的保障體系��。那么這套體系能夠發(fā)揮怎樣的力量呢?京東智聯(lián)云云產(chǎn)品研發(fā)部安全專家朱延勇在CSDN直播活動《 “重大活動”網(wǎng)絡安全保障中的攻守實踐》中便進行了詳細的講述。
對任一平臺而言��,每年都少不了具有一定影響力的經(jīng)濟����、體育、文化活動��,比如電商平臺的6.18和11.11��;比如線上的服貿(mào)會��、進博會等��;再比如重要人物��、活動的直播�,像春晚����、元宵節(jié)晚會等。 對這些活動分析后�,不難發(fā)現(xiàn)其四大特點:第一,需要提前籌建臨時機構(gòu)進行舉辦��;第二��,重大活動受到多方監(jiān)管���;第三��,活動涉及的信息系統(tǒng)往往極其復雜�;第四�,社會關(guān)注度高,面向廣泛的用戶群體����。正是因為這些特點的存在,使得活動中的業(yè)務穩(wěn)定性和安全性有了更高的要求���。 因為在活動中臨時組織的加入使得溝通成本增加�����,產(chǎn)生和累積各種不穩(wěn)定因素���;多方監(jiān)管確實可以提升安全性,但執(zhí)行層面上往往存在標準不統(tǒng)一的情況�����,會讓安全保障工作面臨復雜的硬性要求�����;系統(tǒng)復雜,會對安保設(shè)計提出更多挑戰(zhàn)��,需要在有限的資源基礎(chǔ)上協(xié)調(diào)和溝通具有不同安全能力的子系統(tǒng)����,保障整體業(yè)務的穩(wěn)定性、安全性�;關(guān)注度高不僅意味著普通人參與的更多,還意味著對攻擊者的吸引力更強�����。 不過在重大活動面前倒也不必人人自危�,其不利因素雖多,但攻擊形式卻沒有太大區(qū)別�。唯一的差異點只在于特定攻擊類型所占比例的增高,比如今年618活動中�,京東智聯(lián)云攔截到的外部攻擊主要還是CC攻擊、DDoS攻擊這些能影響到業(yè)務連續(xù)性和頁面穩(wěn)定性的攻擊形式����。
攻擊形式雖然不出意外,可麻煩的是這些攻擊一直以來少有萬無一失的解決方案���,再加上重大活動面前�����,業(yè)務繁雜�����、流量巨大�����、攻擊復雜���,這就對安全團隊的業(yè)務能力形成了更加嚴峻的考驗。 京東智聯(lián)云的做法是構(gòu)建多層次全方位的安全保障體系�����。立足于等保監(jiān)管�����、結(jié)合安全保障工作的重點和流程����,將在“重大活動”中構(gòu)建安全保障的過程分為:“五大層次”�����、“四個階段”�、“三大原則”和“兩大重點”�。具體地,“五大層次”是基于等級保護的要求劃分物理層����、網(wǎng)絡層、系統(tǒng)層��、應用層���、數(shù)據(jù)層五大防御層次視角�;“四個階段”是以時間維度將重大安全保障活動工作按照不同階段的工作內(nèi)容和重點劃分為研發(fā)部署階段���、安保建設(shè)階段�、安保演練階段���、安全保障階段四個階段�����;“三大原則”是指安全保障體系構(gòu)建過程中三個基本原則——同步規(guī)劃��、同步建設(shè)�����、同步運營���;“兩大重點”則是指安全保障建設(shè)與落地過程中要關(guān)注的兩大核心內(nèi)容。 京東智聯(lián)云基于項目介入時間�����、工作重點����、工作目標等因素考慮將保障工作的四個階段分為:研發(fā)部署階段、安保建設(shè)階段�����、安保演練階段和安全保障階段��。首要原則是:在有限的預算下,識別工作重點��,合理分配防護力量��,避免貪大求多����,分散防護力量,導致整體防護效果大打折扣����。
研發(fā)部署階段的建設(shè)是基礎(chǔ)。這一階段主要基于三大原則開展工作�,同步開啟項目研發(fā)和安全建設(shè)工作,將安全的考量�����、機制和相關(guān)制度深度融合到項目的立項��、設(shè)計��、開發(fā)����、測試���、運維監(jiān)控全流程中。制定必要的組織和流程����、提出具體的安全要求、提供可操作的安全指導��、協(xié)助構(gòu)建基礎(chǔ)安全環(huán)境��,為安全保障工作的順利推進夯實基礎(chǔ)�����。具體地����,基于整體安保目標的基礎(chǔ)上組建涵蓋研發(fā)部門負責人��、運維負責人���、安全架構(gòu)師�����、合規(guī)工程師等人員的基本安保工作組��;基于等保規(guī)范��、參考公司安全要求����、面向攻防實戰(zhàn)制定具體的整體安全規(guī)章制度,并對其做全員的宣貫����;面向編碼運維實踐提供一些可讀性高、可操作性高的安全編碼規(guī)范與實施手冊�;基于基礎(chǔ)網(wǎng)絡、應用安全�����、數(shù)據(jù)安全����、安全監(jiān)控覆蓋等視角與層次對研發(fā)部署過程進行評審與把控;提供定期更新����、充分審計�、符合業(yè)務方使用需求的安全鏡像���、安全組件��、安全SDK等基礎(chǔ)環(huán)境�����。 現(xiàn)實中受限于預算等因素的限制�����,這一階段工作的形式可能存在差異,比如“安全咨詢”���、“專家服務”等形式���,但相應工作內(nèi)容應盡可能覆蓋。
安保建設(shè)階段是整個安全保障體系的設(shè)計和初始落地實施階段��,是安保體系的核心和基礎(chǔ)����。該階段也是通常意義上外部安保團隊介入執(zhí)行安保工作的主要時間節(jié)點�����。本階段主要有三方面內(nèi)容組成:業(yè)務資產(chǎn)和人員梳理�、保障技術(shù)方案設(shè)計�����、攻擊面收斂和加固��。
資產(chǎn)和人員梳理是安保體系建設(shè)的數(shù)據(jù)基礎(chǔ)���。本階段可以通過外部掃描����、內(nèi)部掃描���、內(nèi)部走訪等各種手段對系統(tǒng)資產(chǎn)進行測繪���,對組織人員進行盤點。同時��,需要將相關(guān)要素彼此關(guān)聯(lián),為安保方案設(shè)計及運維人員提供全局的防護視圖及資料庫�。 如上圖所示,是以系統(tǒng)視角對系統(tǒng)所屬的資源��、人員����、應用和安全配置進行梳理和關(guān)聯(lián)。 信息梳理完畢后便可以基于此進行保障技術(shù)方案設(shè)計���,主要包含安全配置方案和應急處置預案�。安全防護配置需要以“全面防護���、縱深防御”為原則��,對整體安全架構(gòu)進行設(shè)計�、對安全產(chǎn)品進行選型�����、對安全產(chǎn)品的規(guī)則配置進行優(yōu)化�����。具體可能涉及:安全產(chǎn)品的防御位置�����、安全產(chǎn)品的部署層次�、安全產(chǎn)品的防護規(guī)格、安全產(chǎn)品規(guī)則的寬松度�����、審計產(chǎn)品的覆蓋范圍等方面內(nèi)容�。應急預案設(shè)計主要是把未來運維工作以及可能面臨的風險預案化,以期事件發(fā)生時能以較高的響應速度和精準度進行應對處置��。預案的設(shè)計應該做到全面和標準化���,應該覆蓋安全保障工作中的所有內(nèi)容以及參與工作的所有人員�,以標準定義��、標準流程�����、標準操作以及標準輸出的形式對預案細節(jié)進行固化并在后續(xù)演練過程中改進和優(yōu)化���。預案的設(shè)定可以是多視角多維度的����,比如:面向業(yè)務系統(tǒng)、面向防御層次�、面向重點威脅形式等。 攻擊面的收斂和加固是安全保障工作的重中之重�����,直接關(guān)系著系統(tǒng)整體的安全性�����。該階段需要對內(nèi)外部潛在的威脅進行識別��,對可能的脆弱性進行加固���,協(xié)同����、閉環(huán)地進行攻擊面收斂和安全加固��。攻擊面收斂主要以合規(guī)和攻擊視角展開����,基于全面的資源和人員數(shù)據(jù),利用“攻防不對稱”中的優(yōu)勢���,實現(xiàn)最小化暴露和最大化收斂�。通過安全自查����、基線合規(guī)檢查、安全專項治理��、周期性巡查���、尋求外部監(jiān)管等方式進行���。同時,該階段工作要注意轉(zhuǎn)換攻守思維方式��,避免單一視角看待問題���,避免因單一攻擊或防守視角產(chǎn)生安全盲點及安全妥協(xié)�����。同時該階段工作同樣需要盡可能地標準化����,避免有限的安全保障人力被流程性、事務性的非必要工作過多浪費�����。
通過完備的安保體系建設(shè)和詳細預案制定�,基本可以滿足安全保障的工作需求。但是���,以上工作往往是以內(nèi)部視角為主�����,基于有限的假設(shè)�,依賴于安全人員的過往經(jīng)驗來制定�����,可能在實際運行過程中存在諸如安全策略與業(yè)務不匹配�、工作流程不流暢和特殊安全風險被默許忽視等問題,為后續(xù)保障執(zhí)行階段埋下隱患���。為了確保萬無一失��,京東智聯(lián)云在安全保障工作中通過演練活動�����,對安全方案及預案進行驗證��。檢驗安全監(jiān)測�、應急值守���、應急處置等工作的順暢度和協(xié)調(diào)度�����,確保安保建設(shè)階段的工作能按照設(shè)計目的實現(xiàn)防護效果�����。演練針對不同的人員和系統(tǒng)��,從不同的層次����,面向不同的事件發(fā)展階段,以不同的形式開展���,如針對特定業(yè)務事件的聯(lián)動處置(安全風控加固演練等)����;針對安全措施失效的處置(防護設(shè)備掉線���、防護規(guī)則繞過等)����;針對單項問題的預演(DDoS攻擊事件����、Web漏洞攻擊事件、0day漏洞事件等)���;模擬真實攻擊場景的紅藍對抗����;賞金式安全眾測等�。如有條件可以主動引導監(jiān)管方觀摩或參與演練過程,盡可能將各類風險在演練階段暴露�����,避免后期發(fā)現(xiàn)安全問題或風險,難以短時間內(nèi)加固及修復�����。 保障演練即是對系統(tǒng)安全保障體系的實際運行效果進行檢驗��,也是對安全保障體系人員進行訓練���。 保障演練階段同樣需要將安全措施以標準化、可執(zhí)行�、簡單明了的形式進行落地,讓運維人員面對事件可以按照防守預案手冊快速且便捷地完成防護處置工作�����。
前三個階段完成后針對安全保障體系建設(shè)的工作就基本完成���,但是體系的落地實施需要保障運維團隊來支撐����。尤其是在活動期間:人工和自動化相結(jié)合安全監(jiān)測與報警����、7×24小時安保職守��、AI與專家協(xié)同的分析研判和安全事件的主動應急響應處置����,都是必不可少的工作����。
如上圖所示,京東智聯(lián)云在安全保障體系階段通過態(tài)勢感知等安全產(chǎn)品提供涵蓋數(shù)據(jù)資源層���、威脅檢測層����、關(guān)聯(lián)分析層����、威脅展示層的多層次安全監(jiān)測和態(tài)勢預測。安全運維團隊可以直觀地獲知安全事件和安全態(tài)勢���,從而推動事件處置�。
標準化同樣要在安全保障階段進行嚴格執(zhí)行,以威脅封禁操作為例���,京東智聯(lián)云把威脅封禁工作流實現(xiàn)了標準化��、制度化����,以便于保障工作在由不同班次不同部門進行執(zhí)行時能協(xié)調(diào)有序�����。其總體流程如上所示�,在發(fā)現(xiàn)威脅后由分析人員進行威脅分析����,理清攻擊目標、攻擊方法和形式����,輸出事件初始報告;然后由其他人員進行二次確認����,分析攻擊來源以及是否為系統(tǒng)誤判,輸出事件確認報告。在確認攻擊后需要對高危險動作進行封禁操作����,封禁IP對所有關(guān)聯(lián)系統(tǒng)人進行通報,同時要告知止損策略�,輸出事件處置報告;對于低頻攻擊則會加入觀測列表���,觀測活動特點并進一步處置分析���,形成處置記錄。同時�,在安全保障階段,需要例行化匯總輸出安全態(tài)勢����,為上層提供決策材料、積極響應監(jiān)管部門要求�����。
重大活動面前���,京東智聯(lián)云基于云安全的安保實踐 近期����,中國國際服務貿(mào)易交易會在線上成功舉辦,京東智聯(lián)云在其中扮演了重要角色�����。 依托于京東智聯(lián)云原生安全產(chǎn)品的支持�,構(gòu)建了全面縱深的安全保障體系。 基于京東智聯(lián)云原生DevSecOps功能�����,輕松實現(xiàn)項目管理�、代碼研發(fā)、產(chǎn)品研發(fā)部署流水線����、線上運維管理與系統(tǒng)監(jiān)控全生命周期的安全防護�����,為項目打下了堅實的安全基礎(chǔ)�。 基于京東智聯(lián)云原生安全基礎(chǔ)設(shè)施,比如抗DDoS系統(tǒng)��、VPC網(wǎng)絡隔離、應用安全網(wǎng)關(guān)�����、云WAF�、主機安全、分布式掃描系統(tǒng)等���,為系統(tǒng)提供堅實的安全防護基礎(chǔ)���。值得一提的是,京東智聯(lián)云的多個安全產(chǎn)品同時提供多云部署能力���,幫助客戶在復雜環(huán)境中����,構(gòu)建安全基礎(chǔ)���。 在應用層面����,京東智聯(lián)云提供了云原生的全鏈加密手段��,包括KMS開發(fā)用SDK、 SSL數(shù)字證書��、后端數(shù)據(jù)落地的存儲加密等�����,形成全方位的數(shù)據(jù)安全保障�����。 同時���,京東智聯(lián)云還提供云原生的應用安全����、身份認證及安全服務����,滿足安全保障過程中如應用安全�、賬號身份認證管理與審計、安全咨詢服務��、安全培訓��、漏洞掃描、代碼審計�、應急響應服務等多樣的安全需求。
在活動面前����,一支強大的云原生安全運營團隊,對于安全產(chǎn)品的管理和運維有著重要幫助��。在活動期間�,京東智聯(lián)云基于云原生安全產(chǎn)品和久經(jīng)考驗的專業(yè)安全運營團隊,提供云原生統(tǒng)一安全運營���,綜合利用基礎(chǔ)數(shù)據(jù)層的全量資產(chǎn)信息采集�、威脅感知層的情報感知�����、機器學習的異常檢測���、安全沙箱的威脅分析���、實時針對性攻擊分析、離線攻擊聚合分析�����、自動化編排研判等手段,提供統(tǒng)一風險管理�����、統(tǒng)一事件展示和系統(tǒng)防護處置����,幫助安全保障人員快速便捷的執(zhí)行安全保障運營工作。 在數(shù)據(jù)時代��,大量的活動被搬運到線上�����,網(wǎng)絡安全的重要性也隨之增強��。比如京東智聯(lián)云所面對的電商場景便是一個很典型的例子��,以多云化�����、系統(tǒng)化���、標準化的安全手段保障活動的正常進行��,這大概是每個互聯(lián)網(wǎng)安全從業(yè)者最初的夢想�。幸運的是�,隨著京東智聯(lián)云安全產(chǎn)品的不斷推出,開發(fā)者有了更加方便快捷且安全的上云手段�,擺脫傳統(tǒng)冗雜的局面存在了現(xiàn)實可能。
