重大活動(dòng)網(wǎng)絡(luò)攻擊面前����,京東智聯(lián)云的攻防之道
發(fā)表日期:2020.11.16 訪問人數(shù):0
本文轉(zhuǎn)自:CSDN
原文鏈接:https://www.wxnmh.com/thread-8067428.htm
往年的生活有多愜意呢����?周末可以逛商場�,下班可以去超市�,回家能夠逛網(wǎng)店,買買買已經(jīng)融入生活�,不再受到時(shí)間和地理的限制。但今年���,疫情的出現(xiàn)導(dǎo)致我們的選擇少了太多��,網(wǎng)購幾乎成為了唯一的途徑�����。與此同時(shí)�����,各種電商節(jié)和促銷活動(dòng)讓用戶的注意力更加集中���,海量用戶涌入電商平臺(tái)確實(shí)帶來了業(yè)務(wù),但如何保障活動(dòng)安全穩(wěn)定地進(jìn)行下去���,也成為各大平臺(tái)面臨的最大難題���。
不論是6.18年中大促��,還是11.11活動(dòng)大促�,京東都會(huì)吸引到大批”剁手黨“的關(guān)注����。可問題是��,”黑手黨“的關(guān)注也不少��,活動(dòng)的開啟往往意味著網(wǎng)絡(luò)攻擊同步開啟����,為了保障活動(dòng)的順利進(jìn)行����,京東智聯(lián)云構(gòu)建起來多層次、全方位的保障體系��。那么這套體系能夠發(fā)揮怎樣的力量呢��?京東智聯(lián)云云產(chǎn)品研發(fā)部安全專家朱延勇在CSDN直播活動(dòng)《 “重大活動(dòng)”網(wǎng)絡(luò)安全保障中的攻守實(shí)踐》中便進(jìn)行了詳細(xì)的講述�。
每次活動(dòng),都是平臺(tái)的安全期末考 對(duì)任一平臺(tái)而言��,每年都少不了具有一定影響力的經(jīng)濟(jì)、體育��、文化活動(dòng)�,比如電商平臺(tái)的6.18和11.11;比如線上的服貿(mào)會(huì)�、進(jìn)博會(huì)等;再比如重要人物��、活動(dòng)的直播��,像春晚����、元宵節(jié)晚會(huì)等。 對(duì)這些活動(dòng)分析后�����,不難發(fā)現(xiàn)其四大特點(diǎn):第一���,需要提前籌建臨時(shí)機(jī)構(gòu)進(jìn)行舉辦���;第二,重大活動(dòng)受到多方監(jiān)管;第三����,活動(dòng)涉及的信息系統(tǒng)往往極其復(fù)雜;第四�����,社會(huì)關(guān)注度高��,面向廣泛的用戶群體���。正是因?yàn)檫@些特點(diǎn)的存在�����,使得活動(dòng)中的業(yè)務(wù)穩(wěn)定性和安全性有了更高的要求。 因?yàn)樵诨顒?dòng)中臨時(shí)組織的加入使得溝通成本增加���,產(chǎn)生和累積各種不穩(wěn)定因素�����;多方監(jiān)管確實(shí)可以提升安全性���,但執(zhí)行層面上往往存在標(biāo)準(zhǔn)不統(tǒng)一的情況�����,會(huì)讓安全保障工作面臨復(fù)雜的硬性要求�;系統(tǒng)復(fù)雜�����,會(huì)對(duì)安保設(shè)計(jì)提出更多挑戰(zhàn)����,需要在有限的資源基礎(chǔ)上協(xié)調(diào)和溝通具有不同安全能力的子系統(tǒng),保障整體業(yè)務(wù)的穩(wěn)定性��、安全性�;關(guān)注度高不僅意味著普通人參與的更多,還意味著對(duì)攻擊者的吸引力更強(qiáng)���。 不過在重大活動(dòng)面前倒也不必人人自危��,其不利因素雖多����,但攻擊形式卻沒有太大區(qū)別。唯一的差異點(diǎn)只在于特定攻擊類型所占比例的增高����,比如今年618活動(dòng)中,京東智聯(lián)云攔截到的外部攻擊主要還是CC攻擊��、DDoS攻擊這些能影響到業(yè)務(wù)連續(xù)性和頁面穩(wěn)定性的攻擊形式��。
攻擊形式雖然不出意外����,可麻煩的是這些攻擊一直以來少有萬無一失的解決方案,再加上重大活動(dòng)面前�����,業(yè)務(wù)繁雜��、流量巨大���、攻擊復(fù)雜,這就對(duì)安全團(tuán)隊(duì)的業(yè)務(wù)能力形成了更加嚴(yán)峻的考驗(yàn)��。 京東智聯(lián)云的做法是構(gòu)建多層次全方位的安全保障體系����。立足于等保監(jiān)管�、結(jié)合安全保障工作的重點(diǎn)和流程����,將在“重大活動(dòng)”中構(gòu)建安全保障的過程分為:“五大層次”、“四個(gè)階段”�、“三大原則”和“兩大重點(diǎn)”。具體地��,“五大層次”是基于等級(jí)保護(hù)的要求劃分物理層��、網(wǎng)絡(luò)層����、系統(tǒng)層、應(yīng)用層��、數(shù)據(jù)層五大防御層次視角�����;“四個(gè)階段”是以時(shí)間維度將重大安全保障活動(dòng)工作按照不同階段的工作內(nèi)容和重點(diǎn)劃分為研發(fā)部署階段�、安保建設(shè)階段、安保演練階段�、安全保障階段四個(gè)階段���;“三大原則”是指安全保障體系構(gòu)建過程中三個(gè)基本原則——同步規(guī)劃、同步建設(shè)�、同步運(yùn)營;“兩大重點(diǎn)”則是指安全保障建設(shè)與落地過程中要關(guān)注的兩大核心內(nèi)容��。 京東智聯(lián)云基于項(xiàng)目介入時(shí)間�����、工作重點(diǎn)��、工作目標(biāo)等因素考慮將保障工作的四個(gè)階段分為:研發(fā)部署階段��、安保建設(shè)階段�����、安保演練階段和安全保障階段�。首要原則是:在有限的預(yù)算下,識(shí)別工作重點(diǎn)�,合理分配防護(hù)力量,避免貪大求多�,分散防護(hù)力量���,導(dǎo)致整體防護(hù)效果大打折扣��。
研發(fā)部署階段的建設(shè)是基礎(chǔ)�����。這一階段主要基于三大原則開展工作�,同步開啟項(xiàng)目研發(fā)和安全建設(shè)工作,將安全的考量�、機(jī)制和相關(guān)制度深度融合到項(xiàng)目的立項(xiàng)、設(shè)計(jì)����、開發(fā)、測試��、運(yùn)維監(jiān)控全流程中����。制定必要的組織和流程、提出具體的安全要求����、提供可操作的安全指導(dǎo)、協(xié)助構(gòu)建基礎(chǔ)安全環(huán)境��,為安全保障工作的順利推進(jìn)夯實(shí)基礎(chǔ)。具體地����,基于整體安保目標(biāo)的基礎(chǔ)上組建涵蓋研發(fā)部門負(fù)責(zé)人、運(yùn)維負(fù)責(zé)人��、安全架構(gòu)師����、合規(guī)工程師等人員的基本安保工作組;基于等保規(guī)范����、參考公司安全要求、面向攻防實(shí)戰(zhàn)制定具體的整體安全規(guī)章制度�����,并對(duì)其做全員的宣貫���;面向編碼運(yùn)維實(shí)踐提供一些可讀性高����、可操作性高的安全編碼規(guī)范與實(shí)施手冊����;基于基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用安全��、數(shù)據(jù)安全����、安全監(jiān)控覆蓋等視角與層次對(duì)研發(fā)部署過程進(jìn)行評(píng)審與把控;提供定期更新�����、充分審計(jì)�����、符合業(yè)務(wù)方使用需求的安全鏡像��、安全組件�、安全SDK等基礎(chǔ)環(huán)境。 現(xiàn)實(shí)中受限于預(yù)算等因素的限制���,這一階段工作的形式可能存在差異��,比如“安全咨詢”�����、“專家服務(wù)”等形式����,但相應(yīng)工作內(nèi)容應(yīng)盡可能覆蓋。
安保建設(shè)階段是整個(gè)安全保障體系的設(shè)計(jì)和初始落地實(shí)施階段����,是安保體系的核心和基礎(chǔ)。該階段也是通常意義上外部安保團(tuán)隊(duì)介入執(zhí)行安保工作的主要時(shí)間節(jié)點(diǎn)����。本階段主要有三方面內(nèi)容組成:業(yè)務(wù)資產(chǎn)和人員梳理、保障技術(shù)方案設(shè)計(jì)��、攻擊面收斂和加固����。
資產(chǎn)和人員梳理是安保體系建設(shè)的數(shù)據(jù)基礎(chǔ)。本階段可以通過外部掃描���、內(nèi)部掃描�、內(nèi)部走訪等各種手段對(duì)系統(tǒng)資產(chǎn)進(jìn)行測繪,對(duì)組織人員進(jìn)行盤點(diǎn)��。同時(shí)����,需要將相關(guān)要素彼此關(guān)聯(lián),為安保方案設(shè)計(jì)及運(yùn)維人員提供全局的防護(hù)視圖及資料庫�。 如上圖所示�����,是以系統(tǒng)視角對(duì)系統(tǒng)所屬的資源�、人員、應(yīng)用和安全配置進(jìn)行梳理和關(guān)聯(lián)�。 信息梳理完畢后便可以基于此進(jìn)行保障技術(shù)方案設(shè)計(jì),主要包含安全配置方案和應(yīng)急處置預(yù)案����。安全防護(hù)配置需要以“全面防護(hù)、縱深防御”為原則��,對(duì)整體安全架構(gòu)進(jìn)行設(shè)計(jì)�、對(duì)安全產(chǎn)品進(jìn)行選型、對(duì)安全產(chǎn)品的規(guī)則配置進(jìn)行優(yōu)化���。具體可能涉及:安全產(chǎn)品的防御位置�����、安全產(chǎn)品的部署層次��、安全產(chǎn)品的防護(hù)規(guī)格�、安全產(chǎn)品規(guī)則的寬松度、審計(jì)產(chǎn)品的覆蓋范圍等方面內(nèi)容�����。應(yīng)急預(yù)案設(shè)計(jì)主要是把未來運(yùn)維工作以及可能面臨的風(fēng)險(xiǎn)預(yù)案化�,以期事件發(fā)生時(shí)能以較高的響應(yīng)速度和精準(zhǔn)度進(jìn)行應(yīng)對(duì)處置。預(yù)案的設(shè)計(jì)應(yīng)該做到全面和標(biāo)準(zhǔn)化���,應(yīng)該覆蓋安全保障工作中的所有內(nèi)容以及參與工作的所有人員�����,以標(biāo)準(zhǔn)定義����、標(biāo)準(zhǔn)流程����、標(biāo)準(zhǔn)操作以及標(biāo)準(zhǔn)輸出的形式對(duì)預(yù)案細(xì)節(jié)進(jìn)行固化并在后續(xù)演練過程中改進(jìn)和優(yōu)化��。預(yù)案的設(shè)定可以是多視角多維度的�����,比如:面向業(yè)務(wù)系統(tǒng)�����、面向防御層次、面向重點(diǎn)威脅形式等��。 攻擊面的收斂和加固是安全保障工作的重中之重����,直接關(guān)系著系統(tǒng)整體的安全性。該階段需要對(duì)內(nèi)外部潛在的威脅進(jìn)行識(shí)別�,對(duì)可能的脆弱性進(jìn)行加固,協(xié)同���、閉環(huán)地進(jìn)行攻擊面收斂和安全加固�����。攻擊面收斂主要以合規(guī)和攻擊視角展開�����,基于全面的資源和人員數(shù)據(jù)��,利用“攻防不對(duì)稱”中的優(yōu)勢�,實(shí)現(xiàn)最小化暴露和最大化收斂。通過安全自查��、基線合規(guī)檢查����、安全專項(xiàng)治理、周期性巡查��、尋求外部監(jiān)管等方式進(jìn)行�����。同時(shí)�����,該階段工作要注意轉(zhuǎn)換攻守思維方式��,避免單一視角看待問題,避免因單一攻擊或防守視角產(chǎn)生安全盲點(diǎn)及安全妥協(xié)�。同時(shí)該階段工作同樣需要盡可能地標(biāo)準(zhǔn)化,避免有限的安全保障人力被流程性�、事務(wù)性的非必要工作過多浪費(fèi)。
通過完備的安保體系建設(shè)和詳細(xì)預(yù)案制定�����,基本可以滿足安全保障的工作需求����。但是,以上工作往往是以內(nèi)部視角為主����,基于有限的假設(shè)��,依賴于安全人員的過往經(jīng)驗(yàn)來制定���,可能在實(shí)際運(yùn)行過程中存在諸如安全策略與業(yè)務(wù)不匹配�、工作流程不流暢和特殊安全風(fēng)險(xiǎn)被默許忽視等問題����,為后續(xù)保障執(zhí)行階段埋下隱患�����。為了確保萬無一失��,京東智聯(lián)云在安全保障工作中通過演練活動(dòng)����,對(duì)安全方案及預(yù)案進(jìn)行驗(yàn)證����。檢驗(yàn)安全監(jiān)測、應(yīng)急值守����、應(yīng)急處置等工作的順暢度和協(xié)調(diào)度,確保安保建設(shè)階段的工作能按照設(shè)計(jì)目的實(shí)現(xiàn)防護(hù)效果�����。演練針對(duì)不同的人員和系統(tǒng)�����,從不同的層次���,面向不同的事件發(fā)展階段�,以不同的形式開展,如針對(duì)特定業(yè)務(wù)事件的聯(lián)動(dòng)處置(安全風(fēng)控加固演練等)���;針對(duì)安全措施失效的處置(防護(hù)設(shè)備掉線���、防護(hù)規(guī)則繞過等);針對(duì)單項(xiàng)問題的預(yù)演(DDoS攻擊事件��、Web漏洞攻擊事件����、0day漏洞事件等);模擬真實(shí)攻擊場景的紅藍(lán)對(duì)抗��;賞金式安全眾測等���。如有條件可以主動(dòng)引導(dǎo)監(jiān)管方觀摩或參與演練過程�,盡可能將各類風(fēng)險(xiǎn)在演練階段暴露�,避免后期發(fā)現(xiàn)安全問題或風(fēng)險(xiǎn)���,難以短時(shí)間內(nèi)加固及修復(fù)����。 保障演練即是對(duì)系統(tǒng)安全保障體系的實(shí)際運(yùn)行效果進(jìn)行檢驗(yàn),也是對(duì)安全保障體系人員進(jìn)行訓(xùn)練�。 保障演練階段同樣需要將安全措施以標(biāo)準(zhǔn)化、可執(zhí)行�、簡單明了的形式進(jìn)行落地,讓運(yùn)維人員面對(duì)事件可以按照防守預(yù)案手冊快速且便捷地完成防護(hù)處置工作�。
前三個(gè)階段完成后針對(duì)安全保障體系建設(shè)的工作就基本完成,但是體系的落地實(shí)施需要保障運(yùn)維團(tuán)隊(duì)來支撐���。尤其是在活動(dòng)期間:人工和自動(dòng)化相結(jié)合安全監(jiān)測與報(bào)警��、7×24小時(shí)安保職守��、AI與專家協(xié)同的分析研判和安全事件的主動(dòng)應(yīng)急響應(yīng)處置��,都是必不可少的工作����。
如上圖所示���,京東智聯(lián)云在安全保障體系階段通過態(tài)勢感知等安全產(chǎn)品提供涵蓋數(shù)據(jù)資源層�����、威脅檢測層����、關(guān)聯(lián)分析層、威脅展示層的多層次安全監(jiān)測和態(tài)勢預(yù)測��。安全運(yùn)維團(tuán)隊(duì)可以直觀地獲知安全事件和安全態(tài)勢���,從而推動(dòng)事件處置����。
標(biāo)準(zhǔn)化同樣要在安全保障階段進(jìn)行嚴(yán)格執(zhí)行����,以威脅封禁操作為例,京東智聯(lián)云把威脅封禁工作流實(shí)現(xiàn)了標(biāo)準(zhǔn)化���、制度化�����,以便于保障工作在由不同班次不同部門進(jìn)行執(zhí)行時(shí)能協(xié)調(diào)有序�����。其總體流程如上所示���,在發(fā)現(xiàn)威脅后由分析人員進(jìn)行威脅分析,理清攻擊目標(biāo)��、攻擊方法和形式��,輸出事件初始報(bào)告��;然后由其他人員進(jìn)行二次確認(rèn)�,分析攻擊來源以及是否為系統(tǒng)誤判,輸出事件確認(rèn)報(bào)告�����。在確認(rèn)攻擊后需要對(duì)高危險(xiǎn)動(dòng)作進(jìn)行封禁操作���,封禁IP對(duì)所有關(guān)聯(lián)系統(tǒng)人進(jìn)行通報(bào)����,同時(shí)要告知止損策略��,輸出事件處置報(bào)告;對(duì)于低頻攻擊則會(huì)加入觀測列表��,觀測活動(dòng)特點(diǎn)并進(jìn)一步處置分析�����,形成處置記錄����。同時(shí),在安全保障階段����,需要例行化匯總輸出安全態(tài)勢,為上層提供決策材料�����、積極響應(yīng)監(jiān)管部門要求����。
重大活動(dòng)面前,京東智聯(lián)云基于云安全的安保實(shí)踐 近期����,中國國際服務(wù)貿(mào)易交易會(huì)在線上成功舉辦����,京東智聯(lián)云在其中扮演了重要角色�����。 依托于京東智聯(lián)云原生安全產(chǎn)品的支持���,構(gòu)建了全面縱深的安全保障體系。 基于京東智聯(lián)云原生DevSecOps功能����,輕松實(shí)現(xiàn)項(xiàng)目管理、代碼研發(fā)�、產(chǎn)品研發(fā)部署流水線、線上運(yùn)維管理與系統(tǒng)監(jiān)控全生命周期的安全防護(hù)�,為項(xiàng)目打下了堅(jiān)實(shí)的安全基礎(chǔ)。 基于京東智聯(lián)云原生安全基礎(chǔ)設(shè)施����,比如抗DDoS系統(tǒng)、VPC網(wǎng)絡(luò)隔離�、應(yīng)用安全網(wǎng)關(guān)、云WAF��、主機(jī)安全、分布式掃描系統(tǒng)等���,為系統(tǒng)提供堅(jiān)實(shí)的安全防護(hù)基礎(chǔ)�。值得一提的是�,京東智聯(lián)云的多個(gè)安全產(chǎn)品同時(shí)提供多云部署能力,幫助客戶在復(fù)雜環(huán)境中��,構(gòu)建安全基礎(chǔ)�����。 在應(yīng)用層面����,京東智聯(lián)云提供了云原生的全鏈加密手段,包括KMS開發(fā)用SDK�����、 SSL數(shù)字證書��、后端數(shù)據(jù)落地的存儲(chǔ)加密等��,形成全方位的數(shù)據(jù)安全保障��。 同時(shí),京東智聯(lián)云還提供云原生的應(yīng)用安全����、身份認(rèn)證及安全服務(wù),滿足安全保障過程中如應(yīng)用安全�����、賬號(hào)身份認(rèn)證管理與審計(jì)���、安全咨詢服務(wù)、安全培訓(xùn)�、漏洞掃描、代碼審計(jì)���、應(yīng)急響應(yīng)服務(wù)等多樣的安全需求�����。
在活動(dòng)面前��,一支強(qiáng)大的云原生安全運(yùn)營團(tuán)隊(duì)���,對(duì)于安全產(chǎn)品的管理和運(yùn)維有著重要幫助�����。在活動(dòng)期間����,京東智聯(lián)云基于云原生安全產(chǎn)品和久經(jīng)考驗(yàn)的專業(yè)安全運(yùn)營團(tuán)隊(duì)��,提供云原生統(tǒng)一安全運(yùn)營����,綜合利用基礎(chǔ)數(shù)據(jù)層的全量資產(chǎn)信息采集、威脅感知層的情報(bào)感知��、機(jī)器學(xué)習(xí)的異常檢測�、安全沙箱的威脅分析、實(shí)時(shí)針對(duì)性攻擊分析�����、離線攻擊聚合分析�����、自動(dòng)化編排研判等手段����,提供統(tǒng)一風(fēng)險(xiǎn)管理����、統(tǒng)一事件展示和系統(tǒng)防護(hù)處置��,幫助安全保障人員快速便捷的執(zhí)行安全保障運(yùn)營工作�����。 在數(shù)據(jù)時(shí)代��,大量的活動(dòng)被搬運(yùn)到線上���,網(wǎng)絡(luò)安全的重要性也隨之增強(qiáng)。比如京東智聯(lián)云所面對(duì)的電商場景便是一個(gè)很典型的例子����,以多云化、系統(tǒng)化��、標(biāo)準(zhǔn)化的安全手段保障活動(dòng)的正常進(jìn)行��,這大概是每個(gè)互聯(lián)網(wǎng)安全從業(yè)者最初的夢想��。幸運(yùn)的是,隨著京東智聯(lián)云安全產(chǎn)品的不斷推出��,開發(fā)者有了更加方便快捷且安全的上云手段�����,擺脫傳統(tǒng)冗雜的局面存在了現(xiàn)實(shí)可能����。
