重大活動(dòng)網(wǎng)絡(luò )攻擊面前���,京東智聯(lián)云的攻防之道
發(fā)表日期:2020.11.16 訪(fǎng)問(wèn)人數:0
本文轉自:CSDN
原文鏈接:https://www.wxnmh.com/thread-8067428.htm
往年的生活有多愜意呢��?周末可以逛商場(chǎng)��,下班可以去超市�����,回家能夠逛網(wǎng)店����,買(mǎi)買(mǎi)買(mǎi)已經(jīng)融入生活�,不再受到時(shí)間和地理的限制���。但今年���,疫情的出現導致我們的選擇少了太多�����,網(wǎng)購幾乎成為了唯一的途徑�。與此同時(shí)��,各種電商節和促銷(xiāo)活動(dòng)讓用戶(hù)的注意力更加集中����,海量用戶(hù)涌入電商平臺確實(shí)帶來(lái)了業(yè)務(wù)��,但如何保障活動(dòng)安全穩定地進(jìn)行下去��,也成為各大平臺面臨的最大難題�����。
不論是6.18年中大促�,還是11.11活動(dòng)大促����,京東都會(huì )吸引到大批”剁手黨“的關(guān)注�����?���?蓡?wèn)題是�,”黑手黨“的關(guān)注也不少�,活動(dòng)的開(kāi)啟往往意味著(zhù)網(wǎng)絡(luò )攻擊同步開(kāi)啟����,為了保障活動(dòng)的順利進(jìn)行�����,京東智聯(lián)云構建起來(lái)多層次����、全方位的保障體系�����。那么這套體系能夠發(fā)揮怎樣的力量呢�����?京東智聯(lián)云云產(chǎn)品研發(fā)部安全專(zhuān)家朱延勇在CSDN直播活動(dòng)《 “重大活動(dòng)”網(wǎng)絡(luò )安全保障中的攻守實(shí)踐》中便進(jìn)行了詳細的講述�。
每次活動(dòng)�����,都是平臺的安全期末考 對任一平臺而言����,每年都少不了具有一定影響力的經(jīng)濟�、體育��、文化活動(dòng)�,比如電商平臺的6.18和11.11�;比如線(xiàn)上的服貿會(huì )���、進(jìn)博會(huì )等���;再比如重要人物���、活動(dòng)的直播���,像春晚���、元宵節晚會(huì )等�����。 對這些活動(dòng)分析后��,不難發(fā)現其四大特點(diǎn):第一����,需要提前籌建臨時(shí)機構進(jìn)行舉辦��;第二��,重大活動(dòng)受到多方監管��;第三����,活動(dòng)涉及的信息系統往往極其復雜�;第四�����,社會(huì )關(guān)注度高�,面向廣泛的用戶(hù)群體����。正是因為這些特點(diǎn)的存在�����,使得活動(dòng)中的業(yè)務(wù)穩定性和安全性有了更高的要求����。 因為在活動(dòng)中臨時(shí)組織的加入使得溝通成本增加��,產(chǎn)生和累積各種不穩定因素��;多方監管確實(shí)可以提升安全性�,但執行層面上往往存在標準不統一的情況���,會(huì )讓安全保障工作面臨復雜的硬性要求��;系統復雜���,會(huì )對安保設計提出更多挑戰���,需要在有限的資源基礎上協(xié)調和溝通具有不同安全能力的子系統���,保障整體業(yè)務(wù)的穩定性����、安全性����;關(guān)注度高不僅意味著(zhù)普通人參與的更多��,還意味著(zhù)對攻擊者的吸引力更強��。 不過(guò)在重大活動(dòng)面前倒也不必人人自危�,其不利因素雖多�����,但攻擊形式卻沒(méi)有太大區別�����。唯一的差異點(diǎn)只在于特定攻擊類(lèi)型所占比例的增高��,比如今年618活動(dòng)中�����,京東智聯(lián)云攔截到的外部攻擊主要還是CC攻擊�、DDoS攻擊這些能影響到業(yè)務(wù)連續性和頁(yè)面穩定性的攻擊形式�����。
攻擊形式雖然不出意外����,可麻煩的是這些攻擊一直以來(lái)少有萬(wàn)無(wú)一失的解決方案�,再加上重大活動(dòng)面前�,業(yè)務(wù)繁雜����、流量巨大���、攻擊復雜���,這就對安全團隊的業(yè)務(wù)能力形成了更加嚴峻的考驗���。 京東智聯(lián)云的做法是構建多層次全方位的安全保障體系�����。立足于等保監管�、結合安全保障工作的重點(diǎn)和流程���,將在“重大活動(dòng)”中構建安全保障的過(guò)程分為:“五大層次”�����、“四個(gè)階段”�����、“三大原則”和“兩大重點(diǎn)”�����。具體地����,“五大層次”是基于等級保護的要求劃分物理層���、網(wǎng)絡(luò )層��、系統層�、應用層�����、數據層五大防御層次視角��;“四個(gè)階段”是以時(shí)間維度將重大安全保障活動(dòng)工作按照不同階段的工作內容和重點(diǎn)劃分為研發(fā)部署階段���、安保建設階段���、安保演練階段�、安全保障階段四個(gè)階段�����;“三大原則”是指安全保障體系構建過(guò)程中三個(gè)基本原則——同步規劃��、同步建設��、同步運營(yíng)�;“兩大重點(diǎn)”則是指安全保障建設與落地過(guò)程中要關(guān)注的兩大核心內容�。 京東智聯(lián)云基于項目介入時(shí)間���、工作重點(diǎn)���、工作目標等因素考慮將保障工作的四個(gè)階段分為:研發(fā)部署階段����、安保建設階段�����、安保演練階段和安全保障階段�。首要原則是:在有限的預算下��,識別工作重點(diǎn)�����,合理分配防護力量����,避免貪大求多����,分散防護力量�,導致整體防護效果大打折扣����。
研發(fā)部署階段的建設是基礎�。這一階段主要基于三大原則開(kāi)展工作��,同步開(kāi)啟項目研發(fā)和安全建設工作���,將安全的考量����、機制和相關(guān)制度深度融合到項目的立項��、設計�����、開(kāi)發(fā)��、測試����、運維監控全流程中����。制定必要的組織和流程�����、提出具體的安全要求�、提供可操作的安全指導�、協(xié)助構建基礎安全環(huán)境�����,為安全保障工作的順利推進(jìn)夯實(shí)基礎��。具體地���,基于整體安保目標的基礎上組建涵蓋研發(fā)部門(mén)負責人�、運維負責人���、安全架構師��、合規工程師等人員的基本安保工作組��;基于等保規范��、參考公司安全要求����、面向攻防實(shí)戰制定具體的整體安全規章制度���,并對其做全員的宣貫��;面向編碼運維實(shí)踐提供一些可讀性高�����、可操作性高的安全編碼規范與實(shí)施手冊���;基于基礎網(wǎng)絡(luò )�、應用安全�、數據安全����、安全監控覆蓋等視角與層次對研發(fā)部署過(guò)程進(jìn)行評審與把控�����;提供定期更新����、充分審計�����、符合業(yè)務(wù)方使用需求的安全鏡像���、安全組件�、安全SDK等基礎環(huán)境��。 現實(shí)中受限于預算等因素的限制�,這一階段工作的形式可能存在差異���,比如“安全咨詢(xún)”���、“專(zhuān)家服務(wù)”等形式���,但相應工作內容應盡可能覆蓋�����。
安保建設階段是整個(gè)安全保障體系的設計和初始落地實(shí)施階段���,是安保體系的核心和基礎�。該階段也是通常意義上外部安保團隊介入執行安保工作的主要時(shí)間節點(diǎn)�����。本階段主要有三方面內容組成:業(yè)務(wù)資產(chǎn)和人員梳理�、保障技術(shù)方案設計���、攻擊面收斂和加固����。
資產(chǎn)和人員梳理是安保體系建設的數據基礎�。本階段可以通過(guò)外部掃描�、內部掃描���、內部走訪(fǎng)等各種手段對系統資產(chǎn)進(jìn)行測繪����,對組織人員進(jìn)行盤(pán)點(diǎn)�����。同時(shí)�����,需要將相關(guān)要素彼此關(guān)聯(lián)�����,為安保方案設計及運維人員提供全局的防護視圖及資料庫��。 如上圖所示�,是以系統視角對系統所屬的資源���、人員���、應用和安全配置進(jìn)行梳理和關(guān)聯(lián)���。 信息梳理完畢后便可以基于此進(jìn)行保障技術(shù)方案設計����,主要包含安全配置方案和應急處置預案���。安全防護配置需要以“全面防護����、縱深防御”為原則����,對整體安全架構進(jìn)行設計��、對安全產(chǎn)品進(jìn)行選型�����、對安全產(chǎn)品的規則配置進(jìn)行優(yōu)化�。具體可能涉及:安全產(chǎn)品的防御位置�����、安全產(chǎn)品的部署層次����、安全產(chǎn)品的防護規格�、安全產(chǎn)品規則的寬松度�、審計產(chǎn)品的覆蓋范圍等方面內容����。應急預案設計主要是把未來(lái)運維工作以及可能面臨的風(fēng)險預案化����,以期事件發(fā)生時(shí)能以較高的響應速度和精準度進(jìn)行應對處置�。預案的設計應該做到全面和標準化�����,應該覆蓋安全保障工作中的所有內容以及參與工作的所有人員�����,以標準定義�����、標準流程�、標準操作以及標準輸出的形式對預案細節進(jìn)行固化并在后續演練過(guò)程中改進(jìn)和優(yōu)化��。預案的設定可以是多視角多維度的�����,比如:面向業(yè)務(wù)系統��、面向防御層次���、面向重點(diǎn)威脅形式等��。 攻擊面的收斂和加固是安全保障工作的重中之重�����,直接關(guān)系著(zhù)系統整體的安全性��。該階段需要對內外部潛在的威脅進(jìn)行識別�,對可能的脆弱性進(jìn)行加固����,協(xié)同��、閉環(huán)地進(jìn)行攻擊面收斂和安全加固�。攻擊面收斂主要以合規和攻擊視角展開(kāi)�,基于全面的資源和人員數據����,利用“攻防不對稱(chēng)”中的優(yōu)勢�,實(shí)現最小化暴露和最大化收斂�。通過(guò)安全自查��、基線(xiàn)合規檢查�����、安全專(zhuān)項治理��、周期性巡查�、尋求外部監管等方式進(jìn)行���。同時(shí)��,該階段工作要注意轉換攻守思維方式�,避免單一視角看待問(wèn)題��,避免因單一攻擊或防守視角產(chǎn)生安全盲點(diǎn)及安全妥協(xié)��。同時(shí)該階段工作同樣需要盡可能地標準化����,避免有限的安全保障人力被流程性��、事務(wù)性的非必要工作過(guò)多浪費�����。
通過(guò)完備的安保體系建設和詳細預案制定�,基本可以滿(mǎn)足安全保障的工作需求���。但是���,以上工作往往是以?xún)炔恳暯菫橹?���,基于有限的假設�����,依賴(lài)于安全人員的過(guò)往經(jīng)驗來(lái)制定�����,可能在實(shí)際運行過(guò)程中存在諸如安全策略與業(yè)務(wù)不匹配�����、工作流程不流暢和特殊安全風(fēng)險被默許忽視等問(wèn)題�����,為后續保障執行階段埋下隱患���。為了確保萬(wàn)無(wú)一失��,京東智聯(lián)云在安全保障工作中通過(guò)演練活動(dòng)���,對安全方案及預案進(jìn)行驗證�。檢驗安全監測��、應急值守����、應急處置等工作的順暢度和協(xié)調度���,確保安保建設階段的工作能按照設計目的實(shí)現防護效果�。演練針對不同的人員和系統���,從不同的層次�����,面向不同的事件發(fā)展階段����,以不同的形式開(kāi)展���,如針對特定業(yè)務(wù)事件的聯(lián)動(dòng)處置(安全風(fēng)控加固演練等)��;針對安全措施失效的處置(防護設備掉線(xiàn)�����、防護規則繞過(guò)等)�;針對單項問(wèn)題的預演(DDoS攻擊事件���、Web漏洞攻擊事件����、0day漏洞事件等)��;模擬真實(shí)攻擊場(chǎng)景的紅藍對抗�����;賞金式安全眾測等�。如有條件可以主動(dòng)引導監管方觀(guān)摩或參與演練過(guò)程���,盡可能將各類(lèi)風(fēng)險在演練階段暴露�����,避免后期發(fā)現安全問(wèn)題或風(fēng)險����,難以短時(shí)間內加固及修復�。 保障演練即是對系統安全保障體系的實(shí)際運行效果進(jìn)行檢驗��,也是對安全保障體系人員進(jìn)行訓練��。 保障演練階段同樣需要將安全措施以標準化�、可執行�、簡(jiǎn)單明了的形式進(jìn)行落地��,讓運維人員面對事件可以按照防守預案手冊快速且便捷地完成防護處置工作����。
前三個(gè)階段完成后針對安全保障體系建設的工作就基本完成���,但是體系的落地實(shí)施需要保障運維團隊來(lái)支撐��。尤其是在活動(dòng)期間:人工和自動(dòng)化相結合安全監測與報警���、7×24小時(shí)安保職守��、AI與專(zhuān)家協(xié)同的分析研判和安全事件的主動(dòng)應急響應處置��,都是必不可少的工作�����。
如上圖所示�,京東智聯(lián)云在安全保障體系階段通過(guò)態(tài)勢感知等安全產(chǎn)品提供涵蓋數據資源層�����、威脅檢測層���、關(guān)聯(lián)分析層���、威脅展示層的多層次安全監測和態(tài)勢預測�。安全運維團隊可以直觀(guān)地獲知安全事件和安全態(tài)勢����,從而推動(dòng)事件處置��。
標準化同樣要在安全保障階段進(jìn)行嚴格執行��,以威脅封禁操作為例�����,京東智聯(lián)云把威脅封禁工作流實(shí)現了標準化�、制度化����,以便于保障工作在由不同班次不同部門(mén)進(jìn)行執行時(shí)能協(xié)調有序����。其總體流程如上所示�����,在發(fā)現威脅后由分析人員進(jìn)行威脅分析���,理清攻擊目標����、攻擊方法和形式�����,輸出事件初始報告���;然后由其他人員進(jìn)行二次確認�,分析攻擊來(lái)源以及是否為系統誤判��,輸出事件確認報告����。在確認攻擊后需要對高危險動(dòng)作進(jìn)行封禁操作�,封禁IP對所有關(guān)聯(lián)系統人進(jìn)行通報�����,同時(shí)要告知止損策略����,輸出事件處置報告���;對于低頻攻擊則會(huì )加入觀(guān)測列表����,觀(guān)測活動(dòng)特點(diǎn)并進(jìn)一步處置分析��,形成處置記錄���。同時(shí)��,在安全保障階段��,需要例行化匯總輸出安全態(tài)勢�,為上層提供決策材料����、積極響應監管部門(mén)要求���。
重大活動(dòng)面前�,京東智聯(lián)云基于云安全的安保實(shí)踐 近期����,中國國際服務(wù)貿易交易會(huì )在線(xiàn)上成功舉辦��,京東智聯(lián)云在其中扮演了重要角色�。 依托于京東智聯(lián)云原生安全產(chǎn)品的支持�,構建了全面縱深的安全保障體系��。 基于京東智聯(lián)云原生DevSecOps功能����,輕松實(shí)現項目管理�����、代碼研發(fā)��、產(chǎn)品研發(fā)部署流水線(xiàn)�、線(xiàn)上運維管理與系統監控全生命周期的安全防護��,為項目打下了堅實(shí)的安全基礎�。 基于京東智聯(lián)云原生安全基礎設施���,比如抗DDoS系統��、VPC網(wǎng)絡(luò )隔離�����、應用安全網(wǎng)關(guān)�����、云WAF��、主機安全��、分布式掃描系統等���,為系統提供堅實(shí)的安全防護基礎��。值得一提的是�����,京東智聯(lián)云的多個(gè)安全產(chǎn)品同時(shí)提供多云部署能力�����,幫助客戶(hù)在復雜環(huán)境中���,構建安全基礎��。 在應用層面����,京東智聯(lián)云提供了云原生的全鏈加密手段���,包括KMS開(kāi)發(fā)用SDK����、 SSL數字證書(shū)����、后端數據落地的存儲加密等��,形成全方位的數據安全保障�。 同時(shí)��,京東智聯(lián)云還提供云原生的應用安全����、身份認證及安全服務(wù)�,滿(mǎn)足安全保障過(guò)程中如應用安全�����、賬號身份認證管理與審計��、安全咨詢(xún)服務(wù)�����、安全培訓��、漏洞掃描��、代碼審計�、應急響應服務(wù)等多樣的安全需求��。
在活動(dòng)面前�,一支強大的云原生安全運營(yíng)團隊�,對于安全產(chǎn)品的管理和運維有著(zhù)重要幫助����。在活動(dòng)期間�,京東智聯(lián)云基于云原生安全產(chǎn)品和久經(jīng)考驗的專(zhuān)業(yè)安全運營(yíng)團隊��,提供云原生統一安全運營(yíng)���,綜合利用基礎數據層的全量資產(chǎn)信息采集��、威脅感知層的情報感知�����、機器學(xué)習的異常檢測����、安全沙箱的威脅分析��、實(shí)時(shí)針對性攻擊分析�����、離線(xiàn)攻擊聚合分析��、自動(dòng)化編排研判等手段��,提供統一風(fēng)險管理���、統一事件展示和系統防護處置�,幫助安全保障人員快速便捷的執行安全保障運營(yíng)工作��。 在數據時(shí)代����,大量的活動(dòng)被搬運到線(xiàn)上����,網(wǎng)絡(luò )安全的重要性也隨之增強����。比如京東智聯(lián)云所面對的電商場(chǎng)景便是一個(gè)很典型的例子�,以多云化����、系統化��、標準化的安全手段保障活動(dòng)的正常進(jìn)行�,這大概是每個(gè)互聯(lián)網(wǎng)安全從業(yè)者最初的夢(mèng)想��。幸運的是���,隨著(zhù)京東智聯(lián)云安全產(chǎn)品的不斷推出�,開(kāi)發(fā)者有了更加方便快捷且安全的上云手段���,擺脫傳統冗雜的局面存在了現實(shí)可能��。
