重大活動網絡攻擊面前,京東智聯云的攻防之道
發表日期:2020.11.16 訪問人數:0
本文轉自:CSDN
原文鏈接:https://www.wxnmh.com/thread-8067428.htm
往年的生活有多愜意呢?周末可以逛商場,下班可以去超市,回家能夠逛網店,買買買已經融入生活,不再受到時間和地理的限制。但今年,疫情的出現導致我們的選擇少了太多,網購幾乎成為了唯一的途徑。與此同時,各種電商節和促銷活動讓用戶的注意力更加集中,海量用戶涌入電商平臺確實帶來了業務,但如何保障活動安全穩定地進行下去,也成為各大平臺面臨的最大難題。
不論是6.18年中大促,還是11.11活動大促,京東都會吸引到大批”剁手黨“的關注。可問題是,”黑手黨“的關注也不少,活動的開啟往往意味著網絡攻擊同步開啟,為了保障活動的順利進行,京東智聯云構建起來多層次、全方位的保障體系。那么這套體系能夠發揮怎樣的力量呢?京東智聯云云產品研發部安全專家朱延勇在CSDN直播活動《 “重大活動”網絡安全保障中的攻守實踐》中便進行了詳細的講述。
對任一平臺而言,每年都少不了具有一定影響力的經濟、體育、文化活動,比如電商平臺的6.18和11.11;比如線上的服貿會、進博會等;再比如重要人物、活動的直播,像春晚、元宵節晚會等。 對這些活動分析后,不難發現其四大特點:第一,需要提前籌建臨時機構進行舉辦;第二,重大活動受到多方監管;第三,活動涉及的信息系統往往極其復雜;第四,社會關注度高,面向廣泛的用戶群體。正是因為這些特點的存在,使得活動中的業務穩定性和安全性有了更高的要求。 因為在活動中臨時組織的加入使得溝通成本增加,產生和累積各種不穩定因素;多方監管確實可以提升安全性,但執行層面上往往存在標準不統一的情況,會讓安全保障工作面臨復雜的硬性要求;系統復雜,會對安保設計提出更多挑戰,需要在有限的資源基礎上協調和溝通具有不同安全能力的子系統,保障整體業務的穩定性、安全性;關注度高不僅意味著普通人參與的更多,還意味著對攻擊者的吸引力更強。 不過在重大活動面前倒也不必人人自危,其不利因素雖多,但攻擊形式卻沒有太大區別。唯一的差異點只在于特定攻擊類型所占比例的增高,比如今年618活動中,京東智聯云攔截到的外部攻擊主要還是CC攻擊、DDoS攻擊這些能影響到業務連續性和頁面穩定性的攻擊形式。
攻擊形式雖然不出意外,可麻煩的是這些攻擊一直以來少有萬無一失的解決方案,再加上重大活動面前,業務繁雜、流量巨大、攻擊復雜,這就對安全團隊的業務能力形成了更加嚴峻的考驗。 京東智聯云的做法是構建多層次全方位的安全保障體系。立足于等保監管、結合安全保障工作的重點和流程,將在“重大活動”中構建安全保障的過程分為:“五大層次”、“四個階段”、“三大原則”和“兩大重點”。具體地,“五大層次”是基于等級保護的要求劃分物理層、網絡層、系統層、應用層、數據層五大防御層次視角;“四個階段”是以時間維度將重大安全保障活動工作按照不同階段的工作內容和重點劃分為研發部署階段、安保建設階段、安保演練階段、安全保障階段四個階段;“三大原則”是指安全保障體系構建過程中三個基本原則——同步規劃、同步建設、同步運營;“兩大重點”則是指安全保障建設與落地過程中要關注的兩大核心內容。 京東智聯云基于項目介入時間、工作重點、工作目標等因素考慮將保障工作的四個階段分為:研發部署階段、安保建設階段、安保演練階段和安全保障階段。首要原則是:在有限的預算下,識別工作重點,合理分配防護力量,避免貪大求多,分散防護力量,導致整體防護效果大打折扣。
研發部署階段的建設是基礎。這一階段主要基于三大原則開展工作,同步開啟項目研發和安全建設工作,將安全的考量、機制和相關制度深度融合到項目的立項、設計、開發、測試、運維監控全流程中。制定必要的組織和流程、提出具體的安全要求、提供可操作的安全指導、協助構建基礎安全環境,為安全保障工作的順利推進夯實基礎。具體地,基于整體安保目標的基礎上組建涵蓋研發部門負責人、運維負責人、安全架構師、合規工程師等人員的基本安保工作組;基于等保規范、參考公司安全要求、面向攻防實戰制定具體的整體安全規章制度,并對其做全員的宣貫;面向編碼運維實踐提供一些可讀性高、可操作性高的安全編碼規范與實施手冊;基于基礎網絡、應用安全、數據安全、安全監控覆蓋等視角與層次對研發部署過程進行評審與把控;提供定期更新、充分審計、符合業務方使用需求的安全鏡像、安全組件、安全SDK等基礎環境。 現實中受限于預算等因素的限制,這一階段工作的形式可能存在差異,比如“安全咨詢”、“專家服務”等形式,但相應工作內容應盡可能覆蓋。
安保建設階段是整個安全保障體系的設計和初始落地實施階段,是安保體系的核心和基礎。該階段也是通常意義上外部安保團隊介入執行安保工作的主要時間節點。本階段主要有三方面內容組成:業務資產和人員梳理、保障技術方案設計、攻擊面收斂和加固。
資產和人員梳理是安保體系建設的數據基礎。本階段可以通過外部掃描、內部掃描、內部走訪等各種手段對系統資產進行測繪,對組織人員進行盤點。同時,需要將相關要素彼此關聯,為安保方案設計及運維人員提供全局的防護視圖及資料庫。 如上圖所示,是以系統視角對系統所屬的資源、人員、應用和安全配置進行梳理和關聯。 信息梳理完畢后便可以基于此進行保障技術方案設計,主要包含安全配置方案和應急處置預案。安全防護配置需要以“全面防護、縱深防御”為原則,對整體安全架構進行設計、對安全產品進行選型、對安全產品的規則配置進行優化。具體可能涉及:安全產品的防御位置、安全產品的部署層次、安全產品的防護規格、安全產品規則的寬松度、審計產品的覆蓋范圍等方面內容。應急預案設計主要是把未來運維工作以及可能面臨的風險預案化,以期事件發生時能以較高的響應速度和精準度進行應對處置。預案的設計應該做到全面和標準化,應該覆蓋安全保障工作中的所有內容以及參與工作的所有人員,以標準定義、標準流程、標準操作以及標準輸出的形式對預案細節進行固化并在后續演練過程中改進和優化。預案的設定可以是多視角多維度的,比如:面向業務系統、面向防御層次、面向重點威脅形式等。 攻擊面的收斂和加固是安全保障工作的重中之重,直接關系著系統整體的安全性。該階段需要對內外部潛在的威脅進行識別,對可能的脆弱性進行加固,協同、閉環地進行攻擊面收斂和安全加固。攻擊面收斂主要以合規和攻擊視角展開,基于全面的資源和人員數據,利用“攻防不對稱”中的優勢,實現最小化暴露和最大化收斂。通過安全自查、基線合規檢查、安全專項治理、周期性巡查、尋求外部監管等方式進行。同時,該階段工作要注意轉換攻守思維方式,避免單一視角看待問題,避免因單一攻擊或防守視角產生安全盲點及安全妥協。同時該階段工作同樣需要盡可能地標準化,避免有限的安全保障人力被流程性、事務性的非必要工作過多浪費。
通過完備的安保體系建設和詳細預案制定,基本可以滿足安全保障的工作需求。但是,以上工作往往是以內部視角為主,基于有限的假設,依賴于安全人員的過往經驗來制定,可能在實際運行過程中存在諸如安全策略與業務不匹配、工作流程不流暢和特殊安全風險被默許忽視等問題,為后續保障執行階段埋下隱患。為了確保萬無一失,京東智聯云在安全保障工作中通過演練活動,對安全方案及預案進行驗證。檢驗安全監測、應急值守、應急處置等工作的順暢度和協調度,確保安保建設階段的工作能按照設計目的實現防護效果。演練針對不同的人員和系統,從不同的層次,面向不同的事件發展階段,以不同的形式開展,如針對特定業務事件的聯動處置(安全風控加固演練等);針對安全措施失效的處置(防護設備掉線、防護規則繞過等);針對單項問題的預演(DDoS攻擊事件、Web漏洞攻擊事件、0day漏洞事件等);模擬真實攻擊場景的紅藍對抗;賞金式安全眾測等。如有條件可以主動引導監管方觀摩或參與演練過程,盡可能將各類風險在演練階段暴露,避免后期發現安全問題或風險,難以短時間內加固及修復。 保障演練即是對系統安全保障體系的實際運行效果進行檢驗,也是對安全保障體系人員進行訓練。 保障演練階段同樣需要將安全措施以標準化、可執行、簡單明了的形式進行落地,讓運維人員面對事件可以按照防守預案手冊快速且便捷地完成防護處置工作。
前三個階段完成后針對安全保障體系建設的工作就基本完成,但是體系的落地實施需要保障運維團隊來支撐。尤其是在活動期間:人工和自動化相結合安全監測與報警、7×24小時安保職守、AI與專家協同的分析研判和安全事件的主動應急響應處置,都是必不可少的工作。
如上圖所示,京東智聯云在安全保障體系階段通過態勢感知等安全產品提供涵蓋數據資源層、威脅檢測層、關聯分析層、威脅展示層的多層次安全監測和態勢預測。安全運維團隊可以直觀地獲知安全事件和安全態勢,從而推動事件處置。
標準化同樣要在安全保障階段進行嚴格執行,以威脅封禁操作為例,京東智聯云把威脅封禁工作流實現了標準化、制度化,以便于保障工作在由不同班次不同部門進行執行時能協調有序。其總體流程如上所示,在發現威脅后由分析人員進行威脅分析,理清攻擊目標、攻擊方法和形式,輸出事件初始報告;然后由其他人員進行二次確認,分析攻擊來源以及是否為系統誤判,輸出事件確認報告。在確認攻擊后需要對高危險動作進行封禁操作,封禁IP對所有關聯系統人進行通報,同時要告知止損策略,輸出事件處置報告;對于低頻攻擊則會加入觀測列表,觀測活動特點并進一步處置分析,形成處置記錄。同時,在安全保障階段,需要例行化匯總輸出安全態勢,為上層提供決策材料、積極響應監管部門要求。
近期,中國國際服務貿易交易會在線上成功舉辦,京東智聯云在其中扮演了重要角色。 依托于京東智聯云原生安全產品的支持,構建了全面縱深的安全保障體系。 基于京東智聯云原生DevSecOps功能,輕松實現項目管理、代碼研發、產品研發部署流水線、線上運維管理與系統監控全生命周期的安全防護,為項目打下了堅實的安全基礎。 基于京東智聯云原生安全基礎設施,比如抗DDoS系統、VPC網絡隔離、應用安全網關、云WAF、主機安全、分布式掃描系統等,為系統提供堅實的安全防護基礎。值得一提的是,京東智聯云的多個安全產品同時提供多云部署能力,幫助客戶在復雜環境中,構建安全基礎。 在應用層面,京東智聯云提供了云原生的全鏈加密手段,包括KMS開發用SDK、 SSL數字證書、后端數據落地的存儲加密等,形成全方位的數據安全保障。 同時,京東智聯云還提供云原生的應用安全、身份認證及安全服務,滿足安全保障過程中如應用安全、賬號身份認證管理與審計、安全咨詢服務、安全培訓、漏洞掃描、代碼審計、應急響應服務等多樣的安全需求。
在活動面前,一支強大的云原生安全運營團隊,對于安全產品的管理和運維有著重要幫助。在活動期間,京東智聯云基于云原生安全產品和久經考驗的專業安全運營團隊,提供云原生統一安全運營,綜合利用基礎數據層的全量資產信息采集、威脅感知層的情報感知、機器學習的異常檢測、安全沙箱的威脅分析、實時針對性攻擊分析、離線攻擊聚合分析、自動化編排研判等手段,提供統一風險管理、統一事件展示和系統防護處置,幫助安全保障人員快速便捷的執行安全保障運營工作。 在數據時代,大量的活動被搬運到線上,網絡安全的重要性也隨之增強。比如京東智聯云所面對的電商場景便是一個很典型的例子,以多云化、系統化、標準化的安全手段保障活動的正常進行,這大概是每個互聯網安全從業者最初的夢想。幸運的是,隨著京東智聯云安全產品的不斷推出,開發者有了更加方便快捷且安全的上云手段,擺脫傳統冗雜的局面存在了現實可能。
