重大活動網(wǎng)絡(luò)攻擊面前,京東智聯(lián)云的攻防之道
發(fā)表日期:2020.11.16 訪問人數(shù):0
本文轉(zhuǎn)自:CSDN
原文鏈接:https://www.wxnmh.com/thread-8067428.htm
往年的生活有多愜意呢?周末可以逛商場,下班可以去超市,回家能夠逛網(wǎng)店,買買買已經(jīng)融入生活,不再受到時間和地理的限制。但今年,疫情的出現(xiàn)導(dǎo)致我們的選擇少了太多,網(wǎng)購幾乎成為了唯一的途徑。與此同時,各種電商節(jié)和促銷活動讓用戶的注意力更加集中,海量用戶涌入電商平臺確實帶來了業(yè)務(wù),但如何保障活動安全穩(wěn)定地進(jìn)行下去,也成為各大平臺面臨的最大難題。
不論是6.18年中大促,還是11.11活動大促,京東都會吸引到大批”剁手黨“的關(guān)注。可問題是,”黑手黨“的關(guān)注也不少,活動的開啟往往意味著網(wǎng)絡(luò)攻擊同步開啟,為了保障活動的順利進(jìn)行,京東智聯(lián)云構(gòu)建起來多層次、全方位的保障體系。那么這套體系能夠發(fā)揮怎樣的力量呢?京東智聯(lián)云云產(chǎn)品研發(fā)部安全專家朱延勇在CSDN直播活動《 “重大活動”網(wǎng)絡(luò)安全保障中的攻守實踐》中便進(jìn)行了詳細(xì)的講述。
對任一平臺而言,每年都少不了具有一定影響力的經(jīng)濟(jì)、體育、文化活動,比如電商平臺的6.18和11.11;比如線上的服貿(mào)會、進(jìn)博會等;再比如重要人物、活動的直播,像春晚、元宵節(jié)晚會等。 對這些活動分析后,不難發(fā)現(xiàn)其四大特點:第一,需要提前籌建臨時機(jī)構(gòu)進(jìn)行舉辦;第二,重大活動受到多方監(jiān)管;第三,活動涉及的信息系統(tǒng)往往極其復(fù)雜;第四,社會關(guān)注度高,面向廣泛的用戶群體。正是因為這些特點的存在,使得活動中的業(yè)務(wù)穩(wěn)定性和安全性有了更高的要求。 因為在活動中臨時組織的加入使得溝通成本增加,產(chǎn)生和累積各種不穩(wěn)定因素;多方監(jiān)管確實可以提升安全性,但執(zhí)行層面上往往存在標(biāo)準(zhǔn)不統(tǒng)一的情況,會讓安全保障工作面臨復(fù)雜的硬性要求;系統(tǒng)復(fù)雜,會對安保設(shè)計提出更多挑戰(zhàn),需要在有限的資源基礎(chǔ)上協(xié)調(diào)和溝通具有不同安全能力的子系統(tǒng),保障整體業(yè)務(wù)的穩(wěn)定性、安全性;關(guān)注度高不僅意味著普通人參與的更多,還意味著對攻擊者的吸引力更強(qiáng)。 不過在重大活動面前倒也不必人人自危,其不利因素雖多,但攻擊形式卻沒有太大區(qū)別。唯一的差異點只在于特定攻擊類型所占比例的增高,比如今年618活動中,京東智聯(lián)云攔截到的外部攻擊主要還是CC攻擊、DDoS攻擊這些能影響到業(yè)務(wù)連續(xù)性和頁面穩(wěn)定性的攻擊形式。
攻擊形式雖然不出意外,可麻煩的是這些攻擊一直以來少有萬無一失的解決方案,再加上重大活動面前,業(yè)務(wù)繁雜、流量巨大、攻擊復(fù)雜,這就對安全團(tuán)隊的業(yè)務(wù)能力形成了更加嚴(yán)峻的考驗。 京東智聯(lián)云的做法是構(gòu)建多層次全方位的安全保障體系。立足于等保監(jiān)管、結(jié)合安全保障工作的重點和流程,將在“重大活動”中構(gòu)建安全保障的過程分為:“五大層次”、“四個階段”、“三大原則”和“兩大重點”。具體地,“五大層次”是基于等級保護(hù)的要求劃分物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、數(shù)據(jù)層五大防御層次視角;“四個階段”是以時間維度將重大安全保障活動工作按照不同階段的工作內(nèi)容和重點劃分為研發(fā)部署階段、安保建設(shè)階段、安保演練階段、安全保障階段四個階段;“三大原則”是指安全保障體系構(gòu)建過程中三個基本原則——同步規(guī)劃、同步建設(shè)、同步運營;“兩大重點”則是指安全保障建設(shè)與落地過程中要關(guān)注的兩大核心內(nèi)容。 京東智聯(lián)云基于項目介入時間、工作重點、工作目標(biāo)等因素考慮將保障工作的四個階段分為:研發(fā)部署階段、安保建設(shè)階段、安保演練階段和安全保障階段。首要原則是:在有限的預(yù)算下,識別工作重點,合理分配防護(hù)力量,避免貪大求多,分散防護(hù)力量,導(dǎo)致整體防護(hù)效果大打折扣。
研發(fā)部署階段的建設(shè)是基礎(chǔ)。這一階段主要基于三大原則開展工作,同步開啟項目研發(fā)和安全建設(shè)工作,將安全的考量、機(jī)制和相關(guān)制度深度融合到項目的立項、設(shè)計、開發(fā)、測試、運維監(jiān)控全流程中。制定必要的組織和流程、提出具體的安全要求、提供可操作的安全指導(dǎo)、協(xié)助構(gòu)建基礎(chǔ)安全環(huán)境,為安全保障工作的順利推進(jìn)夯實基礎(chǔ)。具體地,基于整體安保目標(biāo)的基礎(chǔ)上組建涵蓋研發(fā)部門負(fù)責(zé)人、運維負(fù)責(zé)人、安全架構(gòu)師、合規(guī)工程師等人員的基本安保工作組;基于等保規(guī)范、參考公司安全要求、面向攻防實戰(zhàn)制定具體的整體安全規(guī)章制度,并對其做全員的宣貫;面向編碼運維實踐提供一些可讀性高、可操作性高的安全編碼規(guī)范與實施手冊;基于基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用安全、數(shù)據(jù)安全、安全監(jiān)控覆蓋等視角與層次對研發(fā)部署過程進(jìn)行評審與把控;提供定期更新、充分審計、符合業(yè)務(wù)方使用需求的安全鏡像、安全組件、安全SDK等基礎(chǔ)環(huán)境。 現(xiàn)實中受限于預(yù)算等因素的限制,這一階段工作的形式可能存在差異,比如“安全咨詢”、“專家服務(wù)”等形式,但相應(yīng)工作內(nèi)容應(yīng)盡可能覆蓋。
安保建設(shè)階段是整個安全保障體系的設(shè)計和初始落地實施階段,是安保體系的核心和基礎(chǔ)。該階段也是通常意義上外部安保團(tuán)隊介入執(zhí)行安保工作的主要時間節(jié)點。本階段主要有三方面內(nèi)容組成:業(yè)務(wù)資產(chǎn)和人員梳理、保障技術(shù)方案設(shè)計、攻擊面收斂和加固。
資產(chǎn)和人員梳理是安保體系建設(shè)的數(shù)據(jù)基礎(chǔ)。本階段可以通過外部掃描、內(nèi)部掃描、內(nèi)部走訪等各種手段對系統(tǒng)資產(chǎn)進(jìn)行測繪,對組織人員進(jìn)行盤點。同時,需要將相關(guān)要素彼此關(guān)聯(lián),為安保方案設(shè)計及運維人員提供全局的防護(hù)視圖及資料庫。 如上圖所示,是以系統(tǒng)視角對系統(tǒng)所屬的資源、人員、應(yīng)用和安全配置進(jìn)行梳理和關(guān)聯(lián)。 信息梳理完畢后便可以基于此進(jìn)行保障技術(shù)方案設(shè)計,主要包含安全配置方案和應(yīng)急處置預(yù)案。安全防護(hù)配置需要以“全面防護(hù)、縱深防御”為原則,對整體安全架構(gòu)進(jìn)行設(shè)計、對安全產(chǎn)品進(jìn)行選型、對安全產(chǎn)品的規(guī)則配置進(jìn)行優(yōu)化。具體可能涉及:安全產(chǎn)品的防御位置、安全產(chǎn)品的部署層次、安全產(chǎn)品的防護(hù)規(guī)格、安全產(chǎn)品規(guī)則的寬松度、審計產(chǎn)品的覆蓋范圍等方面內(nèi)容。應(yīng)急預(yù)案設(shè)計主要是把未來運維工作以及可能面臨的風(fēng)險預(yù)案化,以期事件發(fā)生時能以較高的響應(yīng)速度和精準(zhǔn)度進(jìn)行應(yīng)對處置。預(yù)案的設(shè)計應(yīng)該做到全面和標(biāo)準(zhǔn)化,應(yīng)該覆蓋安全保障工作中的所有內(nèi)容以及參與工作的所有人員,以標(biāo)準(zhǔn)定義、標(biāo)準(zhǔn)流程、標(biāo)準(zhǔn)操作以及標(biāo)準(zhǔn)輸出的形式對預(yù)案細(xì)節(jié)進(jìn)行固化并在后續(xù)演練過程中改進(jìn)和優(yōu)化。預(yù)案的設(shè)定可以是多視角多維度的,比如:面向業(yè)務(wù)系統(tǒng)、面向防御層次、面向重點威脅形式等。 攻擊面的收斂和加固是安全保障工作的重中之重,直接關(guān)系著系統(tǒng)整體的安全性。該階段需要對內(nèi)外部潛在的威脅進(jìn)行識別,對可能的脆弱性進(jìn)行加固,協(xié)同、閉環(huán)地進(jìn)行攻擊面收斂和安全加固。攻擊面收斂主要以合規(guī)和攻擊視角展開,基于全面的資源和人員數(shù)據(jù),利用“攻防不對稱”中的優(yōu)勢,實現(xiàn)最小化暴露和最大化收斂。通過安全自查、基線合規(guī)檢查、安全專項治理、周期性巡查、尋求外部監(jiān)管等方式進(jìn)行。同時,該階段工作要注意轉(zhuǎn)換攻守思維方式,避免單一視角看待問題,避免因單一攻擊或防守視角產(chǎn)生安全盲點及安全妥協(xié)。同時該階段工作同樣需要盡可能地標(biāo)準(zhǔn)化,避免有限的安全保障人力被流程性、事務(wù)性的非必要工作過多浪費。
通過完備的安保體系建設(shè)和詳細(xì)預(yù)案制定,基本可以滿足安全保障的工作需求。但是,以上工作往往是以內(nèi)部視角為主,基于有限的假設(shè),依賴于安全人員的過往經(jīng)驗來制定,可能在實際運行過程中存在諸如安全策略與業(yè)務(wù)不匹配、工作流程不流暢和特殊安全風(fēng)險被默許忽視等問題,為后續(xù)保障執(zhí)行階段埋下隱患。為了確保萬無一失,京東智聯(lián)云在安全保障工作中通過演練活動,對安全方案及預(yù)案進(jìn)行驗證。檢驗安全監(jiān)測、應(yīng)急值守、應(yīng)急處置等工作的順暢度和協(xié)調(diào)度,確保安保建設(shè)階段的工作能按照設(shè)計目的實現(xiàn)防護(hù)效果。演練針對不同的人員和系統(tǒng),從不同的層次,面向不同的事件發(fā)展階段,以不同的形式開展,如針對特定業(yè)務(wù)事件的聯(lián)動處置(安全風(fēng)控加固演練等);針對安全措施失效的處置(防護(hù)設(shè)備掉線、防護(hù)規(guī)則繞過等);針對單項問題的預(yù)演(DDoS攻擊事件、Web漏洞攻擊事件、0day漏洞事件等);模擬真實攻擊場景的紅藍(lán)對抗;賞金式安全眾測等。如有條件可以主動引導(dǎo)監(jiān)管方觀摩或參與演練過程,盡可能將各類風(fēng)險在演練階段暴露,避免后期發(fā)現(xiàn)安全問題或風(fēng)險,難以短時間內(nèi)加固及修復(fù)。 保障演練即是對系統(tǒng)安全保障體系的實際運行效果進(jìn)行檢驗,也是對安全保障體系人員進(jìn)行訓(xùn)練。 保障演練階段同樣需要將安全措施以標(biāo)準(zhǔn)化、可執(zhí)行、簡單明了的形式進(jìn)行落地,讓運維人員面對事件可以按照防守預(yù)案手冊快速且便捷地完成防護(hù)處置工作。
前三個階段完成后針對安全保障體系建設(shè)的工作就基本完成,但是體系的落地實施需要保障運維團(tuán)隊來支撐。尤其是在活動期間:人工和自動化相結(jié)合安全監(jiān)測與報警、7×24小時安保職守、AI與專家協(xié)同的分析研判和安全事件的主動應(yīng)急響應(yīng)處置,都是必不可少的工作。
如上圖所示,京東智聯(lián)云在安全保障體系階段通過態(tài)勢感知等安全產(chǎn)品提供涵蓋數(shù)據(jù)資源層、威脅檢測層、關(guān)聯(lián)分析層、威脅展示層的多層次安全監(jiān)測和態(tài)勢預(yù)測。安全運維團(tuán)隊可以直觀地獲知安全事件和安全態(tài)勢,從而推動事件處置。
標(biāo)準(zhǔn)化同樣要在安全保障階段進(jìn)行嚴(yán)格執(zhí)行,以威脅封禁操作為例,京東智聯(lián)云把威脅封禁工作流實現(xiàn)了標(biāo)準(zhǔn)化、制度化,以便于保障工作在由不同班次不同部門進(jìn)行執(zhí)行時能協(xié)調(diào)有序。其總體流程如上所示,在發(fā)現(xiàn)威脅后由分析人員進(jìn)行威脅分析,理清攻擊目標(biāo)、攻擊方法和形式,輸出事件初始報告;然后由其他人員進(jìn)行二次確認(rèn),分析攻擊來源以及是否為系統(tǒng)誤判,輸出事件確認(rèn)報告。在確認(rèn)攻擊后需要對高危險動作進(jìn)行封禁操作,封禁IP對所有關(guān)聯(lián)系統(tǒng)人進(jìn)行通報,同時要告知止損策略,輸出事件處置報告;對于低頻攻擊則會加入觀測列表,觀測活動特點并進(jìn)一步處置分析,形成處置記錄。同時,在安全保障階段,需要例行化匯總輸出安全態(tài)勢,為上層提供決策材料、積極響應(yīng)監(jiān)管部門要求。
重大活動面前,京東智聯(lián)云基于云安全的安保實踐 近期,中國國際服務(wù)貿(mào)易交易會在線上成功舉辦,京東智聯(lián)云在其中扮演了重要角色。 依托于京東智聯(lián)云原生安全產(chǎn)品的支持,構(gòu)建了全面縱深的安全保障體系。 基于京東智聯(lián)云原生DevSecOps功能,輕松實現(xiàn)項目管理、代碼研發(fā)、產(chǎn)品研發(fā)部署流水線、線上運維管理與系統(tǒng)監(jiān)控全生命周期的安全防護(hù),為項目打下了堅實的安全基礎(chǔ)。 基于京東智聯(lián)云原生安全基礎(chǔ)設(shè)施,比如抗DDoS系統(tǒng)、VPC網(wǎng)絡(luò)隔離、應(yīng)用安全網(wǎng)關(guān)、云WAF、主機(jī)安全、分布式掃描系統(tǒng)等,為系統(tǒng)提供堅實的安全防護(hù)基礎(chǔ)。值得一提的是,京東智聯(lián)云的多個安全產(chǎn)品同時提供多云部署能力,幫助客戶在復(fù)雜環(huán)境中,構(gòu)建安全基礎(chǔ)。 在應(yīng)用層面,京東智聯(lián)云提供了云原生的全鏈加密手段,包括KMS開發(fā)用SDK、 SSL數(shù)字證書、后端數(shù)據(jù)落地的存儲加密等,形成全方位的數(shù)據(jù)安全保障。 同時,京東智聯(lián)云還提供云原生的應(yīng)用安全、身份認(rèn)證及安全服務(wù),滿足安全保障過程中如應(yīng)用安全、賬號身份認(rèn)證管理與審計、安全咨詢服務(wù)、安全培訓(xùn)、漏洞掃描、代碼審計、應(yīng)急響應(yīng)服務(wù)等多樣的安全需求。
在活動面前,一支強(qiáng)大的云原生安全運營團(tuán)隊,對于安全產(chǎn)品的管理和運維有著重要幫助。在活動期間,京東智聯(lián)云基于云原生安全產(chǎn)品和久經(jīng)考驗的專業(yè)安全運營團(tuán)隊,提供云原生統(tǒng)一安全運營,綜合利用基礎(chǔ)數(shù)據(jù)層的全量資產(chǎn)信息采集、威脅感知層的情報感知、機(jī)器學(xué)習(xí)的異常檢測、安全沙箱的威脅分析、實時針對性攻擊分析、離線攻擊聚合分析、自動化編排研判等手段,提供統(tǒng)一風(fēng)險管理、統(tǒng)一事件展示和系統(tǒng)防護(hù)處置,幫助安全保障人員快速便捷的執(zhí)行安全保障運營工作。 在數(shù)據(jù)時代,大量的活動被搬運到線上,網(wǎng)絡(luò)安全的重要性也隨之增強(qiáng)。比如京東智聯(lián)云所面對的電商場景便是一個很典型的例子,以多云化、系統(tǒng)化、標(biāo)準(zhǔn)化的安全手段保障活動的正常進(jìn)行,這大概是每個互聯(lián)網(wǎng)安全從業(yè)者最初的夢想。幸運的是,隨著京東智聯(lián)云安全產(chǎn)品的不斷推出,開發(fā)者有了更加方便快捷且安全的上云手段,擺脫傳統(tǒng)冗雜的局面存在了現(xiàn)實可能。
