电子商务与我们的生活息息相关,电商行业也是黑产的重要目标之一,这个行业有哪些安全问题?如何解决这些问题呢?
电商行业面临的安全威胁和挑战
电商行业面临的安全威胁主要有以下两个方面:
1. 盗取电商数据,形成黑色产业
盗卖网站数据库如今已经成为一个黑色产业,黑客入侵网站后会盗取网站整个数据库 (拖库),特别是用户的帐户信息和个人资料,用于黑市出售、广告推送或网络欺诈等不法行为;
2. 恶意竞争盛行,导致行业混乱 :
电商网站受到的流量攻击很多是来自竞争对手的行为。这样的恶意攻击不仅会导致被攻击网站无法正常运营,影响消费者使用,而且还会导致恶意竞争的泛滥,造成整个行业的混乱,整体竞争力下降。
对于电商系统来说,它的部署环境应该分为两个部分:
第一, 部署在企业的内网里,与互联网是逻辑隔离的,这种系统的特征为环境是比较封闭的、用户相对固定、终端相对可控,它的安全风险要少很多;
第二, 电子商务是服务整个互联网用户的,业务发布出去就会面临一些问题,海量的用户、开放的环境、不可控的终端。
很多时候,电子商务遇到的问题并不是传统的DDOS攻击、外部攻击、SQL注入等,而是业务上的一些欺诈行为,刷单、撞库、黄牛、虚假注册、账号盗用等。
网络、业务、主机应用数据和内容等等各个方面,形形色色的安全问题,会令电商的管理人员心痛,这是电商行业面临的挑战。对于建立安全体系来说,需要分析业务场景,阿里云提供的互联网服务通常会有两个端,云端和客户端。云端需要统一考虑防DDoS攻击、防黑客入侵、防业务欺诈等。客户端通常需要对APP做加固,防止二次打包、流量劫持等问题。
总结来看,传统的安全解决方案会遇到安全问题不可控、不可见、不可管的问题,这么多的威胁都是安全意识问题,很多人都是头痛医头脚痛医脚,缺乏整体安全体系的规划。
一只水桶能装多少水取决于它最短的那块木板,安全能力亦如此,黑客总是从你想不到的地方入侵。安全是体系化的对抗,比的是速度。是否能力及时发现攻击行为,是体现安全能力的核心指标。
那么,为什么无法防御呢?现在的黑客是通过如下几步来窃取数据的:
1. 了解目标:端口扫描、漏洞扫描、社工人肉库。
2. 发起攻击:0day攻击、邮件发病毒附件、网盘钓鱼。
3. 进入系统:获取管理权限、深入渗透。
4. 后门控制:过杀软、降低系统警惕。
5. 偷窃数据:网络连接、接受指令。
阿里巴巴的安全实践
阿里巴巴基于自己研发的云盾防御体系,构建了阿里的基础防御体系。阿里为小微金服电子商务和智能物流提供了整体的安全防御措施,2015年双十一一天,阿里云为淘宝天猫提供了DDoS攻击3000次, Web攻击92万次 https flood 750万qps的原装防护。
阿里云为大家提供了基础的计算服务,其中也有很多的安全工作。为了证明阿里云的安全能力,阿里云通过国家工信部等多家权威部门的认证,基础平台做到了稳定、可靠、安全、合规。
一个较为完整的安全体系需要阿里云和租户共同来构建,责任共同来承担。
阿里云安全,多层防护+云端大数据,集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力,为客户提供一整套安全产品和服务。阿里云为租户提供的安全服务都有哪些呢?图为阿里基于淘宝天猫多年的信息安全的防护总结出的防御体系,包括三大部分:
第一部分为网络安全,DDoS高防解决DDoS攻击、cc攻击,WAF解决SQL注入、跨站等问题。
第二部分为服务器安全,在服务器上部署一个小的agent,叫做安骑士,它是解决异地登陆、暴力破解等问题。
第三部分为业务安全,阿里云提供反欺诈服务,内容安全解决色情、广告等问题。
此外,阿里云还有安全管理、专家服务和数据安全。
如何利用阿里云构建完整的安全体系?
在DT时代,数据是企业的核心资产,因此我们需要建立起数据安全的防御体系。那么,电商需要构建哪些安全能力呢?可分为三大类:安全感知能力、防御能力、响应能力。
感知能力建设
感知能力 ,用大数据分析解决原来看不到的安全问题。阿里云会收集NetFlow、主机Flow、操作日志、数据库日志、企业社工库、资产收集等信息,采集后做大数据分析,结合阿里云的威胁情报来看,最终告诉你安全决策。
大数据安全分析平台:降低因黑客攻击导致数据泄露的问题,识别攻击和入侵,并回
溯入侵点,可追溯到黑客姓名全记录入侵后的恶意操作。通过海量异构数据的关联分析,
对APT攻击进行精准识别。
那么,态势感知系统是怎样构建的?首先,阿里云会有具体负责采集的系统去做采集流量等工作;紧接着,再去结合威胁的模型去计算;最后对用户进行安全告警。
态势感知应用场景解析
基于威胁情报的大数据安全分析:
- 用大数据分析引擎,实时发现威胁线索和入侵事件
- 识别黑客渗透/社工/APT攻击,做快速应急
- 入侵取证和0day漏洞扫描
态势感知会实时显示攻防,也会告诉用户基于大数据的威胁情报分析,黑客是什么人,在什么时候做了哪些事情,把黑客的每一步过程回溯出来让你看到。态势感知也会对黑客进行溯源。
先知计划
先知计划是用社会化(白帽子、安全公司)的方式帮助电商企业发现安全问题,为电商企业提供及时、安全、私密的安全情报服务平台。它具备私有的安全中心,是可靠的安全专家,有显著的测试效果,和完整的漏洞闭环。先知计划结合了阿里生态的白帽子和安全公司来为用户做安全测试,它的效果和行为相比传统的这种渗透测试有很大的改善。
防御能力建设
防御能力 ,用云的能力解决原来无法防御的安全问题。恶意攻击流量经过阿里云防御系统的防御节点,把恶意的流量清洗成正常的流量。
web应用防火墙
防御规则是核心,安全运营是关键:
- 零部署、零维护
- 全面覆盖OWASP TOP10攻击
- 专业的攻防团队0day漏洞研究,0day防御规则快速更新
- 强大的CC防护能力,保障网站可用性
- 经过阿里电商、支付宝实践验证
反欺诈
反欺诈服务是阿里大数据风控服务能力的对外输出,通过整合包含互联网金融、电商、
第三方支付等众多行业的数据,配合领先的行为收集技术,经过机器学习模型、大数据关
联分析和指标计算,解决账号、活动、交易等关键业务环节存在的欺诈威胁。
加密服务
数据是企业的核心信息,在云上或者数据中心,都需要对敏感数据做加密,阿里提供的加密机制,相当于一个保险箱,用户可以把敏感数据放进去,密钥在自己手里,算法符合国家要求,是有很强的防破解强度。
响应能力建设
响应能力共享互联网安全经验,解决互联网+时代的安全问题。
安全专家服务
安全专家服务提供日常安全巡检,紧急事件应急处理活动、大促关键时期保障护航。
- 成熟的安全运营体系:专业团队随时应对,具备丰富的安全运营经验为阿里巴巴集团、阿里云提供安全运营。
- 快速威胁感知:云盾先知平台收集收集漏洞,云平台上的安全事件分析捕获新增漏洞,安全业界的协作、交流,信息共享。
- 高可靠、高保密的安全服务:阿里安全团队实施。
电商应用场景解析
初创型的电商客户预算有限,客户的访问能力有限,被别人攻击的可能性也较低,所以,阿里云准备了初创电商安全解决方案。阿里云在整个入口通过WAF来解决常见的攻击问题,然后在ECS上部署安骑士,开通态势感知的专业版,这就简单地构建了用户的防御能力和感知能力。这个方案可以很大程度解决燃眉之急,不至于在互联网上裸奔。
发展中的电商过了融资期,得到了很多客户,被别人攻击的面也越来越大,就需要继续加强安全防护,此时DDoS攻击、外部攻击就会多一些,所以阿里云推出了发展电商安全解决方案,重点在防御的部分加强。
对于成熟的电商而言,拥有了先前的防御手段和方法后,还需要做什么呢?此时需要建立整个的感知体系、防御体系和响应体系三位一体,通过构建完整的安全体系,有效降低入侵率。
阿里云安全的优势和责任
最后,阿里云的安全防护措施,并不是自己闭门造车研究出来这么多的安全产品,而是经过淘宝天猫多年实战总结出来的经验产品。阿里云非常希望为每个客户提供一个安全的可靠的环境,让每个用户享受安全空间,这是阿里云的责任。
本文根据阿里云安全专家王晓东(麓飞)在5月17日举办的2016云栖大会·武汉峰会上的演讲整理而成。
系列文章: