招聘网站的流量隐忧:恶意BOT与流量黑盒-阿里云开发者社区

开发者社区> 云安全专家> 正文

招聘网站的流量隐忧:恶意BOT与流量黑盒

简介: 🤖👽😈
+关注继续查看

对人力资源服务行业来说,流量犹如一把双刃剑。涌动的流量如同黑盒,在繁荣的背后,各种恶意机器流量、黑产SEO、数据黑手和僵尸程序暗潮涌动,想要看清它们绝非易事。

客户关键词

90年代首批自建IDC的互联网企业

大型人力资源服务提供商

拥有国内Top级职位信息库

作为国内最早一批提供求职招聘服务的互联网企业,经过20余年的业务发展,该服务商形成了具备异地容灾能力的“两地三中心”机房架构,其上运营着包括招聘、猎头、培训、测评、人事外包等在内的200余项人力资源服务,业务服务器承载的流量复杂且极具多样性。

流量黑盒

庞大的业务体量、日均pv千万级,基础设施压力和运维人员负担可想而知。一方面,来自搜索引擎的虚假流量和来自三方猎头、竞品平台的内容摄取机器人泛滥,严重挤占了服务器资源,为避免影响业务正常运转,运维人员只好不断增加服务器数量,硬件成本被大幅推高;另一方面,分散的地理空间下,异构资源池的安全管理缺乏统一视角,碎片化的安全布局令运维人员疲于奔命,流量处置效率却得不到有效提升。

访问入口、目的与人群的多样性加剧了企业安全人员的流量隐忧,新型的移动端访问入口如app、小程序、h5的访问行为轻量、快速、页面停留时间短但分享率高,与传统pc端流量有很大差异,运维管理人员在识别流量属性与来源,拆解访问路径和访问行为的过程中存在盲点。

更重要的是,复杂的流量迷雾也推高了数据价值挖掘的壁垒,企业管理层需要一种真正看得见看得清流量网络”的方案,为业务决策和战略转型提供依据。

轻度上云,流量先行

在数字化转型的进程中,我们选择将互联网出入口率先搬到阿里云上,即使业务仍然部署在IDC,也能便捷享受一体化流量安全带来的“丝滑”防护体验。

——该人力资源机构安全运维负责人

安全产品作为流量的出入口,能够很好地承担流量可视与精准防控的职能。阿里云的混合云安全方案,将公共云安全能力与传统IT架构下的业务部署完美融合,助力用户在业务不上云的情况下,通过云来对暴露面进行收敛,实现进出流量统一防御与管理。

5b108b3e63cf9da85fe9ab2d9619c987.jpg
该人力资源服务机构混合云安全架构示意图

  • 识别虚假访问,节约推广成本,杜绝“虚假繁荣”;
  • 跨数据中心识别并清理恶意攻击流量、恶意BOT和非法访问,减轻基础设施压力和运维人员负担;
  • 全局视角看清流量构成,流量来源与访问行为,为企业战略决策提供依据。
  • 跨物理空间安全便捷部署与一体化管理,避免重复采购、重复部署和重复规则配置,提升管理效率;
  • 按流量规模和业务需求调用安全模块和防护节点,降低安全成本。

“无感”应对恶意BOT

人力资源行业是网络恶意机器人流量的“重灾区”。面对肆虐的恶意脚本和大规模“复杂可持续”攻击者,阿里云为该人力资源服务商制定了全局监控,分级识别清理的防护对抗策略,最大程度降低爬虫对抗对业务的影响。

全局监控逻辑下,观察模式仅对机器流量进行学习和识别,并对流量来源、构成、爬虫类型和爬虫行为进行详细分析,不产生对抗;

针对不同的业务系统防护需求,安全运维人员可自行调用配置防爬策略,JS挑战、滑块和严格滑块形成组合拳,从而对不同风险等级的域名实现精细化防控

最后通过持续运营对策略进行调整和优化,最大限度识别日常爬虫流量,看清业务流量的实际构成。

数据防泄露的”第一道门“

《数据安全法》已经于9月1日生效,相应的对提供人力资源服务的企业如何进行数据合规治理工作,也释放了明确的信号:对于求职者个人信息、简历、评测、职位信息等核心数据资产和用户隐私信息,做出有前瞻性的数据保护进程安排,守住数据资产“生命线”。

阿里云从全域流量统一识别、分析与管控的角度,帮助组织提前发现并处理恶意攻击流量,做好保障好企业业务数据安全的关键一环。

5f27bbba4fb7f830e91aaed3f2f477b6.jpg

主动发现风险接口

检测出当前业务中有敏感数据泄露的接口,以及可能泄露的敏感数据类型,实现数据泄露风险资产的可视化,帮助用户快速定位问题;

流量出口智能响应

对服务器的响应报文做修改,比如业务将敏感数据打码或者拦截等,以便用户在无法修改业务代码的情况下缓解数据泄露风险;

层次化反入侵

绝大部分入侵行为的最终目的都是获取敏感数据,阿里云waf内置宽松、中等、严格三种不同级别的策略模版,精细化策略配置,防止攻击者拿到系统权限或非法获取数据库中的敏感数据。

客户价值

7b2978b64d74b15b33f7b4065d7e1782.jpg

  • 通过BOT管理策略,对各个业务系统的管控精细化到接口层面,实现对业务流量的精细化管控,日过滤爬虫流量千万级;
  • 通过云WAF进行暴露面收敛,在日益增多的攻防演习和红蓝对抗的大背景下,防守面收敛100%,大大减轻边界防护的压力。
  • 云上安全能力一键开启、一键防御,安全服务按业务需求购买、弹性可扩展,大幅降低安全投入,运维效率提升近80%;
  • 基于阿里真实业务场景积累的全网威胁情报实时更新,小时级响应应对突发0Day漏洞;
  • 云上安全强大的威胁情报能力和规模效应带来的技术优势,帮助企业“看清”业务流量来源、占比和流量行为,为业务发展和转型提供依据。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
程序员知识体系探索:点、线、面、体(下)
程序员知识体系探索:点、线、面、体(下)
4 0
DataWorks数据集成:打通网络如何排查安全组问题?
DataWorks数据集成:打通网络如何排查安全组问题?
4 0
程序员知识体系探索:点、线、面、体(上)
程序员知识体系探索:点、线、面、体(上)
5 0
漫谈“架构团队”之组织架构(上)
漫谈“架构团队”之组织架构(上)
3 0
漫谈“架构团队”之组织架构(下)
漫谈“架构团队”之组织架构(下)
4 0
我的ECS使用体验
在阿里云ECS服务器使用中学习和收获了很多。
4 0
也谈分库分表在实际应用的实践(上)
也谈分库分表在实际应用的实践(上)
4 0
+关注
云安全专家
阿里云安全
322
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载