對話京東安全首席架構師:電商平臺構建安全防護體系關鍵點

騰訊安全發表於2020-09-23
近年來,在不斷髮展的網際網路技術和因疫情而興起的“宅家經濟”的共同推動下,電商平臺已成為各大零售企業爭相“搶灘登陸”的主戰場。為了吸引更多消費者關注和購買,各類福利如促銷活動和優惠券也隨著上線。


然而,隨著營銷活動和打折力度的不斷增加,針對營銷活動的惡意攻擊也逐漸成為網路黑產獲取非法利益的主要手段。“薅羊毛”等惡意攻擊時有發生,不僅讓真正的使用者無法正常參與營銷活動,也極大程度上提升了企業的獲客成本。如何透過安全防護體系分辨真假使用者、阻止網路黑產的惡意侵擾,是企業和電商平臺都需要關注的問題。


如何精準識別正常使用者和虛假使用者?企業怎樣才能建立適合自身的安全防護體系?如何透過安全防護能力消除安全風險與隱患?本期騰訊安全《CSO面對面》欄目對話京東安全首席架構師耿志峰,以京東為例項向大家分享企業建立安全防護體系時需要關注的要點。


耿志峰是誰?


耿志峰,京東安全首席架構師,負責京東產品與基礎設施安全、資料安全和藍軍建設等工作,具有多年大資料安全、威脅情報、黑產對抗等經驗,是大資料安全、企業安全架構設計和攻防對抗等領域專家。

Q1: 網際網路公司與電商公司的安全策略有什麼不同的側重點?京東建立安全防護體系,最核心的目標是什麼?

耿志峰:安全可以分為基礎設施安全和運營安全兩個部分。所有業務都會用到的伺服器、網路、容器等基礎設施,以及產品從設計、研發、上線,到部署和執行的全生命週期的安全管理,還有以資料為中心的審計和保護,都能算作基礎設施安全,而各個公司的基礎設施安全策略基本上是相同的,都能算作基礎設施安全,不會有太大的區別,只是業務體量和複雜度的區別。


但運營安全就不一樣了,因為運營的安全策略會跟著業務走,業務的不同會產生不同的安全問題,用到的安全策略也不一樣。以京東為例,京東是以供應鏈為主的技術服務提供者,所以就會有電商、支付、雲、物流這樣的場景。比如像7FRESH這樣的線下場景,京東就需要考慮線下業務都有哪些場景、要透過哪些手段確保線下業務的安全,而這些是其他沒有線下業務的企業不用考慮的。


由於京東的業務種類和場景比較大而全,所需要的安全防護體系就要求比較全面,最核心的目標就是不斷提高安全運營的效率,保障使用者資料的安全。


Q2:在企業安全負責人的視角,您如何看待大型購物節帶來的挑戰?需要採取哪些手段對虛假使用者進行精準識別?


耿志峰:大型購物節帶來的挑戰一共有兩個。首先,由於電商企業在大型購物節投入的補貼和優惠力度都會大大增加,導致同一時間湧入平臺的使用者數量驟然增加,尋利而來的網路黑產會在這段時期內對平臺進行密集攻擊,使對抗強度和頻率進一步提升。


第二點大型購物節提供的使用者服務和優惠是個性化的、千人千面的,產生的黑產攻擊的方式也是多種多樣的,我們要在不同的場景下,為不同的使用者提供個性化服務,就需要保障在這個過程中,精準的識別到或預防不同型別的黑產攻擊。業務的複雜和黑產的多樣是個挑戰。


舉例來說,使用者會在618等大型電商節中領到各種優惠券,而這些是針對不同人群、不同產品提供的,而網路黑產則會透過虛假賬戶去薅取優惠券,如何精準識別虛假使用者並阻止其違規搶券,把實惠給到使用者,是保障運營安全的關鍵。


因為參與攻擊的網路黑產的人數一定是遠遠大於安全人員人數的,所以應對他們攻擊最有效的辦法,並不是關注網路黑產可能會進攻的所有業務和場景,而應該將安全前置,即在業務或產品設計時就考慮安全因素,這樣才能自動化地解決這些安全問題,從根本上消除網路黑產薅羊毛的可能性。

Q3:在應對黑產的過程中,大資料會發揮什麼樣的價值?


耿志峰:在對抗黑產時,資料量越多、維度越多,就能更清楚地知道是誰在用什麼方法攻擊使用者的哪些資產,所以大資料在對抗黑產的過程中是十分重要的。如果透過大資料定位到正在進行攻擊的黑產,那麼就能挖掘出這個人還用什麼樣的其他方式、關聯了哪些團隊在對你發起攻擊,牽起蘿蔔帶上泥,因為黑產是有團伙性質,也是有上下游的。如果能透過這種方式把關聯的黑產團伙全挖掘出來的話,就能對這些黑產形成一個面上的阻擋和防範,大幅提升防禦工作的效率。


不過大資料在實際應用中,也會遇到一些難題,主要就是資料量太大。因為與正常業務流量相比,黑產攻擊的流量在總體流量中的佔比還是比較低的,如果想透過計算所有資料來分析黑產攻擊行為的話,投入和收穫其實是不成比例的。


還有一個問題就是某一家公司看到的資料只是一個片段,我建議在確保資料安全的前提下,積極與其他公司進行合作,形成聯防。每家企業都有各自的黑產畫像以及攻擊流量的特徵,聯合就能更全面的看清楚黑產。

Q4: 請問您如何看待安全前置的重要性?京東是否有相應的安全管理手段?


耿志峰:這個問題非常好,解決一個安全問題的時間不一樣,所要耗費的解決成本也是不一樣的。打個比方,如果在產品或業務設計初期就考慮到安全問題並預先設定解決方法的話,解決成本可能是10元;但是如果這個產品或業務已經上線了,那麼解決成本可能會達到1000元或更高。


而有一些難度比較高的安全問題,只能在前期才能解決。比如邏輯漏洞問題,本身就是由於業務的邏輯才產生的,使用外部的安全產品很難實現對這類安全問題的檢測、發現和防禦。只有在業務設計階段就考慮了安全因素,才能杜絕這類安全問題。


最後,很多企業在發展初期不注重安全,等到發展起來以後已經有很多業務和IT資產了,此時再去解決這些業務和資產中存在的安全問題就非常複雜了,因為既要確保業務正常運營發展,又要應對風險,不是一件簡單的事情。所以安全越前置,企業在解決安全問題的時候才能保證業務不受其影響,解決的效率也會越高。

Q5: 如何透過充分的安全能力,消除電商平臺上的安全風險與隱患?


耿志峰:從風險控制角度看,我們所有的產品、所有的業務都有一個起點,可以理解為一個扇形,從起點一直往外長。一方面是安全能力前置,能在設計階段就別等到上線後,一方面是安全的控制點前置,例如控制點在記憶體就比網路邊界靠近起點。安全能力是越往起點方向靠,能夠覆蓋的面就越大。


從風險預測角度看,核心是建立自攻防的體系,驗證防禦的有效性。例如體系化挖掘漏洞的能力,威脅情報獲取、預警和反制的能力。


Q6: 大型企業應該如何建立建立全面、充分、彈性的安全體系?小型企業要如何確保安全防禦能力並有效降低成本?


耿志峰:大公司縱然投入多,然而要面對的安全問題也多。對於比較大型的公司來講,一定要投入巨大的精力從根本上解決問題,也就是我之前所說的扇形理論。


而對於小公司來講,可能在初期很少甚至沒有在安全上進行投入。我建議可以透過購買市面上成熟的各類安全產品在關鍵節點進行佈防,緩解安全問題。

Q7: 您如何看待雲原生安全這類新概念、新技術的應用價值?


耿志峰:對於雲原生安全的定義可謂是眾說紛紜,我在看待雲原生安全問題的時候,主張具象一些看。比如從伺服器層面上看,在作業系統、映象、網路等內建了安全設計,不再需要安全類的產品,例如各雲廠商都會有網路隔離,都會有去密碼登入,這種就是原生的。如果說在作業系統上裝一個HIDS,再檢測入侵做阻斷,這部分就是後期運營補充進去的安全能力,不屬於雲原生。

Q8: 電商領域是否有必要引入外部的安全能力?


耿志峰:雖然京東自建了基礎和業務安全能力,但在打擊黑產層面,我們與外部是有著廣泛合作的。


安全的領域非常多,全部都非常深入地做並不現實,我們會花最多的精力在最需要關注的問題上,比如資料安全,而在郵件安全、伺服器安全等領域會同業內進行較多的能力合作。


希望能夠與騰訊深入合作,打通安全鏈條,形成對黑產更加緊密的聯防聯控機制。

相關文章