苏宁安全架构是伴随苏宁易购一起成长的,经历了从无到有到逐步完善的过程,期间不管是在技术上还是在管理上,都遇到了非常多的难题,但一旦闭环安全体系完善起来后,安全事件发现、处理效率会得到极大提升。
安全组织架构
首先需要明确安全部门的组织架构,苏宁的安全相关部门目前主要分为管理和研发两大类。由于企业安全不仅包含外部网络攻击防护,还包含企业内部安全威胁检查,所以安全部门非常特殊,必须要有一定的独立性,否则合规审计、内外风控、漏洞处理、应急响应等工作根本无法开展。一般互联网公司大都会成立一个较高级别的安全部门专门负责各类安全事务,因为这样即方便管理又能减少沟通成本。苏宁安全管理中心由CTO直接负责,集团所有安全相关事务都由它统一协调,安全研发工作主要由数据云团队负责,个别子公司因业务需要也会有相对独立的安全部门。
安全防护体系建设
苏宁的安全部门最初是从网络运维部门分离出来的,当时部门的工作内容也和安全开发完全无关,主要就是各类网络设备以及操作系统的安全基线检查,后来随着苏宁向互联网转型,安全部门才开始承担起攻击防护、风险检测、漏洞处理等职责,逐步开始自研各类安全系统。由于当时安全工作都是围绕苏宁易购开展的,而苏宁易购又是一个综合网上购物平台,所以保护消费者的个人信息和资金安全自然是重中之重,因此苏宁安全防护平台和苏宁智能数据风控平台是最早上线运行的两个安全系统,之后又陆续开发上线了苏宁安全服务平台、苏宁安全应急响应中心等系统。
苏宁安全防护平台:由离线入侵分析、实时攻击检测、大数据分析等模块组成,主要负责各类常见的网络攻击的检测和防御,是苏宁的第一道安全防线;
苏宁智能数据风控平台:提供设备指纹、人机识别、敏感信息过滤、风险信息库等功能,通过灵活的风控智能算法和风险措施保护消费者购物流程安全;
苏宁安全服务平台:主要是为苏宁内部所有系统提供各类安全服务,包括漏洞扫描、渗透测试、系统加固、安全培训等;
苏宁安全应急响应中心:主要负责漏洞管理和威胁情报收集,以帮助提升苏宁自身产品及业务的安全性,同时也希望借此加强与安全业界的合作与交流。
因为上述四个系统是苏宁安全研发部门最主要的产品,也是苏宁安全防护体系最核心的组成部分,基本囊括了企业安全的方方面面,限于篇幅,其它一些次要安全系统就不在此一一介绍了。
随着这些安全系统陆续上线运行后,苏宁的安全架构在逐渐完善,安全能力也得到了很大的提升,但是此时苏宁自己的安全防护体系依然没有建立起来,各个安全系统由不同安全团队开发维护,分散在不同的业务线上,各自为战,依然会遇到很多各个系统独自无法解决的安全问题。比如平时为了吸引消费者,苏宁易购经常会送大家很多各类优惠券,也会对一些热门商品进行限时低价抢购,由于购买价格远低于市场价格,常常会吸引来大量黄牛薅羊毛。此时智能数据风控平台就开始起作用了,依赖访问特征和访问行为,能够及时从海量数据里分析出哪些是黄牛请求并进行阻断验证,但是黄牛们为了保证成功买到这些低价商品,往往会租用大量服务器并发购买请求,即使请求都被风控识别阻断,由于这些请求已经到了业务服务器,所有依然会对业务系统造成巨大的负载压力。
最好的解决方案当然是在这些黄牛的请求到达业务系统之前就被拦截,那么处在苏宁网络边界的安全防护平台实时攻击检测模块(WAF)自然是首选。其实黄牛并发的大量请求也可以看成cc攻击,尽管请求发起者目的不同,但攻击特征与攻击效果是一样的,而苏宁攻击防护平台本身是具备CC攻击防护能力的,可从实际效果看,还是有一部分请求绕过了CC攻击防护规则检测。这是由于黄牛发起的请求和正常用户是没有任何区别的,而且现在黄牛还会更换代理IP,伪造user-agent,一个帐号可能完成一次购买流程就结束了,普通CC攻击的特征非常不明显 ,安全防护平台对于此类攻击很难有效拦截阻断。数据风控平台善长识别却不适合拦截,安全防护平台适合拦截却不善长识别,那么将安全防护平台和数据风控平台结合起来进行黄牛防护自然是最好的选择了,所以我们对这两个系统进行了改造,在安全防护平台实时攻击检测模块增加了一个风险黑名单库,数据风控平台实时将高风险特征如IP、设备号、帐号、会员号等写入风险黑名单库,实时攻击检测模块会匹配每个请求是否有特征在此黑名单库里,同时将拦截信息如某帐号被拦截N次,某IP触犯什么规则等写入数据风控平台的风控规则库,形成了一个简单的闭环安全防护体系,这也是现在苏宁安全防护体系的雏形。
类似的情况还有很多,比如利用漏扫系统训练机器学习模型,用SRC漏洞完善安全规则等等,不过在不断完善苏宁安全防护体系的过程中,我们意识到仅仅两两系统之间实现数据交互依然是不够的,由于各个安全系统数据来源单一且分析标准不一致,导致这些共享数据适用性并不高,利用效率低下。不仅仅安全系统,苏宁几千个系统每天都在生产大量的数据,可是并没有任何一个系统会去专门分析这些数据,而潜在的攻击很可能就隐藏在这海量的数据里。所以我们目前正在开发苏宁自己的基于大数据架构的威胁感知系统,初期是将几个核心安全系统的流量日志以统一的格式汇聚到威胁感知系统,利用关联算法、异常分析算法等机器学习算法深入挖掘攻击行为,收集威胁情报,积累攻击特征数据,为苏宁安全防护体系添加一颗无所不在、无所不知的聪明大脑,真正将苏宁所有安全系统融合成一体,不仅要做到固若金汤,还要做到防患于未然。
在我们的长期规划中,苏宁威胁感知系统会逐步将苏宁所有系统生产的流量数据纳入分析范围,并且还要与业界其它企业一起合作,共享威胁情报,加强安全信息交流,共建中国互联网威胁感知平台。
原文链接:https://www.cnblogs.com/ghl0518/p/11056958.html
原创文章,作者:优速盾-小U,如若转载,请注明出处:https://www.cdnb.net/bbs/archives/22674
