近年来,各类网络安全事件层出不穷,木马病毒、信息泄漏、网络诈骗等等字眼时常见诸媒体,就连年初美国的总统大选都被黑客闹得鸡飞狗跳,网络安全从未像今天这样受到整个社会的重视,那么对于绝大部分互联网企业尤其是电商平台而言,为消费者提供隐私信息保护以及安全可靠服务的重要性毋庸赘言。
苏宁安全架构是伴随苏宁易购一起成长的,经历了从无到有到逐步完善的过程,期间不管是在技术上还是在管理上,都遇到了非常多的难题,但一旦闭环安全体系完善起来后,安全事件发现、处理效率会得到极大提升。
苏宁的安全部门最初是从网络运维部门分离出来的,当时部门的工作内容也和安全开发完全无关,主要就是各类网络设备以及操作系统的安全基线检查,后来随着苏宁向互联网转型,安全部门才开始承担起攻击防护、风险检测、漏洞处理等职责,逐步开始自研各类安全系统。由于当时安全工作都是围绕苏宁易购开展的,而苏宁易购又是一个综合网上购物平台,所以保护消费者的个人信息和资金安全自然是重中之重,因此苏宁安全防护平台和苏宁智能数据风控平台是最早上线运行的两个安全系统,之后又陆续开发上线了苏宁安全服务平台、苏宁安全应急响应中心等系统。
最好的解决方案当然是在这些黄牛的请求到达业务系统之前就被拦截,那么处在苏宁网络边界的安全防护平台实时攻击检测模块(WAF)自然是首选。其实黄牛并发的大量请求也可以看成CC攻击,尽管请求发起者目的不同,但攻击特征与攻击效果是一样的,而苏宁攻击防护平台本身是具备CC攻击防护能力的,可从实际效果看,还是有一部分请求绕过了CC攻击防护规则检测。这是由于黄牛发起的请求和正常用户是没有任何区别的,而且现在黄牛还会更换代理IP,伪造user-agent,一个帐号可能完成一次购买流程就结束了,普通CC攻击的特征非常不明显 ,安全防护平台对于此类攻击很难有效拦截阻断。数据风控平台善长识别却不适合拦截,安全防护平台适合拦截却不善长识别,那么将安全防护平台和数据风控平台结合起来进行黄牛防护自然是最好的选择了,所以我们对这两个系统进行了改造,在安全防护平台实时攻击检测模块增加了一个风险黑名单库,数据风控平台实时将高风险特征如IP、设备号、帐号、会员号等写入风险黑名单库,实时攻击检测模块会匹配每个请求是否有特征在此黑名单库里,同时将拦截信息如某帐号被拦截N次,某IP触犯什么规则等写入数据风控平台的风控规则库,形成了一个简单的闭环安全防护体系,这也是现在苏宁安全防护体系的雏形。
对于外部攻击者来讲,企业是一个黑盒,虽然无从获知企业内部网络架构和安全系统详情,但为了找到一个有效可利用的的漏洞他可能会进行各种尝试,不同目的的攻击者发起请求的方式和特征也会不同,所以企业绝不能期望一个安全系统就解决所有安全问题,也不能期望无限增加安全开发投入,头痛医头脚痛医脚。企业首先需要部署WAF、IDS/IPS、风控、漏扫等基本的安全系统,在此基础上再将各个安全系统之间彻底打通,实现信息共享,融合成一套行之有效的安全防护体系,才能有效解决绝大部分安全问题。但是企业需要关注的不仅仅是外部威胁,堡垒往往是从内部攻破的,所以企业内部的安全威胁也不容忽视。从苏宁近年来内部几起安全事件发生原因总结看,基本都和安全意识淡薄、安全管理不规范密切相关,所以企业在搭建自己的安全防护体系的同时,也要搭建自己的安全管理体系。
苏宁内部安全事件的管理已有一套成熟的运转机制,在漏洞爆出之后,首先由安全管理中心评估此事故威胁程度并确认事故责任人,然后由安全研发中心协助给出解决方案,再由安全管理中心督促事故责任人所在部门修复漏洞,最后由安全管理中心总结本次事故经验教训并给予事故责任部门处罚。因为安全管理中心有考核其它研发中心安全规范的权限,所以这套管理方法还是行之有效的。但是安全问题的源头还是人,如果仅仅依靠制度规范,肯定是无法解决所有内部安全问题的,甚至可能会阻碍企业发展,因此安全管理部门还应该做好内部员工的安全培训,尤其是业务系统研发人员,定期进行安全相关培训和考核,提高所有人的安全意识。
仅仅做到以上这些就可以高枕无忧了吗?答案当然是不,安全是一种攻防的对抗,是一种竞争,我们绝不能指望我们的敌人原地踏步,那只能自取灭亡。苏宁的安全体系建设并不是一蹴而就的,安全架构也不是一成不变的,从传统安全硬件到现在的各种云安全系统,从基于规则防护到现在的基于大数据、机器学习的自学习智能防护,不管是安全系统还是安全技术一直都在变化,我们必须脚踏实地地做好安全工作,不断突破和创新。