京东安全架构师刘刚:电商大促的安全保障是一个复杂的超级工程
在各大电商逐年上涨的营业额和全民购物狂欢的背后,电商平台也面临巨大的安全挑战,比如:漏洞利用、劫持攻击、钓鱼攻击、网络欺诈等。这重重风险之下,电商平台究竟是如何构建自己的安全保障体系的?本文中,51CTO记者带你走进京东一探究竟,深入了解京东大促背后关于安全的那些事儿。
大促的安全保障是一个复杂的超级工程
“大促的安全保障是一个复杂的超级工程。”在近日举行的GITC全球互联网技术大会上,京东信息安全部安全架构师刘刚向记者表示:“大促期间,出现了任何服务不可用、不安全的事件,影响都非常大。目前,我们主要面临‘三高’和‘三多’的考验。三高是:业务复杂度高、重要性高、风险影响高;三多是:头绪多、不确定因素多、干系人多。”
据悉,京东商城从下单到准备出库就包括首页、购物车、订单中间件、库存中间件等几十个主流程和多个入口。另外,还有用户、价格、评价等强依赖服务,预约、预售、京豆等非强依赖服务。这些复杂并且运转良好的系统,在大流量的冲击下,可能变得极其脆弱。
刘刚坦言,京东的业务形态很多。面对挑战,京东信息安全部门不单单要考虑网络、应用层面的威胁,还要考虑配送站、物流的各个节点等。而且,历次大促备战所处的环境、遇到的问题各不相同,不确定因素也多。第三方参与人员多,集团内部直接参与保障的安全人员有100多人,间接参与的各部门接口人横跨京东商城、京东金融、京东物流的几十个一级部门,管理的难度很大。
风起云涌 大促之下的“暗战”
在电商大促这场安全攻防大战中,攻击方采用流量劫持、钓鱼攻击、撞库攻击、漏洞利用等多种手段大举进攻。作为守卫方,京东信息安全部采用“兵马未动,粮草先行”之策提早布局,利用安全技术和平台构建安全保障体系严防死守。
自2011年发展至今,京东信息安全团队也在逐步扩大。从账号安全到业务安全,从常见的Web漏洞防护到流量劫持的快速取证,从保证PC端安全到移动端、IoT的安全防护……京东已经具备了标准的防御力,构建了坚实的安全防御体系。
刘刚表示,为了确保大促活动期间的安全,京东积极备战。大促活动前一个多月,京东就进入了“战斗”状态,对整个平台进行测试,并邀请白帽子与第三方安全厂商帮助进行安全测试,做到及时的查漏补缺;在大促期间,利用多个安全技术平台及时响应,处理突发事件;在大促活动结束,总结经验,提升平台整体安全防御能力。
京东自研技术平台,为全民购物狂欢保驾护航
针对备战的具体细节,刘刚从以下三个方面为记者进行了详细的解读:
首先,在技术支撑上,京东自研开发了以分布式高并发漏洞扫描、大海资产管理系统、脉象全息化平台为代表的安全防御技术平台。
分布式高并发漏洞扫描最大的特点就是发现漏洞“快”,对单个PoC只需3分钟就可把全网资产跑一遍,45分钟可对全网进行一次日常的安全扫描,系统可以支持lua、python等多种语言。可以准确扫描Strtus2漏洞、Spring Boot漏洞、心脏滴血等漏洞。
大海资产管理系统的特点是“全”,可实现全量的扫描范围。该系统采用了隐式马尔可夫算法的URL去重、智能多维度关联、基于海量数据的关联处理等多种技术,可以不断采集、动态更新和同步京东的所有资产信息,包括:IP、域名、url,以及资产所属的部门,内网还是外网应用、资产的管理者、联系方式等。
脉象全息化平台的特点则是“早”,可以提前感知安全威胁。该平台解决的问题是,如何尽早的发现漏洞?爆发安全事件后直观影响范围是什么?处理的进度是什么?用什么优先级来处理这些安全事件等。
脉象全息化平台通过从内外部的多个情报源获取情报,目前已有50多个渠道对漏洞和舆情进行实时监控,一旦有任何动态,专业的分析团队将会及时响应,分析并编写PoC,然后部署到漏洞扫描器,从大海资产管理系统获取相关数据后就可以快速进行扫描。最终实现从发现漏洞、到处理漏洞、到安全复盘一气呵成,提升安全应急、测试团队等整体工作效率。
此外,在技术上,京东还实现了SDL+安全开发控制,基于京东大促数据墙建立了保障指挥系统,对全站HTTPS进行推广和优化,并通过DDoS攻防平台进行攻击流量的集中监控。
其次,在保障管理上,一方面,京东专门为大促做了一个引导发布,把京东所有涉及到不同层面的内容汇总,比如:安全开发中的的规范、检测方式、联系人、联系方式等。通过引导发布,让所有人清楚每个层面应该怎么做加固。另一方面,对核心资产和涉及的数据进行了梳理,分析存在的风险、攻击路径和可能的利用场景、应对方案、检查手段、监控的数据等。最后,各个业务部门进行全面的检查。此外,京东还结合外部白帽子和第三方的力量,在大促之前规避安全风险,作用非常显著。
再次,在组织和动员上,在日常保障阶段,京东通过各种培训、信息安全月、安全训练营等活动,提高大家对安全的兴奋度。在备战阶段,严格依据项目管理的标准流程,从范围、时间、成本、干系人、沟通等各个维度进行考虑,保证我们整体过程是顺畅的。比如,备战开始前,邀请各个业务部门的接口人参加备战启动会,每周同步备战进展。临近大促时,每天同步一次最新情况,保证所有的资源、技术能力、人员到位。
