京東安全架構師劉剛:電商大促的安全保障是一個復雜的超級工程
在各大電商逐年上漲的營業額和全民購物狂歡的背后,電商平臺也面臨巨大的安全挑戰,比如:漏洞利用、劫持攻擊、釣魚攻擊、網絡欺詐等。這重重風險之下,電商平臺究竟是如何構建自己的安全保障體系的?本文中,51CTO記者帶你走進京東一探究竟,深入了解京東大促背后關于安全的那些事兒。
大促的安全保障是一個復雜的超級工程
“大促的安全保障是一個復雜的超級工程。”在近日舉行的GITC全球互聯網技術大會上,京東信息安全部安全架構師劉剛向記者表示:“大促期間,出現了任何服務不可用、不安全的事件,影響都非常大。目前,我們主要面臨‘三高’和‘三多’的考驗。三高是:業務復雜度高、重要性高、風險影響高;三多是:頭緒多、不確定因素多、干系人多。”
據悉,京東商城從下單到準備出庫就包括首頁、購物車、訂單中間件、庫存中間件等幾十個主流程和多個入口。另外,還有用戶、價格、評價等強依賴服務,預約、預售、京豆等非強依賴服務。這些復雜并且運轉良好的系統,在大流量的沖擊下,可能變得極其脆弱。
劉剛坦言,京東的業務形態很多。面對挑戰,京東信息安全部門不單單要考慮網絡、應用層面的威脅,還要考慮配送站、物流的各個節點等。而且,歷次大促備戰所處的環境、遇到的問題各不相同,不確定因素也多。第三方參與人員多,集團內部直接參與保障的安全人員有100多人,間接參與的各部門接口人橫跨京東商城、京東金融、京東物流的幾十個一級部門,管理的難度很大。
風起云涌 大促之下的“暗戰”
在電商大促這場安全攻防大戰中,攻擊方采用流量劫持、釣魚攻擊、撞庫攻擊、漏洞利用等多種手段大舉進攻。作為守衛方,京東信息安全部采用“兵馬未動,糧草先行”之策提早布局,利用安全技術和平臺構建安全保障體系嚴防死守。
自2011年發展至今,京東信息安全團隊也在逐步擴大。從賬號安全到業務安全,從常見的Web漏洞防護到流量劫持的快速取證,從保證PC端安全到移動端、IoT的安全防護……京東已經具備了標準的防御力,構建了堅實的安全防御體系。
劉剛表示,為了確保大促活動期間的安全,京東積極備戰。大促活動前一個多月,京東就進入了“戰斗”狀態,對整個平臺進行測試,并邀請白帽子與第三方安全廠商幫助進行安全測試,做到及時的查漏補缺;在大促期間,利用多個安全技術平臺及時響應,處理突發事件;在大促活動結束,總結經驗,提升平臺整體安全防御能力。
京東自研技術平臺,為全民購物狂歡保駕護航
針對備戰的具體細節,劉剛從以下三個方面為記者進行了詳細的解讀:
首先,在技術支撐上,京東自研開發了以分布式高并發漏洞掃描、大海資產管理系統、脈象全息化平臺為代表的安全防御技術平臺。
分布式高并發漏洞掃描最大的特點就是發現漏洞“快”,對單個PoC只需3分鐘就可把全網資產跑一遍,45分鐘可對全網進行一次日常的安全掃描,系統可以支持lua、python等多種語言。可以準確掃描Strtus2漏洞、Spring Boot漏洞、心臟滴血等漏洞。
大海資產管理系統的特點是“全”,可實現全量的掃描范圍。該系統采用了隱式馬爾可夫算法的URL去重、智能多維度關聯、基于海量數據的關聯處理等多種技術,可以不斷采集、動態更新和同步京東的所有資產信息,包括:IP、域名、url,以及資產所屬的部門,內網還是外網應用、資產的管理者、聯系方式等。
脈象全息化平臺的特點則是“早”,可以提前感知安全威脅。該平臺解決的問題是,如何盡早的發現漏洞?爆發安全事件后直觀影響范圍是什么?處理的進度是什么?用什么優先級來處理這些安全事件等。
脈象全息化平臺通過從內外部的多個情報源獲取情報,目前已有50多個渠道對漏洞和輿情進行實時監控,一旦有任何動態,專業的分析團隊將會及時響應,分析并編寫PoC,然后部署到漏洞掃描器,從大海資產管理系統獲取相關數據后就可以快速進行掃描。最終實現從發現漏洞、到處理漏洞、到安全復盤一氣呵成,提升安全應急、測試團隊等整體工作效率。
此外,在技術上,京東還實現了SDL+安全開發控制,基于京東大促數據墻建立了保障指揮系統,對全站HTTPS進行推廣和優化,并通過DDoS攻防平臺進行攻擊流量的集中監控。
其次,在保障管理上,一方面,京東專門為大促做了一個引導發布,把京東所有涉及到不同層面的內容匯總,比如:安全開發中的的規范、檢測方式、聯系人、聯系方式等。通過引導發布,讓所有人清楚每個層面應該怎么做加固。另一方面,對核心資產和涉及的數據進行了梳理,分析存在的風險、攻擊路徑和可能的利用場景、應對方案、檢查手段、監控的數據等。最后,各個業務部門進行全面的檢查。此外,京東還結合外部白帽子和第三方的力量,在大促之前規避安全風險,作用非常顯著。
再次,在組織和動員上,在日常保障階段,京東通過各種培訓、信息安全月、安全訓練營等活動,提高大家對安全的興奮度。在備戰階段,嚴格依據項目管理的標準流程,從范圍、時間、成本、干系人、溝通等各個維度進行考慮,保證我們整體過程是順暢的。比如,備戰開始前,邀請各個業務部門的接口人參加備戰啟動會,每周同步備戰進展。臨近大促時,每天同步一次最新情況,保證所有的資源、技術能力、人員到位。
