NSC2015云朋:讓電子商務插上云安全的翅膀
責編:penggao |2015-07-06 10:23:37百度云安全專家云朋跟我們分享一下”讓電子商務插上云的翅膀”。
云朋:大家下午好!聽了之前幾位的演講覺得受益匪淺,感覺自己講的會很low,因為我本人是做技術的,盡量在技術方面有所深入。
今天講的是讓”電子商務插入上面安全的翅膀”,因為電商是一個直接跟錢和用戶打交道的,同時也是發展特別快的一個行業,主要講:電商有哪些安全的需求,對快速解決安全問題的渴望,我們現在正在用什么樣的方案、技術和能力對他們提供服務。
如圖,其實這也是一個普遍的問題,特別是我們今年說黑色5月,造成很多大型互聯網公司要當機、癱瘓服務、游戲玩不了等各種情況,還是很慘的,有的一天收入損失都在好幾千萬。所以有必要看一下這種情況是怎么產生的,我們怎么做,特別是互聯網+來了以后,會看到更多企業會把這幾個產品拿到網上來,無論怎么樣的企業跟互聯網接軌,但都會面臨一個特別嚴峻的考驗,就是信息安全。因為現在的安全攻擊不像原來了。最近幾年攻擊頻繁。可能我的理解有所偏頗,但覺得還是有點道理,因為原來很多老的技術,包括一些開源的技術都是為單獨一種用戶去部署的,或者為小集群去部署的,但是在互聯網中,我們是在云的移動的模式下,你的用戶其實幾何增長,原來的代碼并沒有為用戶去考慮,比如多租戶的考慮、跨域的考慮,形形色色的安全問題就都來了。
因為互聯網、云化,還有社交化,資料很豐富,攻擊成本變得特別低,原來想做一個灰色產業鏈要找一個組織,現在只要找到一個群就行的,所以挺慘烈的,被打擊的比較可憐。那么大的流量,就看到屏幕上打你,你就只能被它打,是很凄慘的一件事情。
而同時行業競爭也特別激烈,上層有各大電商平臺把握著巨大的入口,中間還有一些快速增長的公司,下面互聯網+起來了,電商越來越被擠的做垂直了,我們說安全圈子小,行業競爭很激烈,其實電商行業競爭也很激烈。
但信息安全人才是非常稀缺的,哪怕經過這幾年政府的宣傳,但真正從學校畢業出來的人能做信息安全的很少,一般都要自學,要不然從原來的運維轉安全,要不然就是興趣,還有師父帶徒弟的方式,比較傳統。而攻擊越來越多了,好的人才、真正價值比較高的人才,被大的BAT,包括電商公司招走了,留下一些電商公司、創業或者以后互聯網+面臨的局面就是沒有特別多的人才可用。安全是一個攻擊,是一個點,其實安全的防護是一個面,這就需要有人才幫你構建體系,幫你維護系統,幫著各個方面去補你的過失,還有代碼審查,發現市面上人很多,但能用的人又很少,或者招不起。
京東有非常強大的團隊,但很多中型、小的,發展很快的,我們接觸過,很累,每天特別多的問題,關于從防護到支付到用戶賬號,甚至到后端的基礎架構的安全,統統都被人問,所以是亂七八糟的。
支付和電商跟錢接觸特別緊密,一旦出了問題真的是金錢和價值上的損失。2008年之前,電商在網上賣卡,各種各樣的游戲卡、充值卡,你可以拿到大批的數據庫,進去就是真金白銀,現在拿不出來,但是數據很有價值,用戶的信息,電話號碼,大的電商提供的一些優惠券這些都是直接可以拿出來消費的,所以一旦進去了以后,真金白銀的損失也是巨大的,或者不偷你的東西,把你打掛,這個時候你就直接損失了客戶,像超市一樣今天就得關門了。
電商對這種敏捷的需求在哪里?拋開頂層Top1這樣的電商我們不講,大部分電子商務公司還是希望快速幫我解決問題,因為人員的投入、資本的投入更多還是希望在他的商務方面,他沒有錢或錢很少,或者根本沒有資源去搞定一些安全的問題。
我們可以想見互聯網+上來了,那些做傳統公司的人把自己的業務移到網上去,他會發現一上去今天他的超市關門了,明天打開它的網站,他的超市還是關著門,他根本就不懂或者奇怪我放到網上去為什么就這樣了呢?所以這個時候基于云的應用服務的優勢就能體現出來了,這種體現一定是一個產業的一種應用服務,我們天天在談云的應用如何要去慢慢的把原來web2.0的應用替代掉,我一直說還是傳統的非IT的行業能進入、能使用,大部分非傳統的公司開始做ITO信息化的建設,發現信息化建設之路才真正開起來,其實和云計算應用是一樣的。我們要為中型、小型電商提供服務,我們積累了這么多年,百度云安全,以及百度安全寶,具有很大數據的處理能力。
我主要講一下DDos這種情況,經常看到有很多友商抵御很大的攻擊,每一次抵御下一次都要花很大的成本。DDos的壓制能力現在到了800G,這不只是你的帶寬或入口有多大,億另一方面我們現在把它架在了運營商的核心網里面。比如我們同樣在修高速公路,在鄉里修高速路,你的車要往省城開,發現鄉里的高速公路和省城是斷的,我們現在等于在省城里面承包修了這條公路。大概做了四五年,在三層、四層以及應用層都做了關于壓制處理的一些事情,我們一方面解決用戶的訴求,一方面拉低DDos攻擊的成本。
百度的云加速和安全寶有一些天然優勢。我們做了很長時間的觀測,一個網站要對用戶服務,要關注三個方面,可用性、穩定性、健康性。所以我們有一套觀測一直在對我們服務的網站進行7×24小時不斷監測他的三個情況和三個指標。
百度云加速現在服務了幾十萬客戶,這些客戶遍布在全國各地,通過這些客戶的加速情況,我們能了解到各個企業點的訪問狀態,用戶的體驗感。百度是一個比較全生態的,手機衛士能為這種網絡安全提供什么呢?比如在一個云計算里面或者再一個機房里面,肯定更愿意跟健康或者好的群體在一起,手機安全衛士和桌面殺毒的安全衛士能夠告訴你跟你在一起的那些網站有可能它們本身就不太好,它們提供的服務經常容易被別人打擊或者在提供一些灰色甚至非法的服務,所以通過手機安全衛士、百度安全衛士發過來的每天大概要檢測幾十億,留下來累計大概也有以億為單位的數據我們會去觀測全國各地的機房節點,跟你在一起的機器哪些更健康、哪些價值更高,你跟它放在一起同時那個機房其實質量會更高。
有了那么多數據,有了那些能力,接下來要談一個老生常談的大數據。現在的數據都是以億為單位,以TD為單位,必然數據能力要很強。而現在黑客去打擊你很快,一看到你封堵了,一邊是流量問題,一邊是封堵技術,就很用盜用你這方面的流量,很快改變他的攻擊策略、攻擊方法,這個時候你需要很大的數據計算能力。這個東西百度不缺,百度天然做數據,每一個在里面的人都或多或少對數據有比較深入的理解。
我們對數據能進行智能的威脅檢測,因為它積累了這么多年,對泛化、規則、人機識別等有特別多的檢測模型,我們有一個龐大的IP庫,可能有幾千萬,我們知道那些IP或IP段在過往一段時間內攻擊我百度,以及攻擊過百度云加速,我們把這些東西集合在一起,通過計算,知道在哪個時間節點,哪個網站更容易被哪些區域機房的流量進行攻擊,提前預留500G放到那個地方,當你的攻擊來的時候,會更為迅速的能知道我要先抵御你,這是我們要用大數據的能力去構建智能的威脅。但是這些東西從前端來說,從敏捷的應用性角度來說,用戶本身是看不到的。
如果你加入智能調用,這個時候你并不需要切換你的IP或備份你的IP,當有流量來的時候,我們會智能切換讓你到我們的環境里,這樣比較智能調用里,用戶是無感知的,而黑客感知我打它打不下來,輪換幾次以后就對你失去興趣了。
包括安全寶,我們會用一些人機識別,在人機識別里用了馬爾可夫的算法,投入了巨大的人力。你怎么讓你的系統變得更好,如果靠人工識別幾十萬臺服務器,是不是繞過它,這個很難。我們通過書記分析的能力做了一些識別,這種識別能夠達到:第一,你是在用掃描器干活還是人在干活;第二,你用什么樣的掃描器或者什么樣的工具。接下來我們還用HM的算法能識別出來哪些是我漏的,這些流量我們會返回來,之后會投入人工以及自動化的過程,把這些規則重新提取出來加入到WAF(音)里面去,這是我們在用數據分析做的一些事情。
在現有模式下,會讓用戶的成本越來越低,并且能方便的接入。
安全的敏捷防護現在做的也很好,因為我們啟用了人機識別之后,在我們內部測試里面,感覺能力的提升會有一個很大的加強,原來漏洞以后,除非用戶告訴我們或者是我們查新的漏洞,或者我們評審時發現這個規則可能有些方法擋不住,但是現在自動化的時候,可以讓我們回溯很多流量,讓誤報呈比較快的下降趨勢。
云安全的解決方案在百度里面提出的是幾個情況:事前檢測;事中防護;事后審計。我們認為安全服務,包括云的安全服務不只是一個自動化的過程,其實一定包括很多人為的事情,因為很多的電商本身對安全不是特別的了解這樣一個業務,不給他提供人工的一些服務,比如我要打補丁的,要裝安全加固的,又出漏洞了,你讓他自己去申請很難,還是挺茫然的。基于這樣的情況,我們會在事后或者在事中對用戶做人工服務,包括提供7×24小時的服務。
7×24小時網站看護,用戶可以對他網站速度監測。同時他在里面能夠實時開啟一些功能。百度現在做了一件比較有意思的事情,你會看到你去百度上訪問你的網站,可能百度會標記你是一個惡意的,這個時候很多用戶就不愿意點了,其實并不是你是惡意的,可能是別人入侵你了,在你的某一個頁面上做了一些改動,比如涉政或黃賭毒,或者是釣魚,或者是插一段代碼,我們每天去找哪些是惡意的,這時候發現你的網站標記你是一個惡意網站,打開不安全,用戶不來訪問了。傳統情況下,你要給百度打一個電話或者去投訴,或者改你的網站,現在提供一種新的能力,我們把用戶有惡意的這些內容放到我們現在提供的云安全的設備里面去,這時候用戶如果訪問你的網站,流經的是不安全的內容,我們會做一些實時的處理,讓用戶訪問你的網站是安全的,接著我們會在我們搜索里面告訴用戶你是安全的,雖然你不安全,但是不安全的已經被我們阻擋了,我們現在在使用這樣的技術。因為我們看到的情況是很多企業在這方面很郁悶,被別人掛了馬,當做一個跳板和肉機,有些我們就標志成惡意的了,這對他是不公平的,我們應該上他變得快,所以我們在做這樣一些嘗試,使用戶的使用沒有障礙。
防護。網站加速、安全防護、百度特有的SEO,就是我們表示出更有價值的一些網站,哪些詞更能夠被人推薦,你不需要做推廣,也能使你的網站更靠前。
審計。一般網站沒有攻擊,也會有人進這個網頁,但是進去了以后,我們是期望他的可視化做得更好,做得更方便。
SEO。我們會去挑選更有價值的網站,更有價值的來自于各種方面,不只是詞,如果是詞的話只是簡單的商業行為,不會拿出來說了。更有價值的還來自于信用的體系,我們有龐大的URL等,我們用大數據的方式做了一套體系,你在什么地方我們知道,跟你在一塊或臨近網站的價值我們知道,基于這些原則我們可以告訴你你應該到什么地方或者你應該怎么辦,更容易被百度的網民搜索到。
甲方安全工作的現狀。我們做安全的,特別是云安全的,這是一個機會,會有很多傳統公司移到互聯網上去。從2000年走下來的IT公司使用免費的東西習慣了,因為我們這些開發人員天天搞免費的,認為任何服務都應該是免費的,但是在互聯網+的情況下我覺得這個局面會改變,因為傳統企業上來了,傳統企業面臨的是上游、下游,原來都是出錢的,認為出了錢是可以去找你賠付的,他們進來了以后,云安全的應用、服務可以提供收費的服務,讓他能夠服務的更好,這會是一個很正向的事情。
百度的理念,包括云安全的理念,都是讓你快捷、平等的能獲得服務,希望我們能夠提供這些免費的也好,基于企業網收費的服務,包括我們在底層構建的分布式的、海量的以及基于一些人機網絡算法的服務能真正通過簡單的方式去服務這些電商伙伴。我們也很愿意跟大家一起去分享一些內容、分享一些數據。謝謝!