昨天(10月30号)华为第二届安全沙龙在深圳百草园召开。本次沙龙虽然只邀请了100多人但包括了四十多个企业,大家都对安全非常重视希望加强交流。
华为信息安全部蔀长陆焱致辞:
这是一个最坏的年代也是最好的年代。
第一我们面临的环境有了很大的变化,从传统安全时代已经进入了社交化、云囮、移动化的时代这是一个很大的挑战。第二要防护的越来越多,不仅仅是企业本身的资产还要保护客户的隐私。第三攻击越来樾自动化、产业化,对抗需要企业之间的合作
好 从华为的角度来看,06年至09年是为了安全可以牺牲业务效率的时期,09年到14年则是安全与業务均衡的时期到了2015年,进入了安全可以创造业务价值的时代外部大环境,则是斯诺登爆发了国家对安全的重视
华为举办安全沙龙,是为了向同行学习提升华为安全能力,加强在情报、漏洞、信息方面的分享共同构筑生态圈。通过交流帮助华为更好的应对转型,此为本次沙龙取名“问道”之含义所在
华为商城发展与安全之路 --华为IT安全部周麟
一、消费者业务发展之路
2003年成立手机事业部,2010姩突破1亿部发货量在全球份额达到50%。12年实施品牌产品渠道三大转变推出精品旗舰手机,2014年销售收入达到数十亿
(具体数字记不清了)
华为商城,12年正式运营14年爆发增长,数字暂时保密
黄牛党。自动化抢购支持账号批量登录、验证码打码平台、发货地址自动化,訂单批量生成
羊毛党。刷优购码、刷抽奖曾经一个优惠活动,引来70万个新注册号
三、华为电商IT整体策略
1. 华为私有云+业界公有云构筑電商基础平台,实现快速交付及弹性扩展;
2. 基于IT大平台设计柔性的架构DevOps一体化运作快速响应一线需求;
3. 构筑基础安全长城,补齐隐私保護与业务安全能力实现实例 、合规运营。
四、传统安全到业务安全的转变
华为商场安全生态圈的建立很重要要建立情报共享机制。
电商安全服务和产品化的初步探索 --京东信息安全部总监晋亮
一、电商安全部门要做些什么
比如提交一个漏洞,研发部门却不明白箌底有什么影响因此需要通过演示,让研发人员认可但漏洞依然还是会出现,所以需要考虑从本质架构上从问题产生的根源上梳理,然后和研发部门对接才可能解决根本问题。并形成让研发人员使用安全部门提供的工具去解决问题即产品化的安全服务。
二、后面嘚路要怎么走
1. 状态感知,更多的数据、更强的分析
2. 控制技术的提升。即保证安全又增强体验。
3. 产品服务的云化
4. 从内部价值到外部價值。
公有云安全挑战和发展 --UCLOUD安全中心总监方勇
一、云服务的第一大挑战DDOS怎么办?
1. 平台稳定(封堵) VS 客户可用(清洗)UCLOUD选取了前者,但封堵效率必需在1分钟之内否则就算事故。
2. 清洗商业方案 VS 自研这两者UCLOUD是并存的。
给电商的建议:封堵效率很关键
二、好多花式客戶怎么办?
UCLOUDE 10个数据中心,2万+企业2亿+客户的用户,各式各样的应用安全运营是关键。多租户隔离仅仅是开始
即使抓重点,重点也不少洳何下手?虚拟网、管理网、物理网的网间隔离是重中之重
给电商的建议:对大二层说不。
漏洞响应慢一步全平台客户受影响。跟在愙户/问题后面就会被客户/问题带着跑,云平台中突发的问题会淹没技术支持、研发和安全团队
Xen/kvm/docker如何控制逃逸?热补丁是在和时间赛跑0Day需要纵深防御,虚拟补丁、访问控制、精细审计
给电商的建议:至少要有热补丁。
面对光纤挖断、网络抖动、骨干故障、紧急割接等粅理问题三种解决方案,POP点、同城打通、异地打通
给电商的建议:重点建设同城多活、异地多活,依赖异地打通为补充
五、WEB应用安铨怎么办?
目标:通用、平台型漏洞防护
串联 VS 旁路 VS 路由(查打分离)
漏报 VS 误报允许漏洞,规避误报
我要商业版的WAF(混合云、应用市场)
给电商的建议:通用版WAF和商业版WAF并举。
六、保镖、保安还是保姆
公有云中,服务提供商和客户在安全在职责上的边界在哪里做保姆昰态度和技术问题,保镖或保安要产品和运营去思考
给电商的建议:保安+保镖。
讲虚的(时间、意愿):合规、企业文化、人员组成、內部事件教育
讲实的(能力):职责分享、内部稽核。
给电商的提示:选择中立的、专注的、高(忙)速(忙)发(忙)展(忙)的云計算平台;能HTTPS就HTTPS
八、甲方到丙方如何转换?
安全行业中甲方(京东、唯品会)、乙方(绿盟、启明),丙方(360、阿里、UCLOUD)对内是甲方,对客户是乙方心态、行为模式、关注点、技能点有很大变化。
给电商的建议:选择服务较好的云计算平台
持续投入钱、人、资源。
给电商的提示:只找做云计算和云安全的服务商
十、公有云安全的未来?
云安全的弯道超车目前是一线/二线安全公司(阿里+安恒),还会有许多云安全的创业者以及系统集成商/IDC。
技术趋势是聚集上层安全、SaaS、轻资产
业务安全之防守者说 --中国平安安全产品总监戴鵬飞
“我们‘吃’数据,然后提供数据分析服务”
平安业务的风险点:账户、交易、支付、信息。
高危IP识别如泉州、广西部分地区、儋州、东南亚、巴西、俄罗斯等地的IP。
IDC类收集如服务器段IP注册、典型各类云、僵尸IP,从广告欺诈延伸到羊毛党
手机验证码对抗,如爬取收码平台手机号、授权验证、合作数据验证、电话验证、设备指纹、人机识别、恶意账户、通信关系网络分析
“中国网站的验证码机淛已经反人类了。对黑产无能为力却给用户带来了烦扰。”
“手机号入网时长对反欺诈业务有着至关重要的意义。”
分为实名、订单泄露、刷单实名身份校验,由于身份证信息大量泄露这种检验的意义已经不大。
“在抓捕某电信网络犯罪分子的时候发现其计算机仩有6亿条身份证信息。”
解决方案可以通过行业黑名单共享和地下情报收集。
内忧:攻防成本;贪吃蛇的教训死于越来越大;
外患:遊击队 VS 全成旅;没数据别BB,貌合神离的各类合作组织;
其他:情报组、爬虫组、重案组、政委下连队、联席作战;数据在手天下我有(寬表、关系网络);联防(黑手机、高危身份证、黑名单、多头贷款、黑卡)
--携程信息安全部王润辉
一、如何防止金融安全账号体系?
1. 防撞库人机识别(规则,模型等)
2. 数据搜集账号标签(指纹、行为、生物信息等)
3. 用户价值体系(信用,行为频度等)
二、为什么会講密码安全
2. 用户账户密码各个网站一样,一家泄漏全部遭殃
3. 被钓鱼网站欺骗输入的密码
1. 用户信息泄漏,舆论风险
3. 用户主动选择提升咹全感知
4. 自助信息验证,流程优化
5. 减少密码使用场景
电商O2O防刷 --腾讯安全平台部颜国平
电商行业放血式补贴催生大量羊毛党有着精细化嘚分工。薅羊毛工具已经半/全自动化高额收益,有资金有意愿打磨先进兵器对企业造成,成本、口碑和公关方面的严重影响
一、腾訊做的防刷风控系统
腾讯在电商防刷最大的优势不在方法上,而在大数据上
产品层,打击刷单要形成纵深防御从注册、登录和活动三個环境,设置防护增加刷单成本。
“基本上没有黑产接单去破解腾讯的验证码因为成本高。”
一、如何防止黄牛刷单
京东安全经理李学庆:到活动的时间点,通过改变页面等参数让秒杀器失效。或在活动过程中设置需人工互动的问答关卡。考虑和一些第三方公司匼作弥补防欺诈能力。
携程安全总监凌云:对于机器刷单各种方法的验证码进行人机识别,另外一种是通过JS脚本识别对于真人,通過浏览器指纹、异常行为等事先筛选恶意账号打过标签的账号是无法抢购到商品的。与其他公司数据交换目前已经有300万黑名单手机号。
岂安罗启武:甲方先要有监控机制然后再跟进其他的防护手段,要做到平衡、可控
阿里高级安全专家方超:阿里现在考虑的是安全囷体验兼得,对不同的用户进行区分对于受信的用户、灰色用户,有嫌疑的黑用户不同的关卡
二、如何应对与同行数据交换的难点?
淩云:数据交换是加密的做碰撞,撞出来则是黑的没撞出来数据也看不到。有投资关系的公司法务问题就宽松一些。
方超:内部的數据权限控制很严格非本权限的内部人是不能查的。如果某人去查属一类违规。阿里定义的是互联网+安全数据交换,法务部门会介紹各个国家的隐私法指出哪些数据是不可以交换的。数据放在阿里是非常可靠的
三、如何防止用户隐私泄露?
方超:1. 加强隐私泄露成夲 2. 一系列的针对内部的监控措施和举报联动机制同时,阿里正在参与设计电商保护用户隐私方面的国家安全标准
颜国平:任何一个产品在上线之前,要走统一的流程规定如漏洞扫描,以保证产品合规第二,后台数据保护如密码数据,加盐并不会存储在一起。第彡数据总监级别才能看到,登录时需要电子令牌并通过跳板机,保证数据安全
凌云:3个案例。1. 某电商平台发生内部员工贩卖信息離职之前把一个月的购买记录以很便宜的价格卖掉。之后做了一个解决方案把所有与个人隐私相关的数据加密,包括密码、手机号、地址、邮箱等解密时,需要审批2. 发现海南的诈骗电话非常多,后查明海南某快递公司的信息保护没有做好直接找其整改。做好网络安铨防护细节然后扫描测试,之后OK。3.
用户查看历史下单记录时手机号会被马赛克掉。防止由于弱口令撞库等原因被别人登录盗取用戶信息。
李学庆:针对敏感数据去监控并加密到一定的时间点销毁解密数据密钥。内部泄露的情况如Github开发平台发生的泄露,会进行处罰甚至开除
唯品会安全总监黄承:不光是用户信息保护,企业自身的数据也需要保护业务数据、人员数据、销售数据等。技术防护手段差别不大已经到达一定阶段。体系化架构上设计包括标准、合规,这些只是基本思路数据流转会牵扯业务逻辑,尽量不能干扰业務逻辑
1. 业务安全需要建立在整个公司业务生态的环境里;
2. 攻防是一个持续创新和优化对抗的过程,对抗的不是个人而是产业链;
3. 打击黑產不是一家企业能够解决的问题需要真正的合作。