NSC2015云朋:让电子商务插上云安全的翅膀

百度云安全专家云朋跟我们分享一下”让电子商务插上云的翅膀”。

云朋:大家下午好!听了之前几位的演讲觉得受益匪浅,感觉自己讲的会很low,因为我本人是做技术的,尽量在技术方面有所深入。

今天讲的是让”电子商务插入上面安全的翅膀”,因为电商是一个直接跟钱和用户打交道的,同时也是发展特别快的一个行业,主要讲:电商有哪些安全的需求,对快速解决安全问题的渴望,我们现在正在用什么样的方案、技术和能力对他们提供服务。

如图,其实这也是一个普遍的问题,特别是我们今年说黑色5月,造成很多大型互联网公司要当机、瘫痪服务、游戏玩不了等各种情况,还是很惨的,有的一天收入损失都在好几千万。所以有必要看一下这种情况是怎么产生的,我们怎么做,特别是互联网+来了以后,会看到更多企业会把这几个产品拿到网上来,无论怎么样的企业跟互联网接轨,但都会面临一个特别严峻的考验,就是信息安全。因为现在的安全攻击不像原来了。最近几年攻击频繁。可能我的理解有所偏颇,但觉得还是有点道理,因为原来很多老的技术,包括一些开源的技术都是为单独一种用户去部署的,或者为小集群去部署的,但是在互联网中,我们是在云的移动的模式下,你的用户其实几何增长,原来的代码并没有为用户去考虑,比如多租户的考虑、跨域的考虑,形形色色的安全问题就都来了。

因为互联网、云化,还有社交化,资料很丰富,攻击成本变得特别低,原来想做一个灰色产业链要找一个组织,现在只要找到一个群就行的,所以挺惨烈的,被打击的比较可怜。那么大的流量,就看到屏幕上打你,你就只能被它打,是很凄惨的一件事情。

而同时行业竞争也特别激烈,上层有各大电商平台把握着巨大的入口,中间还有一些快速增长的公司,下面互联网+起来了,电商越来越被挤的做垂直了,我们说安全圈子小,行业竞争很激烈,其实电商行业竞争也很激烈。

但信息安全人才是非常稀缺的,哪怕经过这几年政府的宣传,但真正从学校毕业出来的人能做信息安全的很少,一般都要自学,要不然从原来的运维转安全,要不然就是兴趣,还有师父带徒弟的方式,比较传统。而攻击越来越多了,好的人才、真正价值比较高的人才,被大的BAT,包括电商公司招走了,留下一些电商公司、创业或者以后互联网+面临的局面就是没有特别多的人才可用。安全是一个攻击,是一个点,其实安全的防护是一个面,这就需要有人才帮你构建体系,帮你维护系统,帮着各个方面去补你的过失,还有代码审查,发现市面上人很多,但能用的人又很少,或者招不起。

京东有非常强大的团队,但很多中型、小的,发展很快的,我们接触过,很累,每天特别多的问题,关于从防护到支付到用户账号,甚至到后端的基础架构的安全,统统都被人问,所以是乱七八糟的。

支付和电商跟钱接触特别紧密,一旦出了问题真的是金钱和价值上的损失。2008年之前,电商在网上卖卡,各种各样的游戏卡、充值卡,你可以拿到大批的数据库,进去就是真金白银,现在拿不出来,但是数据很有价值,用户的信息,电话号码,大的电商提供的一些优惠券这些都是直接可以拿出来消费的,所以一旦进去了以后,真金白银的损失也是巨大的,或者不偷你的东西,把你打挂,这个时候你就直接损失了客户,像超市一样今天就得关门了。

电商对这种敏捷的需求在哪里?抛开顶层Top1这样的电商我们不讲,大部分电子商务公司还是希望快速帮我解决问题,因为人员的投入、资本的投入更多还是希望在他的商务方面,他没有钱或钱很少,或者根本没有资源去搞定一些安全的问题。

我们可以想见互联网+上来了,那些做传统公司的人把自己的业务移到网上去,他会发现一上去今天他的超市关门了,明天打开它的网站,他的超市还是关着门,他根本就不懂或者奇怪我放到网上去为什么就这样了呢?所以这个时候基于云的应用服务的优势就能体现出来了,这种体现一定是一个产业的一种应用服务,我们天天在谈云的应用如何要去慢慢的把原来web2.0的应用替代掉,我一直说还是传统的非IT的行业能进入、能使用,大部分非传统的公司开始做ITO信息化的建设,发现信息化建设之路才真正开起来,其实和云计算应用是一样的。我们要为中型、小型电商提供服务,我们积累了这么多年,百度云安全,以及百度安全宝,具有很大数据的处理能力。

我主要讲一下DDos这种情况,经常看到有很多友商抵御很大的攻击,每一次抵御下一次都要花很大的成本。DDos的压制能力现在到了800G,这不只是你的带宽或入口有多大,亿另一方面我们现在把它架在了运营商的核心网里面。比如我们同样在修高速公路,在乡里修高速路,你的车要往省城开,发现乡里的高速公路和省城是断的,我们现在等于在省城里面承包修了这条公路。大概做了四五年,在三层、四层以及应用层都做了关于压制处理的一些事情,我们一方面解决用户的诉求,一方面拉低DDos攻击的成本。

百度的云加速和安全宝有一些天然优势。我们做了很长时间的观测,一个网站要对用户服务,要关注三个方面,可用性、稳定性、健康性。所以我们有一套观测一直在对我们服务的网站进行7×24小时不断监测他的三个情况和三个指标。

百度云加速现在服务了几十万客户,这些客户遍布在全国各地,通过这些客户的加速情况,我们能了解到各个企业点的访问状态,用户的体验感。百度是一个比较全生态的,手机卫士能为这种网络安全提供什么呢?比如在一个云计算里面或者再一个机房里面,肯定更愿意跟健康或者好的群体在一起,手机安全卫士和桌面杀毒的安全卫士能够告诉你跟你在一起的那些网站有可能它们本身就不太好,它们提供的服务经常容易被别人打击或者在提供一些灰色甚至非法的服务,所以通过手机安全卫士、百度安全卫士发过来的每天大概要检测几十亿,留下来累计大概也有以亿为单位的数据我们会去观测全国各地的机房节点,跟你在一起的机器哪些更健康、哪些价值更高,你跟它放在一起同时那个机房其实质量会更高。

有了那么多数据,有了那些能力,接下来要谈一个老生常谈的大数据。现在的数据都是以亿为单位,以TD为单位,必然数据能力要很强。而现在黑客去打击你很快,一看到你封堵了,一边是流量问题,一边是封堵技术,就很用盗用你这方面的流量,很快改变他的攻击策略、攻击方法,这个时候你需要很大的数据计算能力。这个东西百度不缺,百度天然做数据,每一个在里面的人都或多或少对数据有比较深入的理解。

我们对数据能进行智能的威胁检测,因为它积累了这么多年,对泛化、规则、人机识别等有特别多的检测模型,我们有一个庞大的IP库,可能有几千万,我们知道那些IP或IP段在过往一段时间内攻击我百度,以及攻击过百度云加速,我们把这些东西集合在一起,通过计算,知道在哪个时间节点,哪个网站更容易被哪些区域机房的流量进行攻击,提前预留500G放到那个地方,当你的攻击来的时候,会更为迅速的能知道我要先抵御你,这是我们要用大数据的能力去构建智能的威胁。但是这些东西从前端来说,从敏捷的应用性角度来说,用户本身是看不到的。

如果你加入智能调用,这个时候你并不需要切换你的IP或备份你的IP,当有流量来的时候,我们会智能切换让你到我们的环境里,这样比较智能调用里,用户是无感知的,而黑客感知我打它打不下来,轮换几次以后就对你失去兴趣了。

包括安全宝,我们会用一些人机识别,在人机识别里用了马尔可夫的算法,投入了巨大的人力。你怎么让你的系统变得更好,如果靠人工识别几十万台服务器,是不是绕过它,这个很难。我们通过书记分析的能力做了一些识别,这种识别能够达到:第一,你是在用扫描器干活还是人在干活;第二,你用什么样的扫描器或者什么样的工具。接下来我们还用HM的算法能识别出来哪些是我漏的,这些流量我们会返回来,之后会投入人工以及自动化的过程,把这些规则重新提取出来加入到WAF(音)里面去,这是我们在用数据分析做的一些事情。

在现有模式下,会让用户的成本越来越低,并且能方便的接入。

安全的敏捷防护现在做的也很好,因为我们启用了人机识别之后,在我们内部测试里面,感觉能力的提升会有一个很大的加强,原来漏洞以后,除非用户告诉我们或者是我们查新的漏洞,或者我们评审时发现这个规则可能有些方法挡不住,但是现在自动化的时候,可以让我们回溯很多流量,让误报呈比较快的下降趋势。

云安全的解决方案在百度里面提出的是几个情况:事前检测;事中防护;事后审计。我们认为安全服务,包括云的安全服务不只是一个自动化的过程,其实一定包括很多人为的事情,因为很多的电商本身对安全不是特别的了解这样一个业务,不给他提供人工的一些服务,比如我要打补丁的,要装安全加固的,又出漏洞了,你让他自己去申请很难,还是挺茫然的。基于这样的情况,我们会在事后或者在事中对用户做人工服务,包括提供7×24小时的服务。

7×24小时网站看护,用户可以对他网站速度监测。同时他在里面能够实时开启一些功能。百度现在做了一件比较有意思的事情,你会看到你去百度上访问你的网站,可能百度会标记你是一个恶意的,这个时候很多用户就不愿意点了,其实并不是你是恶意的,可能是别人入侵你了,在你的某一个页面上做了一些改动,比如涉政或黄赌毒,或者是钓鱼,或者是插一段代码,我们每天去找哪些是恶意的,这时候发现你的网站标记你是一个恶意网站,打开不安全,用户不来访问了。传统情况下,你要给百度打一个电话或者去投诉,或者改你的网站,现在提供一种新的能力,我们把用户有恶意的这些内容放到我们现在提供的云安全的设备里面去,这时候用户如果访问你的网站,流经的是不安全的内容,我们会做一些实时的处理,让用户访问你的网站是安全的,接着我们会在我们搜索里面告诉用户你是安全的,虽然你不安全,但是不安全的已经被我们阻挡了,我们现在在使用这样的技术。因为我们看到的情况是很多企业在这方面很郁闷,被别人挂了马,当做一个跳板和肉机,有些我们就标志成恶意的了,这对他是不公平的,我们应该上他变得快,所以我们在做这样一些尝试,使用户的使用没有障碍。

防护。网站加速、安全防护、百度特有的SEO,就是我们表示出更有价值的一些网站,哪些词更能够被人推荐,你不需要做推广,也能使你的网站更靠前。

审计。一般网站没有攻击,也会有人进这个网页,但是进去了以后,我们是期望他的可视化做得更好,做得更方便。

SEO。我们会去挑选更有价值的网站,更有价值的来自于各种方面,不只是词,如果是词的话只是简单的商业行为,不会拿出来说了。更有价值的还来自于信用的体系,我们有庞大的URL等,我们用大数据的方式做了一套体系,你在什么地方我们知道,跟你在一块或临近网站的价值我们知道,基于这些原则我们可以告诉你你应该到什么地方或者你应该怎么办,更容易被百度的网民搜索到。

甲方安全工作的现状。我们做安全的,特别是云安全的,这是一个机会,会有很多传统公司移到互联网上去。从2000年走下来的IT公司使用免费的东西习惯了,因为我们这些开发人员天天搞免费的,认为任何服务都应该是免费的,但是在互联网+的情况下我觉得这个局面会改变,因为传统企业上来了,传统企业面临的是上游、下游,原来都是出钱的,认为出了钱是可以去找你赔付的,他们进来了以后,云安全的应用、服务可以提供收费的服务,让他能够服务的更好,这会是一个很正向的事情。

百度的理念,包括云安全的理念,都是让你快捷、平等的能获得服务,希望我们能够提供这些免费的也好,基于企业网收费的服务,包括我们在底层构建的分布式的、海量的以及基于一些人机网络算法的服务能真正通过简单的方式去服务这些电商伙伴。我们也很愿意跟大家一起去分享一些内容、分享一些数据。谢谢!

上一篇:NSC2015谢涛令:新移动时代信用云平台和信息云平台的分合

下一篇:NSC2015熊军:互联网金融交易平台安全思考