携程安全沙龙现场笔记

首先感谢携程提供这样的机会和周到的接待。以下内容主要是整理现场笔记,内容归携程与演讲者所有,如内容有问题,可以联系我删除。

一、互联网企业安全 阿里 牛纪雷 Neeao

4个方面:

引子:安全建设已经实施,但是安全攻击仍然发生,同时无法找到木桶的短板

1、系统与网络安全

确保资产的100%准确,才能找到最短的板

找到边界,才能实施好边界安全措施

收购公司、合作公司,当资产的数量级上升后,无法确保新增加资产的准确性

边界安全:ACL用途、IP白名单用途、端口用途

问题:时间、人员变动均会影响,ACL用途、IP白名单用途、端口用途的清晰与维护

解决方案:

ACL生命周期管理:上线前登记、上线后监控、变更后监控、用完后监控

服务器安全生命周期管理:上线前基线配置、上线后进行安全评估和扫描、下线后及时处理(很多人都在说,但真正在做的很少--Neeao)

理想结果:

每一台服务器、每一个服务和端口、每一个应用版本、每一个ACL规则、每个IP白名单都要清晰,同时有效管理

2、web安全

协同配合

明确各安全工具擅长解决的安全问题类型,确保在擅长的领域做到100%

多个安全工具的覆盖范围重合,则分阶段实施,确保无遗漏

漏洞风险管理,明确的管理规则,如修复周期要求

3、办公网络安全

办公网与生产网络隔离

办公网实现sso,统一入口,实现双因素认证

所有后台收归内网

办公网络及生产网络的堡垒机仅允许可信设备连接

去内网化,通过vpn、手机app解决远程办公、通过可信认证认证接入设备

4、业务安全

最常见三类:撞库、恶意领券、信息泄露

解决方法:

将分散的登陆入口收归到一个登陆入口

业务对抗,通过提高成本、人机识别

信息泄露:敏感信息脱敏

5、提问环节

1)对于安全生态

就是把阿里的安全措施、策略、要求部分实现在合作公司

通过聚石塔对合作公司/客户的系统安全进行加强

通过推动安装阿里的安全客户端,提高合作公司/客户 的客户端安全

通过安全扫描、检测,对接入的外部系统进行审核和准入控制

2)对于僵尸ACL

人工清理。在携程补充可以通过动态流量监控对比现有ACL,并进行可视化管理

neeao

二、云计算安全 ucloud 赵传兴

ucloud

观点:

1)BAT、UCloud均不使用openstack,避免受制于openstack社区发展

2)有不少运维人员习惯把运维信息存在印象笔记中,导致印象笔记账号被盗用后,发生连带攻击。建议到网页版开启双因素认证或者避免此习惯。

云计算环境中,在网络层之上,还有虚拟网络层。IP和MAC的对应关系是基于人工维护的静态表,而非ARP,所以不存在ARP攻击

1、wifi安全

wifi ddos攻击,打掉合法热点,上伪装热点

guest网络与办公网络完全物理隔离

2、安全域

安全域的划分最有效还是基于IP地址,合理的IP规划,有利于安全域的划分

3、运维安全管理

岗位分为:机房、系统运维、应用运维,层层权限限制,避免用户信息泄露

登陆堡垒机,双因素认证,同时会采集bash操作记录,与堡垒机的记录比对,检查异常。

通过堡垒机,控制高危命令(如rm -rf)的使用

(crontab的用户为root,目录是根目录,所以删除类操作易导致危险)

4、抗ddos

常见的抗ddos设备,是基于sflow类的统计取样技术,存在高延迟(约30s)、放大个体误差的缺点。

Ucloud自研的产品,可以实现低延迟(1s级别),并实现自动的调度,应对攻击,比传统IDC的响应和处理要高效

宽带提速会提升用户的上传带宽,会间接增加ddos的攻击规模

对于出现对外发起ddos攻击的机器,直接隔离或停止服务

5、ssh暴力猜解

ssh虽然加密,但是可以通过分析包特征,如单位时间内的RST包数量进行分析,能在一定程度上发现此类攻击

 

三、安全平台建设业务安全 万达 林鹏

1、观点

基础安全支持业务安全发展,业务安全发展反哺基础安全

安全(B2C)面对的是小白用户,而非专业人士

考虑问题,不能只从安全的角度出发,还要从小白、公司、领导的角度考虑

安全人员一定要有最坏的打算,不要有不可能、不会发生的想法

2、用户行为分析

范围:

注册、登录、修改密码、重置密码、电脑/移动设备、习惯

 

行为建模:

正常用户行为:注册->登录->充值->投资->回款->提现

异常用户行为:注册->登录->编辑资料->编辑资料->编辑资料

日志分析:

利用日志分析,url深度(单斜线出现的次数)平均为3、访问离散度(页面数/访问次数)、200响应比例等等

3、提问环节

有p2p公司满50返20现金活动,导致活动上线后短时间内被刷单,损失数万,服务器负载过高。如何解决?

对于羊毛党(刷单、刷优惠券、刷返现),通过降低回报,将现金变为各类券并限制使用资格、方式等对抗

 

携程补充:携程、唯品会、淘宝等已经建立黑名单共享联盟,将恶意的IP、用户ID、邮箱地址、手机号码等列入黑名单。会根据需要参与的公司的体量确定参与程度

linpeng

四、安全建设与账号体系 唯品会 小胖胖

vip

1、安全团队发展

2013,2个安全管理,1个安全技术

2015,3大类,5个部门,共35人

监控与响应8人--soc平台、应急、预警、src等

内部产品安全8人-安全测试、黑白盒 、安全研究

外部产品安全6人-运维安全、网络安全、设备软件、服务等

安全管理与培训8人-流程规章制度制定、登报、招标、安全培训等

业务安全5人--异常业务跟踪、风控产品及运营等

 

2、安全工作

1)内容变化:

2013,漏洞修复、网络整改、服务器安全基线、安全域划分、系统漏洞补丁、管理规范

2015,覆盖了安全审计、安全管理、运维安全、网络安全、web安全、app安全、产品需求安全、风控策略与运营、业务安全、安全培训、日志监控等

 

2)形式变化:

从救火转为控制,已经或即将进入建设阶段

 

3)当前的薄弱点:安全运营

安全巡检、系统安全评估、密码策略、漏洞处理与应急响应、项目上线安全审批

 

密码策略一定要严格限制--邮箱被攻击导致进一步的内网渗透,危害巨大

人才获取思路:从开发、运维转过来的,有一定的技术基础,比招新人更好。

 

3、思考

1)安全服务层(相关安全接口)

2)安全底层框架

3)安全监控检测验证自动化

4)用户信用价值体系

 

4、对抗羊毛党

1)注册限制:图片验证码,短信验证码,语音验证码

2)注册数据收集,建模,针对马甲账号打标示(指纹,行为识别,生物识别等)

3)用户价值体系,从注册开始,通过维度数据建立不同用户价值

4)行为点控制,通过维度数据控制黄牛行为,增加验证项提高其成本

 

羊毛党,黄牛,以利益驱动为基础,在防御上采用纵深防御,拉长战线

1 提高获利难度

2 适当结合业务,降低获利程度(太大的利益不是技术能够解决的)

 

五、移动代码安全 携程 郑伟

携程自己的APP加固系统:Quark

面临的威胁:公共wifi、信息收集、TCP劫持

ctrip

1、常见威胁

1)远程控制

2)恶意吸费

3)应用破解外挂

4)敏感信息泄露

5)本地进程注入

6)盗版钓鱼

7)服务端漏洞

2、app加固方式

java层库函数多,无法修改函数名,易被反编译

so层,采用c/c++实现,难以反编译

3、各企业的安全措施

 

171619144888064

4、apk保护思路

1)apk的保护,最主要还是保护java部分,对于so部分比较难以分析。

2)对于傻瓜式工具例如dex2jar的做法应该使该工具崩溃。

3)运行一次性解壳的问题是会出现一次性dump问题,建议采用动态解壳。

4)在有能力的情况下采用虚拟机技术

 

所有PPT下载

所有PPT下载:http://pan.baidu.com/s/1eQybZRO?from=timeline&isappinstalled=0

 

【原文:携程安全沙龙现场笔记 作者:phoenix--  安全脉搏编辑TeacherYang整理发布】

本文作者:携程安全应急响应中心

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/35915.html

Tags:
评论  (3)
快来写下你的想法吧!
  • americanfuzzer 2015-08-18 19:00:19

    都谈大安全啊~ 除了阿里的安全好一些其他这几个只能呵呵呵了~

    天天喊系统风控风控, sql注入还特么没解决瞎鸡巴整~~~

    ppt说的几个厂商,不信回去你们查查半年日志,风控咯蛋啊~

    • SP小编 个人认证 2015-08-18 19:09:44

      @americanfuzzer 防护和安全建设本来就比攻击难 而且成本高 那么多的资产要管理 那么多的系统很多存在问题 那么多的人员很多安全意识不高 从甲方安全人员来看 本来就不容易 不过一切都会好起来 不是吗

  • ez 2015-09-02 0:57:35

    的确现在安全会议,搞的扯淡的多,技术交流的少。别再得出这种二B结论,“对未来的展望,APK的保护主要还是保护JAVA部分”

携程安全应急响应中心

文章数:5 积分: 5

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号