劉明浩解析京東金融宙斯Zeus安全防御平臺
原創非常高興有機會和大家一起分享我們京東金融在安全上的一些實踐和探索。我是來自京東金融安全團隊的劉明浩,目前主要負責京東金融整體安全的管理,包括安全流程的搭建,安全漏洞的響應,以及發現和挖掘,以及安全合規情況的工作。
我今天所帶來的主題是京東金融宙斯的安全防御平臺。介紹的內容主要有四個部分,***是業務安全層面的,探討目前所面臨的挑戰和現狀。第二是我們如何保證業務安全運營。第三是為了保障業務的安全運營,我們搭建了一個安全防御的平臺,這個平臺在實際的運用當中是怎么運用的,通過安全事件處理過程的小例子讓大家了解我們這個平臺是如何工作的,起到什么樣的作用。第四是安全平臺后期的規劃,和方向的展望。
從目前而言我們從業務上面臨主要的安全挑戰來自于兩個方面。***個方面的風險是來自于由于外部的司庫注入、壞帳、CSRF等所導致的問題,或者是由于我們的程序本身的安全的問題。第二個層面是由于我們業務本身的特點,以及業務邏輯安全設計上的疏忽,導致了一些業務安全的風險。 所以我們目前面臨的威脅和挑戰不僅僅是之前所了解到的這些,更多的是由于我們的業務場景所帶來的安全風險。
保證業務的安全運營
基于前面我們所面臨的風險和挑戰,京東金融自己搭建了一套宙斯的安全防御平臺。在建立宙斯防御平臺的初始階段,首先給我們這個平臺做了一個目標和定位,首先要關注到整體的安全風險問題的解決,包括我們前面所談到的業務安全和技術安全的檢測和防御。第二我們深入到所有重要的業務平臺當中的重要的業務場景,去解決在注冊、登錄,以及業務活動、業務流程重要的業務場景里面遇到的安全風險。第三我們要解決基本的外部防護的問題,比如我們對CSI或者目錄的便利,司庫注入這樣一些外部的檢測。第四是我們希望這是一套全業務流量的日志的存儲以及實時查詢的平臺,我們可以在全業務流量當中查詢某一個用戶,某一個IP,在這一段時間內對我們所有線上業務的訪問,以及現在異常操作的行為。***一點,我們希望它更多的是從數據流的角度對我們業務上用戶異常的行為進行識別和分析,不嵌入我們業務的核心邏輯、不降低系統的效率,可以處理線上的像大促類似流量的數據。以上就是我們對這個平臺的定義和目標。
經過不斷地開發和完善,我們實現了以下功能。
***是行為的安全檢測,我們的行為安全檢測主要是基于兩個層面,***個層面我們會建立一個異常用戶行為分析的模型,對用戶的異常操作或者是異常行為進行判斷和分析。第二我們對每個正常的用戶建立一個正常行為的數據模型體系,來掌握這個用戶正常登錄的情況,以此來判斷用戶的一些行為。第二個功能是Web安全檢測的功能,也是在我們的全流量的基礎上搭建一個SQL的平臺,通過SQL去檢測包括XSS、CSRF等安全問題。第三個模塊就是主機的安全檢測的平臺,我們把它定位成一個HIDS的功能,包括對文件完整性的檢查,還有惡意文件的檢查,以及主機流量的檢查等等。***是漏洞掃描平臺,我們是基于WCIF搭建了一個漏洞掃描平臺,包括了對突發事件以及日常的安全巡檢的工作。完成以上這幾個模塊以后,我們又對整個系統做了進一步的整合和優化。
整個平臺各模塊功能大概的介紹
行為安全檢測平臺主要有四塊功能組成,***塊功能是流量的收集,第二是流量的分析,第三是數據的存儲,第四是快速響應。首先流量的收集會將線上全流量的訪問請求進行重組和收集,我們再把重組后的HTTP打到Redis核心消息隊列當中,再通過Redis,Storm分析的集群,再到Redis額取相關的訪問日志,通過對用戶異常行為的分析模型,對用戶的行為進行分析和判斷。同時存儲到Elasticsearch中,再通過Kibana進行查詢和展示。
第二塊是Web安全檢測的平臺。Web安全檢測平臺也是在全流程的基礎上,搭建一個Suricate的,對Web安全的威脅進行檢測,包括XSS、SQL、CSRF等等相關的風險。
第三塊的功能是主機的安全檢測的平臺。我們主機安全檢測平臺是通過agen的方式布到每臺服務器上,實現服務器的文件完整性和惡意代碼掃描,和登錄行為監控、建成監控,以及主機流量監控等等。
***一個平臺是基于W3AF搭建的一個漏洞掃描的平臺,它是一個主動流動畫像的平臺,我們會用它進行一個突發應對和日常安全漏洞巡檢的工作。
***是這個平臺的規劃,首先是隱私保護,我們后期將會集成一些DLP的功能在宙斯平臺之上,比如我們對個人隱私的信息會更加的關注,防止個人隱私信息泄漏,這是我們需要完善的功能,目前也是在進行當中。第二個功能是用戶畫像,我們現在應該是從兩個維度,從用戶安全畫像和設備畫像兩個維度做一些用戶畫像的工作,后面我們會增加征信畫像和人力畫像,把我們一些用戶行為判斷的精準度再次提高。之后是威脅情報,我們現在也在跟一些其他的威脅情報提供商合作,包括一些第三方的威脅情報做一些接口給到我們,我們去判斷現在業務日常的行為,給到一個預判。通過整體的威脅情報,包括安全事件的監控,還有掃描等等,我們會加深整個安全態勢感知的功能,把這塊功能給到業務,為后面功能的實現做一個安全態勢的預判。
***說一下我們的規劃,我們目前還是以漏洞為中心的防御思路,在逐漸向以威脅為中心的思路進行轉化的過程。現在我們處在大數據的時代當中,最終我們還是要通過數據挖掘,來驅動業務安全的目標。
