Kate Li (Taiwan)的部落格

首頁

華為第二届網路安全沙龍–問道

作者 shomer 時間 2020-03-21
all

華為第二届網路安全沙龍–問道

星期六,十月31,2015

昨天(10月30號),華為第二届安全沙龍在深圳百草園召開,牛君榮幸列席。雖然不是來作專程報導,但習慣了碼字和拍照,手癢難耐。於是,一段華為MM的熱場舞之後……

華為資訊安全部部長陸焱致辭:

本次沙龍雖然只邀請了100多人,但包括了四十多個企業,大家都對安全非常重視,希望加强交流。

這是一個最壞的年代,也是最好的年代。

第一,我們面臨的環境有了很大的變化,從傳統安全時代已經進入了社交化、雲化、移動化的時代,這是一個很大的挑戰。第二,要防護的越來越多,不僅僅是企業本身的資產,還要保護客戶的隱私。第三,攻擊越來越自動化、產業化,對抗需要企業之間的合作。

華為舉辦安全沙龍,是為了向同行學習,提升華為安全能力,加强在情報、漏洞、資訊方面的分享,共同構築生態圈。通過交流,幫助華為更好的應對轉型,此為本次沙龍取名“問道”之含義所在。

華為商城發展與安全之路–華為IT安全部周麟

一、消費者業務發展之路

2003年成立手機事業部,2010年突破1億部發貨量,在全球份額達到50%。12年實施品牌產品通路三大轉變,推出精品旗艦手機,2014年銷售收入達到數十億(具體數位記不清了)。

華為商城,12年正式運營,14年爆發增長,數位暫時保密。

二、踩過的坑

黃牛黨。自動化搶購,支持帳號批量登入、驗證碼打碼平臺、發貨地址自動化,訂單批量生成。

羊毛黨。刷優購碼、刷抽獎。曾經一個優惠活動,引來70萬個新註冊號。

DDoS。

三、華為電商IT整體策略

1.華為私有雲+業界公有雲構築電商基礎平臺,實現快速交付及彈性擴展;

2.基於IT大平臺設計柔性的架構,DevOps一體化運作快速回應一線需求;

3.構築基礎安全長城,補齊隱私保護與業務安全能力,實現實例、合規運營。

四、傳統安全到業務安全的轉變

華為商場安全生態圈的建立很重要,要建立情報共亯機制。

電商安全服務和產品化的初步探索–京東資訊安全部總監晋亮

一、電商安全部門要做些什麼?

比如提交一個漏洞,研發部門卻不明白到底有什麼影響。囙此需要通過演示,讓研發人員認可。但漏洞依然還是會出現,所以需要考慮從本質架構上,從問題產生的根源上梳理,然後和研發部門對接,才可能解决根本問題。並形成讓研發人員使用安全部門提供的工具去解决問題,即產品化的安全服務。

(沙龍現場,燈光昏暗,未帶单眼,湊合著看哈)

二、後面的路要怎麼走?

1.狀態感知,更多的數據、更强的分析。2.控制科技的提升。即保證安全,又增强體驗。3.產品服務的雲化。4.從內部價值到外部價值。

公有雲安全挑戰和發展–UCLOUD安全中心總監方勇

一、雲服務的第一大挑戰,DDOS怎麼辦?

1.平臺穩定(封堵)VS客戶可用(清洗),UCLOUD選取了前者,但封堵效率必需在1分鐘之內,否則就算事故。

2.清洗商業方案VS自研,這兩者UCLOUD是並存的。

3. TILERA vs DPDK,UCLOUD採取了後者。

給電商的建議:封堵效率很關鍵。

二、好多花式客戶怎麼辦?

UCLOUDE 10個資料中心,2萬+企業,2億+客戶的用戶,各式各樣的應用,安全運營是關鍵。多租戶隔離僅僅是開始。

即使抓重點,重點也不少,如何下手?虛擬網、管理網、物理網的網間隔離是重中之重。

給電商的建議:對大二層說不。

三、不够快怎麼辦?

漏洞響應慢一步,全平臺客戶受影響。跟在客戶/問題後面,就會被客戶/問題帶著跑,雲平臺中突發的問題會淹沒技術支援、研發和安全團隊。

Xen/kvm/docker如何控制逃逸?熱補丁是在和時間賽跑,0Day需要縱深防禦,虛擬補丁、存取控制、精細稽核。

給電商的建議:至少要有熱補丁。

四、挖斷光纖怎麼辦?

面對光纖挖斷、網絡抖動、骨幹故障、緊急割接等物理問題,三種解決方案,POP點、同城打通、异地打通。

給電商的建議:重點建設同城多活、异地多活,依賴异地打通為補充。

五、WEB應用安全怎麼辦?

目標:通用、平臺型漏洞防護

串聯VS旁路VS路由(查打分離)

漏報VS誤報,允許漏洞,規避誤報

我要商業版的WAF?(混合雲、應用市場)

給電商的建議:通用版WAF和商業版WAF並舉。

六、保鏢、警衛還是保姆?

公有雲中,服務提供者和客戶在安全在職責上的邊界在哪裡?做保姆是態度和科技問題,保鏢或警衛要產品和運營去思考。

給電商的建議:警衛+保鏢。

七、你會看我數據嗎?

講虛的(時間、意願):合規、企業文化、人員組成、內部事件教育。

講實的(能力):職責分享、內部稽覈。

給電商的提示:選擇中立的、專注的、高(忙)速(忙)發(忙)展(忙)的云計算平臺;能HTTPS就HTTPS。

八、甲方到丙方如何轉換?

安全行業中,甲方(京東、唯品會)、乙方(綠盟、啟明),丙方(360、阿裡、UCLOUD),對內是甲方,對客戶是乙方。心態、行為模式、關注點、技能點有很大變化。

Whatever,客戶優先。

給電商的建議:選擇服務較好的云計算平臺。

九、最後該怎麼辦?

持續投入錢、人、資源。

給電商的提示:只找做云計算和雲安全的服務商。

十、公有雲安全的未來?

雲安全的彎道超車。現時是一線/二線安全公司(阿裡+安恒),還會有許多雲安全的創業者,以及系統集成商/IDC。

技術趨勢是聚集上層安全、SaaS、輕資產。

業務安全之防守者說–中國平安安全產品總監戴鵬飛

“我們‘吃’數據,然後提供資料分析服務。”

平安業務的風險點:帳戶、交易、支付、資訊。

一、帳戶安全

高危IP識別,如泉州、廣西部分地區、儋州、東南亞、巴西、俄羅斯等地的IP。

IDC類收集,如服務器段IP注册、典型各類雲、僵屍IP,從廣告欺詐延伸到羊毛黨。

羊毛黨有著精細化的分工

手機驗證碼對抗,如爬取收碼平臺手機號、授權驗證、合作數據驗證、電話驗證、設備指紋、人機識別、惡意帳戶、通信關係網絡分析。

“中國網站的驗證碼機制已經反人類了。對黑產無能為力,卻給用戶帶來了煩擾。”

“手機號入網時長,對反欺詐業務有著至關重要的意義。”

2.交易安全

分為實名、訂單洩露、刷單。實名身份校驗,由於身份證資訊大量洩露,這種檢驗的意義已經不大。

“在抓捕某電信網路犯罪分子的時候,發現其電腦上有6億條身份證資訊。”

解決方案,可以通過行業黑名單共亯和地下情報收集。

總結

內憂:攻防成本;貪吃蛇的教訓,死於越來越大;外患:遊擊隊VS全成旅;沒數據別BB,貌合神離的各類合作組織;其他:情報組、爬蟲組、重案組、政委下連隊、聯席作戰;數據在手,天下我有(寬錶、關係網絡);聯防(黑手機、高危身份證、黑名單、多頭貸款、黑卡)

淺析帳號體系安全

–攜程資訊安全部王潤輝

一、如何防止金融安全帳號體系?

1.防撞庫,人機識別(規則,模型等)2.數據蒐集,帳號標籤(指紋、行為、生物資訊等)3.用戶價值體系(信用,行為頻度等)

二、為什麼會講密碼安全?

1.因為使用者密碼較弱,如123456888888等2.用戶帳戶密碼各個網站一樣,一家洩漏,全部遭殃3.被釣魚網站欺騙輸入的密碼4.被病毒木馬盜取

三、密碼洩漏的影響?

1.用戶資訊洩漏,輿論風險2.銀行卡盜用風險3.帳戶欺詐風險4.帳戶詐騙風險

四、如何去掉密碼?

1.用戶資訊識別2.登入管道完善3.用戶主動選擇,提升安全感知4.自助資訊驗證,流程優化5.减少密碼使用場景

電商O2O防刷–騰訊安全平臺部顏國平

電商行業放血式補貼催生大量羊毛黨,有著精細化的分工。薅羊毛工具已經半/全自動化,高額收益,有資金有意願打磨先進兵器。對企業造成,成本、口碑和公關方面的嚴重影響。

一、騰訊做的防刷風控系統

防刷系統的科技框架

風險引擎的邏輯構成

騰訊在電商防刷最大的優勢不在方法上,而在大數據上。

騰訊在電商防刷的優勢-大數據

產品層,打擊刷單要形成縱深防禦,從注册、登入和活動三個環境,設定防護,新增刷單成本。

刷單檢測大數據利器一:IP畫像

刷單檢測大數據利器二:手機號畫像

刷單檢測大數據利器三:手機設備畫像

“基本上沒有黑產接單去破解騰訊的驗證碼,因為成本高。”

茶話會:

一、如何防止黃牛刷單?

京東安全經理李學慶:到活動的時間點,通過改變頁面等參數,讓秒殺器失效。或在活動過程中,設定需人工互動的問答關卡。考慮和一些協力廠商公司合作,彌補防欺詐能力。

攜程安全總監淩雲:對於機器刷單,各種方法的驗證碼進行人機識別,另外一種是通過JS腳本識別。對於真人,通過瀏覽器指紋、异常行為等事先篩選惡意帳號,打過標籤的帳號是無法搶購到商品的。與其他公司資料交換,現時已經有300萬黑名單手機號。

豈安羅啟武:甲方先要有監控機制,然後再跟進其他的防護手段,要做到平衡、可控。

阿裡高級安全專家方超:阿裡現在考慮的是安全和體驗兼得,對不同的用戶進行區分,對於受信的用戶、灰色用戶,有嫌疑的黑用戶不同的關卡。

二、如何應對與同行資料交換的難點?

淩雲:資料交換是加密的,做碰撞,撞出來則是黑的,沒撞出來數據也看不到。有投資關係的公司,法務問題就寬鬆一些。

方超:內部的數據許可權控制很嚴格,非本許可權的內部人是不能查的。如果某人去查,屬一類違規。阿裡定義的是互聯網+安全,資料交換,法務部門會介紹各個國家的隱私法,指出哪些數據是不可以交換的。數據放在阿裡是非常可靠的。三、如何防止用戶隱私洩露?

方超:1.加强隱私洩露成本2.一系列的針對內部的監控措施和舉報聯動機制。同時,阿裡正在參與設計電商保護用戶隱私方面的國家安全標準。顏國平:任何一個產品在上線之前,要走統一的流程規定,如漏洞掃描,以保證產品合規。第二,後臺數據保護。如密碼數據,加鹽,並不會存儲在一起。第三,數據總監級別才能看到,登入時需要電子權杖,並通過跳板機,保證資料安全。

淩雲:3個案例。1.某電商平臺發生內部員工販賣資訊,離職之前把一個月的購買記錄以很便宜的價格賣掉。之後做了一個解決方案,把所有與個人隱私相關的資料加密,包括密碼、手機號、地址、郵箱等。解密時,需要審批。2.發現海南的詐騙電話非常多,後查明海南某快遞公司的資訊保護沒有做好,直接找其整改。做好網路安全防護細節,然後掃描測試,之後,OK。3.用戶查看歷史下單記錄時,手機號會被馬賽克掉。防止由於弱口令撞庫等原因被別人登入,盜取用戶資訊。

李學慶:針對敏感數據去監控並加密,到一定的時間點銷毀解密數據金鑰。內部洩露的情况,如Github開發平臺發生的洩露,會進行處罰甚至開除。

唯品會安全總監黃承:不光是用戶資訊保護,企業自身的數據也需要保護,業務數據、人員數據、銷售數據等。科技防護手段差別不大,已經到達一定階段。體系化架構上設計,包括標準、合規,這些只是基本思路。資料流程轉會牽扯業務邏輯,儘量不能干擾業務邏輯。

總結:1.業務安全需要建立在整個公司業務生態的環境裏;2.攻防是一個持續創新和優化對抗的過程,對抗的不是個人而是產業鏈;3.打擊黑產不是一家企業能够解决的問題,需要真正的合作。

10月30日議程結束。

“我覺得如果叫業務安全與反欺詐更容易理解這個沙龍。”

--安全威脅情報推進聯盟盟主金將軍