本篇文章4869字,读完约12分钟
万达林鹏:安全电子商务之路 会上,万达电子商务总工程师林鹏出席了国际数据中心服务大会,并在当天的安全运维分论坛上发表了“安全电子商务之路”的主旨演讲。 中国国际数据中心圈12月28日报道,第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下,本次会议由中国国际数据中心行业年会组委会主办,中国国际数据中心圈主办,得到了众多媒体的大力支持。
作为中国云计算和数据中心领域最大、最具影响力的标志性事件,IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”,吸引了全部现场人员,其影响力涵盖了数据中心、互联网、云计算等所有领域。
会上,万达电子商务总工程师林鹏出席了国际数据中心服务大会,并在当天的安全运维分论坛上发表了“安全电子商务之路”的主旨演讲。
万达电子商务总工程师林鹏
以下是这次演讲的文字记录:
基本上,那些安全的人可能会经历这三个阶段,我们会慢慢从这三个阶段爬过去。第一阶段是背后捅刀子。当涉及到背后捅刀子时,那些做安全或操作和维护的人会经历这种情况。在我们发现一个异常的IP之前,我们发现IP的行为有问题,我们杀了它,后来发现它是我们的IP。当时,它没有经过备案和审查。我们发现它有问题并杀死了它。当然,我们没有扣锅,所以在做安全的时候,我们不一定要做事情,我们甚至可能要说一些关于它的事情,我们还需要找出锅的能力,甚至扔锅,我们不能老老实实地把锅拿回来。我认为,一般做安全、操作和维护的学生更务实,有时他们做坏事是出于好意,这也很正常。包括,例如,在12月11日,这可能是一个未经审查的变化,操作和维护学生上网。这不符合某些规则。这原本是个好主意,但几乎造成了巨大的灾难。
第二消防队,一家大型公司,招募了安全人员。公司一定已经发展到一定的规模。一些系统和流程已经固化。坦率地说,一些深坑已经存在。有必要招聘一些安全人员来开发和解决这些坑。只有这样,这个东西才能进一步推广。实施情况良好。它弥补了一些漏洞。安全部门对这家公司有一定的发言权。在这个时候,我们可以制定一些关于如何做到这一点的规则。最好规定如何做这件事。即使像前面提到的大SDL进程,我相信这些会更好。
安全的职业是挖一个漏洞。公司邀请你在流程系统上做得好,也想找出漏洞。我们也有利用漏洞的文件或想法。事实上,主要有两个方向。第一个方向是主动发现的方式。不用说,主动发现的方式可以通过各种渠道找到。如果你有能力,你可以建立一个战略研究中心,例如,JD.com可以建立一个战略研究中心的环境。如果你没有能力找到两个人,或者找一个外包团队帮你挖一些洞。第二个被动发现是这样的。我们自己开发了一种扫描仪,许多公司也使用了这种被动扫描原理。有两种方法。第一种方法是将所有漏洞挖掘方法放入测试过程中。这东西有主动扫描和被动扫描。主动扫描是用扫描仪和被动扫描完成的。产品新推出时,我们将测试该测试仪。这样,整个安全漏洞扫描环节都进入了测试。只要扫描仪扫描新启动的系统和新启动的系统,测试肯定需要一些新的功能。我们收集新功能,可以自动扫描漏洞。第二种方法是制作一些经过测试的服务器图像,并将它们放入扫描仪,从而完成被动扫描。这个链接可以有效地压缩到测试团队,而不是安全人员。现在它也提供了类似的服务,告诉这个测试者,还是要去网上开发,去使用,现象效果也比较好。
既然已经发现了漏洞,就必须有一个漏洞处理过程。我们处理漏洞的方式包括一些排名,主要是过程,如何处理这些漏洞的人,以及我们处理他们的方式,我们发现两个女孩,处理一些发展学生,或处理操作和维护学生。根据反应,姐姐和开发商之间的沟通效果更好。当然,主要的事情不是看排名,而是看高级漏洞和主要漏洞的定义方式,如何定义它们以及何时处理它们。这个过程包括一个完整的漏洞闭环。漏洞处理过程相对较好,大多数公司都是如此。
警告可视化,我们也尝试做一点。这是一个预警可视化的东西,你可以在屏幕上看到一些点,其实意义并不是特别大,尤其是在误报的时候,看到这个点到处乱飞,除了适合拍摄一些电视节目之外,没有什么好的效果。有时你也可以从视觉上看到哪里有更多的攻击者,这只能起到感知的作用。我们也做了一些关于攻击发现的工作。让我们看看警报可视化。首先,基于实时数据处理的报警分析,说白了,我们抓住了交通和重组HDP 5在其中。然后我们处理关键词,发现有关键词。SDOM可以实时处理它们并进行关键词匹配。从整个网址,我们可以看到一些关键字可以设置。该关键字可用于不同维度的报警。这些警报可以显示当前的供应情况。这个数字的实际意义要比这个数字好得多。可见的就是看到的。
关于对紧急情况的实时反应,主要是关于什么时候和做什么计划。这需要安全人员根据经验进行管理。首先,他们必须监控到位,以了解这些人的动机,并及时做出回应。当然,这里最重要的一点是沟通。还有一个事先沟通的计划。之前的计划包括你需要问候一些业务部门或一些操作和维护人员。例如,如果我们之前发现与一户人家发生了碰撞,那么我们会立即发现问题出在哪里。我们可以直接激活预先计划,删除应该删除的内容。例如,以前有一个地方没有验证码,登录时出现问题。我们按照计划直接关闭了网站。如果事先没有计划,也没有向其他部门打招呼,你可以在过去想一封电子邮件,两天后就会有解决方案。很难说两天后碰撞发生了什么。
我之前已经讨论过基本安全性,我将与您分享业务安全性。首先,我想谈谈双11并分享两个小数据。11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号 如果你对商业安全感兴趣,你也可以计算一下,我们要价1000万英镑,我们可能会在屏幕上看到10000英镑的记录。 我们都很沮丧。事实上,里面真正的用户数量是1000部手机,发送给大约1000个用户的请求数量大约是1000万,这是一个百分比。
我们可以看看某项服务的普遍获得情况。我们可以清楚地看到,知识产权可能是相同的。每个人看这个UA完全一样,这是完全通过一些统计方法可以得到刷出名单的人。包括樊菲的零花钱,包括我们在论坛上看到的独立新闻,我们将分析他们是如何做到的,我们将找出我们的问题所在。这也是一个。另一个是智力。我们没有问题。我们只依靠自己的网站来捕捉流量。
一些经历可以在双十一之后分享。首先,存在风力控制的干预时间和接入点的问题。每个人都应该知道,事实上,在风险控制领域,它不能被称为风险控制。例如,应该是风力控制获取的数据越完整,接入点越快越好。这时,会有一个问题。风力控制必须介入,包括风力控制后的默认策略。一旦风力控制系统启动,整体性能就会下降。如果出现下降,一些企业在高频传输时需要一些规则。我们最初的默认规则是加班后放手。想象一下,即使胜率是万分之一,也肯定会比普通用户高。此时,我们必须与业务部门确认风力控制。如果风控超时,除非是获奖,如果不是获奖,最好建议风控超时并返回给中将。
第二个是是否有新的注册渠道,因为在注册了一批账户后,这些账户将会被注销,而且他们会重复注册新的账户。我们可以默认一个规则,基本上认为刷订单的人的手机号码是无限期注册的。如果有一个新的注册通道没有被拦截,验证码可能会被破解。对于刷订单的人来说,短期验证码不成问题。如果你甚至没有一个图形验证码,尤其是一个,例如,如果有一个活动的默认登录,那就是注册,他们肯定会找到这个渠道进行批量注册。批量注册完成后,他们将依次刷一些订单。此时,必须阻止新的注册通道。
第三是是否有冻结机制。每个人在做活动时都必须有这个想法。例如,我们以前遭受过一些损失。如果我们发现我们的零花钱只能刷,我们必须考虑是否有任何地方我们可以冻结零花钱和用户的利润。这将为公司节省大量的损失。包含的点数也是如此。这一点可以冻结。当然,你也可以想办法扣除它。如果你扣除它,你一定认为风力控制是不允许击中要害的。这种冷冻方式更好。也有一些公司手上沾满了鲜血。人们将直接使用爱奇艺的会员卡或京东的会员卡。这时,你会发现,如果你的风控没有拦截,刷账单的人会直接在这里的边缘兑现卡,成为自己的会员。如果你做出反应,去问爱奇艺的人,说这些卡是否可以冻结,爱奇艺的人也没有选择,或者他们的人员直接告诉我们这些卡已经被别人使用了,那么就没有选择。如果我们能建立一个合理的交换流程,内部和外部的代码流程,那就更好了。他们首先得到的是公司的内部代码。他们需要进行批量转换,所以你可以干扰他们,阻止他们做更多的事情。
在活动之前,进行了一些安全检查,这次又回到了泄漏检测。有些地方有没有明显的逻辑权限和漏洞?这些需要由安全部门检查,看是否有任何问题。
还有几个人要来。许多人喜欢使用前端进行验证,包括一些像我们这样曾经是防作弊单和防作弊设备的人,以及一些我们喜欢使用的设备指南。我们遭受了损失。前端验证设备指南和设备指南有问题。对于前端来说,更改这个代码是非常困难的。如果速度慢,需要三个小时到一天,如果速度快,需要一个小时。因为我们仍然主要依赖应用程序,需要分发和审查它,影响将非常大。如果每个人都控制安全,尽量不要在前端做特殊的验证,一切都将放在后端,最好放在自己的服务器上,而且是可控的。您可以考虑业务连续性的问题,包括如何处理您的计划,以及如果您在每个环节挂机,如何处理降级。
下面也是我们这边的一个案例。许多学生在操作和维护期间会做一些关键字匹配。对于关键字匹配,可能有一个空的大小写。此时,由于不同的编码方法,有时内部网址中的空大小写被转换为%20。
在活动的后期还有一个帐户问题。我们也遭受了一点损失。我们发现我们确实向用户发送了爱奇艺的彩票,并且还采用了代码交换过程。然而,活动一结束,黑客们就觉得这些用户的验证码几乎已经被交换了,他们开始成批地闯入账户。我们发现账目上有很多差错。这是我们当时没有考虑到的情况。幸运的是,我们及时发现了它,并直接发现了问题。因此,我们必须考虑这个循环。活动周期结束,后期的账户保护也需要关注。大型活动之后,一定会有一些账户持有人试图碰上这些东西。他们必须有利润才能撞见住户,否则他们不会撞见住户。
还有一个门槛。例如,有一个活动A。该活动A可以设置一个阈值B。必须有一个前面的活动。他必须先通过活动B,然后才能参加活动a。这样,就可以对活动B采取一些预防措施,以防止用户刷卡。我们可以将此链接设置到任何地方,例如登录链接、注册链接和活动时间页面。因为机器是分批来的,所以必须有批次特征。如果你通过在B上的验证发现了这个特征,你将有效地冒链接A将被取消的风险。这是我方对良好经验的总结。当然,设定门槛必须与以前的业务沟通。
还有一个黑名单机制。很多时候,当用户进行活动时,会被列入黑名单。当然,这些被列入黑名单的用户有时敢于挂断电话,并想处理黑色案件。这时,他们不得不佩服这些人的胆识。他们甚至向一些工商局投诉。这将给安全人员造成很大压力。无论是谁承担黑名单的工作,在早期都是一种方便,后期维护工作量很大。后来,我们改变了措辞,我们没有说你的账户被列入黑名单。我们说你的账户有异常行为,需要你验证。我们从考虑用户帐户安全性的角度对此进行了解释。善意的用户会感到非常合作。如果他们都知道自己有问题,他们绝对不敢刺破这根刺。在我们改变言辞后,我们不会说你是黑名单上的用户。我们只是说你有问题,我们的压力会小得多。说了这么多,对保安行业的学生来说真的不容易。
市场智能万达成为云+人工智能时代企业商业模式创新的强者 近日,在中国云服务联盟成立大会上,万达网络技术集团万达云计算公司首席执行官刘克宏表示,万达云将围绕企业数字化转型的核心战略需求,提供云计算服务,打造“三位一体、一个平台”
标题:万达林鹏:安全电子商务之路
地址:http://www.yunqingbao.cn/yqbxx/2223.html