刘明浩解析京东金融宙斯Zeus安全防御平台
非常高兴有机会和大家一起分享我们京东金融在安全上的一些实践和探索。我是来自京东金融安全团队的刘明浩,目前主要负责京东金融整体安全的管理,包括安全流程的搭建,安全漏洞的响应,以及发现和挖掘,以及安全合规情况的工作。
我今天所带来的主题是京东金融宙斯的安全防御平台。介绍的内容主要有四个部分,***是业务安全层面的,探讨目前所面临的挑战和现状。第二是我们如何保证业务安全运营。第三是为了保障业务的安全运营,我们搭建了一个安全防御的平台,这个平台在实际的运用当中是怎么运用的,通过安全事件处理过程的小例子让大家了解我们这个平台是如何工作的,起到什么样的作用。第四是安全平台后期的规划,和方向的展望。
从目前而言我们从业务上面临主要的安全挑战来自于两个方面。***个方面的风险是来自于由于外部的司库注入、坏帐、CSRF等所导致的问题,或者是由于我们的程序本身的安全的问题。第二个层面是由于我们业务本身的特点,以及业务逻辑安全设计上的疏忽,导致了一些业务安全的风险。 所以我们目前面临的威胁和挑战不仅仅是之前所了解到的这些,更多的是由于我们的业务场景所带来的安全风险。
保证业务的安全运营
基于前面我们所面临的风险和挑战,京东金融自己搭建了一套宙斯的安全防御平台。在建立宙斯防御平台的初始阶段,首先给我们这个平台做了一个目标和定位,首先要关注到整体的安全风险问题的解决,包括我们前面所谈到的业务安全和技术安全的检测和防御。第二我们深入到所有重要的业务平台当中的重要的业务场景,去解决在注册、登录,以及业务活动、业务流程重要的业务场景里面遇到的安全风险。第三我们要解决基本的外部防护的问题,比如我们对CSI或者目录的便利,司库注入这样一些外部的检测。第四是我们希望这是一套全业务流量的日志的存储以及实时查询的平台,我们可以在全业务流量当中查询某一个用户,某一个IP,在这一段时间内对我们所有线上业务的访问,以及现在异常操作的行为。***一点,我们希望它更多的是从数据流的角度对我们业务上用户异常的行为进行识别和分析,不嵌入我们业务的核心逻辑、不降低系统的效率,可以处理线上的像大促类似流量的数据。以上就是我们对这个平台的定义和目标。
经过不断地开发和完善,我们实现了以下功能。
***是行为的安全检测,我们的行为安全检测主要是基于两个层面,***个层面我们会建立一个异常用户行为分析的模型,对用户的异常操作或者是异常行为进行判断和分析。第二我们对每个正常的用户建立一个正常行为的数据模型体系,来掌握这个用户正常登录的情况,以此来判断用户的一些行为。第二个功能是Web安全检测的功能,也是在我们的全流量的基础上搭建一个SQL的平台,通过SQL去检测包括XSS、CSRF等安全问题。第三个模块就是主机的安全检测的平台,我们把它定位成一个HIDS的功能,包括对文件完整性的检查,还有恶意文件的检查,以及主机流量的检查等等。***是漏洞扫描平台,我们是基于WCIF搭建了一个漏洞扫描平台,包括了对突发事件以及日常的安全巡检的工作。完成以上这几个模块以后,我们又对整个系统做了进一步的整合和优化。
整个平台各模块功能大概的介绍
行为安全检测平台主要有四块功能组成,***块功能是流量的收集,第二是流量的分析,第三是数据的存储,第四是快速响应。首先流量的收集会将线上全流量的访问请求进行重组和收集,我们再把重组后的HTTP打到Redis核心消息队列当中,再通过Redis,Storm分析的集群,再到Redis额取相关的访问日志,通过对用户异常行为的分析模型,对用户的行为进行分析和判断。同时存储到Elasticsearch中,再通过Kibana进行查询和展示。
第二块是Web安全检测的平台。Web安全检测平台也是在全流程的基础上,搭建一个Suricate的,对Web安全的威胁进行检测,包括XSS、SQL、CSRF等等相关的风险。
第三块的功能是主机的安全检测的平台。我们主机安全检测平台是通过agen的方式布到每台服务器上,实现服务器的文件完整性和恶意代码扫描,和登录行为监控、建成监控,以及主机流量监控等等。
***一个平台是基于W3AF搭建的一个漏洞扫描的平台,它是一个主动流动画像的平台,我们会用它进行一个突发应对和日常安全漏洞巡检的工作。
[[164812]]
***是这个平台的规划,首先是隐私保护,我们后期将会集成一些DLP的功能在宙斯平台之上,比如我们对个人隐私的信息会更加的关注,防止个人隐私信息泄漏,这是我们需要完善的功能,目前也是在进行当中。第二个功能是用户画像,我们现在应该是从两个维度,从用户安全画像和设备画像两个维度做一些用户画像的工作,后面我们会增加征信画像和人力画像,把我们一些用户行为判断的精准度再次提高。之后是威胁情报,我们现在也在跟一些其他的威胁情报提供商合作,包括一些第三方的威胁情报做一些接口给到我们,我们去判断现在业务日常的行为,给到一个预判。通过整体的威胁情报,包括安全事件的监控,还有扫描等等,我们会加深整个安全态势感知的功能,把这块功能给到业务,为后面功能的实现做一个安全态势的预判。
***说一下我们的规划,我们目前还是以漏洞为中心的防御思路,在逐渐向以威胁为中心的思路进行转化的过程。现在我们处在大数据的时代当中,最终我们还是要通过数据挖掘,来驱动业务安全的目标。