万达林鹏:我的电商安全观
林鹏:大家好,我叫林鹏,来自万达电商,传说中国民老公电商,但是不要问我王思聪,我也没见过。我的电商安全观,这个名字我可能驾驭不了,我希望把我自己在做电商一些安全的经验分享给大家,避免让大家踩坑。
问一下大家,“6·18”有多少来宾听说过飞凡的“6·18”?至少大家听过万达广场,应该去过吧。前两天在6月份的时候,万达电商,我们行业O2O,主要还是围绕万达广场里面的活动进行的一些活动。
我在当当网和网信金融都呆过,第三是现在的飞凡网,也就是万达电商。今天我PPT主要议程两个,一个是我对传统互联网安全的看法,第二是对新来的“6·18”对我们一些黄牛刷单的看法。
我做安全的同学,我之前发布在我自己的微博上,一般中小企业或者一些成型的企业基本上的架构大家都是差不多的。分为几个大的部分。第一块E.L.K,主要的功能点还是在日志分析,日志分析我去年讲过一些案例,包括日志分析的昨天、今天与明天。基本上每一个公司或者每一个做安全的人员我相信对日志这个东西必须得有一定的了解,必须掌握一些日志的分析方法,这对你来说,其实我觉得相当于一个最基本的吃饭。有了这个日志可以看到好多的信息,我曾经把日志比做一个宝藏,大家看到日志从里面能挖掘出来各种各样的东西。
第二个部分,我们在开源的时候用的一个叫IDS,从网络的IDS,它的角色类似于WAP的角色,可以自定义一些规则,很简单的一些规则,这样可以发现大部分网络上的攻击。大家现在都知道网络的攻击还是以Web为主,部署这些可以对Web的攻击做一些拦截。
三是OSSEC,也是我们之前在当当网用的最简单的主机的…,一开始我们并不看好,后来这个东西非常有效。这个东西可以干什么用?主要干一个事儿,根据我们的经验大部分的主机…可能会出现两个问题,第一个文件被修改,第二文件被创建。正常情况下也会有文件被修改,文件被创建,使用…就可以发现这样一个东西。如果发现这种类型的事件相信大家应该知道如果发现文件变更了,把变更的文件发送到自己扫描的服务器上扫描,这样可以避免大部分网页被传送。主要的这些东西只是一个大体的思路,而不是具体的一些工具,工具也是有的,但是怎么用。
开源肯定有开源不好的地方,性能或者稳定性什么的比较慢。所以,这块给大家提供一个思路。文件发生变化我们把文件传到自己的扫描服务器上扫描,如果没有问题不报警,有问题我们再进行处理。
下面有一个流程。好多的攻击或者好多入侵并不是程序员有问题,比较冷漠或者不遵守一些规矩,不遵守一些流程造成的问题。有好多因为自己的比如程序员为了图个方便在自己的网站开一个后门,也不叫后门,为了便于管理,这些后门有可能被黑客发现或者设置一些弱口令。这种完完全全靠技术访问可能是防不住的,因此可能需要一些流程上的东西帮大家管理。这点我们集团做的比较好。集团有的时候上线,因为他们的人非常少,所有的上线都要经过他们的审核,这样就会形成一个队列。当他们审的时候,如果发现一个项目上线的时候安全审核不通过,他会把这个项目从这个队列里移出来,相当于会排到最后,这样对项目整个周期非常长,相信谁都不愿意的。所以,他们在上线的时候一定会注意到安全的问题,这样无形中也给安全工程师提高了安全的话语权。如果上线上得慢会影响到你的一些绩效。所以,他们一定会重视这块。
这些流程和制度,也许大家觉得没什么用,现在做到稍微大一点的时候会发现有的时候完全靠技术真的Hold不住,需要一些流程制度。
我们做的平台,我们之前找了一间国内公司做了渗透测试,效果还是比较不错的,我们这边发现百分之七八十的攻击范围。大家可以理解为一个规则配置的东西。右边的是检测出来的一个,你只要配置好规则,这个规则是怎么配置的我相信如果做安全工程师的应该都知道黑客常用的一些工具有什么特征或者常见的攻击有什么样的特征,这样的话才可以好好的配比规则。怎么配置规则,怎么让规则做最好的生效是需要花一定的时间研究的,也需要大家了解黑客攻击的方法。
常见的一个情景。我们一般会看到外部的一些攻击,对于外部的一些攻击大家一般怎么做的?这个我相信如果说是安全工程师的话,至少要做到以下三点。分三个阶段,第一个阶段肯定是响应。有个黑客扫你或者进行注入或者进行别的东西,如果你不响应或者连看见都没看见,这事儿有点说不过去了,公司肯定觉得养我们这种人没用,至少你有发现问题的能力,至少你应该处理。响应最简单的办法是把他IP封了。第二个层次是分析,其实就是看他最近或者是他想干嘛或者他对那些系统造成了哪些威胁或者他攻击了哪些系统。正常来说大家也可以看看日志有没有对它进行分析,至少分析出他对我们的攻击是不是成功的攻击,也需要花一些时间。
如果有基于…的…注入,它的返回值正常的和不正常的,…长度不同,可以根据这个判断出来有没有真正的SQL注入。前台没有配置好出现SQL注入一定会看到…里存在的报错。如果存在SQL报错的话,它这个攻击是成功的。第二部分,一定要进行分析,这是安全功能要注意的。
数据挖掘也是一样,最起码看到黑客就想到最近一周或者最近一个月他想做,比如看到一些刷单的用户到底在干嘛,他们是通过什么办法进行刷单的,他们有没有其他的,这些靠数据挖掘来做,数据挖掘部分我们现在先不谈。
做到这三点,我觉得算是一个标准的安全工程师应该做的事儿。我觉得我在电商的时候做的事儿虽然没有做到第三点,但是前两点我做的还可以。
下面的问题来了,我这里面一个坑,我想问大家一个问题,大家如果有在现在公司打算做一辈子的请举一下手?应该没有吧。绝大部分人应该都不会呆一辈子,至少有跳槽的打算。如果大家有跳槽的打算,这些资产我建议大家一定要做一些保留,至少给自己一份,以后在别的地方也可以用到,这是前提允许的情况下。比如这些攻击的IP,这些东西我相信在现在的公司如果留着,拿走一份问题也不是那么大。这些攻击IP和代理IP在以后的工作中会发生很大的作用,至少有一点,我们的安全不是为了安全而安全,安全也是一个辅助,辅助我们的业务安全,业务安全里有一个很大的部门,用户的登陆信息,登陆里包括盗号或者账户被盗之类的东西,我们够可以用这些攻击的IP形成一个类似于IP库,我们可以把这些东西算进去。如果有一个用户在代理IP里出现过或者他在攻击IP里出现过就说明他可能会存在一些问题,这样我们就可以用这些IP进行一些收集。
大家这些资产也算是知识资产,不是鼓励大家跳槽,大家做工作的时候千万不要把日志或者报警报完就完事,一定要把这些收集下来,这些都是各位做安全工程师的一些资本。
还有几个也不算是黑科技的黑科技,有些东西大家都在用,只不过给大家起抛砖引玉的作用,这也是从携程学来的,我们也在做这个事儿。有的时候大家肯定都会上线,开发一定会上线,有的时候上线是不经过运维的,也不会经过安全组的审核。我们会把新增的UI记录下来,我们会通过被动的扫描来检测这些新增的UI。这个可以做在线上,线上可以发现一些新增的UI,还有一些地方可以做在测试环节,我相信大家每个公司都应该有测试,每发布一个新的功能,从技术来说一定是QA最先得到。所以,这个放到QA环节,比如监测一下他们的流量,发现新的UI记录下来,然后使用一个扫描器把这些新增的UI记录下来进行扫描,或多或少也会帮大家拦一些常规的安全问题,比如信息泄露。
前面是一些传统的安全的东西。第二讲讲业务安全。业务安全之前讲的也很多,尤其P2P平台,这次讲讲“6·18”的时候跟羊毛党也好,黄牛也好,相当于对抗的一个事儿。
业务安全我们现在主要前面两个,第一个是黄牛党或者薅羊毛,第三是刷单,第三可能程序员写程序时写出的一些问题,第三它藏的比较隐蔽也不太容易找,主要说说黄牛党。这里面又有第二个维度的东西大家可以收集,如果有同学做业务安全或者做一些相当于数据安全或者一些业务上的东西,可以把一些黑名单什么的做一个节点,比如电话的黑名单、身份证的黑名单,银行卡的黑名单,可以把这些东西做一个积累,这些积累以后别的地方也都可以用得上。一个活动下来基本上抓住20万手机号。
讲一下“6·18”的例子。活动接口APP的版本,我们当时的活动是一个会员拉新的活动,新用户可以注册,注册完了以后返5块钱,老用户如果推荐他注册的话,推荐4个用户就发20块钱。这个时候我们就发现一个问题,发现一个什么问题?第一个是注册,注册完了之后他还可以参加一个活动,类似于手机摇一摇的活动,大家都知道有摇一摇的抽奖,我们当时新的APP也发布了,新的APP才可以参加这个活动,但是当时就忘了一件事儿,因为新的APP使用的是老版本的接口,结果就发现有一些人直接用老的接口,因为新的接口我们会进行了一些加补用不了,这帮人发现新的接口不太好玩,他们就开始用老的接口刷我们。大家做活动的时候如果会员拉新的时候一定要注意一下自己的APP新的程度,再注意一下活动接口是不是有老的活动结口也可以参与到这个活动,如果这样的话就一定会吃亏的。
第二,活动的内容与风控。现在做风控的人挺多的,大部分企业都偏向从传统的安全往风控上转,好多公司不说两句风控的事儿都觉得自己挺没面子的。这利民我要说一个事儿,“6·18”我们抽奖,当时也是抽小米手机,我们吸取上一次的教训,活动接口也是新的,APP也扎住了,肯定是保证他们从这条路来不了。后来他们比较疯狂。第一天下午我们发的版,第二天我看到他们14:39我们的APP就给破解了,他们就可以接着刷单了。其中有几个时间段发现刷单的人特别少,我们那个活动叫小米摇一摇,摇完以后随机中奖,概率也不是太高。当时我们一开始的策略,大家都是一个概率一起摇,摇到什么时候能摇到就完事,正常概率,后来有一个运营发现有人在刷,有一个运营他们把这个活动配置错了,配置成了秒杀,发现那个时间段都出去了,但是没有一个被刷的,活动的内容也可以给大家参考一下。
还有一些活动的内容,我们返利的时候,有的时候可以让对方投一些钱进去,他们刷的人就会少一些。当然,还有几个事儿,还有一个随机减的活动,这个活动可以随机减免一定的金额。这种活动下对客户来说可能是没有太大的,会有一些比较好的优惠活动,但是我们会发现更多的参与到活动中的这种人可能是商家,我们的商家可能会参与到刷单的行动中。比如每活动一单减5块钱他就多下几单,他就相当于减那5块钱的差价。这是活动的内容。这些东西有的时候是看你的活动内容,更多也可以看你风控去解决。
我们“6·18”遇到的刷单,有几组数据,我们查到一个注册的IP地址,这帮人想参加我们活动一定要先注册一些小号才能参加一些活动,这是一个特征下的。统计学具体的东西我就不说了。我想跟大家说一个事,有的刷单也不能说他们笨,其实你只要发现了他们其中一些规律,你完完全全可以抵挡住他们的刷单,为什么他们不做成随机的东西而是做成有规律的?我们统计学的一些单可以抵挡住至少60%的刷单是没有问题的,小米手机80%被我们扣掉了。
一个特征在每个时间段内注册的手机号,16号10点的时候,到了15点的时候一个特征值注册的数量就已经超过了七千多次。之前打码平台,短信验证码他们可以用打码平台,图形验证码他们也可以用云的打码平台通过。
我们跟他们斗智斗勇,我们开始的活动在APP上进行,这帮人发现在APP上注册有问题,他们就跑到我们另一个地方进行注册。比如我们还有一个手机移动端,他们到M站注册,我们把这个接口封掉他们又跑到其他地方注册。如果你作为安全行业对自己公司的业务不太熟的话,不是太好玩的。他们的打码平台大家可以搜一下。如果你手里有一堆打码数据的平台,这样会对你的业务安全会有非常多的影响。大家也可以找一些公司做一些咨询。
我想说我真正的观点,做安全的人和其他的做攻击的人,这个游戏坦克大战,做安全的人我自我感觉一个黄,一个绿的两个坦克,不管它怎么进攻或者防守有一个核心的东西就是自己的老窝,对于黑客或者对于攻击者来说,他们是不用考虑后果的,他们的目的只有一个问题,他们获胜大家都知道两个条件,黄的和绿的坦克打死,第二是老窝,我们一定是身后有一些保护的东西,我们制定策略的时候,而且还要保证业务不受影响。当然,我们制定策略的时候,还要保证我们用户体验,他们自己都不知道用户体验是什么。我们尽量使用户体验好,这是我们要做的工作。当然,对我们来说,尤其是安全决策的人来说,你下的每一条策略,每制定一条策略要对策略百分之百的了解,我们之前犯了一个错误,比如我们判断设备合法性当时差点犯了一个错误,我们当时不太了解iOS的原理,我们发现有好多iOS的设备Map地址和…是一样的,Map地址是48位的,所有Map地址等于…的拉入黑名单,后来我拿自己的手机试了一下,发现iPhone是有这个特性,它的Map地址或者可能是我们的开发自己做的,这个不是太确定,至少在我们的公司网站上Map地址和…,如果这条策略下发下去肯定会出事。
如果你对策略不了解的情况下一定不要乱下策略。还有一个问题,对一个东西不管你多忙,如果下这个策略,你一定要验证这个策略,在下这个策略之前一定要验证,不管你多忙,只要你用这个策略。刷单刷的很严重的情况下,我如果不验证这个策略一定会有一些正常的用户被封死,做安全策略的时候一定要考虑。这就是我要讲的,谢谢大家。
相关文章
- 1条评论
- 南殷囤梦2022-06-01 19:27:02
- 定策略的时候,还要保证我们用户体验,他们自己都不知道用户体验是什么。我们尽量使用户体验好,这是我们要做的工作。当然,对我们来说,尤其是安全决策的人来说,你下的每一条策略,每制定一条策略要对策略百分之百的了解,我们之前犯了一个错误,比如我们判