00:02
长城由1795万块砖组成。但长城不知道,每一块砖都需要经过37道工序。埃菲尔铁塔上有20万颗螺丝,但埃菲尔铁塔不知道每一颗螺丝需要经过20小时以上的打磨。科技就像长城上的砖,埃菲尔铁塔上的螺丝,你不必知道它的复杂,你只需要拿来即用,简单易用,即插即用,这才是科技该有的样子。我们将最前沿的科技打磨成简单的样子,用极致算力集成最优化组合,让需求一目了然,让问题直面解决方案。我们将多变的科技编织成小巧的样子,基于自由生态,不断优化自适性,敏捷高效的自由部署,轻松嵌入。
01:07
现有场景,一块简单的砖,一颗好用的螺丝,这就是今天腾讯云的样子。它化繁为简,让科技模块与商业模块任意叠加,衍生出无限想象,它以小见大,任意接入现有网络,激活成长新动能。选择腾讯云,去构建你的商业世界吧,它可以是实用的、好看的、宏伟的、精巧的,它有千万种可能,而一切都从这里开始,化繁为简,以小见大,腾讯云。线上的小伙伴们大家晚上好,欢迎参加腾讯云中小企业在线学堂,我是今天的主持人付秋伟。
02:04
中小企业在线学堂围绕中小企业业务需求,聚焦企业经营管理、运用工具、技术创新、安全底座四大需求场景,推出系列直播课程,全面助力中小企业数字化转型。今天直播的主题为信息泄露非常围攻合规下架,电商企业如何打赢安全攻防战?随着移动互联网的普及和企业数字化的升级,海量数据应用发生。一方面数据成为企业增长的金钥匙,另一方面也带来安全隐患,比如用户信息泄露。经营信息篡改、合规挑战等等。电商企业究竟应该如何打赢安全攻防战,保障经营安全呢?今天我们特别邀请了三位来自腾讯云的技术专家到直播间,以电商行业的安全实践为切口。通过架构建设思路云、原生产品和技术场景落地探索等角度,分享技术观点。传递解题思。
03:04
此外,直播间还设置了扫码答题环节,大家可以扫描屏幕右侧的二维码参与答题,就有机会获得腾讯定制公仔和腾讯视频VIP的奖品。手机观看的小伙伴可以先截屏,然后用微信扫码答题,我们等待十秒钟哈。嗯,大家答题后记得马上回到直播间,里面都是一些网安人的常识题,算是送分题吧,希望大家能够积极参与,领取奖品。OK,那么接下来有请今天的第一位老师,腾讯电商生活行业资深架构师李景刚老师。景老师在基于公有云的电商行业应用技术、数据以及安全解决方案。架构设计方面有着丰富的经验,嗯,下面请景川老师带来主题分享公有云安全产品选择与安全体系建设新案。嗯,大家好,今天交流的主要话题是呃,聚焦于电商行业的公有云安全产品选择与安全体系啊方案建设。
04:07
那首先做一下自我介绍。嗯,我是腾讯电商生活行业架构师啊,我叫李景川,目前主要聚焦于电商行业的啊,云解决方案咨询云啊云咨询解决方案设计啊,这个以及交解决方案交付啊。然后接下来我们开始今天的内容,那今天我要介绍的内容主要包含三个方面,呃,第一方面主要是呃,电商行业目前面临哪些安全隐患?第二方面是针对这些安全隐患,我们怎么样实现使用公云的安全产品以及方案去解决这些安全啊,不同场景的安全问题。第三块就是啊,怎样搭建适合自身的这个安全体系。那首先看第一块。嗯,在讲具体的呃,当前面临的安全挑战之前,先简单说一下当前电商的一个行业情况。
05:02
呃,电商有早期的有PC端啊,到现在的这个APP啊,以及到现在的各个有电商平台,然后啊一些这个跨境电商,然后社区电商等等啊,相当于是电商行业现在是一个发展比较蓬勃的,蓬勃的这个这个呃,这个行业那实际上目前的趋势来讲,呃,不仅仅是聚焦,不仅仅是早期的单纯的电商平台,已经跟社交内容已经深度的绑定在一起啊,形成了这个。呃,社社交内容电商化啊,然后这个电商平台内容化啊,这样的一个趋势,那在这样的一个啊情况下,那其实就是各个商家也好,各个用户也好,各个平台也好,面临着很多很多的安全问题啊,那比如说这个交易场景的,比如说。这个平台数据层面啊等等,都面临着各种各样的问题。那这些问题从呃大的方向看呢,主要聚焦以下这几方面,比如说平台的对平台的影响啊,比较常见的像黑客发一些这个DOS的攻击啊,导致平台这个资源占用,系统瘫痪,用户这个无法访问,甚至访问卡顿。
06:14
如果有线上活动,这个活动也无法打开。那第二块的话就是数据容易被被倒扒,那现在我们知道有很多的,呃,我们的一些商品信息和用户评论信息啊是。是会被不同的机构或不同的组织去去扒取的,当然这些这些数据是有一定的潜在的对不同领域的一些价值啊,比如说一些评论数据啊,啊,可以分析一些啊,目前感兴趣话题的一些人群啊等等,但是获取这些数据的手段啊,这个是不同,不是各种各样的,这就导致了一些黑产等等,是形成了一些工具啊,或者一种方式,对呃目标的一些客户啊,做一些数据的爬取。那他去拿到这些数据以后啊,啊,做各种各样的一些,呃,黑色的产业链的一些一些一些行为啊,甚至来讲的话,一些企业的促销信息也会被盗走啊。
07:09
然后第三块就是数据被窃取,那我们知道现在无论在啊哪个平台上,我们的用户是有很多的信息是存储在对应的平台,比如我们用户注册的时候,手机号啊,啊,甚至有一些平台有一些啊绑定的身份证号等等一些个人信息,那这些信息是一些啊比较隐私,隐私的信息,当然还有一些业务的数据啊,比如说一些交易的信息啊,一些账户金额等等一些数据,那这些数据啊,也也也也可能是被黑客侵入啊。并且篡改转卖,那这些对个人的隐私啊,对平台的这个影响都是很都都是都是很大的啊,所以这一部分的数据也会被一些呃,黑客有些特殊的手段获取到外传出去啊,传到公公呃公网上或者是一些特殊的渠道。那第四块就是啊,电商里面一个常见场景促销啊,我们有很多的这个商家啊,现在有单品类的这种促销,有这种啊中国的双11啊等等这些促销活动啊,那这些或者品牌的一些品牌日的促销活动啊,在这些促销活动里面啊,是有很多的优惠啊,优惠券啊,积分啊等等,那一些羊毛党它就会啊提前准备一些账号或采用一些手段,那在同时的呃,这活动发生的时候,去通过技术手段啊和这些硬件手段去获取这些啊利益好处,那这样的话,对于平台商家来讲的话就啊损失很大,那同时对用户来讲的话,用户也没有获取到他应该享受的这些优惠啊等等这些都是面临的一些具体的问题。
08:45
那从这四个方面来看,主要的一些威胁点,我们可以再继续看一下,那第一个就是DDOS这个攻击不断,然后次数和峰值逐渐上升,那这个趋势是很明显的,首先的这个攻击有一个有一个简短的故事啊,就是。
09:04
一个老板开了一个饭店,本来这个饭店是这个顾客是正常的啊,一个一个人进入去进行这个用餐,但突然间这个饭店就来了几个这个这个大汉,这几个大汉就站在这个,呃,这个饭店的门口,那这样的话甚至有几个大汉就堵住了。嗯,这个就占满了这个这个饭店的位置,那实际后续的客人就不敢也没办法进来吃饭,那这样的话,那老板就没有什么收益了,那其实这个就呃电也相当于是没有办法继续运营了,那其实DS也是这样,攻击也是这样,那么攻击者他会采用一些呃技术手段啊,就是频繁的访问这个对应的攻击站点,那这样的话会对这个站点的这个资源啊造成消耗,导致后续的正常用户啊无法进入这个啊站点去进行访问或进行操作,进行一些各种业务。那针对于这个行业来讲,其实这个黑产发展呢,也是也是对应的有一些这个专门做这件事情的黑产啊,啊,可能在不同的这个场景下,可能会被找到,然后去做这种针对有目标性的进行攻击。
10:12
啊,左侧我们看到这些这些群就是干这种事情。然后右侧我们能看到进全球的这个攻击的这个年度这个数据统计啊,也看到这个数据是逐渐增加啊,尽管现在基础设施的大家的承载能力很强,但是再强也强不过这个它持续的攻击啊,你总是有空,有有限空间的中卫这个资源会被耗尽,这是啊,没有办法,下面我们看到腾讯云的啊。百以上的,这个攻击率的占比逐渐增大,这是我们的统计数据啊,就证明这个攻击它是它是一个,嗯,依然是上升的趋势啊,虽然这攻击手段看起来没有那么高端,但是对业务影响性还是很大的。嗯,再讲一下这个平台数据爬取这个威胁,那这个数据的爬取啊,就是它是有它大多数我们现在的建设的平台,它是像完全公布API啊,这个直接去获取的这种是非常少数的,但也不排除是极少数的,大多数是有一定的门槛,是有一定的这个防护啊,导致直接被扒。
11:18
呃,但是现在基本的手段,或者基本的这种处理,其实也很难防得住,你比如说呃,这个攻击的时候,可以把浏览器里面的UA就是U的给改,做一些切换修改啊,绕过一些你的规则啊,或者是你的一些啊限制啊,甚至啊这个这个爬数据的人,他你你可能做了某一个IP的这种。这种限制,但他依然他自己做了一个IP池,那他请求这个去爬数据的时候,他可能去啊不同的IP地址的机器去爬取数据啊,甚至你在一些场景下有验证码,那他也会去把验证码就破掉啊,然后去啊去请求你的这些内容啊,包含其实有一些频次的控制,那么他抓到一些规律以后的话,有些你频次没有控制住的,或者是说频次能绕过去的,他依然可以啊无限期啊,无限制的或者是说啊,有规律的持续的去爬取你的这个这个数据啊,比如平台的一些商品啊,运营策略的数据啊,库存啊,甚至交易的数据啊等等啊,都会被扒掉啊,这个爬数据的事情,也也是当前市场上或者是行业上一个非常常见的一件事情,但是。
12:24
针对于同时的话,不仅仅是数据的这个丢失,其实它这种发数据对网站的一些性能啊一些等等也是有一定的影响,所以这个也是需要啊,这个就关注起来。嗯,第三块这块的防护就是呃,对于这个底层的这些呃,这些呃数据的一些一些呃窃取啊,前面就是啊,他的是要访问,他访问他是有目的的拿一些数据,那这块他入侵以后的话,他有可能是窃取诈骗,也有可能是这个损坏啊,就是他这个路径就是他进来了,进到有数据的,有关键数据的地方,然后做一些很很很破坏性的动作,那他大概一个流程就是。
13:06
现在呃,从收集攻击目标来看,它是有很多的手段的,比如他锁定一些站点,做这个端口扫描啊,为什么我们在啊,比如说我们部署应用等等啊,对公网的时候是开,比如说一个端口或两个端口等等,限制一些关键关端口,就是防止这些啊暴露的端口被被利用啊,然后比如社工库搜索啊,他可能是在现在黑客其实在一些专业领域,他们的专业领域里面啊,在网上也有一些公开的一些库或材料啊,这里面它是有一些黑客从别的地方获取的一些机密数据啊,或者是一些啊用户名密码或者说IP啊等等一些一些数据啊,他拿到以后,他可以去利用这些数据啊,去访问这些目标。那他有了这些目标以后的话,他就开始有动作了啊,动作就开始发起攻击,他可能利用啊已知的漏洞,比如说你你暴露的端口,他可以访问,然后甚至嗯,他拿到你IP以后,他其实做了一些呃,这个工具去破解你的口令密码啊,然后甚至在一些安全漏洞爆发的时候,他可以抓住这个漏洞持续跟攻击啊,就是我们说的这个零队的攻击。
14:14
呃,举例子,比如说前两年这个logo附记这个这个日志框架出现问题的时候啊,那个时候其实呃,在bug没有被快速定位quick的时候,其实一波黑客啊,或者是啊一波这个啊,这个有有恶意攻击的这种这种人他会利抓住这个机会啊,进行很多网站的攻击啊,然后钓鱼工具就不具体说了,这个很明显,然后通过这些工击以后,它会进入到系统,甚至进入到这个,呃,我们it的主机啊,进入之后的话,他可以可以做很多的事情,他甚至可以写一些删除的脚本啊,也可以做一些监控的脚本等等放到后门上,那这样的话,他可以持续的啊,要不做一些破坏性动作,要不做一些数据的窃取啊,发送到其他的啊,它的服务器也好,或者是上传其他的获取他的地方也好等等,所以这条链路的话,只要被他打开了啊,其实他做的有可能是数据的获取,有可能是破坏性的动作,那整个对业务啊,对这个啊,这个这个用户的这个这些数据啊,都是有这个很坏的很大的破坏性。
15:15
和很大的风险。呃,下面再说一下威胁就是这个呃,在一些业务活动场景,比如说注册啊,登录活动啊,尤其这些场景,那这些场景其实在现在当下的电商环境下就是非常常见啊,现在的电商环境这个也不像之前可能说啊,咱说的618啊,双11大家会举行一些大促,那现在大型电商或中小型电商,甚至在这些呃活动之前啊,可能就举就举行了很多多次的这种这种促销活动,所以这个呃,像秒杀等等,所以促销活动已经成为这个电商行业这一个日常活动了。所以在。对应着这个安全层面一些这个这个这个啊,咱们叫羊毛党,他们形成了一些固定的手段和和工具啊,最近315,今年315,大家有没有关注到,就是有一个呃说法嘛,就是啊调查到有一个有一个有一个服务商,他就有一个屋子里面有成百上千个甚至几千个以上的这个手机啊,同时去操作,那他其实就做一些这样,比如点赞呐,比如说这个呃,薅羊毛啊,就是就是就是抢券啊啊等等啊这些行为,其实他就是支撑成了一个产业啊去服务于这个。
16:28
这个想获利啊,或者在某种情况下能获利的这些群体啊,那具体包含这个恶意注册,比如说我,我可以注册很多很多小号,这样注册小号以后,就可以在一些活动里面,利用这些真实的这些小号去获取一些利益啊,刷单啊,比如说。某一个优惠活动,单品便宜的时候,我可以用这个多账号就同时去刷啊等等,所以在抢券,秒杀甚至评论等等这些场景,这个羊毛党子非常常见啊。呃,前面我也提到了,就是现在电商行业的发展,其实内容元素越来越多啊,大家像我们在抖音上看的短视频啊,购物啊,然后甚至直播啊,直播购物啊等等啊,甚至一些这个私域的流量转发的时候一些商品图片啊等等啊,然后这些内容其实在当下的这个电商环境下,其实越来的越多,但是同时的伴随着内容越越来越多,其实存在的内容的这个啊,这个合规性啊,就是越来越重要,比如说一些涉黄敏感字样啊,广告的一些宣传等等啊,就是充斥着各种各样的这种可能性。
17:34
我像这这里下面展示的这些啊,就图片啊,比如说有一些。不管。只要你。从电商网站或平台设计的角度,它肯定是涉及到这个功能。但是它不能保证所有的用户都按照规则去传正常的图片啊,视频甚至音频,甚至评论的内容,所以在这些有入口的地方,就是有风险的地方,包含现在正在直播的画面啊,比如说直播的画面也是,虽然我们有了这些平台和工具,但是安全这些事情也是要需要额外去控制啊,去掌控啊,所以这些入口都是关键入口,都是需要有一些啊安全的把控。
18:14
否则会影响这个平台的这种合规性啊,以及平台的长久运营。当然对于观众来讲,用户来讲呢,它是有一定的这个这个损失,因为他没有获取到正常的商品信息里面,观看正常的直播。嗯,下面的这个是这个的各种安全问题,其实刚才提到这个今年三幺的这个。呃,这个介绍其中还有一块就是呃。这个叫破解APP的这个影响,或是破解APP的里面他做了哪些坏的事情,那其实破解APP以后的话,它可以植入一些一些监控程序,或者是一些追踪程序啊,它小到可以追踪,可以追一些这个你的操作,这个这个APP里面应用功能的一些数据,大到你个人的一些隐私啊,甚至平时的一些语音内容啊等等,它都可以做一些监听啊,这个是非常可怕的一件事情,所以这个APP怎么样能不被这个破解啊,怎样的安全更更牢固啊,那这个也是行业内关注的一个问题,尤其现在这个啊,移动互联网的这个时代,所以手机APP是基本上每一个平台几乎都有了这样的一个情况下,所以怎么保证它的安全,这是一个很关键的问题。
19:25
呃,合规性,那合规性这边的话,其实国家咱们可从这个实验中能看到,在伴随着这个时间的这个不断的这个往前进,然后国家的对这方面的这政策也不断的要求越来越严格,那比如说去年年底或者是这个其实每年有几个关键时期,这个网信办和工信部等都会对一些啊APP的隐私合规做一些统一的检测啊,检测出问题的,这个检测出的问题就直接报给企业,企业做整改,那这里面有一个问题就是整改一般都是有,呃,有期限,并且有一些问题是有一定的,呃,这个规则的深度性,所以这块的话,企业怎么能快速的修改,满足合规要求,并且不影响业务啊,这些都是啊企业需要考虑的问题,当然同时的话,除了隐私合规以外,还有等保,那等保国家也是有他的这个等级保护这块是有要求的,那也会定期去去企业检查,所以企业的一些呃,安全的it的基础设施要需要满足等保的一些合规要求啊,所以这些都是面临的企业安全问题。
20:22
那针对以上的这些安全问题和场景,我们怎么去用啊公务员的产品和方案去解决呢?我接下来给大家介绍一下,那其实以上的这些问题啊,我就归结为就三类,一类是基础安全啊,一类是业务安全,第三类就是安全合规,我们先看一下基础安全这块,基础安全前面提到的这个DS这个防护啊,就是防止这个DS的攻击啊,就是频繁的啊进行访问,然后造成资源耗尽,那我们腾讯这边现在是腾讯云这边是提供的DS防护这个方案啊,可以基于腾讯云,腾讯云内的这些基础设施做防护,也可以基于腾讯云外的这些基础设施做防护,那我们对流量进行清洗啊,对这个不合规流量进行封禁啊,保持平,保证平台的安全啊,右侧我们其实有很多的这些数据以及可用性啊等等啊,然后就是相当于我们迎接了很大量的客户啊,这些都是我们一些实际数据。
21:14
啊,这些产品我就不介绍具体介绍了,后面我们同学会具体的讲。然后技术安全这块,还有这个we部防火墙,我们前面提到了,像数据爬取啊,然后web攻击啊等等这个场景,其实用外部防火墙有wa是可以解决掉的啊,然后嗯,针对于wa能。这个解决的问题,比如说这个从外部的角度考虑,像这个啊,脚本注入,注入攻击啊,搜Q注入啊等等这一类的啊,我们会有AI加这个T这种方式啊,去去识别啊,去做拦截,去做处理,那当然它呃这个wa除这个之外的话,像像DS它也是有有防护能力的啊,然后除此之外,我们也可以定制一些啊规则啊,然后做一些拦截啊。
22:04
啊,当然另一方面就是前面我提到的数据爬取,它是有专门针对于数据爬取的一些啊,这个拦截规则处理的啊。除这些标准呢,或者是说基本的这些功能外,我们其实对零倍的防护也是有,呃,这个腾讯云内部也是有这种很强大的知支持,我们是24小时持续的有人再去关注这个问题,当出现这个问题的时候,我们会及时的啊帮助用户去一起处理这些这些问题。嗯,基础安全这块,还有主机安全,也就是我们的服务器,那么服务器层面我们经常面临这个,呃,密码破解啊,异常登录啊等等,那其实在啊,我们的这个主机服务这个上面,我们可以去这个拦截这个密破解密码的行为,也可以对异常的登录进行告警啊。除此之外,对于呃,Web shell的检测,也就是这些脚本的检测,像JSP啊啊,就Java里面GSP啊,Python啊,然后ASPPHP等这些脚本,如果有一些不安全的内容里面等等,都会去做一些检测啊。嗯,像额外的话,像在这些主机上运行的这些应用系统,应用组件,应用服务啊等等设计,以及本身操作系统一些内容等等啊,需要的补丁等等,都会做一些这个分析检测啊,监控。
23:18
嗯,技术安全这块,刚才前面也提到了,那么针对于的这个安全加固,我们也是有解决方案的,我们包含这些啊加固啊,UD脚保啊等等啊,我们会有这个一些,呃,很很这个这些标准的技术手段去做这些防篡改啊,防这个防破解啊等等啊,这块我们也有很多的用户的一些一些案例啊,后面同学会去介绍。那技术安全这块还有一个零信任,就是我们前面讲的是呃,我们在云上的一些一些一些这个安全防范这些手段和措施,那同时的话,其实我们啊,在连入云的过程里面,这个入口也是很关键的啊,我们在我们的办公环境里面,或者家人环,在这个家庭环境里面,连到办公网络以后,连到公允上怎么去保证这个安全,那我们这个零星人解决方案是一个轻量级的这样的一个解决方案,可以保证这个在连入这个呃,办公网络啊,以及办公网网络内的病毒的啊查杀啊,以及这个啊,办公文件这个,以及这个访问认证等等这个角度,就是做了一个前列整体化的这些保障。
24:25
那针对于第二块就是业务安全啊,前面提到的一些像免要盟啊等等这些,呃,批量注册啊等等这些场景都是可以用这个我们的全限示风控,风控引擎R解,就是据用户输入的做一些这个。分析啊,规则上的一些分析,然后找到这个评估出它的这个风险风险级别,那通过这个反馈这个风险级别,让业务侧做这种判断啊,去这个避免这个批量的造成这种注册啊,或者说这个绵羊毛的这种场景。
25:00
那业务安全这块,还有就是我们的呃,内容的安全审核,我们也前面也提到了,像图文,然后以及呃音音频视频啊等等这些审核啊,然后现在的。分两方面啊,如果是增量的这些文件啊,像生成的一些音视频啊,图片中的文件上传到我们的对象存储的时候,我们是可以触发这个直接触发审核,针对这些文件做审核,那么自动审核,如果出现问题啊,我们也可以转到这个这个这个或者无法识别,那么也可以转到这个人工审核啊,做二次的确认,那针对于这个存量的审核,就是我们已经有的一些。呃,一些图片啊,音视频等,我们可以做这种全量的扫描,也可以报找出这些不合规的这些内容啊。呃,在合规是第三块,就是合规这块啊,合规这块前面提到这个隐私合规检测,我们有标准的解决方案,我们同时也有这个专家服务啊,我们可以针对于呃这个。客户的APP做这种隐私合规的检测,出具相应的报告,以及配合客户做这种具体的整改。
26:04
然后当然前面也提到等保,我们这也是标准的一套方案,我们也包括这种测评咨询以及安全产品的这种啊,这个这个。结合起来的安全产品呢,去一起解决这些问题啊,或者是一站式的这种合规服务。那最后的话就是前面讲了这么多内容,那从整体上来讲,我们怎么去,呃,搭建我们这个安全体系啊,做一个总结。其实我左面啊,前面已经提到了我们大的三个大的方面哈,就是业务安全啊,基础安全,业务安全还有合规安,呃合规安全啊,基础安全我们是从这个链路上可以用,呃,我们正常或是一个比较加固的做法,比如说我们采用的前面防护,然后再防护,然后再到后面的主机层面,然后做主机护,同时我们在我们的APP端啊,有这个呃,这个APP加啊,同时我们在访问我们这些云环境里面有I做这种安全的保障,那业务来讲的话,我们可以用全式安全引擎去保证一些羊啊,然后注册场景的安全,可以用天的内容审去保证一些啊,图文啊,音视频啊,直播等场景这些啊,是这个内容的安全啊,合规这块我们可以采用APP合规检测以及等级保,等级保等保服务后去保证这些合规内容,那侧的话,我们是这个在云上的一个具体的。
27:25
啊,一个一个一个内容,其实我们可以看到云内和云外啊,基本上云内呢,就是我提到那些服务,云外的话就是APP这些啊,加固的这些服务这个这个。啊,这个能力,APP加固这个能力,但是其实对于整个安全体系这些是啊标准的做法或是这一套,呃,整个的这个用共云的产品去防护,那除此之外的话,想保证整个的平台的安全,其实还有其他一些需要注意的,比如说啊,自己应用本身的一些安全的一些处理啊,以及这个啊云上的一些安全审计等等一些设计啊,比如说一些内部的操作的一些审计日志啊,甚至内部的一些网络隔离啊,比如说不同的子网之间啊,是不是做好了一些隔离策略啊啊等等这些也是保障整个啊在电商行业啊,以及这个具体应用一平台上,在整体的安全性的一些关键啊。
28:17
嗯,那我今天要讲的内容主要就这么多啊,然后下面给主持人,谢谢大家。嗯,好的,感谢景川老师的深入浅出的分享,里面有非常多的形象的比喻,非常精彩。然后直播间的话,扫码答题仍然在继续,大家可以扫描屏幕右侧的二维码参与答题,然后用手机观看的小伙伴可以先截屏,然后用微信扫码答题,稍后我们将会公布答案,答对的小伙伴将有机会获得腾讯定制公仔。错过第一波扫码答题的小伙伴,这次就不要错过了啊,里面都是一些我安人的,算是常识送分题吧,希望大家能够积极参与,领取奖品。
29:02
嗯,另外呢,直播间左上角也有一个附带,大家也可以参与抽奖。好的,那接下来就欢迎腾讯技术安全架构支撑架构师张飞老师,然后张老师是熟悉网络安全防护建设体系,具备丰富的安全解决方案经验,有请张老师为大家分享电商上云安全的公寓房啊云原生技术安全最佳实践。有请张老师。嗯,各位线上的老师、领导,大家晚上好,我是腾讯基础安全架构师张飞,很开心今天给大家分享电商业务上云场景下安全的公寓房,基于腾讯云原生基础安全的最佳实践。今天将从以下三个部分开启今天的内容分享,第一部分,电商业务上云面临哪些安全风险,第二部分,如何构建云上基础安全防御体系及第三部分云上安全建设价值和优秀实践。
30:02
嗯,近年来大量的电商企业依托于线上的销售,线上的渠道去进行一个赋能,那么同时也把业务迁移到了云上,在整个业务上云的过程当中,安全问题排在了首位,据各项数据调研显示,那么电商行业,呃,大部分80%以上的企业遭受过安全攻击,其中将近40%的企业不具备安全防护能力,将近32%的电商企业具备存在着重大的一些信息安全的漏洞和bug,但是整个电商行业对于基础安全方面的投入仅仅占比整个信息化投入的2%。远远低于整个行业10%的要求。由于电商行业持有大量的个人敏感数据,安全基础建设薄弱,那么这也导致了电商行业成为黑客比较攻击、喜欢攻击的行业之一。全球每分钟由于网络入侵造成的损失超过了一点七万七万万一点七七万美元。
31:05
嗯,接下来我们从呃,黑客攻击的视角和业务的视角来去看一看电商业务平台上面临哪些风险。外部的黑客攻击,它一般会主要通过信息收集、漏洞分析、攻击实时和后渗透四个步骤,那么针对我们的电商业务平台去进行攻击,那么其中信息收集和漏洞分析,那么黑客一般会采用自动化的扫描工具,那么针对暴露在我们互联网上的资产的暴露面和脆弱性,那么去进行一个风险的一个采集,那么找到我们业务上暴露出来的一些漏洞或者说是弱点,那他会去进行一个定向的一个攻击,那么从而获得内网当中的一些主机的权限。那么这一个主机的话,我们会把它定义为僵尸主机,那么黑客再去获得这一个主机权限之后呢,他会去进行一些内网的扫描,然后提权等一些操作,那么等他找到了关键敏感的业务系统之后呢,那他会去发起定向的一些攻击和横向的一些渗透,那么表现在我们客户的业务层面,我们就会发现我们的一些敏感数据被窃取了,然后我们的一些关键业务系统然后被加密了,我们的主机然后被挖矿了。
32:21
那么黑客整个攻击过程当中,信息收集和漏洞分析,那么这一个环节我们称作是一个潜伏期,那么黑客的话往往会需要花费比较多的一些时间,那么一般是一个月,两个月甚至更久的一些时间,那么它最主要的目的就是要能够足够多的去抓取到我们电商企业的一些暴露面的一些信息,那么通过这些暴露面的一些信息,那么去进行一个定向的攻击,那么在整个攻击和渗透的一个阶段呢,那么黑客他的攻击时间往往是非常短的。那么比较短的时候呢,那可能一两分钟就能够拿下我们业务系统,那么差不多就是说是五到十分钟,那么基本上我们的业务系统就会实现,那么整个攻击过程是非常快的,那么很多电商企业它都是来不及反应的,那么黑客拿下了我们的一些主机资产之后呢,那么所造成的一些影响,那也是比较直观的,那比如说我们的某一个活动,然后突然间终止了,然后我们的一些电商里面的一些公民信息数据,然后被泄露了,那这对于电商企业的影响和风险是比较大的。
33:30
那么站在业务的视角来看,我们会发现我们的业务系统会有大量的恶意用户,恶意的boos机器人,然后会去进行一个业务的访问请求,那他会去爬取我们产品的价格信息,然后产品的一些详情的一些信息,那导致了我们这一个活动的关键信息,那么遭受了泄露,或者说是被同行业的其他的一些啊黑灰产,然后有伤能够知道,然后另外一个点的话,我们就会发现我们企业当中的一些信息安全漏洞,然后被黑客利用了我内网当中的一些主机,然后实现了,然后黑客呢,在我们的网络当中畅通无阻,然后他能够去获得内网的信息,内网主机的信息,然后业务系统的一些信息,甚至数据库的一些信息,那么这对于我们整个活动的影响,还有电商企业的信息安全是有比较大的一个影响的。
34:27
另一方面,电商企业。满足监管合规的要求也是呃企业应尽的义务,监管合规也是重中重重中之重的一个点。那么前些年的话,其实也会存在着一些企业因为未履行等保啊网络安全法的一些义务,然后被进行一个定责和罚款,那其实满足等保网络安全法,数据安全法,这不仅仅是法律法规的要求,也更是电商企业合理规避信息安全风险的一个重要举措。那么通过上面的介绍,我们来去做一下总结,那其实整个电商业务上云主要面临以下四个方面的风险,第一个层面的话是网络层面的风险,那就是说是啊,可能会有大量的一些恶意的网络请求,然后会消会去消耗我们业务出口的带宽资源,有大量的一些CC攻击,然后去消耗我们服务器的一个性能,那么导致业务的网络出口,然后拥堵,访问请求不可达。那抵押方面的话是主机和应用层面的,那比如说像是我们的主机遭受的一些恶意的不卡,然后CC的一些攻击,然后我们的主机层面遭受了挖矿和勒索。另一方面的话,我们电商业务的载体APP,然后小程序,然后我可能会存在着一些薄弱的风景点,然后被黑客进行了篡改和利用,那么从而导致了我电商的活动被薅羊毛,数据泄露等等。
35:56
第三个方面的话,是办公网的一个安全风险,那么办公网的安全风险也在前面介绍到有一个漏洞利用的环节,那其实漏洞利用的环节,黑客不仅仅会从外部去做,然后也会有一些内部的一些渗透,那比如说我办公网里面的某一台主机,然后被成为了黑客的一个僵尸主机,或者说是我办公网里面的一些办公人员,我的安全意识可能没有那么高,我插拔了一个U盘,那这台电脑感染了一些恶意的木马病毒,然后同时在办公网里面呢,也会存在着一些内部人员,他会主动泄露泄密的一个场景,那么整个办公网的一个安全也是电商企业关注比较少,然后比较容易忽视的一个点。那么第四个方面的话,就是说是监管合规的一个要求,一般就是等保,然后网络安全法,个人隐私安全法等相关的一个要求的一个满足。
36:53
那么,腾讯安全基于基础安全防护体系、办公安全接入体系和监管合规体系。
37:00
那么构建腾讯云的一个呃,基础安全防护的一个架构,那么基础安全防护体系,它重点就是去保障电商系统的稳定性和数据的安全性,那么提升用户的访问体验,夯实整个底层的安全建设基础。嗯,办公安全接入体系,它重点是去保障内网人员和外网人员的一个办公安全。防止内鬼渗透导致发生的一些,导致发生一些信息泄露事件,那么强化终端杀毒、桌面管理、远程接入、身份认证,然后数据防泄密等安全办公的能力,那么监管合规的话,主要是以等保为信息化安全建设的一个标尺,那么强化整个企业基础安全建设的能力,满足等保数据安全法等和等法律法规的要求。基于上述的安全防护架构,那么腾讯安全这边有三防线四场景,那么通过三防线四场景建立纵深的安全防御阵地,那么三防线的话是指网端的一个安全防线,那么通过高防袜主机安全。
38:12
去防止到攻击外部漏洞利用,然后爬虫等相关的一个攻击,那么第二个场景的话,是安全护航的一个场景,那么针对电商企业,它没有那么多的安全人员。围绕着重大活动的时候,没有那么多人员去做一个值守保障安全事件的一个响应,那我们这边提供安全重保的一个护航服务,那么同时在整个重保护航服务里面呢,我们也是为企业提供了等保的一个合规咨询的一些要求啊能力,然后去强化企业啊安全建设的一个基线。然后第三个场景的话是移动应用安全,那么主要是针对电商企业,小程序还有APP,那么这样与用户交互的一个载体,那么去提升APP及小程序它的一个安全的健康度,那么防止客户端的源码被篡改,然后客户端存在着一些高危漏洞,然后被利用,然后被进行一个薅羊毛。第四个场景的话是办公安全接入体系,那它核心是去解决。
39:20
用户办公终端安全不可控,然后内部人员不可信的一个问题,那么通过办公安全去强化安全办公接入的一个体系,那么防止数据泄密,接下来将会围绕着这四个场景为大家一一去做介绍,呃,第一个场景的话是三道防线,那么三道防线里面的第一个防线是网络安全防线,那么据各项数据调研显示,啊,二二年比到S的那个攻击频率要相较二一年提升了91%,那这是一个非常高的一个数值,尤其是在电商企业去办各种大型活动的时候,那么往往是容易遭受到道S攻击和CC攻击。
40:08
那么腾讯安全的话,是可以为企业提供由于原生模式和代理模式两种的一个安全防护的方案,那它对应会有一些安全产品,那主要是包括了高仿IP云原生的高仿包。边缘安全加速1ONE等产品,那么云原生高防包的话,它主要是针对业务在腾讯云上,那我不会对于客户的业务去做任何的一个改变,那我只需要去做简单的一个IP接入的配置,那我们就可以具备了云原生的一个防护能力,那这一个原原生的防护能力,它的一个体验是非常好的。那么高防IP和病原安全加速,那它是针对于客户的业务,那么不在腾讯云上,可能是在阿里云自己的IDC机房,那我们提供的一个安全的一个防护方案,那他是通过中间人代理的方式去做流量的清洗,那么再将流量返回到云站,那么其中边缘安全加速产品,那它是将CD的能力,高防IP的能力,外部应用防火墙的能力去进行一个融合,那么既能够保障用户他的一个接入体验,同时又能够基于高防的能力。针对到控。
41:24
机去进行一个静元清洗,那么从而保障我们整个电商业务和活动的安全性。因为现在我们的那个越来越多的那个业务,它是以域名的形式,然后去进行一个发布,那么针对外部类的一些业务,那么黑客它最主要的攻击手段就说是去做漏洞的扫描,然后通过一些boot的一些自动化的扫描工具,恶意的终端,然后去发起一些攻击,那么同时还会有一些大量的API恶意的调用,然后CC攻击,那么消耗我们整个服务器的性能。腾讯安全的话,这边是基于外部应用防火墙,那么为企业提供应用级的安全防线,那么外部应用防火墙它最主要的能力是包含了基础安全,Boos防护,业务防护。
42:17
增强CC防护等相关的一个能力,它能够去有效的防止渗透攻击爬虫,恶意扫描、恶意注册,然后薅羊毛,然后爆破,然后篡改信息泄露等一些攻击场景。同时腾讯的外部应用防火墙,它是支持混合云的模式的。具备了快速的接入能力,然后同时它后端它会有一个比较庞大的一个业务资源池,能够去满足电商企业办活动的时候,激增的QQ流,激增的业务。带宽的一个请求。呃,外部应用防火墙的话,它是具备单独的一个boot模块,那么boot模块的话,它核心解决的是恶意boot机器人访问,还有一些CC攻击的一些场景,然后因为我们boot模块呢,它后端会有一个庞大的一胁情报,然后去做匹配,那么同时我们会基于用户访问流量,它会去进行一个UA,然后会话,然后头部各种一些呃信息的一个采集,那么基于我们语法语义的一个分析,那么加上威胁情报,它是能够有效的去识别恶意终端和工具的,然后能够准识别的那个准确度达到了90%以上,那么所以腾讯的那个boos管理模块,它是能够去。
43:39
区分哪些是好的boot,然后哪些是恶意的boot,那我们针对一些恶意的boot流量,还有一些访问请求,那我可以去设置一些精细化的管理策略。嗯,这里的话是我们腾讯,呃,外部应用防火墙的一个。典型的客户案例,那么该客户的话是国内比较知名的生活加上啊电商的一个服务平台,那他最主要的需求就是要去做漏洞防御,然后不去防护和CC攻击,那么漏洞防御的话,这个是比较好理解的,那我要去防止我对外的一些业务,它的一些因为安全性不足,然后可能暴露出来的一些漏洞,然后被去攻击,那么我们腾讯的话,它是可以去提供虚拟补丁的一个能力的,那么在网络层面,那么针对漏洞攻击的利用行为去进行一个防护。
44:32
那么boot和CC攻击这个是该客户他更加呃需要的一个场景,因为他有大量的一些原创的内容,然后会每天会有大量的一些那个爬虫去爬它的一些,呃,就是网站内的一些内容的,然后那么腾讯外部应用防火墙呢为该客户。提供了峰值高达一百万一次100万以上的那个QPS的流量请求,那么同时在整个使用期间呢,也是云故障,那么帮助客户防御了上一次的一些爬虫,还有恶意攻击。三道防线的第三道防线是主机安全,那么主机安全和容器安全,那么我们定义为是业务资产的最后一道防线,那么主机安全和容器安全它是具备了资产管理、文件查杀、威胁分析、高级防御,然后漏洞管理和机械配置检查等方面的能力的,那它是能够有效的去抵御勒索攻击,然后挖矿攻击等等的一些场景。
45:36
那么这一个主机安全,它是和外部应用防火墙,还有我们的云防火墙,那它都是可以去进行一个联动,那么构建我们网端的一个安全防御体系。嗯,像我们现在国内呃一些那个电商活动已经成了一个常态化,比如618,然后双11,然后还有那个呃双12等等的一些活动,那么在举办大型活动的时候呢,其实我们核心会遇到呃下面两个场景的问题,第一个就说是电商平台的那个流量增加是难以预测的,然后很有可能在一两分钟以内,流量的激增就可能会变成平时的两到三倍甚至更多,那这部分对于安全产品,它的一个弹性扩容能力要求是比较高的。第二部分的话就说是大量的流量,高并发的流量里面,它会夹杂着一些恶意的一些流量,那包含了一些DDOS攻击的流量,CC的一些流量,漏洞利用的一些流量,然后恶意就是呃扫描器的一些流量,那其实这对于我们整个安全的那个植入压力,然后是比较大的。
46:50
另一方面,我们电商企业的那个安全人员相对来说没有那么多,其实它是很难去做完整性的一个漏洞评估,方案制定,状态巡检,还有一个在线运营值守的,那么腾讯安全的话,呃,基于云原生的一个安全托管服务,它是能够赋能云上租户,快速的帮助电商企业。
47:14
构建平台级的一个服务能力的,那我们这一个安全托管服务的话,它核心是包含了两大类,第一类的话是日常运营类的一个服务,那么可以帮助企业提供情报类、评估类、监测类、加固类和响应类的一个能力,那就是强化我们日常的一个运营机械,那么提升我们基础安全整体的一个能力和水位牙的话是叫做那个重宝护航类的一个服务,那么针对我们双11,双12 618等一些大促活动,那么我们这边是可以去提供七乘24小时的一个在线值守服务的,那么我们帮助电商企业那么去做它的一个资产的一个暴露面的一个梳理,风险的一个梳理收敛,然后包括了去做一些安全事件的一个运营评估,安全事件的一个响应及溯源,那么这样是能够比较好的帮助我们电商企业降低在安全方面投入成本及人员投入成本的一个。
48:14
压力,那么就相当于说是通过一个安全赋能,那么通这样的一个安全托管服务,那么去快速的强化提升,然后整个电商的一个安全的能力的。嗯嗯,企业去过等保,然后是现在应进的一个义务,那么整个等保的话是包含了系统定级、系统备案、建设整改、等保测评和监督检查五个流程的。那么我们之前在去做对接之前的那个过往的那个案例当中,我们会发现客户自己过等保,那他需要与安全厂商去做一个对接,那我需要去购买对应的一些安全产品,然后我需要去那个等保的一些服务咨询商去做一些对接,那比如说我发现了一些问题,我需要去做一些整改,然后去了解等保该怎么做,那么同时也需要与测评机构、保安去做一些对接。
49:15
提交一些定级备案材料,那么我们会发现这对于呃电商企业它的一个投经力的投入,还有沟通的那个成本压力,然后是非常大的,那么腾讯安全的话,为电商企业提供一站式的担保服务,那么客户呢,不需要去对接那么多的一个厂商,然后测评机构,服务商,那只需要对接腾讯,那么腾讯然后会帮助客户那么打通安全产品的售前售后,产品的一些配置策略优化,那么腾讯会为企业提供等保的一个服务咨询及腾讯会去帮助企业去进行测评机构,网安的对接,那么去促使和把握整个等保的流程,那么通过腾讯一站式的担保服务,它能够帮助企业快速的去通过担保满足监管合规的要求。
50:10
因为现在很多电商的应用载体,它会依赖于小程序,然后PH5页面等等,那么如果小程序和我们的APP里面有一些漏洞,或者说是一些呃,代码的一些逻辑是比较弱的,那它很容易的就是遭受了改,然后甚至就说是利用我们的这一些APP的漏洞,然后会进行一个薅羊毛,那么腾讯移动安全它是聚焦于十大安全举证,能够为企业提供26项安全能力控制点的。那么我们这里可以为安卓的APP iOS的APP,然后及小程序那么提供dex的混合加密,然后VMP的一个保护方案,那么像那个蘑菇街,然后唯品会那么都是我们移动应用安全的一个客户,那么一方面的话是去解决他们客户端源码的一个安全性问题。
51:11
另一方面是去帮助他们满足监管合规的一个要求。因为现在嗯,随着那个企业化数字转型的那个加深,然后云计算和5G等技术运用越来越广泛了,那这也导致了企业的网络边界,然后越来越模糊,那么传统的授信,授信区域不再像之前那么可控,然后另外一方面的话,就是说是疫情下,然后远程办公它就是成为了一个常态化的一个点,然后我们会发现远程办公它一般会去通过VPN去解决。那我们这时候发现终端的安全,身份的管理和业务的安全,它是比较割裂的,难以有效的去进行一个集成,那么腾讯安全的话,它是基于零信任,然后架构,然后为企业提供办公安全的一个结构,那么我们的这一个零信任,它是支持通过轻量的客户端、浏览器、企业微信等接入访问的,那么同时灵性的架构,它是接入网关和控制中心进行分离的。
52:19
那么接入网关的话,它能够去保障用户访问链路的一个加密和安全性。那么风营的架构,同时它又能够去避免传统VPN,然后漏洞频发的一个问题,那么腾讯李信生他是能够做到全人形,然后远程办公安全无忧的,嗯,我这里也是做了那个零信任和传统VPN的一个功能对比,那我们会发现年轻人无论从部署。还有用户的那个访问体验,弹性扩容,还有就是多云的一个访问,比如说我的一些业务在腾讯云,一些业务在阿里云,一些业务在IDC,那这种多元访问的一个便捷性,还有就是说是运维管理及交付周期上,那么您信任相比较传统的VPN都有很大的提升,那比如说像传统的VPN,我们的访问的话,一般是先需要输入VPN的域名。
53:17
然后VPN的账号名和密码,然后业务系统的账号名和密码,然后才去访问后端的一个业务系统,那么林先生的话,他只需要输入业务系统的域名,然后业务系统的账号名密码,那它既可以访问后端的一个业务系统,那么在整个用户体验上它有很大的一个提升,那么同时林先生呢,他是能够做到,就说是确保。正确的人使用可信的终端,然后去访问后端的一个业务系统,林先生他是将终端安全,然后终端的桌面管理,然后远程接入身份认证和数据放泄面,然后去进行一个集成,能够去确保我们用户办公的一个安全性。
54:05
前面讲到的一个四个场景,那其实总结起来放到这张图上,其实这张图就构成了我们今天所去讲的人原生安全防御体系的一个最佳实践,那第一部分的话就是说是S外部应用防火墙容防火墙主机安全和容器安全,那么构建我们网端的一个防护体系,去保障我们系统的一个安全性,那么抵押部分基于我们的一个安全运营服务,渗透服务等保咨询和应急响应,那么可以帮助企业,那么形成安全的常态化运营,然后重保的在线值守,然后等保合规等相关的一个要求。那么第三方面的话是小程序安全和APP安全,那么能够快速的去提升我们对外的APP和小程序它的一个健康度,那么防止我们的客户端源码被篡改,然后有重大的一些漏洞,然后被黑灰产用。
55:04
第四方面的话是那个零信任,零信任的话,它是能够去确保全随人行,然后可信的人,然后使用。安全的终端去访问我们后端的一个业务系统,那么从而去保障我们关键的业务资产,它的一个安全性,那么在最右边的话,也是放了我们整个腾讯安全,然后这张图里面最佳实验的一些对应的安全产品,那么像那个云宝累积数据安全审计安全运营中心,漏洞扫描,数据加密和数据脱敏,那么它一般对应的是我们等保合规里面的一些产品。那么呃,企业可以根据自己的一些需求和场景,按需购买即可,那么接下来给大家分享一些腾讯安全的一些实践的案例,那第一个案例的话,是国内某知名的生活加上电商的一个服务平台。
56:01
那么他最核心的需求就是办活动的时候,会有大量的一些流量的激增,然后会有一些恶意的那个爬虫,然后会去爬去他的一些原创的内容。同时他也会有一些那个云上的一些挖矿行为。那么腾讯安全的话,基于呃云防火墙,然后挖,然后主机安全,然后为该客户提供一个安全的防护体系,那么同时也帮助该客户那么对抗了上一次一个安全攻击,嗯,抵押的话是国内某知名的一个快销食品的一个平台,嗯,他的一个尤其是在那个周四还有那个周末的时候,那么该小该程序其实它会有大量的一些业务请求,那么它的APP和小程序是重点的一个防护的业务。那么我们这边的话是基于高仿包,然后袜和主机安全,那么去保障整个小程序和APP的一个安全的,那么同时也是帮助客户,那么抵挡了多次的一个S的攻击。
57:10
呃,第三个案例的话是,呃,国内的一个水果的一个电商平台,那它的业务是在那个腾讯云上,那我们这边的话,主要是基于网端的一个安全防护架构,那么去帮助他抵挡一些CC攻击,还有就是挖矿,还有一些漏洞的一些修复,那么尤其是在那个疫情期间,那么我们这边呃,腾讯的那个主机安全和拉,那么为该企业提供了非常有力的支撑和保障。嗯,腾讯安全除了那个电商以外啊,也已经服务了18大的那个行业,那么包含了金融,出行,零售,游戏,视频,通信,文创,然后电商,物流,交通等等,那么针对不同的那个行业,那我们这边也是会有特色化的一些解决方案去提供给大家的。
58:03
那么最后的话是给大家去讲一下腾讯安全的一个核心能力和价值,那么首先腾讯的话,它是基于我们自身的一些海量业务,我们自身的一些安全运营经验的,然后从内部的产品当中提炼了安全能力,我们把这些安全能力呢变成了工具和服务,那么我们并将这些工具和服务,那么打包成最佳的一个安全实践,那么去分享给更多的企业和行业。那么第二方面的话是腾讯安全呢,它是有七大的一个安全实验室,那我们会有超过了3500多名的一个安全专家,那么腾讯安全呢,也是拥有众多的一些安全专利的。那么整个安全专利的话,位列行业的那个第一啊,那么另一方面的话,腾讯安全也已经服务了非常多的那个行业,然后触达了百万量级的一个客户,那么腾讯安全也是积极的去建设,然后开放合作的一个生态体系,那么将我们的安全产品技术和生生态,然后去进行一个协同,那么腾讯安全是希望成为企业数字化升级的安全战略观。
59:15
对,我这边的分享内容就到这里啊,下面把画面交给主持人。好的,感谢张平老师的精彩讲解,内容非常丰富啊,希望能够给到大家一些启发。那现在呢?进入答案揭晓时刻,刚刚大家扫扫码参与了答题,第一题的都选择答案为。Abcd以上四个都属于电商业务上云的安全挑战,恭喜答对的同学。OK。呃,接下来有请腾讯安全资撑架构师接老师,建老师曾经呃从零到一负责全国首个量子加密商业呃商用项目的落地,目前它聚焦互联网行业业务安全体系的建设,在安全合规和业务增效上有深入的理解和认识。
60:03
谢丽老师的分享主题为业务安全体系建设,基于电商的思考与实践,有请。那下面我就开始我这边的分享,就是说呃,如果大家有问题的话,可以把那个问题留在那个留言,或者加入我们的技术交流群,就会后会逐一的做一个解答和这个交流,那我今天分享的主题是这个业务安全的体系建设,主要是基于电商这边的思考与实践。然后简单的做个自我介绍,我这边是一六年开始从事业务安全,主要从事这个技术研发,包括策略模型以及这个黑产,对其都有涉猎,然后比如像一八年的我们做小程序的线上电商的营销风控,像1920年我们做航司的这个,嗯,机票秒杀,像节假日啊,像春运啊,这些机票的秒杀,然后这两年其实我和这个。多个企业的负责人聊的比较多,大家会有一个共性的问题,就是我们那个业务安全的需求比较零碎,就从整体来看,我怎么去构建一个业务安全这个体系,就下面做一个详细的这个介绍。
61:05
那主要是分三大块,第一块是整体的这个概览和构建思,第二块我们这个电商行业的场景分析和这个应对,以及这个落地的案例。那这是我们腾讯安全的这个全景,然后关于业务安全这一块,我我做了一个整理,主要是分为三大块,第一块是这个合规性的要求,就最下面这一块,呃合规性要求其实简单讲就是我们的业务在互联网发展的时候,还是会有一些这个监管机构对我们提出大量的要求,举个例子,比如说像这个呃APP的隐私合规,比如我们的APP会不会涉及到这个违规的,违规的读取,比如说读取了这个呃APP list,或者读取这个用户通讯录等等。那这是一个合规性的这个要求,也是这两年那个各保法对我们各个企业提出这个要求,然后中间这一块是内容的安全,那主要是像网信办,像网安,他会对我们的这个互联网上这个游GC内容做这个监管,举个例子,比方说在电商里面的这个头像昵称,还有社区论坛,还有这个,呃,比如说最近比较火的电商直播里面的画面弹幕,那一句话的总结就是对英式图文的色情爆恐,还有敏感内容的这个审核和过滤。
62:15
以及那个身份合规,主要是这个呃名身份认证,以及手机号的实名认证,这个主要用在一些像支付场景,或者说像这个呃,电商直播里的这个打赏等等这些,那这一块是合规性的要求,中间这一层是属于降本增效层的,它和我们业务会那个个垂直相关一点,和我们上架以后,比方说广告投放,比方说注册登录,还有这个拉新裂变和这个营销促活,我举个简单的例子,比方说呃,我们在促活的时候发了些优惠券,或者说有一些这个。呃,商品的秒杀,我们肯定希望去识别这个领券人,这个背后它是一个真的人,还是说一个羊毛,还是说是一个机械脚本,那像腾讯他就会提供类似这样的一个,呃,风控引擎去帮你做这个对应的识别。
63:00
那最上面这一层是一些综合场景的应用,比如说像这个私域场景里面的这个存量会养的扫描帮你拍判白像这个品牌的保护里面主要是一些,呃举个例子,比方像茅台的这个瓶盖里面有一些这个呃溯源官网,那黑黑灰场也会对对他进行这个仿冒,还有这个质量的这个监控平平台等等,那我对这个电商的这个场景其做了一个一个整理,从左边这边的这个合规上架开始,到推广获客,到注册登录,还有营销裂变,以及我们做这个私域运营,包括我们内容平台的这个,呃,社区评论啊,带货直播,包括还有交易,交易的场景,我都列在这个上面。然后后面我就做一个逐一的这个分享。首先是这个合规性的这个要求,就是这个隐私合规,像腾讯,腾讯这边应用比说您的APP在这个应用上面上架,如果涉及到这个违规的采集,那应用宝这边会给你发一个整改通知,一般这种情况下解决方案是通过两块,第一块是这个呃检测的引擎帮你去识别这个比那个静态的这个这个检测,还有这个加固的检测,以及漏洞的扫描,第二块是通过人工的这个服务。
64:09
去做一些这个APP的行为分析,还有这个产业分析等等,那最终就是给您形成一个报告,报告给到您这边,比方说您这边的APP是否有违规,以及这个违规的这个置建议是怎么样子的。私关隐私合规的,然后第二块是关于这个流量这一块的,那这块的整个流程会非常长,比如像我们去做这个渠道流量的投放,那我们我们到我们去做这个,呃,尤其是刚刚APP刚刚上架的时候,做这个,呃渠道的时候,你们如果涉及大量假量,会导致您这边的转化率非常低,那我们一般叫做那个投入回报比较ROI。然后会投入大量的营销费用,却没有带来真实这个价值。像这个注册登录场景,这个其实非常非常多见,就您这边其实也可以看一下自己这边的一个平台,比方说是否会出现一些用户,就一些我们的僵尸用户,然后注册完了以后它就不动了,或者说他登录的时候,你会发现有大量的这个呃喜号啊,晒号养号这种这种情况存在。
65:04
那这对我们的影响,主要是这个账号资源浪费,还有这个这个巨额的这个短信的这个验证费用,这块其实我们也叫短信通道保护,像上周其实我和这个上海这边的电商客户其实有交流,这个后面其实我们也会对接起来。然后第二块是这个营销裂变这一块,那这个其实就更更常见了,尤其是从这个一九年,一九年比较火的这个营销裂变,就是说老用户拉新用户,然后给这个老用户对应的这个奖励啊,以及我们这个每年的这个电商的这些,比如像618双11里面有大量的这个黑灰产,他会去通,他会通过这种大量的小号或者自动化脚本去薅取我们平台这个利益,那对我们这造成只是很有可能是大量的营销费用被这个羊毛党给薅去,以至于就是您这边发现您这边的那个营销活动没有带来过多这个真实的这个。这个那个用户。那好,那我们现在已经发现这些问题,要去做这个黑灰场的对抗,首先我们就看一下黑灰场到底到底是怎么样去工具的,这个画面上面主要是一些这个黑产的工具,举一个具体的例子,比如像中间这个我们叫猫池卡池,他的意思就是说,呃,他可以不需要真实的这个手机设备,可以通通过这个猫池去插入这个手机卡,然后批量的去收发我们的短信验证码,然后去注册我们的平台上的账号。
66:20
那卡池对这个猫屎这个扩充,这个是比较常见的这种这种设备,然后它右边是这个群控设备,刚刚其实我们也有重新分享到那个今年315的这个情况,它主要的背后是这个,呃,那个通过群控软件对这个大量的大量的真实手机做P量操作,那到现在的发展,发展到现在还有更多的这种是比如像这个呃,AI的这个沙箱,比如说像这个积分墙这一类,都属于我们的那个常见这些工那个那个黑产的工具。然后对于这块黑产链这块,其实我们这边也有做整理,就不管那个,比如说腾讯去做这个风控,还是说我们企业比方说自己做风控,就是我们都需要把这个这个黑黑灰产这个链条去做这个,做这个整理,最下面这一层我们叫做情报层,就有个专业的名词叫情报小子或者情报老子。
67:08
他的意思就是说,嗯,我主要是全网的去收集我这些情报,例如某一个平台,你近期去做什么营销活动,有没有一些漏洞,那国内比较多,其实我们可以看到有一些这个羊毛的群,QQ群,微信群,然后国外比较多,像有一些这个,呃,Facebook的群组,还有电报都有,那如果大家如如果说比较关注这一块,其实可以去。那个网上去网上去搜一下,类似于像现报啊,万软其实都可以搜到对应的这个情报。那第二层叫做核心资源层,所谓的核心资源层就是说,呃,像我们平台做风控主要是依赖于四大实体,哪四大实体就是像IP设备、手机号还有账号的四大实体,那对应的作弊软件,比如说像这个PN代理可以去去我们的这个IP地址,像这个猫池,可以通过大量的小号去注册我们的这个平台里的账号。
68:02
然后第三块是这个黑产的业务工具层,这一块可能就是跟大家业务会更加的垂直相关,比方说这个呃,注册机,或者说有些秒杀工具,像我们其实早些年做这个,呃,像做京东的这个营销风控的时候,其实就能够看到,就网上有直接售卖之类的秒杀工具,比如1.0版本,每个月可能两三百块钱这样的一个费用。然后你最上面这一层,我们叫变现套利层,这个比较常见,比如像黄牛有这个倒卖,比如说网上有这个代下单,那其实很多时候就说黑产,为了规避这个法律的风险,或者规避我们平台的这个风控,它不会全做每每一条,它往往可能只做其中一块,举个例子。比方说我只做这个情报收集,那我就去做做爬虫全网的这个收集到情报以后,我对我对那个把这些情报进行售卖,卖给我的上游。或者说像上面这个这个倒卖这这一层,当你发现一个黄牛的时候,你可能会把它进行打击,它很快它会有一种新的方式进行这个变现和套利,那所以说呃,我们做风控理念还是一个,就说是一个成本对抗,不是说我不玩一套系统就一蹴而就了,它还是会有一个长期的个运营和对抗一个过程。
69:09
那我们现在知道这个黑灰谈那个怎么在做,我们怎么去防御,就后面我分享一下,就是整一个安全认证体系,一般由浅到深,主要是分成了四步,第一步是这个我们叫人机图灵验证,那那简单点就表示我们可以通过像验证码,像那个设备指纹,我就可以帮你识别它是人还是机器。那到第二步就是我们去做这个设备一次性的判断,那一致性就主要是做这个无感的验证,就确认该手机号和该设备的这个一致性。第三块是这个身份的认证,就是说呃,常见的像姓名身份证这个二要素,这个实名认证,以及后面我们最难的也是最复杂的一块,我们叫好人的认证,因为他背后可能是呃真实的人,或者说是那个气脚本,甚至有可能就是一些黑灰铲,他在模拟这个优质用户对对我们的平台进行这个攻击,那主要也会是通过这个风控引擎去做解决,后面我对这个风控引擎也会做一个那个详细的这个阐述。
70:04
那这个这个产品主要是这个输入输出,左边的话是这个输入就是API事件,右边这个输出就会告诉您这个本次操作是否违规,以及违规原因是什么,我举一个具体的这个例子,比方说嗯,以领券为例好了,当用户去点击领券按钮的时候,您这边可以接这个,嗯,腾讯的这个API,这个事件,把对应的参数传进来,然后经过我们中间的一些模型引擎,一些这个画像规则,这个给你输出,比方说呃,这是一次风眼操作,风眼操作原因是因为它是一个呃,比如虚假设备,那您拿到这个虚假设备的时候,你可以做进一步处置。比方说不允许他领券,或者说做更多的像人脸验证啊,或者要素验证啊等等这些,那讲到这个,呃,风控引擎这一块就是它的核心能力,主要是分成三大块,第一块我们叫做画像的能力。那所谓划像,就是我刚讲的这个四大实体,就是IP设备,手机账号这些,那简单的来讲,比如说我们可以去做一些这个手机号,IP号的一些这个黑白名单,或者说我们利赖于我们整个生态里面的这个用户的这个活跃度,是否被举报了这些信息去形成我们的这个画像的能力。
71:11
那第二块就是我们,我们叫做行为的判断,那行为的判断它背后写有大量的这个规则,规则体系在里面,举个简单的例子,比方说呃,关联和频度的关联,比方说我一台设备一天关联的这个多个IP,比如说我一台设备今今天关联十个IP,十个IP又是这个不同的地点,那很明显就是这是一个使用了秒拨IP的一个一个风险用户。那还有还有更多的,比如说除了除了关联和这个呃频度以外,还有一些像呃行为时序,资源离散,还有一些这个属性的聚集等等,这个这个背后可能有这个成年上成千上百的规则在上面这块其实也是我们各个企业可以快速的做一些风控,风控规则的这个地方。然后第三块是这个我们的这个环境的分析,主要是识别,比方说你这个设备是否在正常的环境,是否被root了或者H了,或者你这个IP是否是正常IP,还是说是一个风险IP,然后通过这个呃画像的能力,行为的判断,以及这个呃环境的判断,去做我们这个风险这个识别,那其实腾讯最大的优势也就能在这个我们画像这块能力,举个例子,比方说我们有这个呃大盘的这个输入数据,比方说在您平台进行领领券,这个用户是否在别的平台里面因为作恶,然后被腾讯打黑了,这个其实都都对,对各个企业来讲都是额外这个争议。
72:29
那接入这一块就不过多赘述了,实际上那个我们只需要三个,只要账号I戳,不会涉及到这个敏感据,即使像手机号其实也可以做加面传输,然后这边我可以补充一个点,就是呃,所有这腾讯这边业务安全的产品都是一个,呃spi产品它不放,它不放云,就比方说你用的可能多家云或者说友商的云都可以通过API的方式来接入我们这个这个服务。那对应的也会给大家返回各个这种标签,从这个账号行为环境,还有设备类给到你这些标签,用运营这边做精细化这个运营,那使用这一块就是说一般是两类的用法,第一类是就直接使用腾讯的这个这个结果的,那主要像那个我们头部的电商,每年的618,还有双11做这个营销活动的时候。
73:16
嗯,经过我们的验证,就他准确率在在该场景下比较高,所以他直接用比方说风险用户在领券的时候,那个腾讯给他返回拒绝,他就会直接进行告诉你券领完了,或者说告诉你,呃,环境有异常,建议你换一个,换一个这个设备,或者说换一个账号。然后第二类就是说他可能对自己的这个dau或者一定要求也担心这个客,那他会去做这个柔的处置,比方说用户去注册这里领取这个新手礼包的时候,呃,腾讯给他返回拒绝了,他会去让让这个用户去划验证码,如果验证码还没有通过,那我就会去做这个呃实名认证,或者说是说做这个呃人脸的验证,做进一步这个验证,当然也有些客户会拿这个明细的这个标签去做这个精准化这个运营,比方说像账号类的风控,我就不直接拦截了,我就允许他在我的平台里面去做对应的这个活动,但如果是这类设备类的,他可能就不是真式,真式设备,他可能这个脚本了,那他可能会就会严厉进行这个打击。
74:13
嗯,上面是这个那个,呃,流量风控类的,后面还有一些这个内容类的,呃内容这一块的话,像电商场景里面比较多的,像头像昵称,像这个商品详情,还有这个,嗯,直播的画面,还有直播里面弹幕,实际上都是要做这个,嗯做这个比方说广告也好,或者说是一些敏感内容的这个过滤,这在地方里面比较常见。然后这块接入这块也是一个纯A这个服务就是输入输出,举个简单例,比方说嗯,比方说ID例好了,比如了个昵称,说昵称可能是比方说买更便宜的东西,加V多少多少多少,你把这个对应的文本传给通过API传给腾讯,然后经过我们中间的一些词库,还有模型,然后最后给你输出一个结论,比方说呃,告诉您那个那个该内容是违规的,违规原因做广告,然后会给到你这边一个具体的一个处置建议后,拿到这个结果以后,你可以做更多的这个处置,比方说让用户重新填写,或者说是这个,嗯,仅自己可见,就都用这个处置的这个策略。
75:14
那后面最后我就分享一个这个具体的案例吧,就是我们这个呃,头部的社区电商,它面临的主要是两个问题,第一块是内容的这个监管,内容呢为主要是有一些这个黑灰产的风险,用户在平台里面发送了大量的这个违规内容,因为主要涉及到社区的里面会谈及一些,呃,比如说一些敏感的,包括一些跟专线相关的内容,所以说这个这个监管还是对这个对对我们的客户提做了一些提醒,希望他去他去做好自己内容的这个监管。第二块是这个营销活动的,在这个小程序的电商场景,它还是希望去提升自己的这个风险识别能力,然后基于这两块,其实我们主要是做两块内容,首先是内容合规这一块,内容合规我们去搭建这个体系,主要是分成两块,第一块是日常的审核,就是日常比如说我们用户去注册了,那我去做这个昵称的这个审核,在这个评,在社区里面这个评论,论坛里面的帖子去做这个文本的审核啊,这头像的这个图片,还有短视频,还有音视频的直播,去做这个对应的审核。
76:14
第二块是存量的回访,呃存量的回访其实像到到今年了,实际上是已经有一些这个比较重要的一些专项,或者说是呃,有一些近期有一些这个劣迹的艺人,某个明星,可能呃偷税漏税了,那为了避免这些舆情的这个发酵,那可能我们就要需要对过去的这个半年的测量数据做扫描。然后通过这样的方式做好日常和这个存量的扫描,去去搭建我们的内容审核。然后第二块是这个账号封控这一块也主要是结合这个用户的注册登录和营销场景,那去通过这个微信啊,QQ啊,还有这个呃,刚才我讲的设备IP等多个多个维度去做对风险这个识别,那最终其实我们也是呃,在内容上面也是帮助这个企业去做好了这个合规,第二块在风险识别上面也是提升了这个风险用户的这个召回率,主要是这两大块。
77:06
那那我我继续给那个回到那个最开始的地方,就做一个简单的一个总结,就是整个业务安全的这个体系来看的话,我们还是会把它分三块,最下面的合规,我们做隐私合规,做这个内容安全,做这个身份合规。然后降本增效,这边我们去做这个羊毛头的识别,当然还有更细的可能,比如说一些渠道流量投放这些场景,以及最上面我们去做私域流量,做这个品牌保护,主要是这主要是一些。呃,那那我这边的分享就主要到这到这边大家有问题的话,可以打在这个公屏上面。好,那那个我把时间交给这个主持人。好的,感谢金林老师的精彩分享啊,现在呢,进入答案介绍时刻Q2判断题,然后答案是对张飞老师的分享里面就是有提到恭喜答对的同学。那接下来呢,进入互动问答环节,那我看有很多小伙伴在直播间提问了。
78:02
我从中选择几个,让几位老师回答一下吧啊。有一个问题是应用和数据进行上移,是否有这个问题?陈老师回答。嗯,好的,呃,我觉得针对这个问题啊,首先呃,现状是什么,要理理清楚啊,那么在迁移之前,应用是不是存在安全漏洞啊,数据是不存在安全漏洞啊,举例子啊,那应用是不是有直接暴露到公网的API啊,没有任何权限啊控制。比如说某些数据库的配置,或者是程序里面的这些关键的密钥的配置,直接公网是不是能访问这些东西,是需要做一个梳理。然后其次是对这个呃,刚才知识应用这块,那数据这块的话,对自己的数据是是做过整理,那么某些呃,存在数据库里面的数据是不是应该做加密处理啊,然后等等啊,这些是需要做搞清楚,那其次就是第二块就是上到云上以后,那上到云上以后的话,首先呃在应用和数据层面啊,要充分运运用这个云上的这个安全产品的能力啊,比如刚才提到这个DDOS啊挖啊,做外层的这个这个啊,应用层的这个入口的这种防护啊,然后甚至如果跑在主机上的一些应用程序,那么是不是这个主机安全啊,对应它做上防护,那在数据层面的话啊,也是需要做一些处理,那比如说对程序的一些。
79:30
呃,访问的时候,这个密码啊等等一些铭文的文件,是不是可以考虑存到云上的啊,比如腾讯云的KS啊,这个密钥,这管理服务等等啊,这样整个体系化的去,呃,去思考应用和数据的现状,同时去运用云上的能力去做做做好这种防护啊,然后这样的话才能保证这个呃。这个相对来说应用和数据有一个整体整体性的安全,但安全是是呃,它不是说你做了你就遇不到了,就不会出问题的,但是是需要做事前做好这些啊规划工作啊,做好这些的这个啊测试啊,以及这个啊,这个整个全全链路的这种这种应用的这种安全准备啊,这样的话才能降风险降到最低啊,这块就是我主要是我是要考虑的啊,谢谢。
80:19
OK,感谢老师的回答。然后下面还有一个问题,这个问题可能就是大家比较关注,是人用安全的费用要怎么算?这个问题请陈飞老师来回答一下吧。嗯,诶好的,嗯,因为现在就是说是腾讯云的话,呃,就可以理解为是一个比较大的那个安全应用商店,然后包含的那个产品类型和种类也是啊比较多的,比如说像网络层面的安全产品,主机层面的安全产品,然后数据安全层面的安全产品,然后不同的那个安全产品,它是有那个不同的那个计费逻辑的啊我前面在投屏的时候也有把呃日常与需要的一些那个安全产品的名称,然后都已经罗列上去了,那大家可以到那个腾讯云的那个官网上,然后去把它的那个名字输入,然后搜索即可啊,但是整个腾讯云它的那个安全产品的计费逻辑,它最核心的就是围绕着啊我的那个业务的那个流量带宽。
81:23
然后还有就是说我们防护的那个资产数量,还有就包括还有一个就是我们产品的那个功能模块,然后这三方面是去进行一个计费的,那么大家再去选购的产品的时候,就是可以先做一下,比如说是我相关业务资产的一些呃信息的一个收集,比如说我可能在公网上我要去防护多少个IP,然后我的业务的QPS可能会有多大。我对于安全产品功能的诉求,然后是什么样的,是不是比如说我主机安全,我旗舰版就能满足要求,还是说是我需要,呃,我只需要基础的一个版本,然后就能够满足我们的一个安全要求,那更多的还是要根据我们的一个场景,然后去做一个选择。
82:12
啊,我这边主要就这些OK,感谢大家的热情提问,也感谢三位老师的耐心解答,如果还有问题的话,可以扫描屏幕上的二维码,然后加入我们的安全技术交流群,在群里进行交流或者提问啊下面还有最后一个题目的答案介绍啊,第三题的单选题答案是合规检测。然后合规检测属于安全和合规安全的板块,其他几个都属于技术安全的板块。OK,今天的呃,扫码答题的答案全部已经揭晓了,相信已经有不少小伙伴已经抽到奖品了啊,恭喜获奖的同学。好的,本期腾讯云中小企业在线学堂电商安全公开课到此就告一段落了,再次感谢三位腾讯云嘉宾的精彩分享,也感谢现在小伙伴们的热情参与,咱们下期再见。
我来说两句