解决方案 | 打造DT时代互联网金融行业的安全基石
作者:星期一, 八月 31, 20150

对于一个超万亿规模的互联网金融市场来说,繁荣的背后是纷乱和惨烈的竞争。在这个硝烟弥漫的战场上,总可以找到黑客的影子。

万亿市场

从2013年起,互联网金融行业崛起,到了2015年,P2P网贷、股权众筹和PE等诸多模式的卷入,促成了一个异常繁荣、纷杂甚至于混乱的超万亿规模的市场。

互联网金融市场有多大?我们以P2P网贷一个垂直行业为例,据零壹财经预测,2015年P2P网贷行业全年新发放贷款额极有可能远超5000亿。P2P圈内的预测则更为乐观,借贷机构认为2015年的市场规模将达到1万亿-2万亿。

那么,这块1万亿的大蛋糕有多少家企业/机构在分食呢?根据零壹研究院数据中心的另一项监测数据,截止2015年7月31日,国内仅P2P网贷平台就已超过3000家(仅包括有线上业务的平台)。

640.webp (140)

来源:零壹研究院,2015.8

竞争与讹诈

如果将互联网金融行业与游戏行业来做一个横向对比,“竞争”绝对是一个关键的共性特征。与游戏行业不同的是,互联网金融行业的竞争更加复杂和惨烈。上文中提到的3000家P2P企业不仅要面对同行间的激烈搏杀,还要面对股权众筹和PE机构的不断渗透和业务蚕食。

谈到竞争,在互联网的大环境下,就不可避免的提到众多互联网行业竞争背后的黑客攻击。在互联网金融行业崛起之前,一方因业务竞争雇佣黑客对其竞争对手对网站系统发起攻击的事件多出现在游戏行业。一般来说,雇凶者的攻击目标相对明确。进入2015年后,除了游戏行业仍旧维持较高的攻击事件发生率之外,互联网金融、电商、旅游甚至贵金属行业都发生了众多类似的黑客事件。与此同时,被攻击目标也从单一对象演变为几家甚至几十家存在竞争关系的企业。

除了以竞争为背景的黑客攻击之外,敲诈勒索也是黑客攻击的另一个重要动机。在游戏行业,黑客对游戏公司收取“保护费”是一个非常普遍的现象。对于拒绝缴纳“保护费”的游戏,黑客通常会以DDoS攻击的方式干扰甚至中断游戏业务。这个趋势也在向包括互联网金融等行业领域拓展——毕竟互联网金融企业看上去更有钱。

回顾十余年的发展,黑客产业已逐渐实现了服务规范化、商业化和产业化。规范化体现在很多黑客服务条款明确,明码标价,同时保质保量。商业化体现在清晰的盈利模式以及完备的渠道建设。而产业化则表现为在漏洞发现、工具开发、人员培训、攻击实施、情报共享和营销推广等细分领域的分工和协作,同时与其他黑色产业,如地下钱庄、赌博,形成了紧密的利益链条。下图是某黑客组织的DDoS攻击报价页面,可以很明显地看到,黑产收费已经非常平民化:

640.webp (141)

事实上,较上面的国外价格,国内报价普遍更为便宜,例如DDoS攻击的购买价格已经不到200元/Gbps。

总之,和游戏、电商等互联网行业所面临的挑战一样,黑产已经成为阻碍互联网金融行业健康发展的重要威胁之一,也是互联网金融行业用户必须要面对和解决的。

威胁与困扰

对于互联网金融用户来说,一个可用的、可靠的以及可以充分保证通信隐私和数据安全的网络平台是其互联网业务的基础。

首先,可用性是互联网业务的基础和必要条件,没有可用性,其他一切都无从谈起。其中,对互联网业务可用性威胁最大的是DDoS攻击。DDoS攻击的初衷就是尽可能地对被攻击目标造成最大程度的资源破坏,导致用户无法获得网站的正常服务。根据阿里云云盾安全团队统计,阿里云云盾每天防护近千次DDoS攻击,其中有不少是针对互联网金融用户的。DDoS攻击已经成为对互联网金融业务可用性最大的安全威胁。

其次,可靠性也是业务正常访问的决定性因素。单点故障是最常见的可靠性风险。小到一个云服务器或负载均衡系统,大到一个数据中心都可能因为单点故障引发业务在一定时间段内的不可访问。此外,网络也可能存在单点故障,问题不仅仅体现在单链路上,同时也可能因为网络规划不合理导致业务隐患。例如,当前大部分CDN功能都是针对静态内容(静态网页、图像和流媒体数据等)。对于一个存在大量交互或内容更新的网站,在设计网络可靠性的时候只考虑到CDN对静态内容的保证而忽视了动态内容,那么网站的动态部分本身就会存在单点——一旦源站不可访问或访问缓慢,会影响到整个网站业务的正常交付。

最后,网站业务的隐私性不仅仅体现在网站平台上数据的隐私保护,同时体现在用户访问网站业务过程中,即在链路层面的通信安全。黑客对互联网业务的隐私破坏一方面通过入侵网站,完成对信息对窃取,同时也可能通过诸如DNS劫持等手段,从链路上以中间人的方式获得网站用户的隐私数据。

上述安全风险涵盖从网络到服务器系统再到应用和数据的各个层面,形成了对包括互联网金融在内的互联网全线业务全方位立体化的威胁,这就要求防护一方必须建立相对应的体系化防护方案。

解决

互联网已经从IT时代进入DT时代。云计算、大数据等新技术的引入,使得互联网业务的安全防护同样取得了突飞猛进的发展。在DT时代,安全依靠数据,没有数据的安全就像沙滩上的建筑。

阿里云云盾是面向DT时代的全新安全解决方案,是满足互联网金融业务可用性、可靠性以及隐私安全需求的基石。大数据安全分析平台每天处理超过10TB的数据,结合云计算技术和威胁情报系统,实现云到端和端到端的完整覆盖。防御体系如下图所示:

640.webp (142)

“云端”安全一方面体现在服务器系统层面的安全防护上。另一方面体现在对云端应用和数据库的防护。云盾安骑士是一个完整和全面的云服务器防护方案,不仅包含对云服务器的内部脆弱性(漏洞、配置、端口等)的快速定位、修复,同时可以对包括暴力破解、后门木马等外部威胁迅速发现和阻断。应用防火墙一方面可以实时拦截诸如SQL注入、XSS等对Web应用的入侵,同时保护云端数据库的安全。

阿里云云盾新近推出的弹性安全网络(以下简称ESN,Elastic Security Network),是一个面向广大互联网用户提供的基础的网络安全服务,也标志着阿里云云盾“云-管-端”完整解决方案的形成。

640.webp (143)

ESN打通了从“云”到“端”的完整链路加密。通过SDK方式,将安全防护直接嵌入开发者的应用客户端,这样一来,即建立了一个安全加密隧道。基于客户端身份指纹识别,IP白名单认证中心等安全鉴别手段做到了之前无法做到的安全防护级别。一方面有效的解决了移动业务包括CC、UDP等DDoS攻击的“老大难”问题,另一方面实现了端到端的通信加密,避免了DNS劫持等中间人攻击,实现了全链路的业务加密。

在中间层面,即“管”的层面,ESN一方面通过动态CDN功能的灵活调度,解决了动态内容在网络层面的单点可靠性风险。另一方面ESN基于可动态扩展的弹性资源池,实现秒级IP切换,扭转了长期以来被动防御的局面,极大提升了攻击一方的技术挑战和资源成本——攻击一方必须随时跟上防御一方的步伐,否则连攻击目标都找不到。此外,对于互联网金融业务可用性威胁最大的DDoS攻击,ESN背后的高防数据中心单节点的防护能力为300Gbps,多数据中心联动防护可以获得更高的防护带宽。

态势感知是阿里云云盾即将在9月份上线发布的基于云计算、大数据分析以及威胁情报系统的全新SaaS服务。这项服务定位在安全管理上,是一款安全管理“神器”。云盾态势感知平台基于阿里云大数据安全平台,与阿里威胁情报中心数据对接,将整个防御体系均衡地分布在检测、分析以及防护上,打破了传统以防护为主的安全理念,让安全真正实现全程的“可见、可管和可控”。从管理角度上讲,也是第一次让用户将黑客攻击(包括源头、目标、过程)看得清清楚楚,还原攻击全过程,让用户全面、快速、准确地感知过去、现在以及未来的安全威胁。

最后,专家服务主要包括渗透测试服务,安骑士云托管和DDoS高防专家服务。我们知道,安全攻防背后是人的对抗。对于绝大部分互联网金融企业来说,建立一支具有专业技能的全天候安全攻防团队是非常不现实的。阿里云云盾安全团队的前身是阿里安全团队,由国内最优秀的安全维护和专家组成,先后为包括淘宝、天猫以及阿里云在内的阿里巴巴集团业务的安全运营提供了全天候的防护工作。云盾安全专家团队服务包括渗透测试服务,恶意样本收集、取证、分析、溯源,处理安全告警、入侵分析和进行必要的策略配置,以及实际的攻击阻断操作。显而易见,云盾安全专家同样贯穿在网络安全、服务器安全以及数据安全三个层面,同时覆盖是事前(检查和预警)、事中(防护)和事后(取证和追溯)的全过程。

作者:阿里云

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章