非常高興有機(jī)會(huì)和大家一起分享我們京東金融在安全上的一些實(shí)踐和探索。我是來自京東金融安全團(tuán)隊(duì)的劉明浩，目前主要負(fù)責(zé)京東金融整體安全的管理，包括安全流程的搭建，安全漏洞的響應(yīng)，以及發(fā)現(xiàn)和挖掘，以及安全合規(guī)情況的工作。

我今天所帶來的主題是京東金融宙斯的安全防御平臺(tái)。介紹的內(nèi)容主要有四個(gè)部分，***是業(yè)務(wù)安全層面的，探討目前所面臨的挑戰(zhàn)和現(xiàn)狀。第二是我們?nèi)绾伪ＷC業(yè)務(wù)安全運(yùn)營(yíng)。第三是為了保障業(yè)務(wù)的安全運(yùn)營(yíng)，我們搭建了一個(gè)安全防御的平臺(tái)，這個(gè)平臺(tái)在實(shí)際的運(yùn)用當(dāng)中是怎么運(yùn)用的，通過安全事件處理過程的小例子讓大家了解我們這個(gè)平臺(tái)是如何工作的，起到什么樣的作用。第四是安全平臺(tái)后期的規(guī)劃，和方向的展望。

從目前而言我們從業(yè)務(wù)上面臨主要的安全挑戰(zhàn)來自于兩個(gè)方面。***個(gè)方面的風(fēng)險(xiǎn)是來自于由于外部的司庫(kù)注入、壞帳、CSRF等所導(dǎo)致的問題，或者是由于我們的程序本身的安全的問題。第二個(gè)層面是由于我們業(yè)務(wù)本身的特點(diǎn)，以及業(yè)務(wù)邏輯安全設(shè)計(jì)上的疏忽，導(dǎo)致了一些業(yè)務(wù)安全的風(fēng)險(xiǎn)。 所以我們目前面臨的威脅和挑戰(zhàn)不僅僅是之前所了解到的這些，更多的是由于我們的業(yè)務(wù)場(chǎng)景所帶來的安全風(fēng)險(xiǎn)。

保證業(yè)務(wù)的安全運(yùn)營(yíng)

基于前面我們所面臨的風(fēng)險(xiǎn)和挑戰(zhàn)，京東金融自己搭建了一套宙斯的安全防御平臺(tái)。在建立宙斯防御平臺(tái)的初始階段，首先給我們這個(gè)平臺(tái)做了一個(gè)目標(biāo)和定位，首先要關(guān)注到整體的安全風(fēng)險(xiǎn)問題的解決，包括我們前面所談到的業(yè)務(wù)安全和技術(shù)安全的檢測(cè)和防御。第二我們深入到所有重要的業(yè)務(wù)平臺(tái)當(dāng)中的重要的業(yè)務(wù)場(chǎng)景，去解決在注冊(cè)、登錄，以及業(yè)務(wù)活動(dòng)、業(yè)務(wù)流程重要的業(yè)務(wù)場(chǎng)景里面遇到的安全風(fēng)險(xiǎn)。第三我們要解決基本的外部防護(hù)的問題，比如我們對(duì)CSI或者目錄的便利，司庫(kù)注入這樣一些外部的檢測(cè)。第四是我們希望這是一套全業(yè)務(wù)流量的日志的存儲(chǔ)以及實(shí)時(shí)查詢的平臺(tái)，我們可以在全業(yè)務(wù)流量當(dāng)中查詢某一個(gè)用戶，某一個(gè)IP，在這一段時(shí)間內(nèi)對(duì)我們所有線上業(yè)務(wù)的訪問，以及現(xiàn)在異常操作的行為。***一點(diǎn)，我們希望它更多的是從數(shù)據(jù)流的角度對(duì)我們業(yè)務(wù)上用戶異常的行為進(jìn)行識(shí)別和分析，不嵌入我們業(yè)務(wù)的核心邏輯、不降低系統(tǒng)的效率，可以處理線上的像大促類似流量的數(shù)據(jù)。以上就是我們對(duì)這個(gè)平臺(tái)的定義和目標(biāo)。

經(jīng)過不斷地開發(fā)和完善，我們實(shí)現(xiàn)了以下功能。

***是行為的安全檢測(cè)，我們的行為安全檢測(cè)主要是基于兩個(gè)層面，***個(gè)層面我們會(huì)建立一個(gè)異常用戶行為分析的模型，對(duì)用戶的異常操作或者是異常行為進(jìn)行判斷和分析。第二我們對(duì)每個(gè)正常的用戶建立一個(gè)正常行為的數(shù)據(jù)模型體系，來掌握這個(gè)用戶正常登錄的情況，以此來判斷用戶的一些行為。第二個(gè)功能是Web安全檢測(cè)的功能，也是在我們的全流量的基礎(chǔ)上搭建一個(gè)SQL的平臺(tái)，通過SQL去檢測(cè)包括XSS、CSRF等安全問題。第三個(gè)模塊就是主機(jī)的安全檢測(cè)的平臺(tái)，我們把它定位成一個(gè)HIDS的功能，包括對(duì)文件完整性的檢查，還有惡意文件的檢查，以及主機(jī)流量的檢查等等。***是漏洞掃描平臺(tái)，我們是基于WCIF搭建了一個(gè)漏洞掃描平臺(tái)，包括了對(duì)突發(fā)事件以及日常的安全巡檢的工作。完成以上這幾個(gè)模塊以后，我們又對(duì)整個(gè)系統(tǒng)做了進(jìn)一步的整合和優(yōu)化。

整個(gè)平臺(tái)各模塊功能大概的介紹

行為安全檢測(cè)平臺(tái)主要有四塊功能組成，***塊功能是流量的收集，第二是流量的分析，第三是數(shù)據(jù)的存儲(chǔ)，第四是快速響應(yīng)。首先流量的收集會(huì)將線上全流量的訪問請(qǐng)求進(jìn)行重組和收集，我們?cè)侔阎亟M后的HTTP打到Redis核心消息隊(duì)列當(dāng)中，再通過Redis，Storm分析的集群，再到Redis額取相關(guān)的訪問日志，通過對(duì)用戶異常行為的分析模型，對(duì)用戶的行為進(jìn)行分析和判斷。同時(shí)存儲(chǔ)到Elasticsearch中，再通過Kibana進(jìn)行查詢和展示。

第二塊是Web安全檢測(cè)的平臺(tái)。Web安全檢測(cè)平臺(tái)也是在全流程的基礎(chǔ)上，搭建一個(gè)Suricate的，對(duì)Web安全的威脅進(jìn)行檢測(cè)，包括XSS、SQL、CSRF等等相關(guān)的風(fēng)險(xiǎn)。

第三塊的功能是主機(jī)的安全檢測(cè)的平臺(tái)。我們主機(jī)安全檢測(cè)平臺(tái)是通過agen的方式布到每臺(tái)服務(wù)器上，實(shí)現(xiàn)服務(wù)器的文件完整性和惡意代碼掃描，和登錄行為監(jiān)控、建成監(jiān)控，以及主機(jī)流量監(jiān)控等等。

***一個(gè)平臺(tái)是基于W3AF搭建的一個(gè)漏洞掃描的平臺(tái)，它是一個(gè)主動(dòng)流動(dòng)畫像的平臺(tái)，我們會(huì)用它進(jìn)行一個(gè)突發(fā)應(yīng)對(duì)和日常安全漏洞巡檢的工作。

[[164812]]

***是這個(gè)平臺(tái)的規(guī)劃，首先是隱私保護(hù)，我們后期將會(huì)集成一些DLP的功能在宙斯平臺(tái)之上，比如我們對(duì)個(gè)人隱私的信息會(huì)更加的關(guān)注，防止個(gè)人隱私信息泄漏，這是我們需要完善的功能，目前也是在進(jìn)行當(dāng)中。第二個(gè)功能是用戶畫像，我們現(xiàn)在應(yīng)該是從兩個(gè)維度，從用戶安全畫像和設(shè)備畫像兩個(gè)維度做一些用戶畫像的工作，后面我們會(huì)增加征信畫像和人力畫像，把我們一些用戶行為判斷的精準(zhǔn)度再次提高。之后是威脅情報(bào)，我們現(xiàn)在也在跟一些其他的威脅情報(bào)提供商合作，包括一些第三方的威脅情報(bào)做一些接口給到我們，我們?nèi)ヅ袛喱F(xiàn)在業(yè)務(wù)日常的行為，給到一個(gè)預(yù)判。通過整體的威脅情報(bào)，包括安全事件的監(jiān)控，還有掃描等等，我們會(huì)加深整個(gè)安全態(tài)勢(shì)感知的功能，把這塊功能給到業(yè)務(wù)，為后面功能的實(shí)現(xiàn)做一個(gè)安全態(tài)勢(shì)的預(yù)判。

***說一下我們的規(guī)劃，我們目前還是以漏洞為中心的防御思路，在逐漸向以威脅為中心的思路進(jìn)行轉(zhuǎn)化的過程。現(xiàn)在我們處在大數(shù)據(jù)的時(shí)代當(dāng)中，最終我們還是要通過數(shù)據(jù)挖掘，來驅(qū)動(dòng)業(yè)務(wù)安全的目標(biāo)。