数据安全问题频频发生,我们从技术上聊聊如何打造信息安全体系
上周二,TGO 鲲鹏会共创伙伴贝壳金服安全总架构师高鹏做客极客 Live 直播,和大家一起分享了《如何打造信息安全体系—— 贝壳金服的探索与实践》。
贝壳金服是国内领先的居住金融服务商,主要解决居住场景下的各类金融需求。目前,业务覆盖了支付、消费金融、小额信贷、融资担保、商业保理、保险经纪等领域,覆盖了 3 亿城市人口,累计服务了 120 万的客户群体,在打造信息安全技术体系上有着丰富的经验。
在贝壳金服安全总架构师高鹏看来,安全体系至少要具备全面、系统、可靠、合规四个特点:全面就是业务系统点位的安全覆盖要全面,包括物理和环境、网络和通信、设备和计算、应用和数据以及业务安全等等;系统就是安全工作,有条理,有流程、标准化以及制度化;可靠就是做到防护到位,识别准确;合规就是符合国家相关法律政策以及标准制度。
安全体系分为技术体系和管理体系,技术体系主要包括安全防护、检测评估、应用安全、业务安全等等。管理体系主要是三个维度,组织、流程和制度。
在安全体系建设实践过程中,安全体系具象化的一个很重要的标准,就是安全能力的输出。这种输出在技术方面要形成安全技术支持,把安全能力系统化、平台化,然后将技术能力很顺畅地融入到业务生产的各个环节中去。在管理方面上,要支撑安全管理能力,提升安全管理水平,再一个就是普及安全意识。
贝壳金服整体安全的架构,主要分为四个部分:基础安全防护、安全服务的输出、安全平台的支持、以及安全制度规范的支撑。
在安全技术体系中,基础安全防护范畴包括基础安全工程建设、安全运维以及日常安全事件的处理等。大体分为三个部分:出口的安全防御、内部的安全点位的控制、以及后台安全的支撑。
在最外边的就是云防护系统,这个是第三方平台。从应用角度讲,它是 CDN;从安全角度讲,如果加上安全策略,它就是一个云防护平台。目前我们根据云防护后面集团内部的不同业务系统,做动态策略调整,把误报率或者误拦截率降到最低。在贝壳金服安全联动体系建设中,云防护系统作为出口防御的第一道屏障,起着至关重要的作用。防火墙系统是纵深防御理念落地一个非常关键的、基本的设备。对它的运营和策略的设置都需要投入精力,比如我们人员会反复联调,既能达到我们安全管控的要求,又不影响业务,而不是简单的白名单或者黑名单的模式。
安全运维中,关于防火墙有一个点也非常值得注意,就是它很容易成为网络瓶颈。如果内部出现流量雪崩或者安全事件,防火墙很容易假死掉,影响很大一片区域。
防火墙后面是 IDS 和 IPS 等设备,再往里就是我们的密罐系统以及主机应用安全防护系统,我们称为“门神系统”。一旦这两套系统出现报警,安全应急响应级别就会是最高的,需要第一时间解决出现的问题。
在安全技术体系中,我们安全测试的目标就是自动化、服务化、智能化、规范化:自动化就是减少人员的参与程度,机器能做的事情就交给机器做,以此减少人力成本,解放生产力;服务化就是安全技术能力以及相关的能力,我们把它作为一种服务,使以前的被动式的接受安全转化成自主应用的安全;智能化主要包括两个方面,一个是让安全技术手段灵活适配到贝壳金服生产活动中去,再一个就是通过数据平台或者应用系统,深度挖掘一些安全的问题;规范化就是在做安全测试时有系统化标准,有工作的方式方法,有标准有流程有条理地来做事情。在安全测试中,我们分了几个方面进行:
首先在渗透测试中,有常规的安全检测,使用安全设备扫描;针对重要的业务信息系统以及核心的资产,有安全人员投入到安全检测过程中;在关键节点上或者业务专项发布或变更时,有专门的安全人员参与到整体流程,去把控一些安全的关键点等。
其次在移动测试方面,我们有一个平台在做移动终端代码检测以及加固。
白盒审计,即对于源码的审计方面,我们现在正在从工具往平台去发展,希望通过平台的方式能很好地嵌入到生产、测试流程中去。
在被动测试方面,打造了一个流量池,在需要流量的时候,不是临时从网络或者主机设备上去抓,而是做一种流量分发的模式,把流量拿出来,然后根据后端业务系统需求,分门别类去做专项的输出。目前我们自研的被动测试系统,能够检测出一些问题,效果还是相当好的。
最后在风险评估过程中,我们组织了蓝军计划,就是安全内部人员,无差别地针对集团内部的各项系统,不定时地做一些模拟攻击测试从而发现安全防护、监控过程中的短板和不足。
业务安全在我们安全工作中的比重越来越大,对安全管理和安全技术要求也越来越高。安全业务安全涵盖的面非常广,包括账号的安全,业务信息安全,数据安全,内容安全,以及营销安全等等。
在贝壳金服,安全团队的“线上反击战”主要就是针对恶意的骗贷,针对交易的欺诈、逻辑漏洞、等等这些风险点,我们有专门的系统技术以及流程,来把控风险。具体来说,就是我们去收集各方的日志或者消息,通过内部对应的业务系统做输出,给到相应的业务团队。
安全团队关于业务安全的支撑,有三个主要的应用:
一是黑名单库及服务的 Whale 系统。目前,这个系统沉淀了千万级的黑名单,包括 ip 地址、手机号以及应用账号等。我们把它做关联分析之后,输出到后端业务系统当中,做数据支持。
二是身份指纹及服务的 Coral 系统,它的输入主要分三个部分:设备指纹、用户指纹和生物智能。设备指纹,就是通过前端埋点,拿到用户终端内部环境的一些特征,形成用户码给到后端应用系统,研判用户相关信息。用户指纹就是指用户的活动轨迹,行为特征。生物指纹是包括用户的人像信息等,我们把这些特征综合起来做匹配、识别、输出。
三是 SeaSpider 系统,是一个基于规则引擎服务输出的系统。结合应用日志、攻击日志以及 Whale、Coral 系统的输出,等梳理出来关键控制项,然后结合知识库形成规则引擎,为后方的风控系统或者其它系统做输出。
根据大数据的特征,数据体量巨大,数据的类型多样,它处理速度快,一秒定律,价值密度比较低。我们内部在讨论数据平台建设的时候,定位在建设数据平台,向着大数据方向演进。
现在大家都在谈安全大数据,其实单靠安全大数据,解决不了所有的安全问题。当然也不是所有的安全问题,都合适通过安全数据平台来解决。比如有一些 ip 地址已知或一些攻击特征已知,我们就可以放到专门的安全设备上去防护,没必要到安全数据平台上跑一圈再做防护。
我们的安全数据平台的输入,从横向上来说,是内部各项业务应用日志,以及我们拿到的大集团内部的相关日志。纵向上来讲,就是依靠我们的 Devops 团队,通过网络、应用、系统数据等多方面日志,汇总到平台上来,经过数据采集、数据清洗以及数据融合,做形式化或者半形式化的处理,形成多样的输出。
通过安全数据平台体现安全能力的输出。安全数据平台可以提供相关的安全服务,可以形成数据超市,集团内各个团队可以根据自己的需求,到我们大平台上来取数据,包括历史的数据检索、实时分析数据以及非结构化的原始数据等等。
从安全检测方向来说,我们可以做深度挖掘,比如做 APT 攻击的检测,做线上反欺诈等等。当然,安全的输出有两个问题,一个是输出点太小,一个是效率有问题。从另一方面来讲,做安全工作,需要把安全理念、技术整体呈现出来,安全工作需要一个落地的接口平台。我们建设安全管理平台,就是这样一个定位。通过平台把整个风险级别展示出来,让大家都清楚现在处于一个什么状态。再就是通过平台,让大家了解安全团队正在做什么,为什么这么做,进度如何,结果如何,结合平台上提供的安全工具、接口,就是从被动接受安全转为主动使用安全的能力。
每当谈到安全管理,这就涉及到一个非常深刻的问题——安全能管谁?谁来管安全?
目前,我们安全团队的定位是属于集团以及内部各个 BU、公司的乙方,我们做安全的服务,做安全能力的输出。横向上我们做好协调、联动,纵向上我们做好支撑。在贝壳金服 fintech 的建设中,长尾收益的保障安全是一个非常关键的因素。安全搞得好不好,技术是一方面,安全管理是另一个很容易被忽视掉的方面。
其实我们更需要用这种体系或者框架,来顺畅工作流程。 我们在三个维度上进行了具体的实践:组织、制度、流程。
安全方面,主要形成了四个组织:
第一个是安全管理委员会,由 CEO 牵头,各个负责人来组成管委会,主要做安全方针的评审制定,提供资源支持,以及重大安全事件的评审以及推动等等。
第二个是内部内审组织,比如制定内审的计划,实施内审工作,然后汇集相关资料,配合相关的政府主管部门做一些合规性的工作。
第三个组织,主要是安全运营组织,安全团队几乎全员参与,最近很多公司也在逐步重视安全运营工作,有的也设置了相应的岗位。安全运营,对综合安全能力要求比较高,在协调、处理问题时能够双向的把诉求表述清楚,把相关工作解构清晰,这样才能更好的推动各类安全事项。
第四个组织,就是安全联络人组织,比如我们在做应急响应时能够第一时间找到人,能够很好地来协调资源,沟通信息,把安全工作做到位。
欧盟 GDPR 出来了之后,大家对数据安全关注度空前提高,一些大公司也出现了相关的数据安全事件。贝壳金服在保护数据安全的方面,从来技术上来说,一个是在实施流量里面,从流量资源池中去做实时的检测;再一个就是通过数据平台,基于一些行为以及特征,做多维度的深度检测。从制度上来讲,首先要把数据分级,根据不同级别,采用不同的管理措施。
前一段时间在做数据安全的检测过程中,发现了一个潜在的风险点。经过安全团队内部分析后,启动了应急响应流程,在各个环节密切和默契的配合下,短时间内就解决了问题,控制了风险点。之后进行复盘,发现有几个关键因素,首先是安全检测覆盖比较全面,其次文件数据标识比较清晰,最后应急响应中各角色的工作执行到位。我们很高兴的看到,通过不断的安全体系建设的实践,安全能力的输出正在快速嵌入到公司生产活动的各项环节中,安全意识也潜移默化的融入到了集团整体文化当中。