转载

打造DT时代万亿互联网金融行业的安全基石

  互联网金融是一个超万亿规模的市场

  从 2013 年起,互联网金融行业崛起,到了 2015 年,P2P 网贷、股权众筹和 PE 等诸多模式的卷入,促成了一个异常繁荣、纷杂甚至于混乱的超万亿规模的市场。

  互联网金融市场有多大?我们以 P2P 网贷一个垂直行业为例,据零壹财经预测,2015 年 P2P 网贷行业全年新发放贷款额极有可能远超 5000 亿。P2P 圈内的预测则更为乐观,借贷机构认为 2015 年的市场规模将达到 1 万亿-2 万亿。

  那么,这块 1 万亿的大蛋糕有多少家企业/机构在分食呢?根据零壹研究院数据中心的另一项监测数据,截止 2015 年 7 月 31 日,国内仅 P2P 网贷平台就已超过 3000 家(仅包括有线上业务的平台)。

打造DT时代万亿互联网金融行业的安全基石

  来源:零壹研究院,2015.8

  黑客攻击对比:互联网金融行业vs游戏行业

  如果将互联网金融行业与游戏行业来做一个横向对比,“竞争”绝对是一个关键的共性特征。与游戏行业不同的是,互联网金融行业的竞争更加复杂和惨烈。上文中提到的 3000 家 P2P 企业不仅要面对同行间的激烈搏杀,还要面对股权众筹和 PE 机构的不断渗透和业务蚕食。

  谈到竞争,在互联网的大环境下,就不可避免的提到众多互联网行业竞争背后的黑客攻击。在互联网金融行业崛起之前,一方因业务竞争雇佣黑客对其竞争对手对网站系统发起攻击的事件多出现在游戏行业。一般来说,雇凶者的攻击目标相对明确。

  除了以竞争为背景的黑客攻击之外,敲诈勒索也是黑客攻击的另一个重要动机。在游戏行业,黑客对游戏公司收取“保护费”是一个非常普遍的现象。对于拒绝缴纳“保护费”的游戏,黑客通常会以 DDoS 攻击的方式干扰甚至中断游戏业务。这个趋势也在向包括互联网金融等行业领域拓展——毕竟互联网金融企业看上去更有钱。

  回顾十余年的发展,黑客产业已逐渐实现了服务规范化、商业化和产业化。规范化体现在很多黑客服务条款明确,明码标价,同时保质保量。商业化体现在清晰的盈利模式以及完备的渠道建设。而产业化则表现为在漏洞发现、工具开发、人员培训、攻击实施、情报共享和营销推广等细分领域的分工和协作,同时与其他黑色产业,如地下钱庄、赌博,形成了紧密的利益链条。下图是某黑客组织的 DDoS 攻击报价页面,可以很明显地看到,黑产收费已经非常平民化:

打造DT时代万亿互联网金融行业的安全基石

  事实上,以 DDoS 攻击为例,购买价格已经不到 200 元/Gbps。

  总之,和游戏、电商等互联网行业所面临的挑战一样,黑产已经成为阻碍互联网金融行业健康发展的重要威胁之一,也是互联网金融行业用户必须要面对和解决的。

  互联网金融用户的安全威胁有哪些

  对于互联网金融用户来说,一个可用的、可靠的以及可以充分保证通信隐私和数据安全的网络平台是其互联网业务的基础。

  首先,可用性是互联网业务的基础和必要条件,没有可用性,其他一切都无从谈起。其中,对互联网业务可用性威胁最大的是 DDoS 攻击。DDoS 攻击的初衷就是尽可能地对被攻击目标造成最大程度的资源破坏,导致用户无法获得网站的正常服务。DDoS 攻击已经成为对互联网金融业务可用性最大的安全威胁。

  其次,可靠性也是业务正常访问的决定性因素。单点故障是最常见的可靠性风险。小到一个云服务器或负载均衡系统,大到一个数据中心都可能因为单点故障引发业务在一定时间段内的不可访问。此外,网络也可能存在单点故障,问题不仅仅体现在单链路上,同时也可能因为网络规划不合理导致业务隐患。例如,当前大部分 CDN 功能都是针对静态内容(静态网页、图像和流媒体数据等)。对于一个存在大量交互或内容更新的网站,在设计网络可靠性的时候只考虑到 CDN 对静态内容的保证而忽视了动态内容,那么网站的动态部分本身就会存在单点——一旦源站不可访问或访问缓慢,会影响到整个网站业务的正常交付。

  最后,网站业务的隐私性不仅仅体现在网站平台上数据的隐私保护,同时体现在用户访问网站业务过程中,即在链路层面的通信安全。黑客对互联网业务的隐私破坏一方面通过入侵网站,完成对信息对窃取,同时也可能通过诸如 DNS 劫持等手段,从链路上以中间人的方式获得网站用户的隐私数据。

  上述安全风险涵盖从网络到服务器系统再到应用和数据的各个层面,形成了对包括互联网金融在内的互联网全线业务全方位立体化的威胁,这就要求防护一方必须建立相对应的体系化防护方案。

  阿里云对互联网金融行业安全防御的理解

  互联网已经从 IT 时代进入 DT 时代。云计算、大数据等新技术的引入,使得互联网业务的安全防护同样取得了突飞猛进的发展。在 DT 时代,安全依靠数据,没有数据的安全就像沙滩上的建筑。

  阿里云云盾是面向 DT 时代的全新安全解决方案,是满足互联网金融业务可用性、可靠性以及隐私安全需求的基石。大数据安全分析平台每天处理超过 10TB 的数据,结合云计算技术和威胁情报系统,实现云到端和端到端的完整覆盖。防御体系如下图所示:

打造DT时代万亿互联网金融行业的安全基石

  “云端”安全一方面体现在服务器系统层面的安全防护上。另一方面体现在对云端应用和数据库的防护。云盾安骑士是一个完整和全面的云服务器防护方案。应用防火墙一方面可以实时拦截诸如 SQL 注入、XSS 等对 Web 应用的入侵,同时保护云端数据库的安全。

  阿里云云盾新近推出的弹性安全网络(以下简称 ESN,Elastic Security Network),是一个面向广大互联网用户提供的基础的网络安全服务,也标志着阿里云云盾“云-管-端”完整解决方案的形成。

  ESN 打通了从“云”到“端”的完整链路加密。通过 SDK 方式,将安全防护直接嵌入开发者的应用客户端,这样一来,即建立了一个安全加密隧道。基于客户端身份指纹识别,IP 白名单认证中心等安全鉴别手段一方面有效的解决了移动业务包括 CC、UDP 等 DDoS 攻击的“老大难”问题,另一方面实现了端到端的通信加密,避免了 DNS 劫持等中间人攻击,实现了全链路的业务加密。

  在中间层面,即“管”的层面,ESN 一方面通过动态 CDN 功能的灵活调度,解决了动态内容在网络层面的单点可靠性风险。另一方面 ESN 基于可动态扩展的弹性资源池,实现秒级 IP 切换,扭转了长期以来被动防御的局面,极大提升了攻击一方的技术挑战和资源成本。此外,对于互联网金融业务可用性威胁最大的 DDoS 攻击,ESN 背后的高防数据中心单节点的防护能力为 300Gbps,多数据中心联动防护可以获得更高的防护带宽。

  态势感知是阿里云云盾即将在 9 月份上线发布的基于云计算、大数据分析以及威胁情报系统的全新 SaaS 服务。云盾态势感知平台基于阿里云大数据安全平台,与阿里威胁情报中心数据对接,将整个防御体系均衡地分布在检测、分析以及防护上,打破了传统以防护为主的安全理念,让安全真正实现全程的“可见、可管和可控”。从管理角度上讲,也是第一次让用户将黑客攻击(包括源头、目标、过程)看得清清楚楚,还原攻击全过程,让用户全面、快速、准确地感知过去、现在以及未来的安全威胁。

  最后,专家服务主要包括渗透测试服务,安骑士云托管和 DDoS 高防专家服务。我们知道,安全攻防背后是人的对抗。对于绝大部分互联网金融企业来说,建立一支具有专业技能的全天候安全攻防团队是非常不现实的。云盾安全专家团队服务包括渗透测试服务,恶意样本收集、取证、分析、溯源,处理安全告警、入侵分析和进行必要的策略配置,以及实际的攻击阻断操作。显而易见,云盾安全专家同样贯穿在网络安全、服务器安全以及数据安全三个层面,同时覆盖是事前(检查和预警)、事中(防护)和事后(取证和追溯)的全过程。

  更多了解阿里云:http://click.aliyun.com/m/1157/

正文到此结束
Loading...