随着淘宝的崛起,我国的电子商务在呈爆发式增长,每个电商都从单一化转型为多元化发展,同时由于电商的交易环境有着虚拟性和匿名性,安全便成为了成功电商的基石。消费者使用电商进行购买,交易成功便会形成信任,但是当电商受到了恶意攻击,盗取了消费者的信息,甚至对电商本身也造成了直接损失,不仅使电商的信任值会急速下降,还有可能使电商一蹶不振,所以作为电商,应该怎样抵御恶意攻击呢?
嘉宾介绍
林鹏,万达电商 主任安全工程师,目前负责万达电商的安全工作
首先了解一下恶意攻击行为。恶意行为的判断可分为两种,一个是传统互联网的恶意行为,另一个是属于业务的恶意行为。传统的恶意行为指的是恶意攻击,黑客利用扫描器或者新出的漏洞的exp扫描企业,而这恰巧也考验到了工程师应急响应的能力,对新漏洞的感知能力,以及对攻击方法的实践程度。了解了攻击方法就可以知道相应的防御措施,同时也需要比攻击方更早的发现公司的漏洞 。
在业务方面存在最多的恶意行为就是刷单了,包括恶意注册、套利、刷单等行为,但是业务方面的恶意行为还需要同业务交互,得到攻击方法和行为,再通过技术进行控制。一直以来各大电商和买卖平台都存在着刷单的行为,虽然对企业的购买力造不成那么大的影响,但是却在降低着客户的满意度,达不到企业的宣传效果。刷单的情况在互联网金融上却会造成直接的损失,像时下最流行的注册返现金,如果有人虚假注册,企业就必须对虚假情况买单,这便是最直接的损失。针对对抗刷单这个话题 ,在以前的《解析互联网金融安全里》边有过一些说明,这里就不具体展开说了,总之刷单平台由于利益驱使,而且刷完这家还可以刷别人家,因此对抗他们是一项任重道远的事情。
流量算是电商的生存之本,如果有攻击者针对流量进行分析,又该如何防控呢?HTTPS的方式只能防止大半数的分析攻击,更要阻止其不能渗透到内网进行ARP嗅探,或者私自接网线到交换机,这是对流量最大的威胁。用HTTPS的方式就一定要使用双向校验的基准,不只用来加密还要对服务端进行验证。另外从移动端来说,还可以找老版本的没有做过HTTPS的,虽然有更新的地方,但是不会大规模的进行改动,因此想完全的防控住分析不太可能,所以要尽量做得好。
电商或多或少都会做对用户信息的收集,用来确保用户的后续购买便捷性,然而用户也非常在意像住址、联系方式,甚至是身份证号这些隐私信息的收集会不会被泄露。林鹏告诉我,飞凡网收集的用户信息都是保存在自己的服务器上,并且后续会对收集起来的用户信息做更严格的硬加密,只要是有关用户的相关隐私信息都会使用加密机进行加密,这样即使有外界拿到了信息也无法应用;从内部来讲,像营销活动需要拿到隐私数据,这时就会形成一个闭环,从提取数据到销毁,都要确保隐私信息的不落地,包括对隐私信息数据库的审计,都有着非常严密的措施。
飞凡网的安全团队成立一年多,从填坑式的开始到现在有了一定的规模,是抓到的安全体系问题堆起来的,现在的首要目标就是把安全防御体系建立起来,将业务安全重点提上来。因为开始时不断被攻破,从而累积起来了不少经验,再加上现在和业务部门联合起来,一起挖掘数据,相信飞凡网的未来一定不容小觑。