安全無小事：如何給企業用戶數據上把鎖？

時間 2019-12-08

原文原文鏈接

安全無小事！這句話放在互聯網行業依然很貼切。對企業而言，用戶的數據信息就是發展的命脈。可是對安全領域稍微瞭解的人都有一個共識，那就是網絡攻擊者所使用的方法、技術和工具的發展速度都遠遠超過網絡防護者。而新興的網絡威脅正在不斷「侵蝕」着企業的網絡、核心數據以及應用程序安全。咱們應該如何應對？html

對國內新興的汽車電商平臺愛車網而言，對用戶的數據信息保護歷來都是 IT 團隊工做的「重中之重」。愛車網的 CEO 範成發表示：「咱們是一個年輕的品牌，咱們的產品也是爲了年輕人服務。雖然這兩年企業發展的很迅速，可是咱們深知互聯網行業競爭的慘烈，「一着不慎滿盤皆輸」，尤爲是在用戶數據保護方面，咱們不敢有絲毫的懈怠之心。」程序員

公司背景數據庫

成立於2012年的愛車網是一家新興的汽車門戶網站，他們將「年輕就是享受」做爲品牌宗旨，不只僅是爲愛車一族服務，更將觸角延伸到每一位注重生活品質的中高端人羣，致力打形成爲一個集觀賞性、實用性、互動性爲一體的專業時尚品質生活交流平臺。安全

目前，愛車網主要提供汽車全方位的資訊，新增新車、汽車配件、汽車用品、汽車修理、汽車美容和改裝以及二手車交易等多個板塊，致力於提供最全面的汽車信息，打造最完善的汽車行業門戶網站。汽車後市場如今是「風口」，愛車網也正在努力打造一個「互聯網」+「汽車後市場」的生態體系。服務器

面臨的挑戰網絡

隨着汽車後市場的爆發，目前愛車網的業務發展很是迅速，憑藉強大的平臺整合能力，用戶規模預計在2016年就能突破100萬。爲了知足用戶的多種需求，現有 IT 系統的複雜度變得更高，包括雲端和移動端的多種服務。而傳統的安全工具，很難解決一站式解決這些問題；運維

對互聯網企業，尤爲是電商企業而言，用戶數據信息關係到企業發展的命脈。任何信息的泄露或者被破壞，對企業而言都是沒法估量的損失。而愛車網擁有大量車主的各類信息資料，面臨泄露風險。數據安全成爲這家新興電商平臺最關注的核心點；工具

如今市面上可以依賴的安全工具不夠快，很難知足快速檢測、緊急補救和後續對安全事件進行調查和分析的需求，尤爲是面對複雜多變的網絡攻擊，傳統的安全解決方案有些「力不從心」，像 WAF 這種專業級的解決方案，部署的費用動輒上百萬，也不是通常的創業公司所能接受的，並且還須要大量的安全人員進行維護。性能

爲何選擇 OneRASP 這款安全產品？大數據

對愛車網這家電商企業而言，對用戶數據的保護是最重要的，可是成本也是企業必需要考慮的關鍵要素。範成發表示：「首先，RASP 技術是獲得全球承認的一種技術，並且 OneRASP 是國內惟一掌握這種技術的產品，因此選擇他們也是看中了其強大的防禦能力。並且 RASP 使用的「字節碼」技術自己的防禦手段就很高，安裝也很簡單，幾分鐘就能完成部署，也不須要咱們修改大量的代碼。再者，從成本上而言，也很是適合中小型創業公司進行採購。」

其實，OneRASP 的安全保護控制點一般放在應用程序和其餘系統的交互鏈接點上，包括和用戶、數據庫、網絡以及文件系統的鏈接點。OneRASP 在這些節點上監聽全部交互行爲，一旦發現威脅行爲，在監控模式下， OneRASP 會記錄威脅的攻擊路徑，提供如何修復這些問題的建議並通知安全管理員，在防禦模式下能夠實時攔截威脅行爲，好比一旦發現，有應用在訪問敏感數據，OneRASP 立刻就會啓動防護機制。因此從必定意義上講，OneRASP 在保護用戶數據方面，有着很是強大的優點。這也是該產品可以獲得愛車網承認的很重要緣由。

OneRASP 提供的解決方案

傳統安全解決方案愈來愈難以應對，像跨站請求僞造 CSRF、跨站腳本攻擊 XSS、DDoS 攻擊、SQL 注入以及不安全的直接對象引用等多種攻擊模式都會對網站帶來威脅。二 OneRASP 集成了從監測到響應的能力，爲愛車網提供了精準、持續、全面的、可視化的安全防禦策略。不只對威脅等級進行了劃分，並且提供了所有規則集的防禦。
OneRASP 能夠將安全保護代碼像疫苗同樣注入應用程序，全面洞察應用程序的邏輯、配置、數據和事件流，使應用程序可以自保護，這就意味着，一旦檢測到異常請求，OneRASP 就會自動啓動防護機制，尤爲是對用戶信息這些敏感數據的請求，就像加上一把「安全鎖」，保證了企業核心數據的安全。
相比而言，WAF 須要進行服務器、數據路操做系統的選擇，新建站點分析，日誌配置各類策略。而 OneRASP 直接安裝到服務器上，不用選擇系統、服務器等，也不須要新建站點，只需上線分析日誌選擇策略便可，比 WAF 更加簡單快捷。與此同時，OneRASP 可以看到 IT 系統裏全部用戶行爲的細節，這樣對於提升安全攻擊識別的準確性有很是大的幫助。

客戶反饋

其實，不少電商企業在安全層面都付出了巨大的努力，他們也在嘗試僱傭最有經驗的程序員，使用很是昂貴的分析工具和安全產品，可是依然仍是會存在漏洞，咱們仍是常常能夠在網絡上看到各類用戶數據遭到泄露的新聞。

愛車網的 CEO 範成發表示：「對咱們這些創新型企業而言，咱們但願將大部分精力投放在覈心業務的發展上，可是安全問題對企業而言是大問題，用戶數據對咱們來講就是企業最具價值的「資產」。因此咱們在安全層面願意投入，可是咱們更但願看到效果。咱們也是在免費試用了 OneAPM 的產品以後，才決定在生產系統中進行部署。」

其實，安全防禦就像貓鼠遊戲，沒有起點也沒有終點。任何號稱 100% 保障系統安全的產品都是不可能的，而國際調研機構之因此如此推崇 RASP 這種解決方案，也是源於這是一種動態的解決方案，是面向最底層（代碼級）的防禦，相對於傳統的解決方案而言，更具備普適性，並且防禦能力也很是強大。

「咱們也瞭解過 WAF 的解決方案，不只費用很高，並且對技術的要求也很高，對咱們而言，現階段沒法進行部署。 OneRASP 的解決方案是屬於如今比較流行的 SaaS 部署，對咱們這些中小企業而言更具吸引力，幾分鐘的時間就能夠完成部署，並且費用也是按需付費，很是靈活。還有一點，就是 OneRASP 的界面作的很是的直觀、簡潔，用戶體驗很是好，咱們的開發人員基本上很快就能上手，給咱們節省了大量的人力成本。」

本文系國內 ITOM 行業領軍企業 OneAPM 工程師編譯整理。咱們致力於幫助企業用戶提供全棧式的性能管理以及 IT 運維管理服務，經過一個探針就可以完成日誌分析、安全防禦、APM 基礎組件監控、集成報警以及大數據分析等功能。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客

本文轉自 OneAPM 官方博客