遭受刷驗證碼攻擊後的企安建設規劃感想

i春秋做家：78778443

背景
公司上市不到兩週，便遭受到了黑客攻擊，其中筆者團隊的驗證碼比較容易識別，攻擊者經過ORC識別刷了10幾萬的短信，除了形成一筆資金開銷外，也給服務器帶來了很大的壓力；

而且在阿里雲的控制檯當中天天都能看到不少攻擊信息，卻沒有攔截，緣由是沒有購買WAF防火牆，售後也頻繁催促購買其安全設施；因此技術負責人也開始重視起安全問題來，筆者由於懂一些安全技術，因此老大但願筆者在這方面作一些規劃指導，週末花了點時間根據公司的現狀作了一下規劃設想，下文即是當時的口述彙報，後來整理成了文字版，給讀者作一些參考吧。

網絡安全威脅">1、網絡安全威脅
提到安全可能直覺上會想到安全漏洞，代碼安全等問題，不過安全通常比直覺上的範圍更普遍，主要有來自於六個方面：網絡安全、主機安全、應用安全、數據安全、運維安全、法律風險等。

1.1 網絡層
拒絕服務攻擊，分佈式拒絕服務攻擊（DDoS），是最暴力、血腥、有效的攻擊方式，可直接致使企業雲上業務系統帶寬堵塞。
DDOS攻擊防護有兩個核心點，首先是識別誰是惡意攻擊，另外就是要有足夠的帶寬和服務器性能來處理這些請求，DDOS攻擊是在太野蠻，應對的方法也比較被動，可使用雲平臺的防DDOS產品，但也會有誤傷，因此遇到這種攻擊也只能使用這種無奈的處理來應對。

1.2 主機層
雲主機入侵攻擊，雲主機是企業雲上業務系統的重要承載，攻擊者經過暴力破解或配置漏洞等缺陷入侵雲主機，用以構建僵屍網絡、竊取數據及敲詐勒索等。

主機層的風險一般是一些通用漏洞的風險，好比2016年心臟滴血事件全球的服務器都會受到此影響，所以到相對好處理，咱們可使用阿里雲的安騎士產品，一鍵修復系統中的安全漏洞。

1.3 應用層
Web應用漏洞攻擊，企業雲上業務系統對外提供服務的諸多系統採用HTTP/S應用協議（Web），攻擊者利用Web服務可能存在的諸多漏洞進行攻擊，竊取業務系統數據或權限等。

應用層變動最爲頻繁，每家的應用特色都有一些差別，因此一般應用層受攻擊的可能性最大，要防護此風險須要持續不斷的進行跟進，好比對開發的安全意識，安全開發進行培訓，對項目上線前的測試增長安全測試部分。

1.4 數據層
數據竊取或篡改雲上業務系統數據在傳輸過程當中通過互聯網，可能被中途竊取或篡改，形成數據完整性和機密性受到影響。數據層相對範圍比較廣，好比代碼是否泄漏，是否有數據泄漏，以及頁面掛馬，網站的留言的黃賭毒關鍵詞篩選等，由於這些數據泄漏的途徑會隨着應用層的變化而變化，所以數據層也一樣須要持續跟進。

1.5 運維層
運維人員違規風險操做企業雲上業務系統須要內部人員進行運維操做，如何防範高風險的運維操做相當重要。
不過運維層的操做風險倒也是各個廠家的一些通用風險，所以解決方案也相對較多，好比使用堡壘機在可視化界面上分配權限，這個權限可讓一個帳戶指定開啓多長時間，而且還能夠全程監控，以及操做記錄回查，所以風險不大。

1.6 合規層
國家等級保護2017年6月，國家網絡安全法開始實施，企業安全建設不只僅是內部驅動，同時也有法律驅動。
包括實名制，以及日至留存，制定相應的企業安全防禦策略等。

2、安全制度
大多數人可能想到安全是從安全技術上來解決，實際上安全問題不只僅靠的是技術層面，更多的是從制度上去解決的；

2.1 安全工程化
這裏提一下SDL，SDL是英文字母的縮寫，中文名稱是安全開發生命週期，他是一套安全的生成流程。最開始來自於微軟，在微軟2004年之前windows系統和office中存在大量安全漏洞，爲了解決這些問題提出了SDL，當使用了SDL以後office、windows的安全漏洞大量下降，後來被各個廠商推廣。
SDL從 安全培訓-》需求分析-》設計-》實施-》安全驗證-》發佈-》響應 這7個方面入手，每個環節有相應的安全標準，不過微軟標準版的SDL推廣並非很順利，緣由不少，但標準版SDL比較繁重是一個重要的因素，所以各家都有本身的一套SDL標準，在這方面咱們也能夠進行一些借鑑，制定一套本身的SDL標準，這個標準的制定必定要符合可執行可落地來爲依據，能夠參考我下面的落地實施部分。

2.2 對外溝通
2016年前之前，白帽子發現漏洞在烏雲網報告，烏雲網通知到各個公司，2016年7月以後烏雲網關閉，一批白帽子被抓，致使白帽子發現漏洞不敢報告；不事後來各家開始組建本身的漏洞報告平臺，2017年6月安全法出來以後，大部分公司要合規，所以大一些的公司一般都有本身的安全團隊，好比教育行業好將來的應急響應中心；如今你們發現漏洞一般會報告給對應的平臺的SRC；

好比教育行業的好將來SRC：http://src.100tal.com/

瓜子二手車的SRC：https://security.guazi.com/

以及更多的SRC平臺，以下圖

2.3 安全落地
上面提到了安全工程化，不過SDL的標準對於咱們現階段太過於理想，因此須要針對實際狀況制定一些可落地的方案

安全編程規範
將一些可能帶來安全風險的操做寫入規範當中去，好比參數的輸入輸出，服務器的安全配置，以及代碼的安全發佈流程等。

安全培訓
不少時候開發者並不重視安全，又或許對安全缺少了解，好比系統中有哪些安全漏洞，漏洞的危害和原理是什麼樣的，怎麼去防止這些漏洞等等，大部分開發者的安全意識仍是很弱，和互聯網技術不重視安全也有關係，可能一些開發者知道一些SQL注入、XSS，可是一深刻去問一下，就不知因此然，而開發者對安全起了相當重要的做用，因此頗有必要對開發者進行安全意識和安全基礎技術的培訓，這樣才能從源頭解決安全問題。

代碼審計
這個不論是對於安全的角度仍是對於減小BUG的角度都是頗有必要的一個環節，對每一個項目設定一個代碼審計人員，能夠對此這些審計人員組織一次代碼審計指導；

安全測試
目前咱們項目上線作了充足的功能測試，可是安全測試相對偏少，或者說並不全面，能夠專門針對測試的人進行一些安全工具的測試的指導。

3、安全產品
阿里雲提供的安全產品比較齊全，不過價格比較貴，而目前咱們沒有專門負責安全的人來維護，所以選擇的安全產品方向爲能直接提高安全，這樣才能發揮最大價值，不然便成了手有寶刀，卻無刀法，下面是三個必要的安全產品：

3.1 安騎士
前面提到了主機安全，主機安全不會常常變更，所以應對的是一些通用風險，安騎士提供一鍵修復通用主機漏洞的能力，能夠快速修補主機安全，避免人工去修復並不知道如何去修，或者修復不及時。

3.2 WAF防火牆
WAF防火牆對應的是應用層安全，能夠針對一些代碼級的安全漏洞作一些安全防禦，應用層變化最大，所以必要性比較大，不過要注意的是WAF防火牆只能處理代碼級的漏洞，而邏輯層的卻無能爲力，好比上次的刷驗證碼，防火牆則只能將頻率很是高的IP封鎖，但沒法阻擋刷驗證碼的漏洞問題。

3.3 CA證書
CA證書的做用是HTTPS，是用來對傳輸過程加密，好比服務器提交數據到服務器過程不被攻擊者攔截，又或者咱們服務器的數據不被一些網絡運營商插入廣告等，所以重要性也是十分重要。

另外針對阿里雲的安全產品較貴的，能夠參考也能夠參考其餘家的安全產品，好比百度的雲加速，就帶有了WAF防火牆和防DDOS功能，地址爲 su.baidu.com