資訊專欄INFORMATION COLUMN
摘要:而且在我們這種創業公司,這些安全方式很難實踐。沒有足夠的資源和時間,來按照大公司的安全實踐來保障產品的安全。但是安全又是互聯網金融產品至關重要的事情,一旦受到攻擊,進而導致信息泄密或者數據庫破壞,后果不堪設想。
前言
我們是一家普通的 P2P 網貸平臺,隨著用戶量和交易量的上漲,十幾個人的研發團隊面臨了很大的挑戰。雙十一開始,平臺受到了不少黑客的攻擊,保證安全的重任也落到了我們研發團隊的身上。
看到過一個數字,在2014年,超過160家 P2P 平臺由于黑客攻擊造成系統癱瘓、數據被惡意篡改、資金被洗劫一空。為了讓平臺更好的抵御外部侵襲,我們做了很多努力,下面就分享下我們在安全保護方面的一些實踐。
成熟的企業主要通過以下幾個方面的工作來保障安全:
制定代碼規范和安全代碼規范,培訓相關開發人員熟悉代碼規范,在源頭保障代碼質量
制定統一開發模板,確保每個人編寫 code 格式一致
進行嚴格的功能設計,技術設計,架構設計和代碼的評審,確保設計和代碼質量
在代碼提交時用類似 checkstyle 等工具對代碼規范進行檢查,確保代碼規范。
使用代碼靜態、動態分析工具進行掃描,比如 Java 使用 Findbugs,PWD 等工具。
最后就是購買商業掃描工具進行漏洞檢測。比如 Qualys 是特別好的漏洞掃描工具
不過感覺做了這么多,其實還是不能確保平臺的安全。第一、項目中通常會使用大量的第三方軟件,包括開源的和商業軟件,這些軟件漏洞不是自己能掌控的。其次、所有的檢查都是有局限性和時效性的,只能確保修復這些軟件掃描出來的漏洞,無法保障運行時新出現的漏洞,而通常這些新的攻擊也會經常遇到。
?
而且在我們這種創業公司,這些安全方式很難實踐。作為 P2P 的平臺,尤其是在創業階段,要求產品的迭代周期非常的快,實現功能和保障質量是第一優先級。人才招聘也是非常難的一件事情,尤其是找到能書寫安全代碼的程序員幾乎是不可能的事情。如何保障產品安全,讓我們一直非常頭疼。沒有足夠的資源和時間,來按照大公司的安全實踐來保障產品的安全。但是安全又是互聯網金融產品至關重要的事情,一旦受到攻擊,進而導致信息泄密或者數據庫破壞,后果不堪設想。
于是我們嘗試了以下兩種方法:
第一種是通過流程和靜態、動態掃描工具來確保代碼符合安全規范。因為面對功能和上線的壓力,再加上程序員的實操能力,都使我們的嘗試沒辦法較好的實施。通過代碼質量來保障安全,就是0和1的游戲,減少漏洞是唯一的選擇。沒有漏洞被發現就是1,發現一個漏洞并被利用就是0。
第二種是通過掃描和滲透工具,感覺應該是一種方便快捷的方式。它從使用者的角度來攻擊系統,這樣的攻擊是非常實時和有針對性的。
我們使用了幾種在線的掃描工具:
1.阿里的掃描工具: http://sts.aliyun.com/ ,經過掃描是安全的。
2.百度云測 http://ce.baidu.com/ ,掃描結果同樣是安全的。
3.這樣的結果讓我們非常疑慮,沒有經過安全流程考驗的代碼居然沒有任何安全問題,我有點懷疑這些掃描工具的效果了。于是下載了Nessus家庭版安裝到本地,對我們的服務平臺進行掃描,結果也并不理想,沒有發現特別有意義的漏洞。
4.還有一種解決方案就是購買Web應用程序防火墻(WAF)。但通常 WAF 非常昂貴,比較好的 WAF 一般在幾十萬上下。這對一般的創業企業是一筆很大的開支。我們暫時還下不了這個決心去購買。
使用這些掃描器后沒有發現嚴重的問題,并沒有讓我們安心。
憑經驗感覺,沒有經過嚴格安全流程的代碼是不可能沒有漏洞的。于是我們就想通過類似 SQL 注入的工具,通過單項滲透測試來檢查是否有漏洞。在百度上搜索「sql注入」的關鍵字,發現了一種實時應用防護的方式 RASP。以前也曾經關注過國外這方面的資訊,沒有想到,國內公司現在也有了類似產品 OneRASP,于是趕緊 down 下來試試。
團隊經過頭腦風暴,決定把 Nessus 和 OneRASP 結合起來。Nessus 作為攻擊方,將 OneRASP 放入到應用程序中,作為防御方(只啟動監控模式),這樣應該能夠找到平臺的一些漏洞。說干就干,安裝過程還是挺簡單的。
首先需要注冊一個賬號,然后下載一個探針,將探針解壓到tomcat目錄下。配置catalina.bat:set CATALINA_OPTS="-javaagent:C:UsersoneDownloadsagent_a3483efc-a4ed-4a86-bde1-910012383309OneAppDefenderlibRaspAgent.jar %CATALINA_OPTS%"。最后重啟tomcat就 ok 了。
好了,萬事俱備。看看效果怎么樣。啟動 Nessus 對加了探針的程序再次進行掃描,毫無疑問,得到的掃描結果沒有什么變化。不過我們最關心的還是 OneRASP 抓到什么內容,于是登錄官網進入后臺頁面。心里還真有點小激動,頁面雖然非常簡單,但是抓到了不少漏洞,沒有讓我們的努力白費。
所有漏洞一目了然,最有價值的就是可以將漏洞定位到應用程序的代碼行。比如SQL注入發生在哪一行代碼里面,是哪個 SQL 語句造成的,一目了然。
跨站攻擊發生在那個 JSP 頁面也非常清楚。
有了這些信息,程序員就可以非常方便的知道,去哪行代碼里面修改這個漏洞。然后我們下載了幾個比較好的掃描工具,比如 Qualys,ZAP,AppScan 等,分別對我們的程序(綁定 OneRASP 探針)進行掃描,兩天時間所有漏洞全部修復完畢。
通過這種組合掃描/修復的方式,對我們產品的安全性信心提高了很多,同時對 RASP 這種方式也充滿了興趣。掃描工具畢竟是只能針對固定的攻擊手段,在實際的環境里攻擊手段是多種多樣的。很多攻擊是有針對性的攻擊,不是掃描工具能夠覆蓋的。
既然在監控模式下能檢查出這么多的問題,能不能把它放在我們的生產環境呢?任何東西放入生產環節都是有風險的,可能影響我們系統的性能以及穩定性。為了避免這種風險,我們對注入 OneRASP 安全探針的系統進行為其兩天的高并發性能和壓力測試,結果和官方性能報告出入不大。對內存、CPU 和響應時間的影響在 5% 左右,沒有發生系統崩潰和內存泄露問題。系統啟動時間增加了 4% 左右,這種性能消耗完全可以接受。以下是性能數據:
內存影響:
CPU 影響(我們這個程序對CPU使用比較高):
我們將 OneRASP 應用到線上環境,為了避免誤殺,啟用了監控模式運行了大概一個禮拜。結果真是讓我們大吃一驚,一個禮拜的時間發現了不少攻擊行為,幸好問題都不算太嚴重。在確認沒有誤殺的情況,我們開啟了保護模式。到現在為止基本沒有導致性能和系統問題,防護效果也挺不錯。下圖是初期監控模式下,半個小時的攻擊情況:
經過這么多的嘗試,發現將 OneRASP 的產品和掃描工具結合起來,應用在開發和測試階段,是一種有效的滲透檢測手段。目前我們在持續使用,很容易上手,不需要專業的安全管理人員,而且不需要購買額外的服務器和修改任何應用程序代碼。
重點是,目前還免費開放使用,這對我們這種創業公司來說,是非常贊的。OneRASP 在非常短的時間里,可以將代碼安全等級提升一個檔次。不過唯一的代價,就是額外消耗一些系統資源。不足的地方就是,現在支持的保護規則偏少,只有 XSS、SQL 注入、已知漏洞掃描工具檢測等6 種。而且頁面設計交互性不強,沒有自定義規則等。不過對于大多數創業公司來講,第一階段的應用防護應該夠用了。
【編者按】本文經過作者同意,已經授權 OneAPM 官方技術博客進行轉載和發布。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11154.html
摘要:跨越大關是基金會的一個不可思議的里程碑,特別是在我們的最終用戶社區中有超過家組織。提供日本長期運行的首要解決方案,這是移動商務安全部署的關鍵推動因素。 基金會達到會員里程碑,包括Booz Allen、愛立信和SimpleNexus在內的59家組織加入支持 showImg(https://segmentfault.com/img/bVbpJJq); 加利福尼亞半月灣 - 2019年3月1...
摘要:跨越大關是基金會的一個不可思議的里程碑,特別是在我們的最終用戶社區中有超過家組織。提供日本長期運行的首要解決方案,這是移動商務安全部署的關鍵推動因素。 基金會達到會員里程碑,包括Booz Allen、愛立信和SimpleNexus在內的59家組織加入支持 showImg(https://segmentfault.com/img/bVbpJJq); 加利福尼亞半月灣 - 2019年3月1...
摘要:以區塊賦能,鏈接未來為主題的中美創投峰會區塊鏈論壇于美國當地時間月日下午在硅谷成功舉辦。本次中美創投峰會區塊鏈論壇鏈接了中美科技和投資社區,搭建了區塊鏈行業創業者開發者和投資人之間溝通和合作的橋梁。 以「區塊賦能,鏈接未來」為主題的中美創投峰會區塊鏈論壇于美國當地時間 7 月 21 日下午在硅谷成功舉辦。本次大會由金融科技專業資訊平臺鏈聞 ChainNews,攜手傳播中國聲音的權威媒體...
摘要:前言之前的一個人安全部的大師傅把我們拉在了一起,然后逐漸發現群里大師傅們也發了建設經驗文章。月入職,一家具有支付牌照的互聯網金融公司,網絡運維部下。 前言 之前的一個人安全部的77大師傅把我們拉在了一起,然后逐漸發現群里大師傅們也發了建設經驗文章。好吧,這么懶得我也分享下自己的經驗,也就當對這2年多來的甲方經驗的總結。感謝群里的小伙伴們,感謝安全圈的各路大牛們和小伙伴們的幫助,更感謝朝...
摘要:一些研究表明,數據中心消亡的傳言被人們夸大了。它將大數據的增長和各類非結構化數據歸因于金融服務行業對設備的投資。公司還表示,大數據技術在促進創新的金融科技創業公司的創建和成功方面發揮著關鍵作用,尤其是在線貸款替代保險和匯款領域。如今,盡管云計算得到更多的應用和增長,但很多企業仍然需要內部部署的數據中心。一些研究表明,數據中心消亡的傳言被人們夸大了。另有研究表明企業的IT支出全面增長,而研究機...
閱讀 3277·2021-11-24 09:38
閱讀 2152·2021-11-23 09:51
閱讀 1742·2021-10-13 09:39
閱讀 2615·2021-09-23 11:53
閱讀 1401·2021-09-02 15:40
閱讀 3653·2019-08-30 15:54
閱讀 1127·2019-08-30 13:04
閱讀 2559·2019-08-30 11:01
