飞凡网安全经理林鹏:电商安全的背后躺着无数恶意攻击的尸体

原创
安全 应用安全 开发
2016年6月24日,由51CTO.com主办的【WOT2016企业安全技术峰会】在北京珠三角JW万豪酒店召开。本届大会聚焦企业安全技术,共设置11大技术专场。来自飞凡网的安全经理林鹏,为我们带来了主题为《我的电商安全观》的演讲。演讲结束,51CTO记者在第一时间采访了他。

随着淘宝的崛起,我国的电子商务在呈爆发式增长,每个电商都从单一化转型为多元化发展,同时由于电商的交易环境有着虚拟性和匿名性,安全便成为了成功电商的基石。消费者使用电商进行购买,交易成功便会形成信任,但是当电商受到了恶意攻击,盗取了消费者的信息,甚至对电商本身也造成了直接损失,不仅使电商的信任值会急速下降,还有可能使电商一蹶不振,所以作为电商,应该怎样抵御恶意攻击呢?

嘉宾介绍

[[167857]]

林鹏,万达电商 主任安全工程师,目前负责万达电商的安全工作

首先了解一下恶意攻击行为。恶意行为的判断可分为两种,一个是传统互联网的恶意行为,另一个是属于业务的恶意行为。传统的恶意行为指的是恶意攻击,黑客利用扫描器或者新出的漏洞的exp扫描企业,而这恰巧也考验到了工程师应急响应的能力,对新漏洞的感知能力,以及对攻击方法的实践程度。了解了攻击方法就可以知道相应的防御措施,同时也需要比攻击方更早的发现公司的漏洞 。

在业务方面存在最多的恶意行为就是刷单了,包括恶意注册、套利、刷单等行为,但是业务方面的恶意行为还需要同业务交互,得到攻击方法和行为,再通过技术进行控制。一直以来各大电商和买卖平台都存在着刷单的行为,虽然对企业的购买力造不成那么大的影响,但是却在降低着客户的满意度,达不到企业的宣传效果。刷单的情况在互联网金融上却会造成直接的损失,像时下最流行的注册返现金,如果有人虚假注册,企业就必须对虚假情况买单,这便是最直接的损失。针对对抗刷单这个话题 ,在以前的《解析互联网金融安全里》边有过一些说明,这里就不具体展开说了,总之刷单平台由于利益驱使,而且刷完这家还可以刷别人家,因此对抗他们是一项任重道远的事情。

流量算是电商的生存之本,如果有攻击者针对流量进行分析,又该如何防控呢?HTTPS的方式只能防止大半数的分析攻击,更要阻止其不能渗透到内网进行ARP嗅探,或者私自接网线到交换机,这是对流量最大的威胁。用HTTPS的方式就一定要使用双向校验的基准,不只用来加密还要对服务端进行验证。另外从移动端来说,还可以找老版本的没有做过HTTPS的,虽然有更新的地方,但是不会大规模的进行改动,因此想完全的防控住分析不太可能,所以要尽量做得好。

电商或多或少都会做对用户信息的收集,用来确保用户的后续购买便捷性,然而用户也非常在意像住址、联系方式,甚至是身份证号这些隐私信息的收集会不会被泄露。林鹏告诉我,飞凡网收集的用户信息都是保存在自己的服务器上,并且后续会对收集起来的用户信息做更严格的硬加密,只要是有关用户的相关隐私信息都会使用加密机进行加密,这样即使有外界拿到了信息也无法应用;从内部来讲,像营销活动需要拿到隐私数据,这时就会形成一个闭环,从提取数据到销毁,都要确保隐私信息的不落地,包括对隐私信息数据库的审计,都有着非常严密的措施。

飞凡网的安全团队成立一年多,从填坑式的开始到现在有了一定的规模,是抓到的安全体系问题堆起来的,现在的首要目标就是把安全防御体系建立起来,将业务安全重点提上来。因为开始时不断被攻破,从而累积起来了不少经验,再加上现在和业务部门联合起来,一起挖掘数据,相信飞凡网的未来一定不容小觑。

 

责任编辑:陈琳 来源: 51cto
相关推荐

2022-09-29 11:47:28

漏洞API信息泄露

2015-07-31 17:27:37

飞凡

2010-09-20 11:31:21

2016-11-11 14:13:30

2015-11-19 10:50:17

阿里巴巴庄卓然电商

2011-07-06 14:02:49

2018-08-04 06:23:30

2012-12-28 09:53:22

网络安全电子商务

2013-12-10 15:34:58

2015-07-30 10:01:11

飞凡电商

2013-03-21 11:12:05

2012-08-27 10:56:41

2014-04-09 09:56:53

2012-02-17 09:18:49

电商iPad下架

2016-05-23 15:13:12

2024-12-17 14:55:20

2022-07-18 23:44:32

安全漏洞信息安全

2012-04-16 11:13:22

2009-10-21 11:03:24

2015-08-04 11:02:54

中国网
点赞
收藏

51CTO技术栈公众号