电商上云安全的攻与防-云原生基础安全最佳实践.docxVIP

电商上云安全的攻与防

-云原生基础安全最佳实践

目录Menu

1.电商业务上云面临哪些安全风险？

2.如何构建云上基础安全防御体系？

3.云上安全建设价值和优秀实践

80%32% 遇到过安全攻击 存在重大BUG40%2%安全投入占比低不具备防护能力电商业务上云安全洞察

80%

32%

遇到过安全攻击

存在重大BUG

40%

2%

安全投入占比低

不具备防护能力

机会与挑战并存

机会与挑战并存

两面夹击

两面夹击

近年来，大批电商企业在依托线上销售渠道赋能，也把业务转移到了云上。业务上云过程中所面临的挑战中，安全问题排在首位。部分企业陷入被传统安全问题和新生云安全威胁两面夹击的困境。

业务损失

业务损失

据IBMSecurity统计，电商行业在攻击最严重的行业排名中跃升至第二位，全球每分钟由于网络入侵造成的损失为1.77万美元（包括直接损失以及系统恢复成本、业务中断成本等间接损失）。XX监测到的企业信息安全事件就超过1万起，并且每一起给企业造成的直接经济损失都超过了100万元。，并有继续快速增长的趋势。

原因是电商企业持有大量的敏感个人信息，安全基础薄弱，网络攻击成本低，对于黑客来说，是比较好的标靶。

攻击视角：电商业务平台面临的安全风险

视频监控器/摄像头/LED大屏

视频监控器/摄像头/LED大屏

查找共享目录说明文档/配置文件错误配置的Suid、GuidCrontab第三方服务/应用漏洞滥用sudo权限的应用基于端口基于服务旗杆攫取

查找共享目录

说明文档/配置文件

错误配置的Suid、Guid

Crontab

第三方服务/应用漏洞

滥用sudo权限的应用

基于端口

基于服务

旗杆攫取

系统内核漏洞

第三方服务/应用漏洞DLL劫持

计划任务

Windows

编码

加壳

白名单绕过进程注入

内存加载

……

系统/数据库/中间件特性畸形协议/请求HTTP参数污染编码/双重编码WAF自身缺陷推测WAF规则，绕过规则用户名/密码身份证信息组织架构数据库信息通用漏洞扫描器高价值文件Web应用扫描器获取此类网站代码进行代码审计VPN认证凭据运维密码本注册人反查域名注册邮箱反查域名

系统/数据库/中间件特性

畸形协议/请求

HTTP参数污染

编码/双重编码

WAF自身缺陷

推测WAF规则，绕过规则

用户名/密码

身份证信息

组织架构

数据库信息

通用漏洞扫描器

高价值文件

Web应用扫描器

获取此类网站代码进行代

码审计

VPN认证凭据运维密码本

注册人反查域名

注册邮箱反查域名相似域名发现

IP反查域名

C段存活主机探测C段常用端口探测

WebDAV

UDP反射

TCP反射

四层CC

UDP无特征

慢速攻击

网络漏洞扫描器*inuxNFS反病毒Github邮箱Baidupan历史漏洞信息

网络漏洞扫描器

*inux

NFS

反病毒

Github

邮箱

Baidupan

历史漏洞信息

Web应用防火墙针对性连接自动化测试无法涵盖的内容关联域名发现当前网络连接分析使用的网络协议使用的代理服务器路由检测网络拓扑说明文档配置文件私有方式下的研究Wiki

Web应用防火墙

针对性连接

自动化测试无法涵盖的内容

关联域名发现

当前网络连接分析

使用的网络协议

使用的代理服务器

路由检测

网络拓扑

说明文档

配置文件

私有方式下的研究

Wiki

IP发现

高防方案

自动化测试手工方法测试SVN/Git子域名发现互联网信息收集发现同类型站点源代码配置yywr/帐号密码

自动化测试

手工方法测试

SVN/Git

子域名发现

互联网信息收集

发现同类型站点

源代码

配置yywr/帐号密码

备份漏洞测试本地备份文件中央备份服务器远程备份方案初步分析绕过防御机制

备份

漏洞测试

本地备份文件中央备份服务器远程备份方案

初步分析

绕过防御机制

域名发现漏洞研究服务器信息收集

域名发现

漏洞研究

服务器信息收集

权限提升攻击实施后渗透漏洞分析获取敏感信息

权限提升

攻击实施

后渗透

漏洞分析

获取敏感信息

信息收集

端口扫描漏洞验证攻击途径

端口扫描

漏洞验证

攻击途径

横向渗透权限维持清理痕迹

横向渗透

权限维持

清理痕迹

Bits后门1day攻击钓鱼攻击Web系统扫描结果关联分析logon后门

Bits后门

1day攻击

钓鱼攻击

Web

系统

扫描结果关联分析

logon后门

网站关键信息收集

弱口令浏览器本地信息收集模糊测试（Fuzzing)逆向分析流量分析效果确认确定攻击路径手工验证数据库开放端口端口协议服务类型探测

弱口令

浏览器

本地信息收集

模糊测试（Fuzzing)

逆向分析

流量分析

效果确认

确定攻击路径

手工验证

数据库

开放端口

端口协议

服务类型探测

Wi