安全无小事!这句话放在互联网行业依然很贴切。对企业而言,用户的数据信息就是发展的命脉。但是对安全领域稍微了解的人都有一个共识,那就是网络攻击者所使用的方法、技术和工具的发展速度都远远超过网络防御者。而新兴的网络威胁正在不断「侵蚀」着企业的网络、核心数据以及应用程序安全。我们应该如何应对?
对国内新兴的汽车电商平台爱车网而言,对用户的数据信息保护从来都是 IT 团队工作的「重中之重」。爱车网的 CEO 范成发表示:「我们是一个年轻的品牌,我们的产品也是为了年轻人服务。虽然这两年企业发展的很迅速,但是我们深知互联网行业竞争的惨烈,「一着不慎满盘皆输」,尤其是在用户数据保护方面,我们不敢有丝毫的懈怠之心。」
公司背景
成立于2012年的爱车网是一家新兴的汽车门户网站,他们将「年轻就是享受」作为品牌宗旨,不仅仅是为爱车一族服务,更将触角延伸到每一位注重生活品质的中高端人群,致力打造成为一个集观赏性、实用性、互动性为一体的专业时尚品质生活交流平台。
目前,爱车网主要提供汽车全方位的资讯,新增新车、汽车配件、汽车用品、汽车修理、汽车美容和改装以及二手车交易等多个板块,致力于提供最全面的汽车信息,打造最完善的汽车行业门户网站。汽车后市场现在是「风口」,爱车网也正在努力打造一个「互联网」+「汽车后市场」的生态体系。
面临的挑战
随着汽车后市场的爆发,目前爱车网的业务发展非常迅速,凭借强大的平台整合能力,用户规模预计在2016年就能突破100万。为了满足用户的多种需求,现有 IT 系统的复杂度变得更高,包括云端和移动端的多种服务。而传统的安全工具,很难解决一站式解决这些问题;
对互联网企业,尤其是电商企业而言,用户数据信息关系到企业发展的命脉。任何信息的泄露或者被破坏,对企业而言都是无法估量的损失。而爱车网拥有大量车主的各种信息资料,面临泄露风险。数据安全成为这家新兴电商平台最关注的核心点;
现在市面上能够依赖的安全工具不够快,很难满足快速检测、紧急补救和后续对安全事件进行调查和分析的需求,尤其是面对复杂多变的网络攻击,传统的安全解决方案有些「力不从心」,像 WAF 这种专业级的解决方案,部署的费用动辄上百万,也不是一般的创业公司所能接受的,而且还需要大量的安全人员进行维护。
为什么选择 OneRASP 这款安全产品?
对爱车网这家电商企业而言,对用户数据的保护是最重要的,但是成本也是企业必须要考虑的关键要素。范成发表示:「首先,RASP 技术是得到全球认可的一种技术,而且 OneRASP 是国内唯一掌握这种技术的产品,所以选择他们也是看中了其强大的防护能力。而且 RASP 使用的「字节码」技术本身的防护手段就很高,安装也很简单,几分钟就能完成部署,也不需要我们修改大量的代码。再者,从成本上而言,也非常适合中小型创业公司进行采购。」
其实,OneRASP 的安全保护控制点通常放在应用程序和其他系统的交互连接点上,包括和用户、数据库、网络以及文件系统的连接点。OneRASP 在这些节点上监听所有交互行为,一旦发现威胁行为,在监控模式下, OneRASP 会记录威胁的攻击路径,提供如何修复这些问题的建议并通知安全管理员,在防护模式下可以实时拦截威胁行为,比如一旦发现,有应用在访问敏感数据,OneRASP 马上就会启动防御机制。所以从一定意义上讲,OneRASP 在保护用户数据方面,有着非常强大的优势。这也是该产品能够得到爱车网认可的很重要原因。
OneRASP 提供的解决方案
传统安全解决方案越来越难以应对,像跨站请求伪造 CSRF、跨站脚本攻击 XSS、DDoS 攻击、SQL 注入以及不安全的直接对象引用等多种攻击模式都会对网站带来威胁。二 OneRASP 集成了从监测到响应的能力,为爱车网提供了精准、持续、全面的、可视化的安全防护策略。不仅对威胁等级进行了划分,而且提供了全部规则集的防护。
OneRASP 可以将安全保护代码像疫苗一样注入应用程序,全面洞察应用程序的逻辑、配置、数据和事件流,使应用程序能够自保护,这就意味着,一旦检测到异常请求,OneRASP 就会自动启动防御机制,尤其是对用户信息这些敏感数据的请求,就像加上一把「安全锁」,保证了企业核心数据的安全。
相比而言,WAF 需要进行服务器、数据路操作系统的选择,新建站点分析,日志配置各种策略。而 OneRASP 直接安装到服务器上,不用选择系统、服务器等,也不需要新建站点,只需上线分析日志选择策略即可,比 WAF 更加简单快捷。与此同时,OneRASP 能够看到 IT 系统里所有用户行为的细节,这样对于提高安全攻击识别的准确性有非常大的帮助。
客户反馈
其实,很多电商企业在安全层面都付出了巨大的努力,他们也在尝试雇佣最有经验的程序员,使用非常昂贵的分析工具和安全产品,但是依然还是会存在漏洞,我们还是经常可以在网络上看到各种用户数据遭到泄露的新闻。
爱车网的 CEO 范成发表示:「对我们这些创新型企业而言,我们希望将大部分精力投放在核心业务的发展上,但是安全问题对企业而言是大问题,用户数据对我们来说就是企业最具价值的「资产」。所以我们在安全层面愿意投入,但是我们更希望看到效果。我们也是在免费试用了 OneAPM 的产品之后,才决定在生产系统中进行部署。」
其实,安全防护就像猫鼠游戏,没有起点也没有终点。任何号称 100% 保障系统安全的产品都是不可能的,而国际调研机构之所以如此推崇 RASP 这种解决方案,也是源于这是一种动态的解决方案,是面向最底层(代码级)的防护,相对于传统的解决方案而言,更具有普适性,而且防护能力也非常强大。
「我们也了解过 WAF 的解决方案,不仅费用很高,而且对技术的要求也很高,对我们而言,现阶段无法进行部署。 OneRASP 的解决方案是属于现在比较流行的 SaaS 部署,对我们这些中小企业而言更具吸引力,几分钟的时间就可以完成部署,而且费用也是按需付费,非常灵活。还有一点,就是 OneRASP 的界面做的非常的直观、简洁,用户体验非常好,我们的开发人员基本上很快就能上手,给我们节省了大量的人力成本。」
本文系国内 ITOM 行业领军企业 OneAPM 工程师编译整理。我们致力于帮助企业用户提供全栈式的性能管理以及 IT 运维管理服务,通过一个探针就能够完成日志分析、安全防护、APM 基础组件监控、集成报警以及大数据分析等功能。想阅读更多技术文章,请访问 OneAPM 官方技术博客
本文转自 OneAPM 官方博客
