安全無小事！這句話放在互聯(lián)網(wǎng)行業(yè)依然很貼切。對企業(yè)而言，用戶的數(shù)據(jù)信息就是發(fā)展的命脈。但是對安全領(lǐng)域稍微了解的人都有一個共識，那就是網(wǎng)絡(luò)攻擊者所使用的方法、技術(shù)和工具的發(fā)展速度都遠(yuǎn)遠(yuǎn)超過網(wǎng)絡(luò)防御者。而新興的網(wǎng)絡(luò)威脅正在不斷「侵蝕」著企業(yè)的網(wǎng)絡(luò)、核心數(shù)據(jù)以及應(yīng)用程序安全。我們應(yīng)該如何應(yīng)對？

對國內(nèi)新興的汽車電商平臺愛車網(wǎng)而言，對用戶的數(shù)據(jù)信息保護(hù)從來都是 IT 團(tuán)隊工作的「重中之重」。愛車網(wǎng)的 CEO 范成發(fā)表示：「我們是一個年輕的品牌，我們的產(chǎn)品也是為了年輕人服務(wù)。雖然這兩年企業(yè)發(fā)展的很迅速，但是我們深知互聯(lián)網(wǎng)行業(yè)競爭的慘烈，「一著不慎滿盤皆輸」，尤其是在用戶數(shù)據(jù)保護(hù)方面，我們不敢有絲毫的懈怠之心。」

公司背景

成立于2012年的愛車網(wǎng)是一家新興的汽車門戶網(wǎng)站，他們將「年輕就是享受」作為品牌宗旨，不僅僅是為愛車一族服務(wù)，更將觸角延伸到每一位注重生活品質(zhì)的中高端人群，致力打造成為一個集觀賞性、實(shí)用性、互動性為一體的專業(yè)時尚品質(zhì)生活交流平臺。

目前，愛車網(wǎng)主要提供汽車全方位的資訊，新增新車、汽車配件、汽車用品、汽車修理、汽車美容和改裝以及二手車交易等多個板塊，致力于提供最全面的汽車信息，打造最完善的汽車行業(yè)門戶網(wǎng)站。汽車后市場現(xiàn)在是「風(fēng)口」，愛車網(wǎng)也正在努力打造一個「互聯(lián)網(wǎng)」+「汽車后市場」的生態(tài)體系。

面臨的挑戰(zhàn)

隨著汽車后市場的爆發(fā)，目前愛車網(wǎng)的業(yè)務(wù)發(fā)展非常迅速，憑借強(qiáng)大的平臺整合能力，用戶規(guī)模預(yù)計在2016年就能突破100萬。為了滿足用戶的多種需求，現(xiàn)有 IT 系統(tǒng)的復(fù)雜度變得更高，包括云端和移動端的多種服務(wù)。而傳統(tǒng)的安全工具，很難解決一站式解決這些問題；

對互聯(lián)網(wǎng)企業(yè)，尤其是電商企業(yè)而言，用戶數(shù)據(jù)信息關(guān)系到企業(yè)發(fā)展的命脈。任何信息的泄露或者被破壞，對企業(yè)而言都是無法估量的損失。而愛車網(wǎng)擁有大量車主的各種信息資料，面臨泄露風(fēng)險。數(shù)據(jù)安全成為這家新興電商平臺最關(guān)注的核心點(diǎn)；

現(xiàn)在市面上能夠依賴的安全工具不夠快，很難滿足快速檢測、緊急補(bǔ)救和后續(xù)對安全事件進(jìn)行調(diào)查和分析的需求，尤其是面對復(fù)雜多變的網(wǎng)絡(luò)攻擊，傳統(tǒng)的安全解決方案有些「力不從心」，像 WAF 這種專業(yè)級的解決方案，部署的費(fèi)用動輒上百萬，也不是一般的創(chuàng)業(yè)公司所能接受的，而且還需要大量的安全人員進(jìn)行維護(hù)。

安全無小事：如何給企業(yè)用戶數(shù)據(jù)上把鎖？

為什么選擇 OneRASP 這款安全產(chǎn)品？

對愛車網(wǎng)這家電商企業(yè)而言，對用戶數(shù)據(jù)的保護(hù)是最重要的，但是成本也是企業(yè)必須要考慮的關(guān)鍵要素。范成發(fā)表示：「首先，RASP 技術(shù)是得到全球認(rèn)可的一種技術(shù)，而且 OneRASP 是國內(nèi)唯一掌握這種技術(shù)的產(chǎn)品，所以選擇他們也是看中了其強(qiáng)大的防護(hù)能力。而且 RASP 使用的「字節(jié)碼」技術(shù)本身的防護(hù)手段就很高，安裝也很簡單，幾分鐘就能完成部署，也不需要我們修改大量的代碼。再者，從成本上而言，也非常適合中小型創(chuàng)業(yè)公司進(jìn)行采購?！?/p>

其實(shí)，OneRASP 的安全保護(hù)控制點(diǎn)通常放在應(yīng)用程序和其他系統(tǒng)的交互連接點(diǎn)上，包括和用戶、數(shù)據(jù)庫、網(wǎng)絡(luò)以及文件系統(tǒng)的連接點(diǎn)。OneRASP 在這些節(jié)點(diǎn)上監(jiān)聽所有交互行為，一旦發(fā)現(xiàn)威脅行為，在監(jiān)控模式下， OneRASP 會記錄威脅的攻擊路徑，提供如何修復(fù)這些問題的建議并通知安全管理員，在防護(hù)模式下可以實(shí)時攔截威脅行為，比如一旦發(fā)現(xiàn)，有應(yīng)用在訪問敏感數(shù)據(jù)，OneRASP 馬上就會啟動防御機(jī)制。所以從一定意義上講，OneRASP 在保護(hù)用戶數(shù)據(jù)方面，有著非常強(qiáng)大的優(yōu)勢。這也是該產(chǎn)品能夠得到愛車網(wǎng)認(rèn)可的很重要原因。

OneRASP 提供的解決方案

• 傳統(tǒng)安全解決方案越來越難以應(yīng)對，像跨站請求偽造 CSRF、跨站腳本攻擊 XSS、DDoS 攻擊、SQL 注入以及不安全的直接對象引用等多種攻擊模式都會對網(wǎng)站帶來威脅。二 OneRASP 集成了從監(jiān)測到響應(yīng)的能力，為愛車網(wǎng)提供了精準(zhǔn)、持續(xù)、全面的、可視化的安全防護(hù)策略。不僅對威脅等級進(jìn)行了劃分，而且提供了全部規(guī)則集的防護(hù)。

• OneRASP 可以將安全保護(hù)代碼像疫苗一樣注入應(yīng)用程序，全面洞察應(yīng)用程序的邏輯、配置、數(shù)據(jù)和事件流，使應(yīng)用程序能夠自保護(hù)，這就意味著，一旦檢測到異常請求，OneRASP 就會自動啟動防御機(jī)制，尤其是對用戶信息這些敏感數(shù)據(jù)的請求，就像加上一把「安全鎖」，保證了企業(yè)核心數(shù)據(jù)的安全。

• 相比而言，WAF 需要進(jìn)行服務(wù)器、數(shù)據(jù)路操作系統(tǒng)的選擇，新建站點(diǎn)分析，日志配置各種策略。而 OneRASP 直接安裝到服務(wù)器上，不用選擇系統(tǒng)、服務(wù)器等，也不需要新建站點(diǎn)，只需上線分析日志選擇策略即可，比 WAF 更加簡單快捷。與此同時，OneRASP 能夠看到 IT 系統(tǒng)里所有用戶行為的細(xì)節(jié)，這樣對于提高安全攻擊識別的準(zhǔn)確性有非常大的幫助。

客戶反饋

其實(shí)，很多電商企業(yè)在安全層面都付出了巨大的努力，他們也在嘗試雇傭最有經(jīng)驗(yàn)的程序員，使用非常昂貴的分析工具和安全產(chǎn)品，但是依然還是會存在漏洞，我們還是經(jīng)常可以在網(wǎng)絡(luò)上看到各種用戶數(shù)據(jù)遭到泄露的新聞。

愛車網(wǎng)的 CEO 范成發(fā)表示：「對我們這些創(chuàng)新型企業(yè)而言，我們希望將大部分精力投放在核心業(yè)務(wù)的發(fā)展上，但是安全問題對企業(yè)而言是大問題，用戶數(shù)據(jù)對我們來說就是企業(yè)最具價值的「資產(chǎn)」。所以我們在安全層面愿意投入，但是我們更希望看到效果。我們也是在免費(fèi)試用了 OneAPM 的產(chǎn)品之后，才決定在生產(chǎn)系統(tǒng)中進(jìn)行部署。」

其實(shí)，安全防護(hù)就像貓鼠游戲，沒有起點(diǎn)也沒有終點(diǎn)。任何號稱 100% 保障系統(tǒng)安全的產(chǎn)品都是不可能的，而國際調(diào)研機(jī)構(gòu)之所以如此推崇 RASP 這種解決方案，也是源于這是一種動態(tài)的解決方案，是面向最底層（代碼級）的防護(hù)，相對于傳統(tǒng)的解決方案而言，更具有普適性，而且防護(hù)能力也非常強(qiáng)大。

「我們也了解過 WAF 的解決方案，不僅費(fèi)用很高，而且對技術(shù)的要求也很高，對我們而言，現(xiàn)階段無法進(jìn)行部署。 OneRASP 的解決方案是屬于現(xiàn)在比較流行的 SaaS 部署，對我們這些中小企業(yè)而言更具吸引力，幾分鐘的時間就可以完成部署，而且費(fèi)用也是按需付費(fèi)，非常靈活。還有一點(diǎn)，就是 OneRASP 的界面做的非常的直觀、簡潔，用戶體驗(yàn)非常好，我們的開發(fā)人員基本上很快就能上手，給我們節(jié)省了大量的人力成本?！?/p>

本文系國內(nèi) ITOM 行業(yè)領(lǐng)軍企業(yè) OneAPM 工程師編譯整理。我們致力于幫助企業(yè)用戶提供全棧式的性能管理以及 IT 運(yùn)維管理服務(wù)，通過一個探針就能夠完成日志分析、安全防護(hù)、APM 基礎(chǔ)組件監(jiān)控、集成報警以及大數(shù)據(jù)分析等功能。想閱讀更多技術(shù)文章，請訪問 OneAPM 官方技術(shù)博客

本文轉(zhuǎn)自 OneAPM 官方博客