风险放大，攻击仍频，2022年终京东安全技术盘点

　　编者按：年近岁逼，2022年12月29日到30日，京麒网络安全大会于线上召开。本次大会由京东安全主办，国内多家安全社区联合推出。
　　会上，来自京东、腾讯、字节、华为、百度、小米、微众银行、奇安信、微博、赛博英杰、卫士通、中能融合等头部企业的安全专家，高校知名教授，就各自涉及或研究的信息安全专业领域，深刻讨论，启发深远。
　　安全没有小战役，2022年依然是寂静搏杀，不平凡的一年，以下为京东集团信息安全负责人耿志峰观点编录。
　　国家级攻击时有发生，供应链攻击、勒索病毒、钓鱼社工攻击层出不穷，西工大的攻击事件、Uber入侵事件、几乎每时每刻都有攻击事件在全球各地发生。
　　国家层面，信息安全已经成为国家安全的一部分。
　　社会层面，诈骗电话正在威胁着用户的财产安全，套路更新，绝大部分情况是A的泄露被安插在B的业务中形成诈骗套路，甚至根本就没有发生泄露。
　　安全手段层面，木桶效应明显。只要存在没有被保护的接口就一定会被利用，只要存在安全意识稍低的员工就一定会被钓鱼。
　　爬虫、套利刷子、社工、逻辑漏洞等攻击对业务，特别是逻辑漏洞，由于与业务需求的强相关性，无法通过常规漏洞发现能力进行覆盖，导致线上逻辑漏洞的暴露超过常规漏洞成为主流，成为黑客的最爱。
　　以账号安全为例，已经从原来简单的账密对抗上升为cookie窃取等技术对抗。同时，我们也发现手机操作系统、K8S等技术基础设施正在被越来越频繁的攻击，业务连续性正在遭受更高级的挑战。
　　多数企业使用的开源组件数量不断增长，并且当前没有对这些组件进行过有效的评估，这么大体量的组件引入势必带来大量的潜在风险。
　　商业层面，业务连续性正在遭受挑战，特别是疫情和国际局势给企业经营带来一定的冲击，降本增效成为主旋律，企业间既竞争又合作的局面愈发明显，任一安全短板也将成为整个供应链中最脆弱的一环，导致全盘受影响。
　　脱离业务谈安全，脱离安全谈技术都不可取。
　　供应链攻击，已经成为第二大受欢迎的攻击手法，上升了742%。从受影响面上看，98%的应用使用了开源软件、开源库或者开源组件，这个数字非常惊人，可谓是牵一发而动全身。
　　通常来说，大型科技企业，海量资产支撑这些业务，上百万服务器，数十万应用，每一条数据，要经过几十个系统，几百个应用，经历几千个员工，这还只是在内部循环。
　　京东以数智化社会供应链为主要经营战略方向，包含9个子集团，多个全资/投后企业，3000+ISV，数十万家商家，在履约环节与多个企业进行合作。
　　因此，供应链安全既重要，又特殊。
　　耿志峰认为，主流风险有以下几种：
　　供应链攻击已经成为黑客常用的方法，避开正面攻击，从供应链伙伴渗透，或者是对企业采取钓鱼等渗透方式，防范难度更大。
　　数据安全角度，从早期的漏洞为代表的网络攻击，逐渐转向对数据供应链上下游企业的攻击，已成为数据泄露的主要原因，例如售卖商品的商家遭到了种马、窃取账号密码、爬取、暴力破解等攻击，发送货物的物流系统遭到了社工、种马、接口破解等攻击。
　　供应链带来的风险正在成为主流。
　　基础安全角度，以开源组件漏洞为代表的技术供应链风险正在成为威胁业务连续性的主流。
　　漏洞安全事件中，黑客利用逻辑漏洞，获得系统权限，盗取和倒卖数据。因逻辑漏洞常常与数据、权限有关，这使得企业面临数据泄露的风险成为主流风险。
　　数据统计显示，60%的数据泄露事件是由内部风险造成的，61%的企业在过去一年遭受过内部威胁攻击，带来的经济损失逐年增长，出现了越来越多的内部信息流出、业务数据窃取，删库跑路，甚至运行实例被删除的稳定性风险越来越高。
　　随着业务的迭代，万名员工乘以海量的数据和系统，使得权限管理越来越不可维护，对公司的商业秘密、业务运营数据保护形成挑战，对公司的基础设施稳定形成挑战。
　　传统的基于网络边界的防护体系已经无法进行有效的安全防护了，必须要有一种能够更靠近被保护资源的防护能力。近几年，零信任安全被认为是解决数智化转型过程中的安全风险的可行性框架。
　　在这些敏感资源面前，零信任就像贴身保镖一样，在尽可能小的范围内构建了一套坚固的保护面，对于针对这些敏感资源的每一笔访问，都会结合主客体身份信息以及访问环境，进行仔细甄别，确保了资源不会被恶意访问。
　　零信任之父John分享了＂零信任如何在网络战争中助你取胜＂，描述了实现零信任的5步法，同时我们也看到了很多种对零信任的不同理解。
　　京东集团信息安全负责人耿志峰则认为：＂不论怎么理解，零信任‘持续验证，永不信任’的本质不会变。＂
　　我们看零信任五个要素和三个重点：
　　由全域资产数字化、全域资产身份化、多元化的安全卡点、持续访问控制、零信任驾驶舱等构成的京东零信任五要素。
　　一、为什么需要零信任驾驶舱？
　　因为零信任驾驶舱是京东零信任的眼睛，它的主要作用是指导安全建设。
　　我们从对手视角，把风险分为黑灰产风险、供应链/商家数据风险、内部员工风险、黑客攻击风险、APT组织风险、商业竞争风险等共6大风险隐患域。
　　我们通过 安全建模、红蓝对抗、 事件运营、外部情报等多种途径来评估这些风险域，从京东资产面临的威胁、脆弱性、自身价值以及安全控制措施因素等方面来进行衡量与描述。
　　通过将风险/隐患/事件与风险库相关联，于是，我们发现95%以上的风险都可以映射到我们打造的驾零信任驶舱风险评估模型里，同时针对这些风险制定相应的治理方案及技术方案，形成了一套全闭环的风险评估应对方案。
　　我们 通过不断迭代优化这套风险评估模型来持续量化评估京东集团整体风险，结合安全能力量化指标和安全能力覆盖率指标，刻画出安全水位分进行可视化呈现。
　　然后，我们通过链接风险、事件、治理、技术和组织，来指导安全建设与风险治理路径规划，同时帮助企业CEO/CSO评估安全建设ROI，最终实现企业风险管理的目标。
　　二、企业到底需要什么样的零信任安全管控体系？
　　经过大量的调研和不断尝试，从资产盘点开始，再将资产身份化，梳理清楚资产之间的主客体关系和数据流动链路，对全域资产进行敏感等级分类分级，结合多样化的安全卡点和策略中心进行持续的风险识别和风险管控，最后将自身的安全技术和行业传统零信任理念相融合。
　　首先是以IT资产数字化为基础，实现资产可见、可知、可管理，然后为企业账号、设备、应用、数据、用户赋予资产身份标识。
　　同时，基于请求链路布局了多元化的零信任安全卡点，实现动态持续风险评估和资产数据收集，并由零信任策略中心根据安全行为基线进行统一评估与响应，实现资产风险可知、安全可控。
　　在零信任动态持续访问控制体系的底座之上，通过零信任驾驶舱实现企业风险管理的目标。
　　三是供应链安全必须全链路可感可控可信
　　京东集团作为新型实体企业，业务形态复杂多变，供应链从自动送货机器人的芯片、云原生环境到三方开源软件组件等等，这些对安全治理提出了更高的要求。
　　我们围绕可感可控可信三个维度，对集团供应链安全分为上中下游三个部分进行建设。
　　在上游的芯片、服务器、操作系统、虚拟化技术等领域，我们预研了基于芯片级信任链的可信验证、可信启动、可信计算能力，应用在IDC、云底座和智慧物流设备上，并持续投入研究力量进行前沿漏洞挖掘，提前消除风险。
　　在中游部分，联动DevSecOps平台和可信根，依托于容器安全与K8S安全能力，我们正在探索并建设云虚拟化与容器的可信安全体系，为业务打造原生的安全运行时环境。
　　在下游部分，我们对三方组件的引入进行卡点，依托于组件感知能力对已引入的三方组件进行风险摸排和管控，针对频发高危漏洞的组件进行加固，从根本上避免风险再次发生。
　　此外，我们建设的漏洞挖掘平台也会持续地对常用三方组件和系统进行漏洞挖掘，特别是进行变种分析，以提前发现新的未知0day。
　　供应链安全能力不仅用于运行在集团内环境的业务上，也会反哺运行在外部不可控环境中的业务，例如客户端App、广告业务等，为其消除和避免被黑灰产攻击所带来的风险。
　　我们都是社会供应链上的一环，不论是商品供应链、服务供应链、物流供应链，还是数智供应链的＂数智化社会供应链＂，在黑灰产眼中是不分企业的，协作和开放不是空谈。
　　如今，零信任已经在京东大范围落地，在敏感接口发现、未鉴权接口发现、用户异常访问行为监控、资源恶意爬取、异常行为阻断等能力上已经取得了大量战果。
　　通过发现的对外敏感接口，明确了我们要重点保护的资源；通过发现的未鉴权接口并推动业务方进行及时治理，使业务应用的安全风险进一步降低；通过对异常访问行为的监控发现，让数据泄露能够及时被阻断，同时也能提供线索对黑灰产行为进行及时打击。
　　我们以白行为的思路持续验证保障每一次请求行为都符合业务的预期，保障业务的每一份资源都用在真正有业务价值的请求上，经历冬奥、春晚、历次大促，京东安全越来越成为保障助力业务的合作伙伴。
　　最后，我们计划将京东零信任安全体系打造成一个通用的标准底座。 将安全能力的价值最大化，打造服务于产业链供应链的安全生态，保障供应链复杂环境下的数字化生态。
　　（完）
　　亲爱的数据，出品