企业运营后台之数据安全

地点、设备
What Who
请求内容、响应内容 身份
What
request
response
request
response
Who
Username&password登陆
成
功
登
Set-Cookie：session cookie
陆
用户信息加密存储到 session cookie
suricata
Session
• Kafka • Storm/Flink/Spark • ES/Hadoop
运营系 统网络 流量镜
像
Suricata http 静态资源 request& kafka
排除 response
分析
加密
ES/Had oop
分析
个人信息
事件/配置管理后台
业务商密
配 置开 关敏 注发 规感 则习
信
信 息 记 录 ， 打 标
企业运营后台之数据安全
目录
0
数据泄漏现状
1
管理不善
黑客 数据 供应 攻击 泄漏 链
未知
目录
0
运营后台溯源/分析系统
2
运营后台现状
明暗 水印
理想：全脱敏 访问
现实：业务需要未脱敏数据 业务脱敏不全
DLP
敏感信
商密数据
息复制
分析/溯源要素
运
营
系
统
网
Suricata
络
流
量
镜
像
When
时间
Where
Thanks 招数据安全实 时 分 析 规 则信 息 精 准 化 分 析
产 出 安 全 告 警
惯
息
Storm/Flink
T+N 场景挖掘 机器学习聚类 场景规则提炼
Spark
风险捕获
挑战
• 事件关联分析（DLP、VPN、考勤、排班） • 事件运营，反推业务脱敏，问题定性较难 • 场景覆盖率，过多依赖于经验和事后挖掘 • 有据，未知理，why？？ • UEBA • 加密流量
NIC Packet 1
Packet 2 Packet 3
Queue0
Packet 4
Packet……
Queue1
Symmetric RSS
Suricata Workers thread
Suricata Workers thread
NIC Packet 1
Packet 2
Packet 1
Packet 2
http
http parse
Sport&Dport
TCP Reassembly
CoumputerRssHash( HttpRequest) CoumputerRssHash( HttpResponse)
SIP&DIP IP fragmentation
IP fragmentation
Flow trace client & server
cookie 解密
轻量级落地
• Suricata • Luajit
Suricata
运营系 统网络 流量镜
像
正则匹配关心的敏感信息，解密身份 信息，记录4W
https://suricata.readthedocs.io/en/suricata-4.1.5/lua/index.html
复杂化落地
• Suricata • Luajit • librdkafka/Cjson
Queue0
Queue1
CoumputerRssHash( HttpRequest)
CoumputerRssHash( HttpResponse)
/~kyoungsoo/papers/TR-symRSS.pdf
• Suricata runmode：workers • RSS queues >= workers threads • Symmetric RSS • Suricata worker cpu affinity & priority • Stop irqbalance & irq cpu affinity
目录
0
一条http流量还原的路径
3
Packet Capture Packet Capture
Runmodes
• single • autofp • workers
Decode、Stream app layer、Detect、outputs
RSS（Receive Side Scaling）
HTTP流量还原