『WooYun首届互联网金融沙龙全程内容』

2015年11月12日下午，乌云在798的WooYun Club举办了P2P金融专场线下沙龙。

今年九月份，乌云发出了一份有关P2P行业安全问题的报告，这份报告通过数据以及真实漏洞案例说明了P2P金融行业正面临着的安全上的巨大挑战，本次的乌云沙龙旨在讲述P2P金融行业的安全问题，和大家一起讨论应对方法。

沙龙开始的这天下午，北京的天气不算太好，WooYun Club的门前也是一地的落叶，虽然略显萧条，但并不影响大家有些小激动的心情，毕竟这是第一次乌云主办的面向行业的沙龙。

沙龙在下午亮点正式开始，主持人是乌云白帽子301。他简单介绍了一下沙龙的议题。此次沙龙共有五个议题，分别是来自乌云白帽子苏嘉鹏的《互联网金融现状》、乌云白帽子林鹏的《再议互联网金融安全》、积木盒子运维总监汪辰的《积木盒子运维&安全实践》、乌云高级安全顾问王涛的《乌云助力互联网金融安全》以及知道创宇李伟辰的《DDos综述》。

1、从乌云看互联网金融安全现状

简短的开场之后，开始了第一个议题——乌云白帽子苏嘉鹏带来的《互联网金融现状》。

他先通过《乌云爆告-2015年P2P金融网站安全漏洞分析报告》中的图表数据说明了P2P行业遇到的安全挑战。截止到今年6月底，全国共有3547家网贷平台，全国P2P网贷平台平均注册资本为2468万元。从漏洞数量上来看，2015年P2P网贷平台漏洞相比2014年增加了40.7%。

之后苏嘉鹏用乌云众测中的相关漏洞案例说明了P2P行业现在出现较多的一些安全问题。他提到主要问题出现在三个方面：
1.人员安全；
2.Web应用和运维安全；
3.第三方安全。

人员安全主要体现在P2P企业中相关人员的安全意识。苏嘉鹏用“屡试不爽的企业邮箱”、“程序猿最喜欢的github”、“便捷的云服务”以及“‘方便’的社交软件”说明了人员安全意识对于企业安全建设的重要性。

在乌云众测遇到过的项目中，就经常出现因为企业邮箱密码过弱或者和一个密码多处使用造成密码泄漏，使得企业邮箱被黑客掌握，造成企业内部资料被获取；另外，由于一些程序员安全意识的不足，将企业重要信息，例如代码、内部结构等上传至GitHub，也会给企业安全造成严重威胁；还有，类似云盘等云服务和一些微博、微信等的社交工具也有可能泄漏企业相关信息，形成安全隐患。

最后一幅图总结人员安全意识对企业安全的影响。

接下来是Web应用和运维安全以及第三方安全。互联网金融既然架设在互联网上，必然需要注意Web应用和运维安全相关问题，而现在随着互联网金融行业的扩大，和第三方业务交互的地方也越来越多，使得第三方安全也成为了影响互联网金融企业安全的一大因素。

安全无小事，有时由于git或者svn配置不当也有可能造成一系列的安全问题，还有那些看似毫无危害的小漏洞和小疏漏，在黑客手里也一样能被玩出花样。苏嘉鹏表示在众测项目中就曾遇到过上述情况，白帽子通过看似无用的XSS顺利拿到了管理员的登录凭证，还有白帽子通过下载到企业和企业客户间的合同获取到了大量敏感信息。他还提到了企业一些敏感后台及核心系统对外的现象，同时一些P2P平台还存在一些让人匪夷所思的漏洞，例如在某平台可以通过技术手段，使其消费金额中出现负数；还有利用A用户重置密码的短信验证码重置了B用户的密码等...这些真实案例都在告诉着我们安全无小事，互联网金融的整个安全体系架构需要注意每一个不起眼的地方。

苏嘉鹏分享完议题之后有几位厂商进行了提问，作为观众的笔者认为，P2P行业由于前期专注于行业发展，所以在安全上的投入不算太多，而现在P2P行业逐渐走入大众视野，也正在成为全球黑客眼中的待宰羔羊，在这样的形势下，对于P2P行业的安全挑战只会越来越严峻。厂商应该开始正视自身安全缺陷，积极寻求解决办法，在危害发生之前就及时止损。

2、积木盒子运维&安全实践

第二个议题来自于积木盒子运维总监汪辰，他分享了积木盒子在运维安全上的做法及经验，主要从基础设施、安全设施以及业务安全来介绍。

积木盒子作为现在互联网金融行业之中排名靠前的P2P网贷平台，他们的安全建设是如何做的呢？

在基础设施部分，汪辰将其分为“代码管理”、“发布管理”、“任务调度”以及“配置管理”四个部分，这基本包括了运维中的主要流程。在谈到配置管理时，他提到了SaltStack和Etcd。SaltStack是一种全新的基础设施管理方式，很容易就可以管理上万台服务器，速度够快，服务器之间可以实现秒级通讯；而Etcd则是用于服务发现的键值存储系统，主要用于共享配置和服务发现。汪辰分享了积木盒子的SaltStack基础环境配置和Etcd配置的经验。

接下来他继续分享了他们在安全措施和业务安全上所做的努力。安全措施主要分为三部分：监控措施、数据安全和网络安全。其中监控措施又包括基础监控和行为监控两大部分。由此可以看出积木盒子在监控上做的还是较为全面的。在说到关于数据安全时，汪辰也给出了自己的建议。

关于业务安全，他从积木盒子的整个运营架构谈起，分享了他们评判项目运营健康度的标准。最后他针对为什么需要信息安全给出了自己的答案，同时向大家介绍了乐融多源信息安全管理体系、信息安全控制措施以及认证介绍。

从这个议题中，我们可以感受到积木盒子成为现在P2P行业中名列前茅的网贷平台是有原因的，他们对于安全的重视程度也从侧面体现了他们对用户的安全保障。

在之后的互动环节中有观众提到了现在P2P行业中普遍存在的薅羊毛现象，这在第三个由乌云白帽子林鹏带来的议题中给出了建议和看法。

2、再议互联网金融安全

林鹏带来的议题是《再议互联网金融安全》，他从宏观环境谈起，认为风控是互联网金融的核心，而在投资者看来不跑路的平台才是好平台。

他将互联网金融安全分为了互联网安全和金融安全来谈。在谈到互联网安全时，他也提到了密码找回、平行权限等网络安全问题，并针对DDos、GitHub以及CDN给出了善用缓存、提高人员安全意识以及选择靠谱的运营商等建议。

在金融安全上，他则说起了大家较为关心的羊毛党问题，浅谈了针对P2P平台的风控措施。羊毛党是现在P2P行业都较为关心的一个问题，对此林鹏给出了自己的建议：降低收益成本；活着；增加资金回收复杂度。针对用户群，林鹏给出了一些从网络上收集到的数据，说明了用户的可信程度和企业风控之间的关系。最后他从个人贷款和企业贷款两个方面给了企业一些关于风控的建议。

林鹏的议题分享触碰到了P2P企业目前在风控和安全上的痛点，也依照他的个人经验给了企业一些很有用的建议，希望能给到场的厂商一些启发。

议题结束之后，中间迎来了一个简短的茶歇，此次负责活动的妹子很贴心地准备带有乌云特色的小点心，也是萌萌哒。

3、乌云助力互联网金融安全

短暂的茶歇之后，迎来了乌云高级安全顾问王涛的议题——《乌云助力互联网金融安全》。

2015年上半年互联网金融成交总额达到3300亿，是去年成交总额的7.2倍，预计2015年全年成交总额有望超过8000亿。在这样一片大好的形式下，黑客们也在蠢蠢欲动。2013年8月到10月间，黑客谭登元、郎小龙就入侵了多家P2P平台，非法骗取人民币157，2356.15元。由于安全问题，很大一部分被攻击的P2P平台损失惨重，光是深圳、浙江两地就有20多家平台跑路。

由此引出了互联网金融现状：市场前景广阔、发展势头迅猛，但是安全相对薄弱、安全威胁企业生存。现在的P2P企业规模大小不一，大部分企业无专业的安全人员，而安全成本很高，造成企业无法独自面对互联网安全威胁。

这带来P2P企业在安全上的思考：在安全方面投入了越来越多的钱，却发现安全上的问题越来越多。

对此，王涛给出了自己的答案：安全不应该是设备，是服务。设备不是全部，是补丁。针对P2P企业面临的安全问题，乌云也在努力。首先乌云通过已有的白帽子资源为企业提供长期的安全服务，服务模式为先诊断，再开药——专注于第三方的安全评估，让无限的社会资源为企业服务。

王涛提出乌云是一个生态圈，是安全领域中的滴滴。毫不夸张地说，乌云有无限的白帽子资源，有无数的漏洞积累，与乌云合作，其实是跟整个中国互联网合作。

之后王涛给出了乌云在互联网金融安全方面所做的努力以及乌云的安全服务理念。

乌云现有的安全服务有乌云众测和唐朝安全巡航，乌云众测更像是专家门诊，深入地为企业发现安全问题并给出解决建议；而唐朝安全巡航则是家庭医生的角色，长期定期地、贴身地为企业提供安全监测以及解决方案。在P2P平台的风控，例如羊毛党这类的事件上，唐朝安全巡航也给出了自己的安全策略，如通过对注册手机号的信息收集以及行为分析等给出相应判断。

之后王涛又陆续介绍了乌云现有的其它安全服务——安全培训、安全咨询、三个白帽、乌云安全中心。

最后为了让企业更加了解乌云，了解乌云在安全上能够给互联网金融起到怎样的助力作用，王涛还对乌云团队以及乌云安全服务目前取得的成果做了相关介绍。

笔者认为乌云在安全领域的权威性我们不可否认，在拥有巨大安全资源的情况下，乌云想的更多的是如何让现有资源发挥它应有的价值。从乌云现在给出的答案看来，它正在让手中的资源发挥自身价值，也真的在为企业做着安全上的助攻。

4、DDos概述

最后一个议题是来自知道创宇工程师李伟辰的《DDos综述》。P2P企业多少应该都遇到过DDos这个问题，在前面议题的互动环节中其实已经有观众提出了有关DDos的问题。李伟辰从自己长期的工作经验中给出自己的建议。

他先从已知的DDos攻击手段开始，一一介绍了这些攻击方式出现的原因以及应对方案。

针对DDos，李伟辰给出了企业可以做出的防御手段：增加带宽、在上游网络进行流量清洗、单向TCP代理、抑制仿冒IP地址。

最后，李伟辰提到了肉鸡给企业带来的挑战：真实的IP、合法的协议特征、难以区分真实请求与攻击流量以及CC攻击。针对这些肉鸡带来的挑战，李伟辰也给出了六大应对措施：1.基于云构建防御平台，储备大量带宽，通过云安全平台共享带宽；2.上下联动全网防护；3.维护全网肉鸡库，实时比对攻击报文来源，根据IP健康情况制定策略；4.学习自然人的行为和机器行为，根据识别结果标记访问来源；5.及时修复相关漏洞；6.基础设施革新。

感谢李伟辰的议题分享，DDos作为安全攻击中的流氓，一直让企业觉得很头疼，毕竟带宽是不能无限增大的，李伟辰带来的应对措施给了企业一个很好的参考。

到最后一个议题结束，本次沙龙也圆满结束。感谢每一位演讲者给我们带来的启发和建议，希望每一个议题的分享都带来它应有的价值。虽然活动结束了，但对于互联网下的金融安全的探索并没有结束，互联网化的生活在带来便利的同时也带来了一系列的挑战，相信乌云以互联网化的方式应对互联网化带来的挑战的策略一定会带来想要的成果，P2P行业在飞速发展的同时也一定要记得安全无小事，期待互联网金融行业在未来会有更高更好的发展。

『佳佳：感谢本次参与活动的嘉宾及乌云团队同学的支持。』

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。