唯品会安全应急杂谈 成也萧何败也萧何—第三方 有趣的中间层—某次SRC漏洞应急 定位问题 解决问题 安全监控 服务器夜半惊魂 电商为什么要做安全应急 保障业务流程、打击黄牛黑产 电商为什么要做安全应急 还原黄牛刷单、薅羊毛 电商为什么要做安全应急 安全监控、SRC漏洞处理 电商为什么要做安全应急 司法途径、协助取证 电商安全应急流程-闭环 未雨绸 缪 亡羊补 牢 电商安全应急流程-闭环 • 查找攻 击线索 • 攻击源 头跟踪 • 实施解 决方案 确定攻 击时间 梳理攻 击流程 评估事 件影响 定位攻 击者 • 攻击事 件溯源 解决方案！ 解决方案、流程规范 安全红线 上线流程 安全设计 编码规范 。。。 彻底解决？NO！！！ 构建业务安全风控系统 构建业务安全风控系统 构建业务安全风控系统 优化产品改进的流程 发现 问题 上线 改进 开发 实现 找到 方案 产品 设计 外部应急平台—VSRC VSRC重要里程碑 1 VSRC1.0 2 3 1. VSRC1.0诞生！ 4 2016年5月10日，唯品会安全应急 2015年8月份，VSRC与大家见面了！ 响应中心2.0全新改版升级网站， 唯品会成立了属于自己的安全应 正式上线对外运营！ 急响应中心！ 2. 属于我们的公众号 公众号 VSRC2.0 3. 大步跨入2.0时代 4. VSRC的英雄们 VSRC 2.0 新增季度与年度奖励，在 2016年2月17日，我们也有属于自 2016年，我们迎来了排名第一的 第一名白 己的公众号啦 安全团队T-SAFE 帽子安全 团队 VSRC2.0改版之年终奖励 唯品会安全应急响应中心2.0时代 ！ 1、新增 “贡献值”与“安全币” 2、新增业务系数 3、明确业务划分 4、比big更big的积分商城 5、新增“心愿单” 6、新增“安全动态” 7、调整漏洞评分规则 8、更多的联系方式 年终还将有旅游大奖！ 唯品会安全应急响应中心您而更精彩！ VSRC未来规划 未来 现金奖励机制 加强技术分享 增加威胁情报收集工作 加强对外合作交流 同成长 增强运营激励机智 加强线上线下交流互动 共进步 优化礼品走现金流程 加强对外输出技术分享 齐发展 共建SRC联盟 关于我 • 真名：方斌 • 网名：孤独雪狼 • 7年信息安全工作经验 • 乌云认证白帽子 • 14年入职唯品会，内部产品安全负责人、VSRC负责人 • 关注电商安全、关注产品安全 Q&A • 问题解答 • 技术交流 • http://weibo.com/VSRC 唯品会安全应急响应中心