切换到宽版
  • 1092阅读
  • 0回复

[其他]阿里巴巴总监陈树华:互联网+带来的安全挑战与机遇 [复制链接]

上一主题 下一主题
在线天人地

UID: 1627269

精华: 2
级别: 玉清道君
 

发帖
282154
金币
67895
道行
36950
原创
108
奖券
39
斑龄
0
道券
0
获奖
0
座驾
设备
摄影级
在线时间: 32093(小时)
注册时间: 2012-09-03
最后登录: 2024-11-29
只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-08-23
— 本帖被 疾风-劲草 执行加亮操作(2016-08-31) —
由51CTO.com主办的【WOT2016企业安全技术峰会】在北京珠三角JW万豪酒店召开。自2012年以来,WOT品牌大会秉承专注技术、服务技术人员的理念已经成功举办九届,不仅积累了大量的专家资源,更获得了广大IT从业者和技术爱好者的认可和好评,并成为业界重要的技术分享及人脉拓展平台。

本次【WOT企业安全技术峰会】分为11大技术主题,分别是企业安全管理与运维、工控安全与物联网安全、大数据安全、移动Web与安全、云安全、CISSP开放创新论坛、金融与电子商务安全、威胁情报与攻击防护、漏洞挖掘与分析、安全测试与应急处理、技术管理专场。51CTO.com作为本次大会的主办方,将通过快速报道、现场专访与后期视频等多种形式,向广大用户全方位展示这场盛宴。

下面是大会主会场上来自阿里巴巴总监陈树华先生给带来的主题为互联网+带来的安全挑战与机遇的现场演讲实录。

阿里巴巴总监 陈树华

我在阿里巴巴负责整个集团业务安全相关的东西,传统安全更高一个维度,业务角度看整个集团,淘宝业务,支付宝等一系列的互联网业务。我们面向用户的时候,我们面向企业的时候所面临的一些问题。因为我们在这个过程中。第一是面临大量的黑产一个攻击,也面临着零零散散各种各样的问题,这个过程当中经过大量的时间,包括整个互联网变革过程中,推进的过程当中,今天我们发现安全可能到了一个临界点,需要新的东西和变革的东西加入进去。所以,今天我的分享主题是关于整个互联网引进过程中,我们对于安全的一些思考。

今天已经有大量业务,不光是传统企业,还是原有的PC起来的互联网企业,所有业务都是继续在向互联网化被变革,移动互联网变革,也是互联网变革。不管怎么讲,从我们的医疗、汽车、现在比较热的网购和支付等,所有这些都是向互联网化方向去转变。在这个转变过程中,对于我们今天的互联网企业或者传统企业来讲,其实都是面临着一个非常大一个挑战。很显然的一点,我们现有的安全解决方案不足以基础所面临的问题,下面我们会细一点讲。

随着整个互联网化引进过程一个引进,我们可以看到,因为在以前刚刚开始的时候,我们安全问题是来自于PC,那个时候只有PC,还没有网络。随着网络诞生之后,安全问题就是慢慢变成一个网络安全。

现在先看一下这个平台上面出现的问题,这个里面都是会存在。比如说,举一个简单的例子,我们去做一次购物。整个基础设施,都面临着安全问题。在上面一层还是会面临刷单业务,我们会到外面吃饭。很多餐饮软件里注册的餐馆都会有刷单现象。对于我们来讲,就是一个安全问题。大量的人在不同的业务里面去做刷信誉。这个东西就是安全问题。比如说,打车,大家怎么理解?特别是在某打车软件打价格战的时候,做安全的人都知道,大量的补贴,几十亿往里面补贴过程中,有多少资金是真正的落到司机身上?真正落消费者身上,是很小一部分,那时候的打车软件是没有安全防护措施的。

GPS信息伪造。

整个互联网业务里涉及到大量的资金,以及大量信息。所以互联网业务发展造成对于底层,有一个巨大冲击,可能大家挖一个漏洞,没有有价值的东西。今天任何一个漏洞,带来的价值超过我们想象。我们也是可以看到,移动端来看,IOS系统一个漏洞。2015年比2014增长1.28倍。安桌增量更恐怖,黑客对于漏洞热衷程度非常高。

今天应用市场应用97%都是有漏洞的,总漏洞量非常大,有1万5000多,平均每一个应用上面达到87个漏洞,很多都是高危漏洞。这几个东西增速可以看到,互联网业务自己本身一个巨大的价值,可以看到系统漏洞这一块儿,有一个前所未有的一个主力的要求。

再一个,看一下手机病毒感染情况。我一直做移动互联网。这之前互联网业务起来之前,手机感染病毒非常的低,大家对于一些病毒本身是没有什么兴趣。但是,随着整个互联网业务高峰发展,出行的量,看一下现在都是翻番的概念。我记得我14年我们就是1千万量。到今天已经4000的样本,翻的速度非常快,一年翻几倍。看一下用户,从自己扫描数据看,18%手机装过病毒。还有比较可怕的,95%那个移动热门应用是仿冒,就是一样的,随后又涉及到信息泄露,还有伪造一系列的东西。

再看一下,整个互联网本身也是有问题。前面讲的都是系统,我们看到了,就是端这一块,还有操作系统本身。但是,对于互联网业务本身,这个里面自身也是一样的存在大量的问题。举一个简单的例子,我们说的刷单,整个刷单行业占比交易量非常的大。好多数据比较敏感,不好说。我们可以知道,任何都是有刷单需求,不管什么平台。大厂商允许新设备,是会允许黄牛参与那个抢货的过程。所以,一方面有一些企业本身有需求。另外,虚假注册,以前我们可能注册一个邮箱,大家觉得没有什么意义。如果手上100万个邮箱,意义非常大。就可以操作很多东西。这个问题是非常非常多,是超过原有认知一些问题。

在移动互联网业务的这些问题背后可以看到,概括了一下,后面有一个黑客产业链群,是一个灰色产业,是黑白灰都是有。灰色产业链里面大概可以分成产业链上游,中游,下游。上游更多是做技术相关的工作,我们今天有大量的验证码,提供验证码平台不绕过验证码;还有一些人,很多人要买漏洞,整个数据就是会产生交易,还有一些病毒软件,还有一些工具的黑客团队。中游整个定义就是衔接上下游之间,里面主要是存在大量的团伙。这些团伙一方面是把前面的大码平台向下游推进,让他们用起来。相当于我们企业里面的一个角色。经过中游的串联以后,在我们产业链下游,直接去实施整个做案,包括经常说的诈骗电话。在航空公司里面下一单以后,然后就有人打你电话里面,退票,速度非常快。因为整个产业链都是串联非常的好,这个是灰色产业链一个状况。

整体来看,站在我们正常一个互联网公司的角度来看,灰色产业,他们整个分工协作,包括技术积累,是非常非常的好。比我们绝大部分互联网公司做的好,我们今天很多互联网公司一个安全运营人员都是没有。另外一个方面,我们开发者是缺乏对于安全基本认知,怎么写一个安全代码,大部分人不知道。两个力量对比是非常不对称,也是导致了什么呢?我们互联网业务出现大的安全的问题。

对这些问题做一个总结,回头来看整个互联网业务里面存在这么多问题,今天也是有非常多安全公司解决这些问题。我们依然觉得站在阿里巴巴角度讲,今天没有一个好的安全公司来帮我们解决这些问题,我们总结三点,是非常有挑战性的。第一,互联网业务整个业务非常长。举一个简单例子,拿淘宝举例子,我们一个淘宝,从用户下单,要买东西,可能涉及到注册,下单。这个单留在店铺那里,最终确认定单,然后发货,这个时候涉及到快递流程。快递那边又是一个流程,可能我们自己是感受到买东西付钱,最终收货。但是,定单信息是非常长的,这个是一个难点。今天安全要防控,所有的点都要防控到。

还是自身举例,整个过程中,我们买一个东西,网上购物这个过程当中可能涉及到店铺人员,物流人员,还涉及到仓储人员,店铺里面涉及到店铺小二,还有各种各样的小二,这个小二是不是安全的?这个都是很挑战。任何一个定单信息,他们要去拿到定单信息要付出很多的代价。所以,涉及人员很多,我们所面临风险越多。大家经常听到的快递小二把大家的东西拍下来。另外,互联网公司角度来看,控制能力非常的弱。控制能力弱体现在什么地方?整个互联网里面我们是讲分享,还有一个是协作。这个里面是大量是依赖第三方。比如说物流,全部依赖第三方,这个问题不可控。整个系统的质量也是没有办法去决定系统质量。可以提供安全支撑,但是,决定不了它最终结果,整个控制力度非常的弱。

还有一个挑战,互联网业务整个链条非常的长,业务场景复杂。这个里面需要对整个技术面设计的非常广。第一,平台类型多,今天虽然所有的业务都是移动互联网转型,安桌手机又分上百种,还有其他的很多。后面还会出现更多的。另外一个,这个里面涉及到技术很多。我们对于系统研发人员来讲,有IOS研发,客户端开发,云服务类研发,所有这些东西对于业务来讲都是风险。另外,我们整体攻防要求非常高。举一个简单的例子,比如说,今天很多都是可以提供加固服务。谁说对支付宝钱包这种超级AP做加固的?没有一家公司敢这样说。由于业务体量增长,业务复杂性增长,整个应用本身。整个环节它的复杂性,一定是成倍往上涨,根据没有看透复杂性。提供不出解决方案。

最简单的微信,日活已经到7亿多,涉及到的设备,从各种各样的智能设备开始,人们到各种各样的手机,安全企业是难做到这个能力的。第二,如果这个能力做不到,我们安全能力怎么保证,做完对抗性,其实做不到。

前面谈了互联网安全里面两个挑战,基于这个挑战,我们做了一个思考是什么?因为我们在阿里巴巴有一点好处,今天我们可以看到的互联网,我们基本上自身都是有对于整个互联网业务,们今天就觉得不管是手淘,还是直播平台,都是比较好的层次性划分。这个划分整个行业里面没有划分过来,我们把它定义成8个层次。从传统的硬件,系统传输,往上就是一些基础数据,对于任何一个应用,一个服务开展都是有具体的基础数据。基础数据上面,承载数据就是应用,可能是浏览器,可能是AP,可能是PC端的应用。那个应用上面就是提供了直接的面对面服务。今天所有的互联网业务有一个特点,服务上就是有帐号,就是有用户。不管是什么也好,一定可以注册帐号。完成整个登陆以后,这个就是会产生大量内容,这个是今天互联网里面,我们大概比较了一下,目前所有业务都是8个层次。基于8个层次,我们自己在时间上我们有一个思考,在8个层次里面我们也是有相应的,我们提出8个层次的一个安全模型。今天针对应用层的,会存在一些立项,破解的问题。我们相应提高我们自己的安全解决能力。这个模型有一个好处是什么?对于安全问题一个切分比较明确,每一层安全问题有一个切割。另外,对于安全企业来讲有一个好处,这个里面涉及到的技术,是今天整个安全行业所有的技术都是在这个里面涉及到。第二,我们安全公司没有能力去提供一个完整的解决方案。这个模型基础上我们可以根据自己的那个企业的状况,我们可以分层提供。针对内容,敏感词的识别或者针对用户安全阿里巴巴分层提供。

最简单的,我们提供验证码的公司,就是会做人机识别相应的动作。往下就是越来越多,往上公司少一点。大家可以很清楚地看到,我们安全企业可以有一些新的点。但是,包括整个生态链基于这个模型做自身的解决方案。我举几个例子,我们针对这个层次大概讲一下架构。

基于这个模型,我们自己内部针对移动端提供一套解决方案。移动端,我们自己本身提供从检测到防护到监控这一个完整的链路,每一个检测环节提供木马扫描等一系列的工作,防护这一块我们有安全的组件,我们可以跟应用加固这些东西。可能有一些东西不完全跟行业里面的那些可以一一对应,比如说安全组件,比较独特的一些东西。但是,一定是针对我们当前业务运营问题最有效的一个解决方案,包括互联网企业做参考。就是说,因为所有这些东西一定是基于大量的实践。现在已经在是那个10来亿用户。

另外,我们会做一些监控,这个监控就是大数据的东西。在我们自己来看,大数据不大数据,那个东西是最基本的东西,没有什么好谈的。基本上就是基于数据做一些前瞻性的风险识别。跟我们做的方法差不多的。

这个是移动端提供的一个保护。

另外一个,针对整个应用的开发一个流程,我们也是提供保护方法,刚刚讲了,就是整个对于应用来讲,任何一个第三方都是可以采取那一套,这个是内部一个,应用商运营,这个里面比较多。刚刚开始的阶段,这个时候就是做审计,整个业务一个开展架构阶段就是会接入进去。我们做完以后,业务本身会进入到开发阶段,我们会做相应的安全能力的一个输入。整个开发了以后就是测试环节,就是一样的。应用本身就是做自己的测试。我们安全这边相应会做文本的那个应用漏洞扫描,包括木马扫描,包括监控。再后面就是上线,然后就是进入到一个商业的监控,上线完以后,整个用户的情况,应用在用户端情况。比如说,破解一系列的动作,都是有数据分析做监控。这个是阿里巴巴内部今天在实施的一套的生产流程,一个防护。

前面都是讲移动跟端上的一个,就是一个模型的架构的东西。我们再看一下,跟我们互联网业务相关的一些安全问题的一些架构。互联网有前面提的,首先看一下业务场景,有抽奖,有秒杀一系列的活动。对应有大量的数据,比如说,注册时间,登陆时间,还有涉及到的大量的人机识别,还有帐号。这些数据在我们内部,这些活动里面有大量的黑产存在,我们把它行为,包括一些基础数据进入到大数据分工引擎做统一的识别。统一识别以后我们会出整个结果,这个是比较粗的一个防控那个描述。

这里仔细说一下我们对于互联网业务风险一个框架。我们从左边开始看,最左边就是所有的业务事件,每天处理100亿安全事件,一个公司每天都是有100亿事件,大概有几十批安全数据,还有安全数据这个系统里面扭转。安全事件,通过一步跟同步接口进入到处理平台以后,我们就会做实时计算等等。在这个里面,在计算的同时,我们的风险模型做识别。我们靠模型跟规则是搞不定,我们是会进入到后期一个分析中心,那边会做加工,会对数据进行分析。加工不了主要基础风险,对于风险做进一步处理。有一点说一下,所有数据最终都是到整个底部。这个是自己内部针对上层的,比如说,整个的风险,我们基于这一套系统去做。

前面讲的,今天把互联网业务分8个层次,分别会提供8个层次一个安全模型。这样子,会带来比较大的问题是什么?安全能力一个割裂,你8个层次单独防控,一定解决不了所有的问题。因为很多的问题是会跨越层次的,比如说,最简单的一个,黄牛刷单,涉及到帐号问题。要刷单,我可以发起那个动作,涉及到活动问题,对于活动规则的问题。活动规则这一块,另外,我要绕过这个人机策略,如果人机策略绕不过,抢单基本上抢不了。所以,如果我们紧紧基于8个层次提供安全能力,最终导致什么?很多的复杂性问题解决不了,每一个层次数据不流通。最终就是什么?就是会导致安全问题。8个层次基础上,我们会做一个加强。这个是一个示意图,我们会从最底层数据到最上面的数据,我们会全部融合起来,我们会做计算。

今天为什么做这个分享?我们今天共同做这个事情。对于阿里巴巴,还是比较大。但是,今天处理所有这些问题的时候,一样就是非常有挑战。我们有强大的安全团队自己做大量的工作。但是, 大家做起来还是非常的吃力。我也是希望我们安全企业可以参与进来一起做这个方面的建设。

总结一下。整个互联网业务引进过程中,发展到今天,其实我们观点来看,一定是一个巨大蓝海,跟业务安全相关的东西。因为业务安全相关所有问题一定会对所有的企业安全能力有一个工作。这个是算整个业务安全最底层防护,这一层做不好,内网被渗透,内网帐号被泄露,反过来是会对我们产生巨大影响。如果一台PC渗透,最直接可能就是渗透到我们网络。这个是最大的一个灾难。所以,今天我们业务安全。第一,对于传统的企业内网安全,一系列的安全工作有一个新要求,要做的更好一点,才可以保证业务安全。业务安全出一个问题,导致那个损失是很大。很多数据不好讲。

有一个例子,有一家旅游公司,有一个特点是什么?做活动,一定是一天之内就下线,为什么呢?因为第二天很多黑客都是进来,把红包都是抢走,这个对于互联网企业来说,安全已经成为业务一部分,对于业务整个发展也是有非常重要的作用。我希望所有的互联网企业都推动整个业务安全一个建设工作。
2条评分金币+13
姜谷粉丝 金币 +5 - 2019-08-30
妞妞乐乐 金币 +8 辛苦了,感谢您无私奉献的精神! 2016-08-23
山庄提示: 道行不够,道券不够?---☆点此充值☆
 
天人地
快速回复
限120 字节
认真回复加分,灌水扣分~
 
上一个 下一个