京東的安全保衛(wèi)戰(zhàn)：由守到攻對稱對抗黑產(chǎn)

由信息安全引發(fā)的一系列社會(huì)問題從未像今天這樣嚴(yán)峻，個(gè)人信息頻遭竊取、販賣背后是一條龐大的黑色產(chǎn)業(yè)鏈，這條產(chǎn)業(yè)鏈如今已經(jīng)滲透至電商、教育、金融等社會(huì)生活的方方面面，由此，信息安全問題也成為一個(gè)全民性的問題，甚至已經(jīng)上升到國家戰(zhàn)略等級。那么，安全的本質(zhì)是什么？這是一個(gè)值得深入思考但往往被忽視的問題。

“安全應(yīng)該是一場對稱的對抗，黑客攻擊我們被動(dòng)防守這種嚴(yán)重不對稱的時(shí)代已經(jīng)過去了?！本〇|首席信息安全專家Tony Lee在2016網(wǎng)絡(luò)安全技術(shù)高峰論壇上如是說。的確，嚴(yán)格意義上并沒有絕對的安全，一個(gè)安全的網(wǎng)絡(luò)環(huán)境僅僅意味著我們在與網(wǎng)絡(luò)黑產(chǎn)的對抗中暫時(shí)獲得了上風(fēng)。從被動(dòng)防守到主動(dòng)出擊，對于京東而言，這場安全保衛(wèi)戰(zhàn)才剛剛開始。

從“亡羊補(bǔ)牢”到防患于未然

無論是對于一家互聯(lián)網(wǎng)企業(yè)還是網(wǎng)絡(luò)安全廠商而言，在與網(wǎng)絡(luò)黑產(chǎn)的對抗中最大的挑戰(zhàn)莫過于“威脅是在不斷變化的”，十幾年前就職于微軟時(shí)便曾與網(wǎng)絡(luò)黑客有過一番交手的Tony Lee對此深有感觸。那時(shí)，微軟幾乎是全球黑客的攻擊目標(biāo)，而在輪番攻擊微軟的過程中黑客所使用的技術(shù)手段也不斷變化升級。

那么在面對這樣一個(gè)不斷變化的對手時(shí)，最好的對抗手段顯然不是毫不作為地等待對手的下次攻擊。然而事實(shí)上在過去很長一段時(shí)間里，我們所做的只是在被動(dòng)遭受一次又一次的攻擊之后，填補(bǔ)修復(fù)漏洞、更新病毒庫，以此來完善自身的防御體系，繼而等待下一次攻擊。這種“亡羊補(bǔ)牢”式的對抗方式已經(jīng)遠(yuǎn)遠(yuǎn)無法適應(yīng)當(dāng)前日益嚴(yán)峻的安全形勢。

正如Tony Lee所說，“安全的本質(zhì)是一場對稱的對抗”，安全威脅變大，對抗威脅的能力也要有所提升。所謂“對稱”我認(rèn)為至少包含兩層含義，一是對抗雙方都應(yīng)有攻有守而不是一方攻擊一方被動(dòng)防御；二是對抗雙方在實(shí)力上不能過于懸殊，起碼勢均力敵，這就要求我們必須跟上黑客手段的升級速度。好在目前許多安全廠商已經(jīng)認(rèn)識到這兩層含義。

從今年開始許多安全廠商開始頻頻提及大數(shù)據(jù)、人工智能等前沿技術(shù)在網(wǎng)絡(luò)安全技術(shù)上的應(yīng)用。京東也在多年的大數(shù)據(jù)積累和分析技術(shù)基礎(chǔ)上建立了一套自己的風(fēng)控安全體系。這套安全體系的明顯特征就是能夠在源頭上主動(dòng)排查規(guī)避潛在的安全風(fēng)險(xiǎn)，同時(shí)與合作伙伴執(zhí)法部門合作主動(dòng)出擊共同打擊黑產(chǎn)。

“安全永遠(yuǎn)都是防患于未然”，亡羊補(bǔ)牢式的防御性對抗已經(jīng)無法適應(yīng)當(dāng)前的安全形勢。作為電商巨頭，京東具體是如何保障用戶在購物過程中的信息安全的，這是外界十分關(guān)心的問題。

京東的安全矩陣與人才儲備體系

假如信息像鎖在保險(xiǎn)柜里的秘密文件一樣是非流動(dòng)的，那么只要保險(xiǎn)柜不打開信息就是安全的，但流動(dòng)恰恰是信息的主要屬性，這對安全工作是一個(gè)巨大的挑戰(zhàn)。以京東而言，一款商品從出廠到采購再到倉儲又經(jīng)物流配送至用戶家中，整個(gè)流程都需要信息的流動(dòng)與共享，京東的許多能力要提供給上下游的企業(yè)和商家，這種開放性決定了安全工作的難度。

安全變成了一個(gè)無邊界的事情，這就是京東這樣的電商巨頭面臨的安全挑戰(zhàn)。這就要求京東一方面從源頭上降低信息安全風(fēng)險(xiǎn)，另一方面需要建立完善的安全矩陣，針對各個(gè)業(yè)務(wù)和每個(gè)環(huán)節(jié)都要分配專門的安全人員，以排查、解決、記錄、跟蹤相關(guān)問題，同時(shí)建立相應(yīng)的安全人才培養(yǎng)和儲備體系。

Tony Lee認(rèn)為安全應(yīng)該伴隨整個(gè)產(chǎn)品的生命周期，從設(shè)計(jì)到研發(fā)再到測試上線，安全應(yīng)該嵌入到產(chǎn)品的核心中，而不是在這個(gè)產(chǎn)品上線之后再去進(jìn)行安全優(yōu)化。京東的產(chǎn)品在初期的設(shè)計(jì)階段就會(huì)有安全專家參與進(jìn)來，以確保在設(shè)計(jì)這個(gè)產(chǎn)品時(shí)就具備足夠的安全性，之后還需要通過多次安全測試才能上線，而在上線之后的整個(gè)周期里還要處在安全的監(jiān)控之下。這是從源頭上降低信息安全風(fēng)險(xiǎn)。

京東這套信息安全體系框架是在SDL+（Security Development Lifecycle Plus，安全開發(fā)周期+）下面進(jìn)行安全產(chǎn)品的開發(fā)，為何叫SDL+？是由于京東信息安全專門針對幾個(gè)環(huán)節(jié)做了優(yōu)化，包括評估監(jiān)控、無線安全、敏感數(shù)據(jù)等方面。京東的SDL+由培訓(xùn)、需求、設(shè)計(jì)、評估、發(fā)布、監(jiān)控、響應(yīng)、改進(jìn)等一系列環(huán)節(jié)組成，且每一個(gè)環(huán)節(jié)都配備有專門的安全官。而在縝密的安全開發(fā)管理之外，京東更打造了完整的產(chǎn)品安全矩陣，涵蓋菊花臺、安全響應(yīng)中心、風(fēng)控分析平臺等八大子產(chǎn)品。

頗有些哲學(xué)色彩的是Tony Lee認(rèn)為建立安全環(huán)境的關(guān)鍵在于人的安全意識，邏輯是假如互聯(lián)網(wǎng)產(chǎn)品在構(gòu)建時(shí)就考慮到安全問題，那么安全隱患就會(huì)大大降低。所以京東還十分重視對人才安全意識的培養(yǎng)，與高校一起設(shè)立安全課程，將安全意識注入到早期的計(jì)算機(jī)科學(xué)和技術(shù)教育中。這才是問題的根本源頭所在。

打擊黑產(chǎn)需要多方面共同面對

今天我們能夠足不出戶買到陽澄湖的大閘蟹、新西蘭的牛奶、法國的紅酒，對比十幾年前這是一個(gè)顛覆性的改變。Tony Lee從百度、微軟、賽門鐵克，到回國創(chuàng)立國內(nèi)第一款云安全產(chǎn)品安全寶，再到今天出任京東首席信息安全專家，見證了這場巨變的發(fā)生。而這一切能夠發(fā)生的前提則是我們擁有一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

網(wǎng)絡(luò)黑產(chǎn)是一個(gè)系統(tǒng)性的錯(cuò)綜復(fù)雜的產(chǎn)業(yè)鏈，它的不斷肆虐是對整個(gè)人類社會(huì)的巨大挑戰(zhàn)，應(yīng)對這項(xiàng)挑戰(zhàn)已經(jīng)成為常態(tài)，也需要拿出系統(tǒng)性的解決方案，這就需要不同企業(yè)、安全廠商以及執(zhí)法部門等多個(gè)環(huán)節(jié)的協(xié)作配合，共同打擊黑產(chǎn)讓其無所遁形。

例如，京東與英特爾共同推進(jìn)先進(jìn)技術(shù)在電商平臺上的落地應(yīng)用,全力在圖像性能、數(shù)據(jù)庫監(jiān)控、身份認(rèn)證、網(wǎng)絡(luò)安全等方面提升京東的技術(shù)水準(zhǔn)和用戶體驗(yàn)；京東和騰訊展開安全方面的合作，就防詐騙等層面共享數(shù)據(jù)信息，聯(lián)防聯(lián)動(dòng)為用戶提供更安全的保障。此外京東還設(shè)立了合規(guī)部聯(lián)合執(zhí)法部門專門打擊網(wǎng)絡(luò)黑產(chǎn)。

面對網(wǎng)絡(luò)黑產(chǎn)，變被動(dòng)為主動(dòng)，這并不是對這種對抗的延伸，而是對對抗形勢的一種扭轉(zhuǎn)，讓對抗更加具備對稱性。一如京東一樣，由此互聯(lián)網(wǎng)企業(yè)的安全保衛(wèi)戰(zhàn)開始進(jìn)入一個(gè)全新的階段。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。