京東的安全保衛(wèi)戰(zhàn):由守到攻對稱對抗黑產(chǎn)

由信息安全引發(fā)的一系列社會問題從未像今天這樣嚴(yán)峻,個人信息頻遭竊取、販賣背后是一條龐大的黑色產(chǎn)業(yè)鏈,這條產(chǎn)業(yè)鏈如今已經(jīng)滲透至電商、教育、金融等社會生活的方方面面,由此,信息安全問題也成為一個全民性的問題,甚至已經(jīng)上升到國家戰(zhàn)略等級。那么,安全的本質(zhì)是什么?這是一個值得深入思考但往往被忽視的問題。

“安全應(yīng)該是一場對稱的對抗,黑客攻擊我們被動防守這種嚴(yán)重不對稱的時代已經(jīng)過去了?!本〇|首席信息安全專家Tony Lee在2016網(wǎng)絡(luò)安全技術(shù)高峰論壇上如是說。的確,嚴(yán)格意義上并沒有絕對的安全,一個安全的網(wǎng)絡(luò)環(huán)境僅僅意味著我們在與網(wǎng)絡(luò)黑產(chǎn)的對抗中暫時獲得了上風(fēng)。從被動防守到主動出擊,對于京東而言,這場安全保衛(wèi)戰(zhàn)才剛剛開始。

從“亡羊補牢”到防患于未然

無論是對于一家互聯(lián)網(wǎng)企業(yè)還是網(wǎng)絡(luò)安全廠商而言,在與網(wǎng)絡(luò)黑產(chǎn)的對抗中最大的挑戰(zhàn)莫過于“威脅是在不斷變化的”,十幾年前就職于微軟時便曾與網(wǎng)絡(luò)黑客有過一番交手的Tony Lee對此深有感觸。那時,微軟幾乎是全球黑客的攻擊目標(biāo),而在輪番攻擊微軟的過程中黑客所使用的技術(shù)手段也不斷變化升級。

那么在面對這樣一個不斷變化的對手時,最好的對抗手段顯然不是毫不作為地等待對手的下次攻擊。然而事實上在過去很長一段時間里,我們所做的只是在被動遭受一次又一次的攻擊之后,填補修復(fù)漏洞、更新病毒庫,以此來完善自身的防御體系,繼而等待下一次攻擊。這種“亡羊補牢”式的對抗方式已經(jīng)遠(yuǎn)遠(yuǎn)無法適應(yīng)當(dāng)前日益嚴(yán)峻的安全形勢。

正如Tony Lee所說,“安全的本質(zhì)是一場對稱的對抗”,安全威脅變大,對抗威脅的能力也要有所提升。所謂“對稱”我認(rèn)為至少包含兩層含義,一是對抗雙方都應(yīng)有攻有守而不是一方攻擊一方被動防御;二是對抗雙方在實力上不能過于懸殊,起碼勢均力敵,這就要求我們必須跟上黑客手段的升級速度。好在目前許多安全廠商已經(jīng)認(rèn)識到這兩層含義。

從今年開始許多安全廠商開始頻頻提及大數(shù)據(jù)、人工智能等前沿技術(shù)在網(wǎng)絡(luò)安全技術(shù)上的應(yīng)用。京東也在多年的大數(shù)據(jù)積累和分析技術(shù)基礎(chǔ)上建立了一套自己的風(fēng)控安全體系。這套安全體系的明顯特征就是能夠在源頭上主動排查規(guī)避潛在的安全風(fēng)險,同時與合作伙伴執(zhí)法部門合作主動出擊共同打擊黑產(chǎn)。

“安全永遠(yuǎn)都是防患于未然”,亡羊補牢式的防御性對抗已經(jīng)無法適應(yīng)當(dāng)前的安全形勢。作為電商巨頭,京東具體是如何保障用戶在購物過程中的信息安全的,這是外界十分關(guān)心的問題。

京東的安全矩陣與人才儲備體系

假如信息像鎖在保險柜里的秘密文件一樣是非流動的,那么只要保險柜不打開信息就是安全的,但流動恰恰是信息的主要屬性,這對安全工作是一個巨大的挑戰(zhàn)。以京東而言,一款商品從出廠到采購再到倉儲又經(jīng)物流配送至用戶家中,整個流程都需要信息的流動與共享,京東的許多能力要提供給上下游的企業(yè)和商家,這種開放性決定了安全工作的難度。

安全變成了一個無邊界的事情,這就是京東這樣的電商巨頭面臨的安全挑戰(zhàn)。這就要求京東一方面從源頭上降低信息安全風(fēng)險,另一方面需要建立完善的安全矩陣,針對各個業(yè)務(wù)和每個環(huán)節(jié)都要分配專門的安全人員,以排查、解決、記錄、跟蹤相關(guān)問題,同時建立相應(yīng)的安全人才培養(yǎng)和儲備體系。

Tony Lee認(rèn)為安全應(yīng)該伴隨整個產(chǎn)品的生命周期,從設(shè)計到研發(fā)再到測試上線,安全應(yīng)該嵌入到產(chǎn)品的核心中,而不是在這個產(chǎn)品上線之后再去進(jìn)行安全優(yōu)化。京東的產(chǎn)品在初期的設(shè)計階段就會有安全專家參與進(jìn)來,以確保在設(shè)計這個產(chǎn)品時就具備足夠的安全性,之后還需要通過多次安全測試才能上線,而在上線之后的整個周期里還要處在安全的監(jiān)控之下。這是從源頭上降低信息安全風(fēng)險。

京東這套信息安全體系框架是在SDL+(Security Development Lifecycle Plus,安全開發(fā)周期+)下面進(jìn)行安全產(chǎn)品的開發(fā),為何叫SDL+?是由于京東信息安全專門針對幾個環(huán)節(jié)做了優(yōu)化,包括評估監(jiān)控、無線安全、敏感數(shù)據(jù)等方面。京東的SDL+由培訓(xùn)、需求、設(shè)計、評估、發(fā)布、監(jiān)控、響應(yīng)、改進(jìn)等一系列環(huán)節(jié)組成,且每一個環(huán)節(jié)都配備有專門的安全官。而在縝密的安全開發(fā)管理之外,京東更打造了完整的產(chǎn)品安全矩陣,涵蓋菊花臺、安全響應(yīng)中心、風(fēng)控分析平臺等八大子產(chǎn)品。

頗有些哲學(xué)色彩的是Tony Lee認(rèn)為建立安全環(huán)境的關(guān)鍵在于人的安全意識,邏輯是假如互聯(lián)網(wǎng)產(chǎn)品在構(gòu)建時就考慮到安全問題,那么安全隱患就會大大降低。所以京東還十分重視對人才安全意識的培養(yǎng),與高校一起設(shè)立安全課程,將安全意識注入到早期的計算機科學(xué)和技術(shù)教育中。這才是問題的根本源頭所在。

打擊黑產(chǎn)需要多方面共同面對

今天我們能夠足不出戶買到陽澄湖的大閘蟹、新西蘭的牛奶、法國的紅酒,對比十幾年前這是一個顛覆性的改變。Tony Lee從百度、微軟、賽門鐵克,到回國創(chuàng)立國內(nèi)第一款云安全產(chǎn)品安全寶,再到今天出任京東首席信息安全專家,見證了這場巨變的發(fā)生。而這一切能夠發(fā)生的前提則是我們擁有一個安全的網(wǎng)絡(luò)環(huán)境。

網(wǎng)絡(luò)黑產(chǎn)是一個系統(tǒng)性的錯綜復(fù)雜的產(chǎn)業(yè)鏈,它的不斷肆虐是對整個人類社會的巨大挑戰(zhàn),應(yīng)對這項挑戰(zhàn)已經(jīng)成為常態(tài),也需要拿出系統(tǒng)性的解決方案,這就需要不同企業(yè)、安全廠商以及執(zhí)法部門等多個環(huán)節(jié)的協(xié)作配合,共同打擊黑產(chǎn)讓其無所遁形。

例如,京東與英特爾共同推進(jìn)先進(jìn)技術(shù)在電商平臺上的落地應(yīng)用,全力在圖像性能、數(shù)據(jù)庫監(jiān)控、身份認(rèn)證、網(wǎng)絡(luò)安全等方面提升京東的技術(shù)水準(zhǔn)和用戶體驗;京東和騰訊展開安全方面的合作,就防詐騙等層面共享數(shù)據(jù)信息,聯(lián)防聯(lián)動為用戶提供更安全的保障。此外京東還設(shè)立了合規(guī)部聯(lián)合執(zhí)法部門專門打擊網(wǎng)絡(luò)黑產(chǎn)。

面對網(wǎng)絡(luò)黑產(chǎn),變被動為主動,這并不是對這種對抗的延伸,而是對對抗形勢的一種扭轉(zhuǎn),讓對抗更加具備對稱性。一如京東一樣,由此互聯(lián)網(wǎng)企業(yè)的安全保衛(wèi)戰(zhàn)開始進(jìn)入一個全新的階段。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-09-27
京東的安全保衛(wèi)戰(zhàn):由守到攻對稱對抗黑產(chǎn)
由信息安全引發(fā)的一系列社會問題從未像今天這樣嚴(yán)峻,個人信息頻遭竊取、販賣背后是一條龐大的黑色產(chǎn)業(yè)鏈,這條產(chǎn)業(yè)鏈如今已經(jīng)滲透至電商、

長按掃碼 閱讀全文