撰稿 | 藍河
“
周斌開始做安全,最早是因為一條中獎廣告。
從2005年“大眾化元年”開始,中國博客在數年時間裡始終保持著高速增長的勢頭,博客產業成熟度不斷提高,產業生態也逐漸走向成熟。
隨著功能的不斷完善以及市場普及的加深,騰訊QQ同時在線用戶人數在2007年第三季度突破3000萬,創下了當時的歷史新高;而龐大的在線用戶自然而然使得QQ空間成為了當時最活躍、最引人矚目的“社區明星。”
正所謂有人的地方就有江湖,既然是江湖,總也少不了一些爾虞我詐的紛爭。趨利的騙子們早就敏銳地嗅到了網絡世界信息不對稱的商機,QQ空間也就成為了他們將線下詐騙往線上轉移的戰場之一。
從一張“恭喜您獲得三星筆記本電腦一臺”的海報開始,虛假中獎信息不斷侵襲QQ空間。獎品信息從筆記本電腦、現金、手機等不斷升級和演進,QQ空間龐大的用戶體量和平臺規模無疑是黑產眼中的一塊肥肉。
因此,必須要摧毀他們。
”
一條廣告引發的“慘”案
2007年,周斌還只是一個剛剛進入騰訊兩年時間的年輕小夥,按照自己最初的設想,他是將來要成為“開發王”的男人。
實際上計算機專業出身的周斌,大學剛畢業那會就在運營商做過兩年的後臺開發,主要負責計費系統的設計和制定;後來正值騰訊Q幣應用場景需求的增多,有關業務套餐的系統日趨複雜,急需專業的計費系統開發人員,周斌也就藉著這個機會加入了騰訊,依舊從事著本行工作。
有一說一,他從來沒想過自己這輩子要做安全。
只可惜人算不如天算,周斌當時的團隊隸屬公共部門,專門負責UGC類的業務,因此打擊QQ空間虛假中獎廣告的業務安全重任就落到了公共部門的頭上。於是從2007年開始,命運硬生生將一顆開發界冉冉升起的未來巨星拽到了網絡安全的池子裡。
周斌告訴我,第一天接觸業務安全的時候他其實是很懵的,不過懵的不止他一個,還有當時國內整個業務安全的體系。和今天相比天壤之別的是,那時候國內威脅情報的體系幾乎為0,甚至連算法都還處於一個懵懂的狀態——無法評估黑產有多少,也不知道該如何有效對虛假廣告和詐騙信息進行識別和攔截。
因此對於切入業務安全這件事,不光周斌自己,就連整個騰訊的安全團隊都感覺遇到了前所未有的困難。他們唯獨知道的只有兩件事:一是用量很大,每一個IP平均每秒鐘可以發起上千次請求;二是對算法的要求很高。
周斌回憶,由於沒有成熟的算法,他們不得不通過關鍵詞來對QQ空間的虛假詐騙信息進行識別和攔截。但關鍵詞的邏輯過於簡單粗暴,甚至連“JAVA”這樣的詞彙都中了槍——原因竟是“JAVA”中間的兩個字母剛好撞臉了某國知名的影視作品。
從那時開始,周斌明白了一個道理:算法對業務安全非常重要,如果不能建立成熟的算法,不僅不能夠有效打擊黑產,還會造成誤殺,影響業務的正常運行。
於是他和同事們開始嘗試將算法引入業務安全體系,用算法識別、攔截並解決騰訊各種業務場景下的安全問題,這在當時無疑是走在了技術革新的前列;包括幾年後網絡上熱議的QQ開心農場反外掛系統,也出自周斌和他的同事之手,而被津津樂道的識別算法,更是由他親自完成。
就這樣,周斌從一個原本躊躇滿志的開發高手,搖身一變成為了騰訊業務安全條線的青年翹楚,直到2013年,騰訊雲的全面開放。
一點一滴建立起的信任
2013年9月,騰訊雲面向全社會開放,與此同時,雲安全正式上線。周斌所在的部門開始圍繞公有云平臺開展基礎安全的工作。
一項新事物的產生,總會從理論、實踐再到結果經歷漫長的過程;而任何人對一個新興事物的產生,都會在初期存在一定的顧慮,而這種顧慮,絕大多數時候都來源於“信任度”和“安全感”的缺失——雲計算也不例外。
簡單來說,中國自古是人情社會,我信得過你,就會全權託付你;我信不過你,我們之間就沒法做生意。所以,“數據放在雲上安不安全”、“攻擊者會不會攻擊”、“騰訊雲自己能不能信得過”,這些問題對於騰訊雲而言遠比做好自身的安全要難得多。
周斌告訴我,他聽過最多的一句話就是客戶的質疑:我該如何相信你不會擅自動用我的數據?所有的數據暴露在外網,你又如何能夠保證我的安全?
信任的建立是一個十分漫長的過程,很多時候你需要說服的並不是用戶,而是自己——這件事到底對不對?應不應該堅持?有沒有結果?
為了打消用戶的顧慮,為用戶建立對於騰訊雲的“信任度”和“安全感”,周斌和他的團隊做了兩件事:一是從自身出發,資質認證,讓騰訊雲具備受用戶認可的安全資質;二是立足用戶,通過向用戶同步信息,增強透明度,從而讓用戶相信騰訊雲是“安全”的雲,騰訊雲可以讓用戶“安全”地上雲。
幸運的是,騰訊雲選擇了在2013年這樣一個最合適的時機全面開放,因為2013年正是中國雲計算全面爆發的一年。數以萬計的中小企業創業者在這一年乘上了第一班發往“雲上”的列車,而第一批的上雲用戶,為日後越來越多傳統企業和行業逐漸信任騰訊雲邁出了第一步。
周斌說,雖然“信任”和“安全”依然是未來很長時間裡騰訊雲的核心命題,用戶對於公有云的接受還需要經歷十分漫長的過程。但總有一天,無數的企業都將會駕馭在這一片浩渺的雲海之上,屆時,雲安全也會承載更大的使命和責任,他當仁不讓。
隨著騰訊雲用戶群體的增加,雲上業務的開展也變得更加複雜和多元化。正如10年前肆虐QQ空間一樣,黑灰產再一次將視線集中到了公有云的身上,而云上業務的安全就成了當前拷問騰訊雲的一大命題。
領導對周斌說:“回來吧,雲上業務安全再一次需要你。”
火星撞地球
從傳統角度來說,業務安全有兩個思路:一是串聯思路,把安全系統放置在某個業務路徑中的必經環節,讓安全和業務共同服務於用戶;二是並聯思路,業務和安全分開處理,相對於前者會存在一定的延遲。
通常情況下,騰訊的業務安全更趨於後者。
騰訊的產品線其實大家並不陌生,作為國內最大的生態體系之一,騰訊產品線幾乎覆蓋了各個行業的各種形態。但當雲上業務開展以後,周斌才發現原來互聯網公司的業務形態是如此的五彩斑斕,很多業務形態都是騰訊過去從未遇到甚至根本不會遇到的。
最重要的是,雲上業務要求了信息的實時交互和處理,騰訊過去所採取的並聯策略在雲上業務面前是行不通的。想要解決雲上業務的安全問題,就必須徹底改變過去的思維和形式,並且讓業務安全的能力得到一次全面的進化和升級。
周斌說,騰訊雲安全一共做了三件事來應對雲上業務的挑戰。
首先,極大地提升算法的反應速度,降低開銷。他告訴我,某一位客戶在調用雲安全識別引擎的時候,要求總反應時間在20ms以內。為此,騰訊雲重新對算法進行了長期的設計,使得處理機制既能夠滿足快速的反應需求,又不會對用戶的業務造成影響。
其次,針對黑產和業務安全,制定更優的策略。周斌表示,雲上業務常見的黑產類型其實和騰訊過往所接觸的有所區別;尤其在電商類業務上,無論從黑產群體還是其慣用的手法來說,更是截然不同的。
他給我舉了個例子:電商平臺對於黑產群體的識別,通常圍繞姓名、電話號碼、地理位置等建立模型和畫像,當大量的賬號在這些信息上高度重合時,便由此判斷其為某個黑產集團。
但是,如果這些賬號的信息截然不同,但仍然歸屬某一個人或某一個團伙,那又該如何分辨?實際上,當前已經出現了線上線下結合的作案方式。黑產團伙會提前摸清快遞的運輸線路,假如其從A地大量購買某一物品,為了避免電商平臺的反黑產識別,他們只需要將收貨地址填寫為任意必定經過轉運站B的區域,並與轉運站B的工作人員達成合作,但凡經過B的貨物,全部送往該團伙的正確地址即可。
這樣一來,傳統的業務安全方式就無法取得理想的效果。因此,必須要建立完整的黑產情報體系,從而制定更優的策略,與黑產做對抗。
騰訊雲上開放的業務安全是一套複雜的體系,需要情報、算法、運營等多個崗位的聯動,為了更好地適用不同客戶的需求,周斌和同事們共同搭建了一套“天御”業務安全系統,從感知、接入、對抗、運維等多個維度來為客戶提供服務。
人們常說“道高一尺,魔高一丈”。他說,隨著利益的越來越大,黑產群體湧入了越來越多高智商、高學歷和高能力的人。此前就有一名畢業於華東某TOP級高校的博士生,憑藉著自己搭建的16層神經網絡模型,識別了全網各平臺的驗證碼,且準確率高達95%。
為了更好地對抗黑產,“天御”團隊也面向全行業廣納人才,既有國內外頂尖名校的博士,也有多次創業經驗的互聯網老鳥。周斌的觀點是,業務安全是非常綜合的問題,只有搭建瞭解客戶、瞭解技術、瞭解安全,甚至是對於黑產有著清晰瞭解的團隊,才能夠幫助業務更好的運轉,才能夠更有效的對抗黑產。
而這場頂尖安全團隊和頂尖黑產團體之間的較量,無疑將上演一場激烈的“火星撞地球”。
一條短信和一個瓶蓋
在雲上業務安全這件事情上,周斌覺得騰訊雲是具有先天優勢的。一是基於騰訊長到可繞地球三圈的產品線,許多傳統的業務場景早已瞭然於胸,現有的安全能力可以直接賦能到雲上業務中;二是隨著騰訊、騰訊雲以及騰訊安全客戶群體的擴大,日益豐富和複雜的場景便可以使業務安全的能力反哺完善。
圍繞著不同類型的互聯網企業,騰訊雲安全分別針對電商、零售、直播、金融等業務場景下的不同安全需求進行了詳細地劃分,再通過紅藍對抗的機制定位每一個業務場景具體的風險點。最終針對不同的行業類型和業務場景,設計了不一樣的業務安全解決方案。
因為在周斌看來,業務安全的解決方案和業務邏輯貼合得越緊密,效果才會越好。不僅如此,騰訊雲安全還參與並促成了許多行業政策的制定,更好地規範業務安全的流程和方法;而在這個過程中,騰訊雲安全還積累了大量的黑產情報、模型畫像以及後端的工作方式等。大到“牛頭羊頭”,小到兌換碼優惠券,都有了足量的收集。
周斌開玩笑著說:“自從做了業務安全,我知道的優惠券簡直多到可以做啥都不花錢了。”
只不過,解決方案的完善終究只能意味著從騰訊雲的角度來看,它能夠為用戶提供優秀的業務安全服務,它可以保證用戶在開展雲上業務時,可以享受安全防護的能力。但這終究只是單方面的,而事實上如果用戶根本沒有意識到業務安全的重要,那這似乎就變成了騰訊雲一廂情願的事情。
周斌給我講了兩個故事。
有一日,某客戶向他詢問:為什麼平臺每月支出的短信費那麼多,高達數百萬?通過溯源,周斌發現該平臺的賬號登錄方式多以短信驗證碼為主,實際上用戶每通過一次短信驗證碼登錄,運營商就會向該平臺收取一次短信費用。
由於前不久該平臺舉行了打折熱賣活動,吸引了大批羊毛黨的參與。羊毛黨們通過不同的手機號碼登錄爭搶優惠券,運營商在短時間內發送了大量的短信,自然就收取了該平臺一筆高昂的短信費用。
最終,騰訊雲安全通過在登錄環節制定保護策略、拒絕異常登錄的方式,幫該客戶及時止住的損失。
再有一日,騰訊安全團隊收到某飲料業客戶的反饋:有黑產團伙通過向廢品站大量回收該客戶產品的瓶蓋,通過“掃一掃”瓶蓋內二維碼領取紅包的方式,在短時間牟利上千萬。
在常人看來,一個瓶蓋能夠獲得多大的利潤?事實上,該產品的紅包平均中獎金額為1毛到1塊之間,100個瓶蓋的回收成本也許才不過幾毛錢,但凡中獎率超過5%,這筆買賣就能保證穩賺不賠,體量大了,收益自然也就超乎了想象。
最後,騰訊雲安全團隊通過對二維碼的加密、分析、防篡改到掃碼全流程的防護,幫助這位客戶節省了原本可能要白白支付的3000萬經費。
這兩個故事表達的思想很簡單:許多企業不重視業務安全,甚至是網絡安全。
周斌感慨,雲計算發展到今天,互聯網業務早已貫穿社會的每個角落,遍佈於各個企業的內部。可即便如此,還是有很多人依然將網絡安全與防火牆、殺毒軟件等簡單地畫上等號。當業務安全事件發生的時候,分不清和到底是安全的問題還是業務的問題;也從未想過自己的對立面,很有可能是一隻頂尖水平擁有博士人才的黑產團隊。
前不久,周斌參與了超級CSO研修班活動併成為了導師團的一員。他希望可以通過這樣的方式告訴更多的人,安全在過去20多年的時間裡早已得到了進化,已經變成了一個非常寬泛的概念,作為參與者的我們,都必須重新認識安全、重視安全。
疫情當下的新挑戰
疫情的發展催生了遠程辦公需求的增長,這種過去在國內不被認同且普及緩慢的辦公方式,沒想到卻成了疫情當下眾多企業奮力撲住的救命稻草。
所以在周斌看來,包括遠程辦公、會議和課堂在內的各種遠程協作方式,都將會變成不可逆轉的主流趨勢,最終演變成一種常態化的辦公形式。這樣一來,網絡安全又會迎來新一輪的需求增長。
一是身份認證:企業該如何保證加入遠程會議的賬號由本人登錄,訪問業務和數據的賬號,會不會早已遭到競爭對手和不法分子的破解。
二是數據安全:如何做好加密防止數據洩露事件的發生。
周斌說,過去幾年在安全市場上對於身份認證和數據安全的重視程度是沒有那麼高的,但當遠程協作辦公開始普及,這便成為了當下最突出了兩個問題。尤其當大量傳統企業受疫情影響被迫開展線上業務,一定會遇到此前從未接觸過的各類網絡安全問題。
為了能夠幫助企業儘快恢復業務的正常運行,騰訊雲先是與騰訊安全、騰訊會議以及騰訊課堂展開合作,向用戶提供免費的遠程辦公產品;而後又在產品當中直接集成騰訊安全的能力,讓用戶在業務正常開展的同時,免費享受基於賬號、數據、內容等全方位的安全防護。
通過“進不來、拿不走、拿了也沒用”的策略,保障疫情當前企業用戶的數據安全。
周斌坦言,黑產狂歡的時刻已經到來,大量的傳統企業在網絡安全底層建設尚未做好、員工安全意識還未得到普及的情況下倉促開展線上業務,這在專業的黑產團體的眼中,無疑是一個個待薅的羔羊。
想到這裡,他不自覺地皺起了眉頭。
周斌呼籲能有更多的企業和個人重視業務安全,而騰訊安全早已做好了和黑產對抗的準備,接下來,就讓我們靜待這場“火星撞地球”的發生吧。
寫在最後
從2007年“失足”踏進安全圈,周斌已經在騰訊做了整整13年的安全,再過不久,他也將迎來自己加入騰訊的第15個生日。
從“從未想過做安全”到如今的騰訊安全團隊的業務安全總監,歲月也許已經沖淡了他後臺開發的痕跡,卻雕琢出安全這條路上的每一道斑駁。
他笑著著說:“回不去了,現在也只能做安全了。”
所幸的是,業務安全就像是一場人與人之間的博弈,正所謂“與人鬥其樂無窮”,而鬥在一線的周斌更是一直樂在其中。
當業務安全有需要的時候,他還會重新上路。
閱讀更多 安在信息安全新媒體 的文章
