騰訊周斌:數據安全業務上的對抗
責編:rhliu |2016-11-11 17:26:20周斌:今天很高興和大家分享一下騰訊云在云安全方面所做的工作,今天與大家分享的主題是《數據安全業務上的對抗》。
傳統網絡安全的事情涉及到入侵、攻擊、APT在很多場景下大家會碰到,但隱藏在背后還有一群人做的工作是業務安全層面上的工作,包括刷單、垃圾消息,隱私信息的竊取。
這塊的工作,騰訊在過去18年過程當中親歷了很多場景,我12年前有幸加入騰訊,伴隨業務整個過程當中我們遇到了各種不同的場景。今天也希望在這些情況下把我們過去的實踐與大家做分享,希望能夠有一些啟發。
我今天的分享分為三個角度:
1、現在的市場和騰訊看到的情況——撲克的背面。
2、騰訊在過往業務當中建立的業務安全體系——騰訊的經驗。
3、我們在云上應用的場景——云+能力輸出。
這是來自CNNET的數據。隨著CNNET中國網站數和網民數在不斷地增加,也蘊育出了繁榮的互聯網產業,(圖)右邊有9個圖標,相對有點抽象,其實它是很清晰的圖標,中間包括O2O、金融、支付、娛樂、視頻等不同行業,每一個行業都會碰到自己行業里不同的業務安全風險。
這背后黑產在做什么?黑產做了很多事兒,包括線上到線下的蔓延,隱私的竊取,生態的破壞。這場惡意行為已經給企業造成超過1000億的損失,國內和國外各種大型企業都在不停地受到他們風險的影響,雅虎5億用戶文件問題,這是之前在網上不斷報出的問題;索尼文件丟失等等。
同時,他們還做了另外一件事情DDoS攻擊,根據騰訊云看到的情況,整個DDoS攻擊數2016年比2015年已經翻倍了,超過2000萬營收企業里超過99%的情況都受到來自DDoS和網絡黑產的攻擊,游戲、電商、奧運都受到這些行業的風險,只有春節可以讓黑客停下來。2015年2月14日是最安靜的一天,這一天我有幸也回家了。
前段時間報道的美國“斷網”,罪魁禍首來自于攝像頭IoT設備,這是來自中國的攝像頭,所以我們也主導了整個美國的互聯網安全。
中國整個黑產從業人員已經超過百萬人規模,遍布全國各大省市,最主要的是華東和華北各大片區,他們在線上和線下結合的方式在業務層面上不斷制造風險。線下叫貓池,可以在網上很容易買到,短信能夠注冊到的東西,90%的惡意注冊都是從貓池上自動發出來的,它不會用一個個手機號。
貓池有很多型號,有8口、12口、16口、24口,對應網上發射的軟件和打碼,整個流程是自動收發的,可以發短信、讀短信,解決短信里整個的東西。通過這樣的過程,整個黑產形成完全的鏈條,對整個場景形成威脅。從黑產的角度看,除了傳統的攻擊以外,它的目標還是盈利,它會竊取用戶的數據獲得利潤的方向。
最常用的是“三板斧”,就是暴力、手工、社工。整個安全發展到今天是非常成熟的鏈條,也有很多現成的工具化的產品,在最開始初級時,大家直接下載網上的工具,直接跑就行了。高級時解決手工的問題,再高級就是社工,這是大家經常會提到的場景。
這是非常有意思的情況,會模擬你生活中某一個場景,比如扮演你的同學,扮演你的同事,扮演你的親戚朋友,套取你各種融資。甚至會想用各種你意想不到的方式。最近大家看到一個案例在網上曝出,如果我想要拿到一批用戶數據怎么去辦。
傳統意義上會走破解,但實際這個人找到目標公司樓下的Wi-Fi,侵入他的Wi-Fi,通過Wi-Fi上面收到網上所有員工帳號,拿著員工帳號做了一次批量地掃描,通過這樣的方式去獲取它的數據,根本不需要入侵你云端的數據庫,不需要你在遠程做多少事情就可以通過社工+手工模擬方式獲取。
關于騰訊的業務安全框架。我們做的做了四個工作去解決。我們會把所有的數據放在云端場景里進行遠程加固,同時在客戶端層面和在網絡通信鏈路層面上,為了避免剛才我講到的場景也做了兩層的加密工作。在客戶端保證客戶端應用程序被反編譯或逆向的可能性。
從Windows到Android,到其他平臺,我們提供了各種不一樣的工具,在QQ、微信平臺上對他們的通信過程,也保證了通信協議的有效性。在云端我們也做了下面四個工作。
第一,防數據爬取。
第二、UGC信息安全。
第三,防社工詐騙。
第四,防內部風險。
第一步,防數據爬取。騰訊內部提出一個方案,安全是體驗和安全性之間的平衡,我們把數據分為生產者、托管者、使用者。我們有數據安全一問,首先這個數據是不是核心數據,如果是周邊數據,這個數據沒有重大的影響;其次,我們需不需要進行后臺托管;第三,如何安全地傳輸和提供數據服務,包括身份認證、傳輸6個環節。我們把數據三問合理劃分以后定義出數據安全規則。騰訊會把所有的數據集中在一個地方存儲,統一加密管理。
我們定義數據的標準是,首先我會攔住,不讓入侵,當然反入侵是另外一個話題,有機會再和大家做分享,今天就不做展開討論,當然我們在外面會做很多工作。一是防止入侵,二是讓你進不來,三是即使萬一你進來拿到數據也沒用,我們會對數據做高強度加密,保證數據通訊過程中的有效性,保證這些數據不會得到泄露。
第二步,我們會搭建一套安全系統,解決業務系統當中UGC的安全問題。(框架圖)這是騰訊內部搭建的一套大型分布式系統。(圖)左邊有一排大功率系統,能夠支持騰訊在大量實時流式計算和離線分布式計算的集群,支撐我們業務發展,包括騰訊自建的TDW,有Hadoop大量集群和機器滿意的集群特斯拉TESLA。
由這些集群我們可以應對每天千億級流水數據進入,進行數據的準實時的數據計算,通過這些數據匯總到安全系統,登錄和保護的安全策略層和數據層,進行實時和離線數據計算。我們會把離線數據結果和中間數據輸出到安全系統里實時對抗系統里,然后進入主動和被動機器深度模型來進行深度學習,然后來進行反應。
第三步,我們會在業務層面上解決社工詐騙的問題,包括后臺和產品側的體驗,對前、中、后三個維度會做實施檢測,前——端的檢測,中——使用時的檢測,后——解脫檢測環節,去避免整個社工詐騙問題的發生。
第四步,防范風險。在這些問題都得到解決的情況下,我們會防范風險。所有的系統內部進行了完善風險審計原則,包括通過跳板機進行登錄的操作審計,內部DB審計,以及所有的數據審計。所有的審計現在都可以做到準時的級別。現在數據異常的情況可以在5分鐘之內全部發現。
在這種情況下我們積累龐大的數據庫,現在在系統里我們積累了2T畫像數據,380計算維度,每天可以處理超過500億條流水,所有的數據上報接入是全自動化過程。我們在后臺已經計算了2萬個計算程序和40多個不同的機器學習算法,為我們每天的離線平臺進行服務。
我們把這些作為能力在云上進行SaaS化的服務,為客戶提供特殊的安全能力,騰訊在18年場景積累下,積累的技術能力去對合作伙伴開放。包括基于網絡層、基于應用層的,云服務行業解決方案,最后會輸出我們態勢感知能力。剛才大家看到了我們云頂這邊態勢感知能力,幫助我們的業務進行實施定位。
最后形成天御產品,輸出到金融、電商、游戲、直播四大行業的解決方案。
天御整體架構。
整個體系框架我們分為四個框架為客戶提供服務。業務層面是云的客戶,實際對SaaS服務來講,云和非云服務都是從SaaS層面上提供的,對我們來說就是客戶端,我們會為客戶端提供API健全和控制臺、中控臺的功能,為他提供防刷智能圖片過濾,反欺詐等等各種不同的系統。底層進行數據分布系統進行數據畫像和數據實時計算。
今天是10號,馬上是“雙十一”,“雙十一”很多電商開始做預熱工作,我們這個平臺幫一個知名電商公司發起的活動里做了一次過濾。這家公司在做“零元購活動”時發現大量的資源損失,通過我們的系統進行實時識別。我們系統幫他做完實時攔截以后發現20萬個惡意號碼,占他總的惡意號碼當中97%,也就是說97%的情況在騰訊平臺下面是可以實時發現的,最后幫他挽回超過800萬的經濟損失。
我們也和騰訊的鑒黃團隊合作,發現頂級的系統識別功能,目前系統能夠實時識別超過1億圖象數據,我們審核效率大概是人工審核的370倍。我們曾和客戶做過一次對比,他有一支300人的團隊做實時的圖像鑒別,也就是幫他看每個視頻房間里是不是有問題,通過我們天御鑒黃API以后可以只要一個客服就可以每天把他所有的情況全部挑出來。
這個產品在多個億平臺中應用,包括電商、O2O、直播、其他在騰訊云安全上開展SaaS化的服務,這些服務能持續在這些平臺上運營,我們積累了大量的原始數據,促使這個系統能夠正向循環,持續地創造價值。
我的分享就到這里,謝謝大家!