NSC2014騰訊副總裁丁柯-移動互聯網時代的安全新格局
責編:rhliu |2014-10-23 11:35:47移動互聯網時代的安全新格局
很少有機會在這樣大的場合跟大家分享一下騰訊的安全方面現在在做哪些事情。因為我自己是在騰訊做研發的,整合了騰訊的安全線,在去年9月1日,到現在也是一個剛剛入行一年多的新兵。西海岸宋總這邊一直在業務上給了我們非常大的支持,所以我過來演講,但是不是我的專項。前面兩位前輩和領導都在各自的領域講得非常深入和專業,我本來準備的PPT更多的是講應用和行業的。我也看到,今天的會議時間已經拖了半個小時了,所以我盡可能簡潔一點。最主要分享的要點是把騰訊安全在最近一段時間做的一些事情和專注的一些領域跟大家講一講。
大家知道,騰訊其實是對公眾服務的,在我接手安全線之后發現變化非常之大,很久以前也是開發出身,在Cisco做網絡設備,做路由上的CCIE,也做過安全,那個年代我離開Cisco的時候,他們正在做安全的設備,包括防火墻。等我再次接觸安全的時候,發現變化非常之大。有幾個領域,以前邊界很清楚的安全就是圍繞端,挨著邊界做的安全端很模糊。現在很多動態的大數據反而成為我們需要面對的黑產之類的各種新的攻擊方式,甚至一開始的幾單,很重要的事情,黑產都在用大數據和社會化工程做這種攻擊方法。我們發現在做正規軍傳統的安全,好像在理論體系和意識上反而沒有那么清晰的一個發展路徑。我感覺到整個的安全話題在市場上跟防范的具體對象靶心原點上,一下子分拆出了很多的領域。可以簡單的理解為,比如說我們做2C的客戶,大家都說中國的用戶安全意識不足,其實不完全是這樣。比如說在碰到一些新的熱點的時候,像我們移動支付這些大熱點的時候,我很清楚的感覺到,用戶在每一次用這些新興服務的時候,他總是希望寄托有沒有一個具像化的服務或者軟件,或者是一個什么樣的形式,能夠讓我用了一下之后,可以保障用那些創新激情服務的時候,至少有這個保證。否則的話,心里會有顧慮。
相信在座的在開移動支付或者很多在線新的支付業務的時候都會碰到這樣的問題,就是到底是否安全,有沒有譜?其實你會發現,傳統做2C的用戶,以前那種恐嚇類的方法不好使。因為我們現在面對很多的90后的用戶群,他們是有非常清晰的需求,需要保障,只是2C的產品線在表達上面沒有滿足他這個需求。所以第一步在做公眾服務類的時候我們做了很多事情,就是把一個寶劍型的安全,你沒有的時候心里很虛,但是有的時候,就像你看小區保安的時候很煩燥,他老干預你,本來是這種效率型的工具,但是總是在不合時宜的時候彈出來打斷你,這不是一個非常好的體驗。所以我們花了很大的力氣去改變這種在寶劍型的體驗的時候,碰到問題的時候,他第一時間的會想到使用,會比較高頻次的使用,他也不想了解安全的具體細節,想把這些事情做好。得到一個真正的,哪怕是保險,哪怕是服務綜合性的保護體系。2C就發展成我們更多的在做一個安全感的產品,比如我們現在大家看到的手管和桌管在PC和手機上的產品,更多的在往這個方向走。
下一個機會點在哪里?我們明顯可以看到,對公眾服務的時候,未來有很多熱點,比如看得清楚的移動支付、O2O,甚至跟醫療相關的很多東西,連接一切,都是未來能夠研發你這種安全產品的一個熱點,只是你在用戶體驗、服務體系上面是否能夠滿足用戶的需求,這個簡單的講是客戶端的一些產品。
我在接手這個工作的時候,也受到了很多政企安全服務的需求。傳統的政企大家也了解,這個安全界定里面,更多的是物理網隔絕。我最近接觸的時候發現,好像跟我當年做的沒有太大的區別,這么多年來還是這樣的規范。這樣的一個格局在新的安全形態下,其實我個人認為很不合時宜,因為在斷網的情況下,物理隔絕更多的是防內部的,并沒有把自己跟真正的國際技術潮流有一個對接。但是在這個階段,我們的習書記在開始成立網信辦的機構,開始強調做了幾個小組的組長,強調這個安全性重要的時候,上升為非常重要的國家策略,甚至是國策的時候。我們接到了幾個需求,這幾個需求是爆發性的,以前有,但是沒有這個階段這么多,也給我們的安全性帶來了很多新的課題。總結來說主要是幾類問題:
一是銀子的問題。就是移動支付帶來的問題到底能不能保護,這個可以允許一定范圍內的損失,但是需要有一種長期機制保護。還有就是非常密集爆發的就是,大家知道在2014年有多少起互聯網企業或者傳統行業,不算太頂級的漏洞就攻擊到了,逐步被黑產用社會化的攻擊方式在利用,等你發現的時候,其實影響和損失還是不少的。
二是面子問題。國慶期間香港占中,有一個匿名的黑客組織,指名說要攻擊哪些。明顯也是一個非政府組織的攻擊行為,可以發現,他在攻擊你的時候,這個鏈條顯而易見是非常難受的。
三是褲子問題。剛才我們的段主任也講到了,大家都在主動的監控,整個國家或者全球各類公共服務的網站,它的速度是什么樣的。但是目前看起來,可能中國政府旗下的這些網站的修復速度是相當慢的,非常容易被利用。其實我們已經在開始做一部分主動監控和掃描的事情。騰訊手里面有很多用戶行為的數據,如果要用的話,相信國家的這種大戰略是很有價值的,但是這個階段你看到一些問題,但是你也很無奈,只能到現場像救火隊員一樣不停的補救。
四是亂子問題。大家知道,像新疆、西藏這些問題,更多的變成是社會工程行為,這一類的問題給我們的挑戰是非常大的,我們的安全能力,從整個中國或許現在都是這樣,從高層的漏洞,很多爆發出大問題的漏洞,其實在兩年前就在頂級的白帽手里面。種種原因沒有暴露出來,直到爆發之后才發現是這樣。整個行業里面,其實大家的挖掘方法都更多的是師傅帶徒弟,感覺整個安全,不像我之前經歷很多年的無線互聯網行業,甚至不能稱之為一個行業,雖然行會開了那么多,更多的是小行會各自為政。大家發現之后,才想到這么多年前就想到了這個問題,發現大家很多的研究方向是非常一致的。下午有一個著名的白帽子,于旸會跟大家分享技術領域。
整個斷層,比如我們在座的跟BAT的三家,其實我們相互之間的方法共享是非常之快的,甚至我們相互之間去補漏洞,去查一些工作方法,都有一個很成熟的聯動機制。我們更多的防守可能大于進攻,國家的很多很大的力量都是在防守層面的,接觸到軍方的時候我發現,在攻擊方法上面,其實業績有一句比較通用的話,不知攻,焉知防,我們在攻上的能力弱了很多。
傳統的漏洞挖掘和安全的方法,跟現在的這種基于數據流這一類的社會化工程還是有很大的脫節。舉一個例子,比如前一段時間美國起訴了我們五個軍工人員,這個面子的發展,在安全圈的認識上還是很重要的。知道我們的ID、IP、身份和帳號,據說最高領導還是很震怒的,美國都已經做到這一步了,我們的面子在哪里?如果真正要做到這一步,其實工程量是很大的。不光是要回去鎖一個IP的問題,還要知道背后的一些社會化工程的痕跡。跟現代意義上互聯網公司的數據要有一個結合。
所以現在很多的需求,我總結一下就是銀子、褲子、面子和亂子。這不是我的原創,這是上次國測的主任吳世忠在騰訊交流的時候他總結的,主要還是他的原創。
未來的趨勢很多的大企業都是紅頭文件蓋章的,保護的范圍是這個,相對比較好結點。但是現在的問題是保護用戶的行為和數據,像中石油、中石化、公安,很多用戶服務的機構,他們在兩年的時間產生了90%以上的大數據,這會帶來一系列的問題,這個大數據首先存在哪里?有沒有IDC的專家,有沒有真正把這些數據用起來的專家?有沒有基于這種大存儲、云存儲上面能夠做到他山之石安全防護的專家?能夠做出來難度還是非常大的,可能需要個別的運營商,去做出樣板,才有可能打破行業的慣性或者壁壘,形成人才快速培養或者是模式的一些經驗的復制。大家有意愿去體驗,要真正的做好效率型工具的定位。
政企和國家安全體系下這種新的點,既要合規,又要做到新的需求上面有一些創造性和突破性的方法,能夠做到前瞻的預防,能夠做到不再那么手忙腳亂,這個要求還是很高的。行業大數據方面,希望我們短期內能夠形成集團性的優勢,把各類的人才聚在一起,大家真正做出非常經典的大案例。因為整個安全行業的模型和知識的跨度實在太大了,每次參加這樣的大會,我為什么不愿意參加,因為不知道從哪里說起,經常犯的錯誤就是在黑客的群里面討論用戶需求,在企業的講2C。明天我還要參加一個大會,那個我個人的興趣還是非常之大的,連接一切的基石就是做這種安全。
我能講的還是講2C類的,就是我們做了哪些事情。我們騰訊這么多年來一直在跟黑產做斗爭。其實最早的互聯網是做娛樂的,大家都知道,是年輕人聊聊天,打打游戲,上面沒有實際性的東西,頂多有一個虛擬貨幣就是Q幣,Q幣之父。我在騰訊內部也是很長的歷史做這個事情。我記得才接手Q幣的時候,一年的銷售額就做到了30億人民幣左右,同時也造成了大概每年有幾億的Q幣被黑產掌控,各種賣,各種流轉,花了很多時間,積累了很多的經驗。當時也在做行為模型的預判,比如哪些是屬于攻擊對象了,查系統性的安全性應該怎么做,花了很多的力氣,更多的方法還是在構筑邊界,很長的力氣在做端的保護。對于這種用戶行為類,怎么樣知道已經有很高的風險。現在我們有一套體系,很快你們就會看到,我們有一些輕應用,會測試你帳號的安全性和帳號的資產。我們做這件事情很輕松,很愉快,可能不是那么嚴肅,但是其實無意識之間就增加了跟多用戶的安全意識,讓他們也知道主動養成安全習慣。其實真正要影響到一個用戶的安全,像我們父母教育我們一樣,板著臉恐嚇和教唆是沒有用的,可能更多的是需要潛移默化的激發他這種意識,激發他的主觀能動性。這是我們歷史上一直在做的,積累了很多,我就不展開講了。
最近在做的一個2C,是今年的幾件事。反信息詐騙聯盟、移動支付安全聯盟,這個原因我也講了,是未來的一個硬需求。如果說過去的10年互聯網只是做一做小孩子玩的過家家的東西,那這個年代的互聯網,或者是無線互聯網是真正在做行業的融合。它是隨著在線支付和O2O的步伐,會真正的融合到生活之中。我個人觀點認為,互聯網或者無線互聯網,作為行業會到了最頂峰,以后會慢慢的消亡。它會變成一種效率型的習慣和思維模式,融合到各種新興的行業里面。我經常給我下面的開發和產品經理講一個觀點,你回想一下你在十年前看學校的網管的時候,他是多么的高深莫測,多么的高大上。但是現在在很多行業都成為棟梁的時候,你再去看你的網管,除非他轉型好,正常情況下,他只是一個技術工人而已。這樣想的話,你再放眼十年看,這個階段,你要有非常好學的心態去擁抱行業,你不能有這種內心的優越感。確實互聯網這一變革是一個頂峰,直接造成很多年輕人畢業就到了BAT這些大公司里面,他會有一種錯覺,好像我無所不能。但是其實他們錯了,他們只吃過豬肉,還真不知道豬是怎么跑的。如果真正想在未來把握住新的機會,一定要把自己的優越感完全的打掉,你就是一個服務方,把自己的核心能力融入到這種傳統的行業,像金融和各類的O2O行業里面,你才有機會在新的行業里面避免成為那個網管老師。
現在大家覺得互聯網熱,還在包裝互聯網,比如萬達、百度和騰訊成立了一個房地產公司,如果它真的做到很大的話,真的影響到國計民生,或許不會用互聯網這個概念,會出來很多新的概念,互聯網就融合進去了,變成了一片片的泡沫跟新的未來融合在一起的情景。
講到移動支付,我講多了一點。但是確實是一個開始,互聯網的企業讓用戶的支付變得非常方便,但是也讓安全形勢變得很嚴峻。我們花了很多的時間在提前掃這些雷,移動支付會碰到什么問題。這個業務如果是一個航母的話,我們就是驅逐艦和掃雷艦。講了這么多,可能安全在攻擊你的時候,就在你不經意的時候,就是在你的日常生活當中。用戶需求很大,但是確實基本面的東西又特別差,所以會做這些事情。做了這么多事情,可能后面越來越發現邊界模糊,沒有辦法做。那么怎么辦呢?更多的是跟產業互動,能力分享去驅動。下面講了我們聚集的一些能力,是全部隊整個行業開放的。現在華為、聯想很大一部分都是騰訊分享出來的SDK,我們經常看到微信和QQ之間傳的東西,可以是一個鏈接,可以是謠言,但是我們會有2分鐘的反應時間,會彈出來這個頁面被舉報的提示,在國家防止出亂子的方面是非常重要的一塊,所以我們積累了非常強的能力,雖然瞬息萬變,但是我們有一套自學習的機制,可以快速的解決問題,不然的話我們騰訊很難混到一天,企業做大了,還是非常有社會責任的,迫使我們必須要加強這方面的能力。近期還會開放的就是在騷擾電話庫方面,也是面向廠家的,陸續都會有一些計劃開放出來。
這是我們在年初的時候,銀聯跟公安在一起做的一個防騷擾的。其實我知道,你的手機號碼用得越久,這個問題是越嚴重。對個人用戶,我們盡可能從國計民生,或者是從用戶感受最強烈的地方開始。雖然我們的跨度很大,技術很難,但是沒有關系,只要是硬需求,我們就愿意去用種種方法,包括技術、社會化工程、跳躍性思維去解決一些問題。
講到“XX神奇”,官方的是說蠕蟲類的手機病毒,感染數是600萬左右。其實我們跟運營商之間的聯動是非常之多,如果不是運營商在網端側把鏈接刪除掉,我相信這個影響面可能瞬間,12個小時之內影響肯定是幾千萬量級的,不是小的量級,所以大家的感知不是那么強烈,因為我們現在的主動防御能力和及時響應能力已經不是PC年代了,一個“熊貓燒香”橫行好幾天,找一個專殺工具那么久。這個年代不一樣了,在體系化的防范,聯動方面會好很多。正好始作俑者是在深圳,我們從首報這個病毒到定位,協同到公安抓到這個始作俑者那個大學生,大概只用了9個小時。所以你會發現安全專業能力和技術化聯動在一起,會發揮出非常高效的能力來。
在座的白帽子如果有興趣的話,明天可以一起參加我們的會議,我個人對那個行業非常有興趣,謝謝大家!
