00:30
我把安全呢,就是可以分成两个部分。第一个部分是属于基础设施类的,这个怎么理解呢?就比方说我们安全啊,我们的所有的业务都一定会用到服务器。用到网络啊,用到容器这些基础设施啊,包括我们会用到一些开发语言去开发一些产品,这些产品的整个的生命周期,整个的一个从设计到研发,到上线到部署,这再到整个运行这个生命周期,其实各家公司都是相同的,这叫基础设施的安全,从这一块上讲呢,应该不会有什么太大的区别。
01:10
真正的区别在于说也是安全的。另外一个非常重要的属性就是。运营为主。什么叫运营为主?那具体体现在不同的公司,就是他会跟着业务走。就比方说拿咱京东来说,京东主要就是以供应链为主的啊,技术服务提供者,那这样的话就是我们会有电商,我们会有支付啊,我们会有云啊,会有物流这样的场景,那真正的区别在安全上,也体现在业务上的区别,就比方说你刚才说的这个线上线下,那京东就会有线下便利店呀,尤其fresh啊,这些业务要考虑它的安全,但其他公司就不用考虑,那这种他的业务的不同会导致安全的方法也会不同,这是真正的区别,也就是运营指导下的安全思想,那么就一定会跟着业务走。
02:04
业务的不同就会导致安全的不同。所谓的临界点,在我们看来就抛开业务讲啊,从安全的角度看呢,它有大概有几个方面的一个挑战,第一个挑战就是当只有两个用户的时候。你可以很轻松的知道,更多维度的知道哪个人是好人,是京东的目标客户,哪个人是他是非法的,是从黑产过来的,那这里面最第一个挑战就是。人群变多了,突然间的人群变多啊,然后这是这是第一点啊,应对的方法也非常的非常的简单,就是如果你平时是以这种个性化的方式去认知,是啊,以自动化的方式去认知,那自然量大量少,差别就没有那么大。
03:03
啊,当然这里面还会有其他的挑战,就比方说对抗会升级是吧,就比方说因为这里面有这种极大的利益的,这种利益的驱动是吧,就比方说平时呢啊,我们给的啊,像电商公司,他给的补贴一定没有双11和618这种力度大,那这种利益驱使下,黑产也会想尽各种各样的办法,它就会变得更积极,所以对抗强度也会升级啊,这是第一点,就是量大了,对吧,然后第二点呢,就是抛开安全讲,这个基础设施的挑战也是非常大的,那怎入怎么应对这么大的量,虽然量大,还要个性化的服务,就是业务和基础设施的一个挑战,也就是说我们需要大量的业务人员去啊,服务好客户,提供流畅的服务。安全在这里面也会啊,随之而来带来的挑战就是,如果说第一个是量大的话,第二个就是场景多了。
04:03
就是我刚才说了,有个性化的用户,有个性化的服务,那这些场景我们该怎么应对,结合前面的问题,那我们怎么去运营我们我们的安全,就举个例子来说,比方说啊,大家会在618双11都会领各种优惠券,那这些优惠券也是针对不同的人群,不同的产品提供的优惠券,那这时候啊,黑产他们就惠去关注到这些优惠券,从而呢,它也会有这种个性化的这种抢券,或者说薅卷薅羊毛的这种啊手段在里面啊,但是你要知道黑产的人数一定是远远大于我们的安全人员人数的,所以我们对抗它的最有效方法,绝对不是说他在关注的每一个细节点,而是我们要有一个整体的宏观的一个设计啊,而且这个设计呢,能够从根本上去消除黑产去薅这些羊毛的可能性。所以这是带来的第二个。
05:03
挑战,也就是说场景多,但是黑产的人数足够多,所以他能关注到一个某一个点,而且他有利益驱动,但是安全的人数却是不变的,所以我们要在设计初期要更前置的去解决这些安全问题啊,要自动化的去解决安全问题。这次疫情的爆发,大家应该都能感觉到,科学精准防疫在黑产的这个对抗角度上也是一样的。如果你的数据量足够多,维度足够多,你就能清楚的知道到底是谁在用什么方法在攻击你的什么资产。当然这是一个理想情况,你实际在操作的过程中会碰到碰到两大难题。第一大难题就是数据量太大了。啊,就是其实这这在各家大型的互联网公司都存在,它不是数据量不够,而数据量真的太大了,黑产的流量占比在我们的正常业务流量占比中,其实是一个还算比较低的一个比例,那在这个比例里面,你想计算所有的数据,那你的投入和你的收获其实是不成比例的,那么怎么解决这个问题,就是数据量太大的问题,这是一个挑战。第二个问题就是如果说啊,我们能够很清楚的解释是谁在用什么方法在攻击你的什么资产的话,那这个时候它可以起到一个很重要的作用,就是你能够啊辐射,就是比方说我举一个例子,比方说你知道谁。
06:42
用什么方式在攻击京东,攻击京东的什么资产里面的谁,也就是黑产是谁,你就能够从中挖掘出他还用什么其他的方式,还有什么关联的团伙在对你进行攻击,那这个时候呢,他就起到一个作用是什么,就是比方说平时我们在做一些边界防护,在做一些安全措施的时候,你会你市面上的一个阻挡是一个啊防范,但是如果说你能够抓住某一个点,能够掀起萝卜带上泥,能把所有的这些关联的这些黑产都挖掘到的话,你能够让你的防御效率会啊大幅的提升,这就是大数据的第二个好处,也就是说它能够抓住一个点而带出面,而不是在我们前面的,我们一定要建一个边界来对它进行面上的防护,所谓的大数据本身也有安全的问题,如果你能保证我数据本身的安全,那其实你可以跟。
07:43
啊,其他公司形成联防,就是我有我的黑产画像,你有你的黑产画像,以及攻击流量的特征,如果大家都有,大家来进行,在安全的情况下大家进行融合,我们就能形成合力,呃,对黑产形成一个整体上的联防,联控的一个防御态势,能促进各家公司之间的一个合作。
08:12
啊,这个问题非常好现如果一个安全问题解决的时间不一样,它会带来的解决成本是什么样的?第二个就是这比较难度比较高的问题,它其实是没有办法在后期得到有效的控制的,只有在设计初期你去考虑,才可能把它从根本上解决啊举个例子,就比方说大家都比较啊难解决,像这种逻辑漏洞的问题,它本身是由于业务的逻辑产生的,那这种问题呢,你去怎么,你怎么通过标品去检,检测到,发现到并且防御到这些问题呢?其实基本上是不可能的,只有通过在业务设计的时候,他的逻辑没问题,你才能解决这个安全问题。所以这是一个第二个点,也就是说只有在前期才能解决到某些比较难度比较高的问题,其实这是一个现状,很多公司在初期他解决的问题其实是一个,呃,生存问题。
09:08
啊,在越往后他才会,呃,把安全问题放在一个比较重要的一个位置上,那这这个时候你再去解决的时候,其实你面对的是一个已经发展了几年的公司,他带着他的一大堆业务,带着他的一大堆it资产,来让你帮他解决安全问题,其实安全的原理从某种角度上说,它并不复杂,但是复杂就复杂在这儿,就是你是怎么样让业务。继续发展不影响业务,但是你还把安全问题解决掉,这其实是解决大多数互联网公司,特别是大厂解决安全问题的痛点,所以这个问题越前置,这个痛点会呃越越小,解决的效率也会越高。我们所有的产品,所有的业务,它都有一个起点,呃,你可以理解为一个扇形,就是从起点,然后一直往外涨,对吧,其实所有的互联网公司都一样,越往这个起点方向靠。
10:13
你的解决的面就会越大。大概是这么个关系。所以我会说我们的安全重心就会往这个起点方向靠,举个例子啊,就比方说我们在解决大家都理解这个漏洞,如果说你把这个漏洞控制在设计阶段。那么这个漏洞的量就能控制下来,那如果说重点在那个检测阶段,就是产品上线前,上线前的测试,或者说产品上线后的测试,会受到场景的各种各样的制约啊,再举一个例子,就比方说啊,我们在解决这些安全问题的时候,如果说你是在依靠安全团队,呃的专家去对他进行渗透,当当然这个效果会很好,对不对,就会随着场景的增多而爆炸。
11:00
安全问题也会爆炸,安全的需求也会爆炸,那如果说我们把这个问题消化掉,把它变成自动化渗透测试,或者说啊,把我们的专家的渗透测试啊,把它消化成一个可以执行的一个流程,那这样的话,我们的啊,整个安全的效率啊,就会往业务方去扩散,做产品的时候,在上线产品之后,然后他就能通过安全部的指导去完成有效的渗透测试。啊,所以一个是组织上的,一个是这个往起点方向靠,这两个方向。大公司纵纵然啊,流程比较长啊,资金也比较多,然后人员也比较多是吧?啊,但是他面对的安全问题也会多,所以如果说你以一个维度去看这个投入的话,其实是差不多的啊,就比方说啊,像京东或者腾讯这样的公司,他的安全人员确实多啊,业务,但是业务也确实多,那平均到每一个产品线上的安全人员,其实跟小公司不会有太大的差距,唯一有一种情况就是小公司可能根本就没投入安全是吧,这是非常有可能的,但是他带来呃,看他在什么阶段,小公司怎么定义啊,你像某某公司,他在上市的时候,其实他的人员和业务也比较单一,但是它会受到这个呃,上市规则的这个,呃。
12:37
约束,所以他不得不投入安全,所以这个时候他也是也是会逼着他去投入安全的,其实我给到的建议也很简单,一个就是对于大公司来讲,就是比较大型的公司来讲,那一定要从投入巨大的精力,从根本上去解决问题。就是我前面一直在说的,那对于小公司来讲,那他投入的就是尽量的去采用标品,呃,这个标品啊,啊这个大家也能看到各种各样的这种安全产品是吧?啊大部分的成本还是在一次投入,而且相对成熟,就直接的就能解决安全问题,所以一个角度是说采用标品,还有一个角度是说啊就是啊直接解决安全问题和从根本上解决安全问题这两个点的一个不同的做法。
13:33
呃,这个定义其实各家都不一样啊,呃,像我们的看法跟腾讯的看法可能也会不一样啊,我可以举一个具体的场景来说明这一点,嗯,啊就比方说咱们大家都有云,有腾讯云,百度云,阿里云是吧,各种云啊,京东云,然后那么在啊,我们看待原生安全问题的时候啊,你可以抽,呃,具象一点看就是这样看,就比方说从服务器里面。
14:02
那是不是你在Bo进去的啊,操作系统镜像本身就是安全的是吧,然后在呃,放大到整个网络里面,那各家厂商都会有这种VPC的隔离,这种网络上的隔离它就是原生的,但是如果说你在操作系统上装一个啊,装一个这个h hi DS,你在访问入侵,在检测入侵做阻断,这个就不是原生的啊,就是会它是后期的一个运营补充进去的一个东西,但是如果说你又在里面装了一个微隔离是吧?这个微隔离呢,它天生就带着规则进去的,就是说啊这个产品。跟这个产品应该交互,这个人员应该访问这个数据啊,这种就是原生的啊,那非原生的就是说我们发现这个人在。访,大量的访问某些敏感数据,然后呢,我们去做了阻断,做了调研,这个就属于后天的安全,后生安全就不是原生安全了。
15:09
啊,这个就聊到这个就可以,呃,回想刚才我说的基础设施和业务的区别,在基础设施方面呢,我们更多的是能力方面的一个合作,就比方说我们有检测这个的能力,我们有阻挡这个的能力,我们有原生这个的原生能力,这个层面能力层面的一个合作。如果说前面的呃,基础设施是一个能力上的,一个共性是面上的话,那在这个层面上,在业务层面就是链条,就是需要链条上合作打通以后共同的去抵御黑产。
我来说两句