移动互联网时代的安全新格局
很少有机会在这样大的场合跟大家分享一下腾讯的安全方面现在在做哪些事情。因为我自己是在腾讯做研发的,整合了腾讯的安全线,在去年9月1日,到现在也是一个刚刚入行一年多的新兵。西海岸宋总这边一直在业务上给了我们非常大的支持,所以我过来演讲,但是不是我的专项。前面两位前辈和领导都在各自的领域讲得非常深入和专业,我本来准备的PPT更多的是讲应用和行业的。我也看到,今天的会议时间已经拖了半个小时了,所以我尽可能简洁一点。最主要分享的要点是把腾讯安全在最近一段时间做的一些事情和专注的一些领域跟大家讲一讲。
大家知道,腾讯其实是对公众服务的,在我接手安全线之后发现变化非常之大,很久以前也是开发出身,在Cisco做网络设备,做路由上的CCIE,也做过安全,那个年代我离开Cisco的时候,他们正在做安全的设备,包括防火墙。等我再次接触安全的时候,发现变化非常之大。有几个领域,以前边界很清楚的安全就是围绕端,挨着边界做的安全端很模糊。现在很多动态的大数据反而成为我们需要面对的黑产之类的各种新的攻击方式,甚至一开始的几单,很重要的事情,黑产都在用大数据和社会化工程做这种攻击方法。我们发现在做正规军传统的安全,好像在理论体系和意识上反而没有那么清晰的一个发展路径。我感觉到整个的安全话题在市场上跟防范的具体对象靶心原点上,一下子分拆出了很多的领域。可以简单的理解为,比如说我们做2C的客户,大家都说中国的用户安全意识不足,其实不完全是这样。比如说在碰到一些新的热点的时候,像我们移动支付这些大热点的时候,我很清楚的感觉到,用户在每一次用这些新兴服务的时候,他总是希望寄托有没有一个具像化的服务或者软件,或者是一个什么样的形式,能够让我用了一下之后,可以保障用那些创新激情服务的时候,至少有这个保证。否则的话,心里会有顾虑。
相信在座的在开移动支付或者很多在线新的支付业务的时候都会碰到这样的问题,就是到底是否安全,有没有谱?其实你会发现,传统做2C的用户,以前那种恐吓类的方法不好使。因为我们现在面对很多的90后的用户群,他们是有非常清晰的需求,需要保障,只是2C的产品线在表达上面没有满足他这个需求。所以第一步在做公众服务类的时候我们做了很多事情,就是把一个宝剑型的安全,你没有的时候心里很虚,但是有的时候,就像你看小区保安的时候很烦燥,他老干预你,本来是这种效率型的工具,但是总是在不合时宜的时候弹出来打断你,这不是一个非常好的体验。所以我们花了很大的力气去改变这种在宝剑型的体验的时候,碰到问题的时候,他第一时间的会想到使用,会比较高频次的使用,他也不想了解安全的具体细节,想把这些事情做好。得到一个真正的,哪怕是保险,哪怕是服务综合性的保护体系。2C就发展成我们更多的在做一个安全感的产品,比如我们现在大家看到的手管和桌管在PC和手机上的产品,更多的在往这个方向走。
下一个机会点在哪里?我们明显可以看到,对公众服务的时候,未来有很多热点,比如看得清楚的移动支付、O2O,甚至跟医疗相关的很多东西,连接一切,都是未来能够研发你这种安全产品的一个热点,只是你在用户体验、服务体系上面是否能够满足用户的需求,这个简单的讲是客户端的一些产品。
我在接手这个工作的时候,也受到了很多政企安全服务的需求。传统的政企大家也了解,这个安全界定里面,更多的是物理网隔绝。我最近接触的时候发现,好像跟我当年做的没有太大的区别,这么多年来还是这样的规范。这样的一个格局在新的安全形态下,其实我个人认为很不合时宜,因为在断网的情况下,物理隔绝更多的是防内部的,并没有把自己跟真正的国际技术潮流有一个对接。但是在这个阶段,我们的习书记在开始成立网信办的机构,开始强调做了几个小组的组长,强调这个安全性重要的时候,上升为非常重要的国家策略,甚至是国策的时候。我们接到了几个需求,这几个需求是爆发性的,以前有,但是没有这个阶段这么多,也给我们的安全性带来了很多新的课题。总结来说主要是几类问题:
一是银子的问题。就是移动支付带来的问题到底能不能保护,这个可以允许一定范围内的损失,但是需要有一种长期机制保护。还有就是非常密集爆发的就是,大家知道在2014年有多少起互联网企业或者传统行业,不算太顶级的漏洞就攻击到了,逐步被黑产用社会化的攻击方式在利用,等你发现的时候,其实影响和损失还是不少的。
二是面子问题。国庆期间香港占中,有一个匿名的黑客组织,指名说要攻击哪些。明显也是一个非政府组织的攻击行为,可以发现,他在攻击你的时候,这个链条显而易见是非常难受的。
三是裤子问题。刚才我们的段主任也讲到了,大家都在主动的监控,整个国家或者全球各类公共服务的网站,它的速度是什么样的。但是目前看起来,可能中国政府旗下的这些网站的修复速度是相当慢的,非常容易被利用。其实我们已经在开始做一部分主动监控和扫描的事情。腾讯手里面有很多用户行为的数据,如果要用的话,相信国家的这种大战略是很有价值的,但是这个阶段你看到一些问题,但是你也很无奈,只能到现场像救火队员一样不停的补救。
四是乱子问题。大家知道,像新疆、西藏这些问题,更多的变成是社会工程行为,这一类的问题给我们的挑战是非常大的,我们的安全能力,从整个中国或许现在都是这样,从高层的漏洞,很多爆发出大问题的漏洞,其实在两年前就在顶级的白帽手里面。种种原因没有暴露出来,直到爆发之后才发现是这样。整个行业里面,其实大家的挖掘方法都更多的是师傅带徒弟,感觉整个安全,不像我之前经历很多年的无线互联网行业,甚至不能称之为一个行业,虽然行会开了那么多,更多的是小行会各自为政。大家发现之后,才想到这么多年前就想到了这个问题,发现大家很多的研究方向是非常一致的。下午有一个著名的白帽子,于旸会跟大家分享技术领域。
整个断层,比如我们在座的跟BAT的三家,其实我们相互之间的方法共享是非常之快的,甚至我们相互之间去补漏洞,去查一些工作方法,都有一个很成熟的联动机制。我们更多的防守可能大于进攻,国家的很多很大的力量都是在防守层面的,接触到军方的时候我发现,在攻击方法上面,其实业绩有一句比较通用的话,不知攻,焉知防,我们在攻上的能力弱了很多。
传统的漏洞挖掘和安全的方法,跟现在的这种基于数据流这一类的社会化工程还是有很大的脱节。举一个例子,比如前一段时间美国起诉了我们五个军工人员,这个面子的发展,在安全圈的认识上还是很重要的。知道我们的ID、IP、身份和帐号,据说最高领导还是很震怒的,美国都已经做到这一步了,我们的面子在哪里?如果真正要做到这一步,其实工程量是很大的。不光是要回去锁一个IP的问题,还要知道背后的一些社会化工程的痕迹。跟现代意义上互联网公司的数据要有一个结合。
所以现在很多的需求,我总结一下就是银子、裤子、面子和乱子。这不是我的原创,这是上次国测的主任吴世忠在腾讯交流的时候他总结的,主要还是他的原创。
未来的趋势很多的大企业都是红头文件盖章的,保护的范围是这个,相对比较好结点。但是现在的问题是保护用户的行为和数据,像中石油、中石化、公安,很多用户服务的机构,他们在两年的时间产生了90%以上的大数据,这会带来一系列的问题,这个大数据首先存在哪里?有没有IDC的专家,有没有真正把这些数据用起来的专家?有没有基于这种大存储、云存储上面能够做到他山之石安全防护的专家?能够做出来难度还是非常大的,可能需要个别的运营商,去做出样板,才有可能打破行业的惯性或者壁垒,形成人才快速培养或者是模式的一些经验的复制。大家有意愿去体验,要真正的做好效率型工具的定位。
政企和国家安全体系下这种新的点,既要合规,又要做到新的需求上面有一些创造性和突破性的方法,能够做到前瞻的预防,能够做到不再那么手忙脚乱,这个要求还是很高的。行业大数据方面,希望我们短期内能够形成集团性的优势,把各类的人才聚在一起,大家真正做出非常经典的大案例。因为整个安全行业的模型和知识的跨度实在太大了,每次参加这样的大会,我为什么不愿意参加,因为不知道从哪里说起,经常犯的错误就是在黑客的群里面讨论用户需求,在企业的讲2C。明天我还要参加一个大会,那个我个人的兴趣还是非常之大的,连接一切的基石就是做这种安全。
我能讲的还是讲2C类的,就是我们做了哪些事情。我们腾讯这么多年来一直在跟黑产做斗争。其实最早的互联网是做娱乐的,大家都知道,是年轻人聊聊天,打打游戏,上面没有实际性的东西,顶多有一个虚拟货币就是Q币,Q币之父。我在腾讯内部也是很长的历史做这个事情。我记得才接手Q币的时候,一年的销售额就做到了30亿人民币左右,同时也造成了大概每年有几亿的Q币被黑产掌控,各种卖,各种流转,花了很多时间,积累了很多的经验。当时也在做行为模型的预判,比如哪些是属于攻击对象了,查系统性的安全性应该怎么做,花了很多的力气,更多的方法还是在构筑边界,很长的力气在做端的保护。对于这种用户行为类,怎么样知道已经有很高的风险。现在我们有一套体系,很快你们就会看到,我们有一些轻应用,会测试你帐号的安全性和帐号的资产。我们做这件事情很轻松,很愉快,可能不是那么严肃,但是其实无意识之间就增加了跟多用户的安全意识,让他们也知道主动养成安全习惯。其实真正要影响到一个用户的安全,像我们父母教育我们一样,板着脸恐吓和教唆是没有用的,可能更多的是需要潜移默化的激发他这种意识,激发他的主观能动性。这是我们历史上一直在做的,积累了很多,我就不展开讲了。
最近在做的一个2C,是今年的几件事。反信息诈骗联盟、移动支付安全联盟,这个原因我也讲了,是未来的一个硬需求。如果说过去的10年互联网只是做一做小孩子玩的过家家的东西,那这个年代的互联网,或者是无线互联网是真正在做行业的融合。它是随着在线支付和O2O的步伐,会真正的融合到生活之中。我个人观点认为,互联网或者无线互联网,作为行业会到了最顶峰,以后会慢慢的消亡。它会变成一种效率型的习惯和思维模式,融合到各种新兴的行业里面。我经常给我下面的开发和产品经理讲一个观点,你回想一下你在十年前看学校的网管的时候,他是多么的高深莫测,多么的高大上。但是现在在很多行业都成为栋梁的时候,你再去看你的网管,除非他转型好,正常情况下,他只是一个技术工人而已。这样想的话,你再放眼十年看,这个阶段,你要有非常好学的心态去拥抱行业,你不能有这种内心的优越感。确实互联网这一变革是一个顶峰,直接造成很多年轻人毕业就到了BAT这些大公司里面,他会有一种错觉,好像我无所不能。但是其实他们错了,他们只吃过猪肉,还真不知道猪是怎么跑的。如果真正想在未来把握住新的机会,一定要把自己的优越感完全的打掉,你就是一个服务方,把自己的核心能力融入到这种传统的行业,像金融和各类的O2O行业里面,你才有机会在新的行业里面避免成为那个网管老师。
现在大家觉得互联网热,还在包装互联网,比如万达、百度和腾讯成立了一个房地产公司,如果它真的做到很大的话,真的影响到国计民生,或许不会用互联网这个概念,会出来很多新的概念,互联网就融合进去了,变成了一片片的泡沫跟新的未来融合在一起的情景。
讲到移动支付,我讲多了一点。但是确实是一个开始,互联网的企业让用户的支付变得非常方便,但是也让安全形势变得很严峻。我们花了很多的时间在提前扫这些雷,移动支付会碰到什么问题。这个业务如果是一个航母的话,我们就是驱逐舰和扫雷舰。讲了这么多,可能安全在攻击你的时候,就在你不经意的时候,就是在你的日常生活当中。用户需求很大,但是确实基本面的东西又特别差,所以会做这些事情。做了这么多事情,可能后面越来越发现边界模糊,没有办法做。那么怎么办呢?更多的是跟产业互动,能力分享去驱动。下面讲了我们聚集的一些能力,是全部队整个行业开放的。现在华为、联想很大一部分都是腾讯分享出来的SDK,我们经常看到微信和QQ之间传的东西,可以是一个链接,可以是谣言,但是我们会有2分钟的反应时间,会弹出来这个页面被举报的提示,在国家防止出乱子的方面是非常重要的一块,所以我们积累了非常强的能力,虽然瞬息万变,但是我们有一套自学习的机制,可以快速的解决问题,不然的话我们腾讯很难混到一天,企业做大了,还是非常有社会责任的,迫使我们必须要加强这方面的能力。近期还会开放的就是在骚扰电话库方面,也是面向厂家的,陆续都会有一些计划开放出来。
这是我们在年初的时候,银联跟公安在一起做的一个防骚扰的。其实我知道,你的手机号码用得越久,这个问题是越严重。对个人用户,我们尽可能从国计民生,或者是从用户感受最强烈的地方开始。虽然我们的跨度很大,技术很难,但是没有关系,只要是硬需求,我们就愿意去用种种方法,包括技术、社会化工程、跳跃性思维去解决一些问题。
讲到“XX神奇”,官方的是说蠕虫类的手机病毒,感染数是600万左右。其实我们跟运营商之间的联动是非常之多,如果不是运营商在网端侧把链接删除掉,我相信这个影响面可能瞬间,12个小时之内影响肯定是几千万量级的,不是小的量级,所以大家的感知不是那么强烈,因为我们现在的主动防御能力和及时响应能力已经不是PC年代了,一个“熊猫烧香”横行好几天,找一个专杀工具那么久。这个年代不一样了,在体系化的防范,联动方面会好很多。正好始作俑者是在深圳,我们从首报这个病毒到定位,协同到公安抓到这个始作俑者那个大学生,大概只用了9个小时。所以你会发现安全专业能力和技术化联动在一起,会发挥出非常高效的能力来。
在座的白帽子如果有兴趣的话,明天可以一起参加我们的会议,我个人对那个行业非常有兴趣,谢谢大家!