周斌:今天很高兴和大家分享一下腾讯云在云安全方面所做的工作,今天与大家分享的主题是《数据安全业务上的对抗》。
传统网络安全的事情涉及到入侵、攻击、APT在很多场景下大家会碰到,但隐藏在背后还有一群人做的工作是业务安全层面上的工作,包括刷单、垃圾消息,隐私信息的窃取。
这块的工作,腾讯在过去18年过程当中亲历了很多场景,我12年前有幸加入腾讯,伴随业务整个过程当中我们遇到了各种不同的场景。今天也希望在这些情况下把我们过去的实践与大家做分享,希望能够有一些启发。
我今天的分享分为三个角度:
1、现在的市场和腾讯看到的情况——扑克的背面。
2、腾讯在过往业务当中建立的业务安全体系——腾讯的经验。
3、我们在云上应用的场景——云+能力输出。
这是来自CNNET的数据。随着CNNET中国网站数和网民数在不断地增加,也蕴育出了繁荣的互联网产业,(图)右边有9个图标,相对有点抽象,其实它是很清晰的图标,中间包括O2O、金融、支付、娱乐、视频等不同行业,每一个行业都会碰到自己行业里不同的业务安全风险。
这背后黑产在做什么?黑产做了很多事儿,包括线上到线下的蔓延,隐私的窃取,生态的破坏。这场恶意行为已经给企业造成超过1000亿的损失,国内和国外各种大型企业都在不停地受到他们风险的影响,雅虎5亿用户文件问题,这是之前在网上不断报出的问题;索尼文件丢失等等。
同时,他们还做了另外一件事情DDoS攻击,根据腾讯云看到的情况,整个DDoS攻击数2016年比2015年已经翻倍了,超过2000万营收企业里超过99%的情况都受到来自DDoS和网络黑产的攻击,游戏、电商、奥运都受到这些行业的风险,只有春节可以让黑客停下来。2015年2月14日是最安静的一天,这一天我有幸也回家了。
前段时间报道的美国“断网”,罪魁祸首来自于摄像头IoT设备,这是来自中国的摄像头,所以我们也主导了整个美国的互联网安全。
中国整个黑产从业人员已经超过百万人规模,遍布全国各大省市,最主要的是华东和华北各大片区,他们在线上和线下结合的方式在业务层面上不断制造风险。线下叫猫池,可以在网上很容易买到,短信能够注册到的东西,90%的恶意注册都是从猫池上自动发出来的,它不会用一个个手机号。
猫池有很多型号,有8口、12口、16口、24口,对应网上发射的软件和打码,整个流程是自动收发的,可以发短信、读短信,解决短信里整个的东西。通过这样的过程,整个黑产形成完全的链条,对整个场景形成威胁。从黑产的角度看,除了传统的攻击以外,它的目标还是盈利,它会窃取用户的数据获得利润的方向。
最常用的是“三板斧”,就是暴力、手工、社工。整个安全发展到今天是非常成熟的链条,也有很多现成的工具化的产品,在最开始初级时,大家直接下载网上的工具,直接跑就行了。高级时解决手工的问题,再高级就是社工,这是大家经常会提到的场景。
这是非常有意思的情况,会模拟你生活中某一个场景,比如扮演你的同学,扮演你的同事,扮演你的亲戚朋友,套取你各种融资。甚至会想用各种你意想不到的方式。最近大家看到一个案例在网上曝出,如果我想要拿到一批用户数据怎么去办。
传统意义上会走破解,但实际这个人找到目标公司楼下的Wi-Fi,侵入他的Wi-Fi,通过Wi-Fi上面收到网上所有员工帐号,拿着员工帐号做了一次批量地扫描,通过这样的方式去获取它的数据,根本不需要入侵你云端的数据库,不需要你在远程做多少事情就可以通过社工+手工模拟方式获取。
关于腾讯的业务安全框架。我们做的做了四个工作去解决。我们会把所有的数据放在云端场景里进行远程加固,同时在客户端层面和在网络通信链路层面上,为了避免刚才我讲到的场景也做了两层的加密工作。在客户端保证客户端应用程序被反编译或逆向的可能性。
从Windows到Android,到其他平台,我们提供了各种不一样的工具,在QQ、微信平台上对他们的通信过程,也保证了通信协议的有效性。在云端我们也做了下面四个工作。
第一,防数据爬取。
第二、UGC信息安全。
第三,防社工诈骗。
第四,防内部风险。
第一步,防数据爬取。腾讯内部提出一个方案,安全是体验和安全性之间的平衡,我们把数据分为生产者、托管者、使用者。我们有数据安全一问,首先这个数据是不是核心数据,如果是周边数据,这个数据没有重大的影响;其次,我们需不需要进行后台托管;第三,如何安全地传输和提供数据服务,包括身份认证、传输6个环节。我们把数据三问合理划分以后定义出数据安全规则。腾讯会把所有的数据集中在一个地方存储,统一加密管理。
我们定义数据的标准是,首先我会拦住,不让入侵,当然反入侵是另外一个话题,有机会再和大家做分享,今天就不做展开讨论,当然我们在外面会做很多工作。一是防止入侵,二是让你进不来,三是即使万一你进来拿到数据也没用,我们会对数据做高强度加密,保证数据通讯过程中的有效性,保证这些数据不会得到泄露。
第二步,我们会搭建一套安全系统,解决业务系统当中UGC的安全问题。(框架图)这是腾讯内部搭建的一套大型分布式系统。(图)左边有一排大功率系统,能够支持腾讯在大量实时流式计算和离线分布式计算的集群,支撑我们业务发展,包括腾讯自建的TDW,有Hadoop大量集群和机器满意的集群特斯拉TESLA。
由这些集群我们可以应对每天千亿级流水数据进入,进行数据的准实时的数据计算,通过这些数据汇总到安全系统,登录和保护的安全策略层和数据层,进行实时和离线数据计算。我们会把离线数据结果和中间数据输出到安全系统里实时对抗系统里,然后进入主动和被动机器深度模型来进行深度学习,然后来进行反应。
第三步,我们会在业务层面上解决社工诈骗的问题,包括后台和产品侧的体验,对前、中、后三个维度会做实施检测,前——端的检测,中——使用时的检测,后——解脱检测环节,去避免整个社工诈骗问题的发生。
第四步,防范风险。在这些问题都得到解决的情况下,我们会防范风险。所有的系统内部进行了完善风险审计原则,包括通过跳板机进行登录的操作审计,内部DB审计,以及所有的数据审计。所有的审计现在都可以做到准时的级别。现在数据异常的情况可以在5分钟之内全部发现。
在这种情况下我们积累庞大的数据库,现在在系统里我们积累了2T画像数据,380计算维度,每天可以处理超过500亿条流水,所有的数据上报接入是全自动化过程。我们在后台已经计算了2万个计算程序和40多个不同的机器学习算法,为我们每天的离线平台进行服务。
我们把这些作为能力在云上进行SaaS化的服务,为客户提供特殊的安全能力,腾讯在18年场景积累下,积累的技术能力去对合作伙伴开放。包括基于网络层、基于应用层的,云服务行业解决方案,最后会输出我们态势感知能力。刚才大家看到了我们云顶这边态势感知能力,帮助我们的业务进行实施定位。
最后形成天御产品,输出到金融、电商、游戏、直播四大行业的解决方案。
天御整体架构。
整个体系框架我们分为四个框架为客户提供服务。业务层面是云的客户,实际对SaaS服务来讲,云和非云服务都是从SaaS层面上提供的,对我们来说就是客户端,我们会为客户端提供API健全和控制台、中控台的功能,为他提供防刷智能图片过滤,反欺诈等等各种不同的系统。底层进行数据分布系统进行数据画像和数据实时计算。
今天是10号,马上是“双十一”,“双十一”很多电商开始做预热工作,我们这个平台帮一个知名电商公司发起的活动里做了一次过滤。这家公司在做“零元购活动”时发现大量的资源损失,通过我们的系统进行实时识别。我们系统帮他做完实时拦截以后发现20万个恶意号码,占他总的恶意号码当中97%,也就是说97%的情况在腾讯平台下面是可以实时发现的,最后帮他挽回超过800万的经济损失。
我们也和腾讯的鉴黄团队合作,发现顶级的系统识别功能,目前系统能够实时识别超过1亿图象数据,我们审核效率大概是人工审核的370倍。我们曾和客户做过一次对比,他有一支300人的团队做实时的图像鉴别,也就是帮他看每个视频房间里是不是有问题,通过我们天御鉴黄API以后可以只要一个客服就可以每天把他所有的情况全部挑出来。
这个产品在多个亿平台中应用,包括电商、O2O、直播、其他在腾讯云安全上开展SaaS化的服务,这些服务能持续在这些平台上运营,我们积累了大量的原始数据,促使这个系统能够正向循环,持续地创造价值。
我的分享就到这里,谢谢大家!