参加2015阿里巴巴安全峰会感想

2015年7月9日-10日两天，在北京参加了阿里组织的安全峰会，对于我这种第一次参加安全类会议的初学者， 虽抱着重在参与的思想，但也是从各位前辈的分享中学到了一些东西。知识点零零散散，简单回忆一下。

###安全路漫漫，总有新困难

每次听到有人谈及安全二字，都说这是一条永远没有尽头的路。这次大会一上来就又强调了一遍。

目前的黑产出现了团伙化、地域化、跨境化，更恐怖的是黑产已经出现产业链化。有人负责寻找目标制定策略；有人负责开发工具、提供技术； 有人负责销赃；没准还有专人送盒饭。

面对更强的对手，更快更丰富的业务，我们作安全的能否跟上节奏？我们到底是在不停进步，还是在享受之前技术的红利？

阿里作为这次大会组织者，在国内电商领域也是执牛耳者，在安全这条路上经历的很多事，我们也会自然的遇到；而它现在面对的，我们有一天很有可能也要面对。

例如目前阿里发展的两条路，一个是冲出国际，一个是深入农村。面对两种消费习惯、教育背景完全不同的用户， 对于风控安全是个挑战。无论电商、还是银行，很多行业的安全都必然要面对这个问题，只是时间问题。

###云安全

阿里云作为国内知名云服务提供商，业务服务于政府、国企、私企、个人、开发者，运行在上面的网站也是千奇百怪， 间接服务的用户也是各种各样。有正常的用户，也有恶意用户。刷广告的、发黄图的、散播暴恐言论的。 这次阿里分享了违法内容在云平台上的识别。

阿里经历了3个过程：

• 买设备
• 自研照妖镜
• 阿里绿网

先说买设备。这个好理解，花钱买时间，先把问题暂时解决了。问题也不难猜，买来的肯定不如亲生的好使， 例如识别率未到预期、运维不方便、和内部其余平台不互通、跟不上业务发展。

接下来亲生的来了，就是被称为照妖镜的系统。实现了文本、图片的精确识别。贴一张架构图，包含了一个风控系统基本的组成部分，感觉蛮重要的。

解决了第一个过程的问题，也出现了新的问题：用户体验不够好、不满足客户个性化风控、不适应云技术的发展速度。例如页面大量广告问题， 对于教育网站这是不正常的，但是对于商品页面这是很正常的。没有一个规则可以适配所有页面。

这个时候绿网应运而生！但是，说实话，我为什么想起来了当年的花季护航————绿坝！

绿网主要是解决上一阶段的问题，同时大幅提高用户体验。解决了温饱，要奔小康了。

目前国内公有云有名气的也能数出来好几个了，这个是趋势，从发展速度就可以看出来安全挑战是很大的。

###移动安全

还是阿里，先说说嘉宾。当我听到“潘爱民”三个字的时候，第一反应就是《计算机网络第四版》的翻译者， 大学时期这本书帮了我很多，我一直以为潘爱民是个60多岁的大学教授，没想到竟然有机会一睹真容，膜拜膜拜。

这两年有名的公司没个APP都不好意思出门和人打招呼, 不可阻挡的移动大势也给风控提出了新的问题。潘大神提出了4点威胁

• 信号保密和真伪
• 链路安全
• 终端安全
• 用户信息安全

移动端安全需求大致是

• 操作系统不安全，也就是缺乏可信的执行环境
• APP分发渠道不可控
• 业务风险

想一想，似乎在APP的整个生命周期中都会有风险点。

• APP产品业务设计可能有缺陷
• 开发肯定有bug
• 上架时众多分发渠道可能会给你捆绑东西
• 运行时系统可能含有漏洞，或者用户手机已ROOT，甚至根本不是跑在手机上，而是模拟器
• 和服务器通信时的整个过程可能被截获、篡改
• APP可能被反编译后添加恶意代码，然后通过非法渠道第二次分发
• 同一APP 多版本同时存在，对于新安全策略无法实施

阿里针对上述风险点给出了一些方案

首先是安全审计。在APP发布前或者是需求设计阶段介入，让更专业的安全人员为公司业务安全把关。

APP运行时增加威胁感知。也就是APP会检测当前手机是否是ROOT状态、是否是运行在模拟器里、数据是否被篡改、是否存在恶意调试。同时增加恶意代码检测， 防止增加恶意代码。

最后是APP加固。例如防反编译、代码隐藏和混淆。

除了上述方法，“云-端平衡”的思想也是十分重要。如果大量业务逻辑、业务代码是跑在Server端，那么安全也应该更重视Server端。反之则重视APP端。

###态势感知

这次阿里分享了他们在安全方面的新思路——态势感知。

全面、快速、准确的感知过去、现在、未来的安全威胁。帮助客户第一次看清楚自己和这个世界。

这个概念的核心是“安全的挑战在于看见，并提出一个正确的问题”。如果我们不能发现我们被攻击，也就谈不上反击；如果我们不能正确的描述出我们遇到的问题， 也就谈不上解决。

态势感知需要更多的数据作为实现的依托。这可能是技术方面的监控数据、也可能是业务日志。对于这些数据，阿里给出了三条：

• 安全产生的数据可能比正常业务还多
• 让数据在线
• 连接不同的数据，从而创造新的价值

首先说说“安全产生的数据可能比正常业务还多”，这么多数据放着是没用的，要快速低成本的分析这么多数据该怎么办呢？

这个时候云计算该登场了。云计算集群强大的计算力，给我们提供了分析这些的能力。同时由于数据量多到已经无法搬走（耗费大量时间、带宽和存储空间）， 所以我们需要在产生地计算。这恰好是云计算的思想。

然后说说后两条，我认为小公司实现的成本不大，但是对于大公司可能是个坎。因为大公司更难做数据的打通工作，因素可能有：

• 大公司业务多，安全部门一个部门想要了解多个部门的核心数据，需要和业务部门细致沟通，梳理起来需要更多时间和更多耐心
• 老系统多、存储方式不统一造成数据隔离，想要改变需要细心规划
• 数据缺失，同时公司高速发展，业务部门自己都累成狗，能否重视安全数据需求，快速响应

上面的几个因素，对于大公司而言，部门配合成本比技术成本高很多。是我们实施时要考虑的！

另外，唯品会与日志相关的分享，其实也是“态势感知”的实现。从日志中获取更多信息，同时利用Apache storm提供实时快速的计算能力。

###以点击面

对于我们作安全的，在设计系统时要考虑到各种情况，无论是周知的方案还是和自身业务相关的特殊方案，恨不得能加上的都加上。

对于黑产，只要找到系统中的一两个漏洞，就可以帮你攻破。

我们的防御好似一个平面，而黑产的进攻却集中于上面的一点。我们似乎很被动，怎么办？

会议上肖新光前辈从他的实战经验中总结出了两点：

• 我们无论面对神一样的对手还是猪一样的对手，都被搞定了，不是因为我们的工具和手段不够好，而往往是因为我们没有正确使用这些工具和手段
• 我们要抓住防御的高点，也就是基础检测能力，可以击杀普通攻击者，阻挠高级攻击者。不要盲目追求技术革命。

我的理解就是：做好基本功

###跨公司联防联动

跨公司联防联动这个话题，没有人细讲，但是很多嘉宾都提了。但是，面对越来越有组织的黑产，单独的一家公司可以做到多好？

2013年的时候就听说支付宝想要做一个安全平台，需要唯品会这边向支付宝发送一些数据，印象中包含手机号、IP之类的，然后支付宝告诉我们相应数据是否存在风险。 虽然后来这件事没有成，但是可以看出来支付宝已经在做跨公司的数据整合和开放API了。

从各个安全部门的角度想，跨公司和安全合作肯定好的。但是什么数据可以共享，什么不可以，往往不是安全部门一个部门就可以说了算的。

现在较为成熟的方式应该是乌云这样的第三方安全平台和厂商的合作，厂商之间的安全合作是个任重道远的目标。

###大会PPT

点我