freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

阿里安全钱磊:数字基建浪潮下,企业需要怎样的安全架构?
2020-06-04 14:30:44

今年政府工作报告提出,加强新型基础设施建设。这是自2018年底“新基建”概念提出以来,首次被写入政府工作报告。新基建的发展由此按下政策的快进键,“数字基建就是新基建”的理念更是早已成为社会各界的共识。“数字基建开展起来后,最大的特点是会深入各个新产业,这些产业在生产、制造、运营等方面会非常依赖数字化。”阿里安全首席架构师钱磊在接受FreeBuf记者采访时指出,在新的交互场景下,网络风险多样化和复杂化,不仅会影响虚拟空间的正常运行,还会逆向为不同的线下生产、生活场景带来诸多早已超出传统网络安全维度的挑战。

目前,传统安全方案解决的大都是单点问题,真正的安全能力是在具体业务场景中千锤百炼成长出来的,会运用多种技术组合解决业务问题。

因此,钱磊提出,新基建的安全需要不同企业依据自身实际情况打造一套属于自己的安全架构,真正立足甲方视角,以解决不同场景下的实际安全问题为目标。

做安全架构就像“盖房子”,在设计之初就需要联动考虑安全问题,而不是在房子快塌时,临时找个支柱。现在,风浪已起,企业该如何把握这一机遇,同时迎接这一挑战? 钱磊和阿里安全要回答这个由数字基建浪潮抛出的问题。

微信图片_20200603141557.jpg

钱磊,2008年加入阿里,曾主导B2BCRM、ICBU用户权益、集团会员等核心业务。2016年加入平台治理部,负责打假、恶意行为治理、商品合规、商家管控等技术体系的搭建;2017年负责安全技术领域的工作,推动安全AI技术理念在安全和治理领域的全面应用,研发出阿里安全风控大脑、知识产权保护科技大脑、营商保等核心产品,为阿里巴巴经济体业务提供安全保障。

数字基建风险攻击面迅速扩大

新基建一词火爆后,相信“数字基建”也开始为人们熟悉。简单来说,新基建的核心层就是数字基建,比如5G、大数据、人工智能等数字化基础设施,而数字化又是未来发展和投资的重心。

和过去的“铁公基”相比,新基建新在主导对象上向市场和企业倾斜,各大企业都相继宣布加大力度投入“新基建”。阿里也不例外,抗疫期间,无论是网上购物、线上办公、云上学习,还是码上管理、AI诊断、数字防疫,阿里等数字平台企业向全社会开放的数字化能力,成为了这场疫情下生活、抗疫、复工须臾不可离的新基础设施。

随着数字基建的发展,钱磊认为,越来越多的业务形态会以“网络+APP”的形式服务大众,比如市民中心是由钢筋水泥造成的房子,是一个服务老百姓政务需求的实体,现在通过“网络+APP”就能达到服务效果,满足需求。

越来越多的企业在加快数字基建布局,也带动越来越多的业务数字化,直至脱胎换骨,焕然新生。

以前,有些企业拥抱产业数字化的方式仅仅是使用Office、文档类等办公工具。实际上,真正的产业数字化其实深入到生产、制造、运营等各个核心业务环节。

这样的“质变”带来的首要问题是风险攻击面的扩大。其次,攻击面扩大后,背后承载的风险也将进一步增加,产生的影响也会扩大。以5G为例,如今5G正式进入人们的生活,许多厂商也在陆续推出5G设备,当不法分子将目标转向5G基站,频频发起攻击,那么小到个人生活,大到社会经济,都要沦为“砧板上的鱼肉”了。

钱磊表示:“如果新基建全面部署实施,一旦网络出现问题,将给数字经济带来‘地震’式影响,相当于网络世界的所有道路坍塌,所有人都无法逃离。”

据统计显示,如今60%的中小企业在遭遇网络攻击后面临破产,数据泄露、窃取造成的后果就是企业需要以各种形式进行赔付,同时这类事件也会严重损害企业声誉,从而导致业务大幅减少。

最后,这个过程中相关的软硬件产品安全、数字化基础设施之间的网络互连都需要有效而安全的审核。除了攻击面的增加和影响的扩大,还有一个潜在问题,即新型基础设施建设的安全标准是否准备好。

面对数字基建带来的风险,阿里也提出了应对的理念——“安全基建”。简单来说,即为各类App和网站等数字经济实体的搭建过程建立标准化流程,确保数字经济实体在建设之初就运行在较高安全基线上。

俗话说,站在巨人的肩膀上,才能够看得更远。中小企业在面临新基建带来的风险时,需要学习不同的安全理念,并结合自身企业业务,量身定做一套适合自己的安全架构。

新风险挑战下完善安全架构

在风险中寻找机遇,从根源上做好安全。作为阿里安全的首席架构师,钱磊如同一艘安全大船的舵手,他敏锐地观察着新基建的暗潮涌动,暴风雨来临前的征兆,及时帮助大船远离危险,而做好安全架构则是他的安全“罗盘”。

对企业而言,安全架构从无到有,需经历一个过程。企业搭建安全架构的过程,实际上就是企业安全建设流程化、标准化的过程。然而,目前业界没有一个共识的安全标准或流程,最早真正触发企业开始做安全架构的还是安全问题困扰。

安全问题的解决是第一驱动力,那么立足甲方视角做安全架构,则是结合企业自身的安全业务切实解决安全问题。所以,在钱磊看来,在整体的业务架构中,在数字基建的发展上,企业需要融入安全架构的思路。

“就像曾国藩说的那样,我们是‘结硬寨,打呆仗’,我们要把架构搭好,以不变应万变。”钱磊如是说。

未知的风险变化莫测,从根本问题溯源安全治理。以阿里自身的安全架构建设经验来看,钱磊这一判断和自身业务的发展密切相关。

2006年是阿里安全从0到1起步的阶段。淘宝的正常业务中开始“混着坏人”,反欺诈、反作弊的安全需求迫在眉睫,于是,安全业务由此诞生。

2014年,阿里安全将企业分散的安全业务、安全团队汇成集团军的形式,集中面对核心的电商业务,严阵以待。此时,单兵作战的模式已经不能适应业务发展的需求,随着阿里的业务发展得越来越庞大,一支有着专业素养的安全军队开始配合作战。

2018年,阿里走出原有的核心业务后,开始覆盖其他业务,形成了阿里经济体,从商业扩展到文娱、生活等板块,安全自然需要跟上步伐,为业务保驾护航。如今,阿里巴巴的安全体系发展越来越成熟。

正如前文所述,钱磊认为做安全要立足甲方视角、解决不同场景下的实际问题,阿里安全技术体系的成功是这一观点最好的佐证。

然而,安全架构也是处在一种动态发展中的,不是一成不变的,在新基建的背景环境下,也要有应对新风险的新变化。在今年3月底,阿里发布了新一代安全架构,承载着“安全基建”这一全新理念。据钱磊介绍,这个新一代安全架构从安全技术、安全基建和安全运营三个层面入手。安全基建主打的是事前、事中的建设防护,安全技术是基础要素,安全运营业务是安全痛点。

“以建筑为例,造房子需要钢筋,需要混凝土,没有这些基础,房子是造不出来的。技术代表的就是在安全这栋“房子”中夯实的基础,比如AI技术、攻防技术、密码学技术等等。但是,如果做的技术不能彻底解决业务问题,很容易落入自high的境地。”

 钱磊在此强调的是,技术是业务的基础,但业务才是安全的痛点。

 安全技术人员一般主要和代码打交道,较少考虑人的问题。而做业务架构,则需要学会运营,在业务运转、安全设计之初,就将安全理念融入业务中。安全不仅仅是指技术上的攻防,而应和业务结合,考虑用户体验。

以做账号注册为例,为了防止盗号,技术人员可以设置成每次登录,都需要手机验证码进行验证。理论上这是安全的,却也是反人类的,用户体验不好,所以讲究技术和业务两者的平衡十分重要。

总而言之,数字基建新风险驱动企业实施新的安全防范措施,而在这个过程中,安全架构则能够提供安全建设思考,帮助做出正确的安全决策,解决一些安全重复建设和低效率的问题。但这还远远不够,除了要有架构思维,还要立足甲方视角,结合企业业务从根本上解决安全问题。

钱磊于2008年入职阿里巴巴,曾经的工程师履历让他在安全行业有着敏感且独特的架构思维。因此,钱磊在思考问题时,和传统的安全技术人员也会有些不同,他更倾向于从架构层面思考问题。不管是对自己还是对安全团队人员管理来说,更加看重从根本上解决问题,举一反三,触类旁通,而非以攻防为驱动,或者是重事后,不重事前。

新基建新技术助力安全架构

去年年底,钱磊受邀在“2019中国网络安全产业高峰论坛”上做主题发言,突出强调了AI在安全体系中的应用,而在今年3月发布的新一代安全架构中,也能看到“算法”的身影。

此外,近年来为人们津津乐道的“风控”、“算法”、“可信计算”等新技术,在阿里新发布的架构中都可以看到。由此可见,阿里安全架构的发展也是一步一个脚印,跟着技术和时代,不断积累,不断完善。

这也让人反思,安全架构不是一成不变的,安全建设也没有“银弹”。

新基建下,涌现了一波新技术,或结合传统基础设施进行转型的“新”技术。5G基站、大数据中心、人工智能、工业互联网等都是所涉领域。

这些新技术的发展潜力是巨大的,比如AI的算力市场正在崛起,据IDC预测,2020 年全球数据总量将达到 44ZB,中国的数据总量超过8ZB,占全球数据总量的 18%。数据量激增,对安全来说是挑战,也是机遇。

从挑战上来说,数据膨胀速度难以计量,而模型计算也将变得更加复杂,对算力的需求则节节拔升。

从机遇上来说,钱磊对此做出了回答。他表示,“‘安全’本质上是一个信息不对称问题,安全水平的高低和获取信息量的多少呈正比。”

以垃圾注册为例,如果提前知道垃圾放号、黑产流转的信息与手机号的信用数据,垃圾注册这个安全问题就不会存在。早期对信息的获取、利用,是将其结构化。而如今,提高信息利用率的最佳方法是AI算法。

同时,经验丰富的“舵手”钱磊还做出了一个判断,“安全不只是开始时依赖AI的能力,而是会越来越依赖。”

当安全开始依赖大量获取的信息,而非人自身的安全知识时,便抓住了安全对抗的主动权。当然,这并不是指安全人员的专业知识不重要,恰恰是要将其有限的优势最大化,让信息依靠人的智慧获得新生。

甲方企业的安全对抗优势也是信息量。面对攻击者,企业有三大困境:敌明我暗、敌众我寡、传统的监督学习模型效果防控没那么好。在传统的监督学习模型中输入有类标签的数据进行训练,即使花费大量精力做标注,这种安全模型仍然容易被绕过。

看到了这一“征兆”,阿里安全迎来了重大的变化,在阿里安全的AI技术发展中,守卫者的模式从有监督学习转向无监督学习模型,注重利用更多的原始数据沉淀最智能的模型。

近几年,无监督模型发展迅速,在核心技术上也实现了一些突破。对安全攻防而言,甲方企业利用相关数据习得通识,加上部分样本训练,反而是更为有效的。所以,以无监督学习模型为基础的安全AI对企业未来做安全业务、安全架构而言,是有很大助力的。

AI之于安全架构的助力只是整个新基建、新技术的“冰山一角”。如今,新基建一片火热,新技术的推进和投资也是风声四起。这波浪潮越是“火热”,企业安全人员则越是要冷静思考,不要盲目地跟风,盲目地因为新技术的噱头而引进,要结合企业实际情况、业务安全痛点,来进行安全布局。

企业要不要利用以及如何利用新基建下的新技术来进一步推进安全架构的完善,这些运营方需要思考的问题。

结语

秉持着“知行合一”理念的钱磊在安全架构建设上的丰富经验和他乐于不断摸索、迎接挑战的心态是分不开的。

在来到阿里之前,钱磊管理着一家百来号员工的ERP企业,在技术领域来说,算是做到了拔尖。然而,三十而立之年,钱磊选择跳出这个曾经的“舒适圈”,怀抱着一颗挑战自我的初心选择了阿里。

在新基建的时代浪潮中,安全架构的调整、安全理念的跟进,企业运营方对于这些应该有更深的思考。每个企业的安全架构应该是量身定做的,从自身的实际业务出发,在关键链路上做安全投资,同时,利用新基建新技术的助力,只有安全问题解决了,业务才能长青。

钱磊希望,跨越无数年轮,历经多少曲折,阿里安全的防守者们最终沉淀的安全经验可以传承给后来人。薪火相传,守望相助,应是这个时代最值得铭记的安全奥义。

*本文作者:Sandra1432&洛克,转载请注明来自FreeBuf.COM

# 阿里安全 # 钱磊 # 数字基建
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者