阿里每天究竟要抵御多少次黑客攻击

 

全世界羊毛党都在盯着...

这是半佛仙人的第223篇原创
0
知乎上曾经有一个很有趣的问题。

黑客为什么不攻击淘宝?

这个问题有趣就有趣在,这是典型的外行思维,看似很有道理,但其实问都问错了。

正确的问题是,黑客到底有哪天不在,攻击淘宝?

答案是,0.

每时每刻,黑客都在攻击淘宝。

每年的双十一,阿里都在同时抵御最大的流量攻击,以及各路黑产从各个角度发起的漏洞攻击。

那一整个月,整个线报群和黑产圈,都在沸腾,能从阿里手上咬到肉,是一种荣耀。

单拿2019年双十一来讲,2684亿交易额背后,是全天22亿次的黑,产攻击。

你没看错,24小时,22亿次。

单就下午13点,推出的2万瓶茅台,瞬间的订单数是80万,其中至少三分之一是机,刷羊毛党。

阿里很头疼,但不能退。

身后是商家和用户的利益,因为阿里就是互联网基础设施,本身,无路可退。

此时此刻,非我莫属。

负重前进,砥砺前行。

这就是阿里的大安全体系,从来没有考虑过失败,因而也没有怎么显过名声。

因为最好的安全体系,是最不出名的。
1
做互联网企业是一件非常辛苦的事情。

不仅仅是所谓的产品设计,营收,利润,现金流;

也不只是所谓的用户运营,活动策划,市场更新;

更重要的是不能犯错。

辛辛苦苦一年下来,一旦出现漏洞或者业务,风险,一整年下来等于白干。

白干都算好的,很多公司弄不好就,直接完蛋了,因为风控漏洞直接被,干掉的公司多不胜数。

存量年代比的不是谁,吃的多,而是谁错的少。

而掌握了技术的,羊毛党和黑客们,同样睁着血红的眼睛,等着从失误的企业,手中抢下一块肉来吃。

每年的促销节,每一个活动,都是他们的狂欢。

当然,公司老板也不傻,也在重视风险管理,毕竟钱袋子的事情嘛。

实际上风险管理已经成为了,各大公司的核心命门,这点从风控从业者水涨船高,的待遇就可以看出来。

但很可惜的是,钱虽然可以,解决大多数问题,但是不能解决所有问题。

而风险管理属于典型的花钱也,没法速成的事情。

很多人认为招几个风控大牛,就能解决问题,实际上是很难的,顶多做到改善。

为什么?

因为所谓的风控只是表象,背后是一整套的安全体系。

对于整体安全架构这,座巨大的冰山来说,风控只是水面上,露出的一个尖角。

这就像一家饭店想要生意,做得好,应该是从蔬菜采购,成本控制,食材处理,厨师调味,上菜流转,乃至营销手段全面开花。

风控顶多算是炒菜技术,只是酒店管理体系,的一小部分。

你单纯一个逆天的厨师,剩下所有人都拉胯,你开上天也就是一个,网红苍蝇馆子。

数字时代真正重要的,是安全架构,是安全架构,是安全架构。
2
完整的数字安全架构,是什么?

在阿里巴巴,对于整个数字安全架构,划分了3层。

安全运营层,安全基建层,安全技术层。
目前业内大部分所谓的【风控】,其实本质上只是,风控系统的使用者,落在了安全运营层。

不管是风控策略,还是执行,还是数据分析,做的都是影响业务。

合规也好,防羊毛也好,反欺诈也好,业务合规也好,都是在服务业务,本质上都是业务,运营分范畴。

那问题来了,风控人员如何影响业务?

并不是靠嘴和报告的,而是需要具体的工具。

假如一个风控想要对某个大促活动中,的特定人群进行限制,不让他们领券或者不,给他们发货。

那就需要一个能够,配置相关规则的开关,不管是手动点击也好,还是写代码也好,要让机器知道你想让,他做什么。

这个与系统沟通的工具,就是决策引擎。

一个根植于业务流中的,决策引擎,是安全运营层的核心。

决策引擎是怎么,发挥作用的?

随便举个例子,数据瞎编的。

很简单,风控通过分析,发现注册年龄是18岁的,提交的身份证归,属地为海南,男性用户,近期出现了大量的,刷单行为。

那就在决策引擎,中配置相关的策略集,其中一条规则为:

年龄=18,

身份证前六位=XXXXXX,

身份证倒数第二位,为13579,

则,设置处置规则。

禁止领券/发货。

这要求业务的每一个节点,都要调用这个决策引擎,从而决定是否走下一步。

在安全运营层,风控分析师们,策略专家们,风险运营们,都是依靠大量的数据分析,来找到规律,然后把规律设计成一条,一条的规则,配置规则集定义为策略包。

最终区分为获客策略,转化策略,发货策略,售后策略等等等等。

上面讲的只是最基础,的规则。

举个日常会,遇到的风险问题,羊毛党们也不傻,必然不会傻乎乎的就,冲上来,实际上专业的羊毛党都是,潜伏在正常的用户中。

甚至很多用户本身就是,具有羊毛党和用户双重身份,正常情况是正常人,遇到便宜就是羊毛党,或者协助兼职刷单。

那要怎么抓?乱抓等于误杀等于客诉,不抓等于用户和,商家的双重损失。

阿里安全体系拦截都是,看横纵双向的,横向是看同一个,时间段一批人的特征比对,纵向是看一段时间内个体,的行为变化,从而达到精准拦截的效果。

实际上双十一期间,99%的准确拦截率,就是力量的体现。
3
如果说运营层体现了企业业务的认知水平,那么是更硬核的,是安全技术层。

很多事情你意识到了,想到了,但是技术不够,你依然做不了。

技术,才是互联网最核心的,竞争力。

这个年代公司之间,最大的竞争,就是技术竞争。

而技术差,就是不公平的。

安全亦是如此,没有技术,没有安全。

当技术水准达到,一定程度的时候,可以做出非常多的匪夷所思,的操作。

所谓技术安全层,包含了算法,攻防能力,密码学,数据加密体系,技术效率。

这些统统都是硬实力。

算法层面,如何评估一个各方面都看似没有问题,的人是不是有问题,如何抓出羊毛群体,这个准确率直接影响业务是否敢,放胆补贴。

攻防层面,如何抵御黑产的饱和攻击?黑产总能在各种,思维的死角来发动进攻,进攻总是比防守简单,这需要防守者比,进攻者更懂进攻,甚至不停的在,内部做攻防演练。

密码学和数据加密领域,如何防止信息被泄露?如何给信息加密乃至信息加盐导致黑产即使,拿到也根本用不了?甚至可以依据数据泄露中,的线索直接定位到进攻方?

技术效率,安全发展到最后,其实是一个效率问题,就是什么都能做,但是假如一整套安全模型,走下来,需要10分钟,那么这个安全体系,同样是垃圾。

为什么?因为客户不会,等你10分钟。

想要的,立刻就要,所以效率是技术的命线。

这一切,归根究底要依靠什么,来搭建?

算法需要足够的样,本来训练,攻防需要足够多,的进攻来磨练,密码学和数据加密需要,足够大量的数据,技术效率更是需要强大的,系统负荷需求。

所以,靠业务,靠业务规模。

这也是为什么阿里巴巴的,数字安全能力如此强大,都是这20年一步步,打出来的。

每年双十一全民剁手背后,阿里的安全体系,都在迎来大考。
4
尽管每次大考,都能低调地拿到好的成绩,阿里安全却从未停止前进,的脚步。

很多安全人都熟悉的《技术的本质》这本书。

书中有一个观点:技术的特征是组合和进化。

最近阿里安全正在拥抱,变化,通过调整安全架构确定了新进化(新,进化)的方向。

仔细琢磨阿里安全发布的,新一代(新一代)安全架构,可以发现,安全基建是一个,全新的概念。

如果说阿里新一代(新一代)安全,架构的三层体系是安全领域的皇冠的话,那么安全基建就是皇冠,上的那颗明珠。

当所有人还在考虑明天是否再加盖,一层土墙的时候,阿里不但造好了城墙,还开始琢磨为建城打造,标准了。

在数字经济时代,如果我们将网络比作道路,将计算和存储系统,比作土地,那么基于这些建立的app和网站,这些数字经济实体,就可以类比为商业建筑。

每一个app的搭建过程和建筑工程,其实很类似,会采购大量的原材料,也有很多阶段和工序,每个环节都有可能出问题。

所有的互联网,安全从业人员,都会面临三个无法,回避的事实:三方软件必然存在漏洞,升级成本高;攻击者关注的应用,风险面增加、攻击手法更加多样;基于网络边界的,防护必然会被突破。

数字基建的最大意义在于,为这些“建筑”的搭建过程建立标准化,流程,确保建设之初就运行在较高,安全基线上。

依照阿里安全首席架构师,钱磊的说法是:

“过去的网络安全关注的是,造城墙本身,但是买来的砖头出现了,问题和漏洞,城墙盖的再好也没用。另外,城门被攻破后是否,就一马平川,有没有瓮城做安全区隔也是设计者必须,考虑的问题。

安全基建层的核心能力,是为“数字建筑”的生产建设标准和监理。

这意味着,从出生就要有基础,的免疫力。

阿里新一代(新一代),数字安全架构最大的亮点在于,通过供应链安全、研发生命周期、安全卡口和应用可信,等企业标准的建立,形成天然的“免疫系统”,很多东西一开始就不该进入,业务流中。

最差的防御,是事后补偿。

普通的防御,是事中拦截。

最好的防御,是事前拒绝准入。

这是免疫系统的极致。

其实,《技术的本质》还有一层意思,技术通过组合,可以产生颠覆性技术。
5
安全行业一直是有甲乙方到底谁更强的争论的。

甲方是企业,乙方是安全类三方公司。

前者更懂业务,后者更加通用。

从我的角度来看,其实不存在争议,一旦顶级甲方公司的安全架构,标准对外输出,基本上就没有乙方公司的,事情了。

因为安全这个东西,本质上吃的是什么?

吃你有多少数据,可以用于训练模型。

吃你有多少业务场景可以帮助,你验证模型有效性。

吃你有多少业务挑战可以帮你验证,系统的抗压能力。

吃你有多少能力把,所有资源体系化,用架构和阵法产生最大的,结构之力。

一切安全说到底,都是要为业务服务的。

安全,只有在业务体系中,才有价值。

在和业务同生共,长的基础之上,

安全,只有在合理的架构中,才有力量。

你做数字基础建设,做安全基础建设,都是基于业务的,就像大家用水电煤的目的根本,不是水电煤,而是生火做饭娱乐填饱,肚子。

不懂业务的安全,不能被称之为真正的安全。

就像一个经典笑话里说的,一个安全的房屋,把门堵得严严实实的,考虑到了甚至核弹攻击的,场景并且做了充足的防御。

但是人家直接从,窗户进来了。

从这个角度来看,显然只有真正的大甲方,才能理解公司的核心需求。

所以风险管理,表面上是技术,其实考校的数字安全架构。

而归根究底,还是对业务的理解能力。

业务和架构,就是一切。

-----------------------

公众号:半佛仙人(ID:banfoSB)

B站:硬核的半佛仙人

微博:半佛仙人正在装

知乎:半佛仙人

这是一个神奇的男人,你完全猜不出,他会写出什么,他自己也不知道。

长按下图二维码关注,你将感受到一个朋克,的灵魂,且每篇文章都有惊喜。
-----------------------


感谢你的阅读,下面是1个抽奖链接按钮,4月10日晚上19点开奖,一共3888元,1024个红包,感谢大家的支持。

感谢大家一直以来的阅读、在看和转发,点我参与抽奖!点我参与抽奖!

【失去技术,失去一切】


    关注 半佛仙人


微信扫一扫关注公众号

0 个评论

要回复文章请先登录注册