移動(dòng)安全的業(yè)務(wù)價(jià)值導(dǎo)向

移動(dòng)安全的業(yè)務(wù)價(jià)值導(dǎo)向

阿里聚安全高級(jí)安全業(yè)務(wù)拓展專家鮑 曼

互聯(lián)網(wǎng)時(shí)代的安全和傳統(tǒng)安全的不同在于，傳統(tǒng)安全重在建設(shè)封閉可控的環(huán)境，但當(dāng)互聯(lián)網(wǎng)新技術(shù)大量利用，包括智能手機(jī)廣泛普及的時(shí)候，由于互聯(lián)網(wǎng)無(wú)邊界、海量用戶、設(shè)備不可控等特點(diǎn)，使得傳統(tǒng)安全無(wú)法施展。

當(dāng)然，互聯(lián)網(wǎng)安全也會(huì)遇到很多新問(wèn)題，阿里巴巴安全在不斷實(shí)踐中梳理出一些經(jīng)驗(yàn)?；ヂ?lián)網(wǎng)上各種各樣的垃圾注冊(cè)信息、作弊信息、刷單信息等滿天飛。我們還可以看到互聯(lián)網(wǎng)上的安全問(wèn)題基本上都是圍繞著業(yè)務(wù)發(fā)生，在移動(dòng)端或者PC端都有漏洞、木馬、短信釣魚(yú)、仿冒應(yīng)用等安全問(wèn)題，甚至在鏈路上也有盜鏈的問(wèn)題存在。

漏洞增長(zhǎng)在2015年完全是瘋狂式爆發(fā)增長(zhǎng)。IOS的漏洞增長(zhǎng)是1.28倍，安卓的漏洞增長(zhǎng)是10倍。阿里巴巴安全針對(duì)TOP18行業(yè)應(yīng)用的分析發(fā)現(xiàn)，97%的APP可被利用，所以用戶為手機(jī)裝很多應(yīng)用的時(shí)候，安全問(wèn)題就隱藏在其中。

手機(jī)病毒、木馬使18%的手機(jī)感染各種各樣的病毒。我們所耳熟能詳?shù)?，超過(guò)億萬(wàn)級(jí)的應(yīng)用，基本上都會(huì)有各種各樣的仿冒，利用客戶端用戶和移動(dòng)互聯(lián)來(lái)拓展業(yè)務(wù)。原本這是一個(gè)很好的拓展業(yè)務(wù)的思路方法，但如果安全能力不夠強(qiáng)大，最終會(huì)導(dǎo)致難以預(yù)料的安全隱患和損失。因此移動(dòng)互聯(lián)所帶來(lái)新的安全問(wèn)題是傳統(tǒng)安全廠商無(wú)法解決的。阿里巴巴因?yàn)閾碛谢ヂ?lián)網(wǎng)基因，基于電商平臺(tái)來(lái)做，并且有安全的大數(shù)據(jù)，因此阿里巴巴安全有效利用多種多樣的數(shù)據(jù)分析，結(jié)合數(shù)據(jù)分析技術(shù)，圍繞著互聯(lián)網(wǎng)業(yè)務(wù)研發(fā)解決方案。無(wú)論是軟件還是SASS服務(wù)，都是在利用阿里巴巴互聯(lián)網(wǎng)經(jīng)驗(yàn)，作為互聯(lián)網(wǎng)的福利，開(kāi)始為中小企業(yè)以及大型企業(yè)對(duì)外提供服務(wù)，這也是目前阿里聚安全作為集團(tuán)對(duì)外輸出平臺(tái)的主要業(yè)務(wù)。

國(guó)家法律是可以定性量刑，但灰產(chǎn)在國(guó)內(nèi)還沒(méi)有辦法定性量刑。它的每個(gè)環(huán)節(jié)都是精工細(xì)做的，每一個(gè)人做的事情非常小，細(xì)分到圖片打碼平臺(tái)等。目前這方面還沒(méi)有明確可以量刑定罪的法律規(guī)定，而且作為從業(yè)者也不會(huì)覺(jué)得有罪惡感，認(rèn)為其所做的事情只是很小的一部分，上游產(chǎn)業(yè)的圖片打碼平臺(tái)、收集驗(yàn)證碼平臺(tái)、社工庫(kù)、軟件、代理工具等，最終把黑產(chǎn)產(chǎn)業(yè)化，有的市場(chǎng)交易超過(guò)千億人民幣的收益。

對(duì)于企業(yè)來(lái)講，目前的網(wǎng)絡(luò)安全防護(hù)措施并不理想。黑工廠有精細(xì)的產(chǎn)業(yè)鏈，每個(gè)人負(fù)責(zé)很小的環(huán)節(jié)，但最后串成對(duì)企業(yè)攻擊的方案，產(chǎn)生嚴(yán)重的威脅結(jié)果。對(duì)于大中型企業(yè)，無(wú)論是移動(dòng)人才，或者是互聯(lián)網(wǎng)安全人才的儲(chǔ)備，以及攻防技術(shù)等各個(gè)方面，都在與黑產(chǎn)做一場(chǎng)不公平的斗爭(zhēng)。這是信息不對(duì)稱的結(jié)果。而阿里巴巴安全總結(jié)多年積累的經(jīng)驗(yàn)，一方面為企業(yè)提供獨(dú)到的互聯(lián)網(wǎng)安全福利，另一方面做到合理的性價(jià)比，來(lái)提供對(duì)外的服務(wù)。不會(huì)造成企業(yè)過(guò)大的安全支出成本負(fù)擔(dān)。

阿里聚安全重新定義互聯(lián)網(wǎng)業(yè)務(wù)安全，從傳統(tǒng)轉(zhuǎn)移到開(kāi)放的環(huán)境，不可控的終端，以及海量的用戶，傳統(tǒng)的以安桌系統(tǒng)為平臺(tái)的安全防護(hù)模式，加強(qiáng)互聯(lián)網(wǎng)業(yè)務(wù)是以業(yè)務(wù)價(jià)值為中心。解決整個(gè)業(yè)務(wù)設(shè)計(jì)軟肋，圍繞這些業(yè)務(wù)價(jià)值為核心，形成多種多樣的安全防護(hù)價(jià)值解決方案。

其實(shí)作為集團(tuán)從業(yè)者，阿里巴巴安全的地位比較被動(dòng)，在阿里巴巴，安全團(tuán)隊(duì)就是業(yè)務(wù)團(tuán)隊(duì)，安全團(tuán)隊(duì)的解決方案，絕對(duì)不能阻礙業(yè)務(wù)的發(fā)展。比如，業(yè)務(wù)提出各種各樣的促銷活動(dòng)，或者是想做一些新的轉(zhuǎn)型業(yè)務(wù)模型，后面安全團(tuán)隊(duì)絕對(duì)不能成為業(yè)務(wù)發(fā)展的軟肋。

簡(jiǎn)單看一下互聯(lián)網(wǎng)業(yè)務(wù)的基本模型，因?yàn)榇蠹椰F(xiàn)在基本都用手機(jī)工作，在整個(gè)模型環(huán)節(jié)可以看到兩個(gè)超過(guò)級(jí)大客戶，一個(gè)是手機(jī)淘寶，一個(gè)是支付寶，就是實(shí)現(xiàn)端與云之間的溝通。怎么實(shí)現(xiàn)端與云之間的溝通，或者是無(wú)縫的連接，就要依靠很多的技術(shù)支撐。首先，在互聯(lián)網(wǎng)的業(yè)務(wù)層次，共有8層，從運(yùn)營(yíng)的服務(wù)模型吧、視頻供應(yīng)商，還有互聯(lián)網(wǎng)金融應(yīng)用等，都是基于互聯(lián)網(wǎng)的業(yè)務(wù)模型，才能實(shí)現(xiàn)端到云之間的完美溝通。

阿里聚云也提出業(yè)務(wù)價(jià)值的安全，可以看到在硬件層面，有硬件的漏洞、協(xié)議漏洞、系統(tǒng)的漏洞等，以及加密的功能。在應(yīng)用層面還有漏洞掃描、防冒、監(jiān)測(cè)等，包括黃牛刷單，這些都有數(shù)據(jù)風(fēng)控的安全，整個(gè)安全模式保證端與云之間的溝通是安全的。

如果在手機(jī)APP里加載了阿里SDK，就會(huì)實(shí)現(xiàn)端到云之間的溝通是安全的。這項(xiàng)技術(shù)是無(wú)形技術(shù)芯片，保證APP與鏈路的溝通不可被攻破。基于這樣一個(gè)技術(shù)，阿里巴巴安全服務(wù)兩個(gè)超級(jí)大客戶，用戶超過(guò)4億多，每天能保證4億超級(jí)大客戶安全運(yùn)維。

未來(lái)阿里SDK會(huì)涉及到更廣泛的領(lǐng)域。包括可穿戴設(shè)備、智能家居、智能醫(yī)療、智能汽車。在智能汽車方面的業(yè)務(wù)走得比較快，因?yàn)橛邪⒗镌芆S，一個(gè)完全自主研發(fā)優(yōu)化的安卓系統(tǒng)。阿里云OS與上汽聯(lián)合研發(fā)的智能汽車在2016年末，或者是2017年就會(huì)推出，這其中包含移動(dòng)端的安全技術(shù)保障，達(dá)到全鏈路的防護(hù)體系，最終為用戶提供落地扎實(shí)的解決方案。

移動(dòng)安全解決防護(hù)技術(shù)可以在阿里巴巴.COM的開(kāi)放平臺(tái)，感受一些免費(fèi)的安全加固，如SDK，木馬查殺等。移動(dòng)安全產(chǎn)品是阿里安全開(kāi)發(fā)最多的，實(shí)現(xiàn)了三步：第一步是移動(dòng)APP的檢測(cè)。第二步是解決發(fā)現(xiàn)的問(wèn)題。有兩個(gè)核心的產(chǎn)品，一個(gè)是安全組件，以SDK形式為客戶接入，另一個(gè)是APP加固，由此形成完整的移動(dòng)安全解決方案。第三步是運(yùn)維兼顧。以企業(yè)大屏可視化進(jìn)一步的延伸。實(shí)現(xiàn)企業(yè)移動(dòng)應(yīng)用的一些可視化。這類APP接入非常簡(jiǎn)單，基于安全分析再重新設(shè)計(jì)的APP業(yè)務(wù)邏輯。

數(shù)據(jù)風(fēng)控防護(hù)技術(shù)方面參與的電商類的企業(yè)比較多。核心的大數(shù)據(jù)和基于風(fēng)控二次驗(yàn)證的很多技術(shù)，都是對(duì)客戶端用戶非常友好。數(shù)據(jù)風(fēng)控具有兩點(diǎn)，第一是數(shù)據(jù)風(fēng)控引擎。第二是對(duì)于客戶端很友好的軟件。阿里聚安全可以控制從帳號(hào)入口到資金操作入口的安全風(fēng)險(xiǎn)，并且每一個(gè)入口都有專門(mén)的解決方案。 抽獎(jiǎng)、秒殺、免單、交易、點(diǎn)贊等，都是互聯(lián)網(wǎng)發(fā)展生態(tài)里做任何活動(dòng)都要面臨的問(wèn)題，這些問(wèn)題阿里聚安全都有相應(yīng)的解決方案。

實(shí)人認(rèn)證防護(hù)技術(shù)，保證機(jī)主的互聯(lián)網(wǎng)ID不會(huì)被遺失或盜用，阿里巴巴開(kāi)戶電商已經(jīng)實(shí)現(xiàn)這方面技術(shù)的不斷完善，可以為企業(yè)用戶提供可靠的安全保障。另外還有實(shí)人認(rèn)證在互聯(lián)網(wǎng)里是非常重要的解決方案，也就是保證“對(duì)的人在用對(duì)的軟件”，實(shí)人技術(shù)在阿里巴巴已經(jīng)用了五年多時(shí)間，2015年支付寶也采用了這一技術(shù)，因此大家從中可以感受到這一技術(shù)應(yīng)用的效果。

到目前為止阿里聚安全已經(jīng)服務(wù)超過(guò)1千家，服務(wù)互聯(lián)網(wǎng)站點(diǎn)1萬(wàn)多家，所服務(wù)的終端用戶接近于6億。