上海久睿包装有限公司 86-21-51085217

人物丨周斌:在腾讯做业务安全

作者:佚名 时间:2020-03-26 15:03

从2005年“大众化元年”开始,中国博客在数年时间里始终保持着高速增长的势头,博客产业成熟度不断提高,产业生态也逐渐走向成熟。

随着功能的不断完善以及市场普及的加深,腾讯QQ同时在线用户人数在2007年第三季度突破3000万,创下了当时的历史新高;而庞大的在线用户自然而然使得QQ空间成为了当时最活跃、最引人瞩目的“社区明星。”

正所谓有人的地方就有江湖,既然是江湖,总也少不了一些尔虞我诈的纷争。趋利的骗子们早就敏锐地嗅到了网络世界信息不对称的商机,QQ空间也就成为了他们将线下诈骗往线上转移的战场之一。

从一张“恭喜您获得三星笔记本电脑一台”的海报开始,虚假中奖信息不断侵袭QQ空间。奖品信息从笔记本电脑、现金、手机等不断升级和演进,QQ空间庞大的用户体量和平台规模无疑是黑产眼中的一块肥肉。

2007年,周斌还只是一个刚刚进入腾讯两年时间的年轻小伙,按照自己最初的设想,他是将来要成为“开发王”的男人。

实际上计算机专业出身的周斌,大学刚毕业那会就在运营商做过两年的后台开发,主要负责计费系统的设计和制定;后来正值腾讯Q币应用场景需求的增多,有关业务套餐的系统日趋复杂,急需专业的计费系统开发人员,周斌也就借着这个机会加入了腾讯,依旧从事着本行工作。

只可惜人算不如天算,周斌当时的团队隶属公共部门,专门负责UGC类的业务,因此打击QQ空间虚假中奖广告的业务安全重任就落到了公共部门的头上。于是从2007年开始,命运硬生生将一颗开发界冉冉升起的未来巨星拽到了网络安全的池子里。

周斌告诉我,第一天接触业务安全的时候他其实是很懵的,不过懵的不止他一个,还有当时国内整个业务安全的体系。和今天相比天壤之别的是,那时候国内威胁情报的体系几乎为0,甚至连算法都还处于一个懵懂的状态——无法评估黑产有多少,也不知道该如何有效对虚假广告和诈骗信息进行识别和拦截。

因此对于切入业务安全这件事,不光周斌自己,就连整个腾讯的安全团队都感觉遇到了前所未有的困难。他们唯独知道的只有两件事:一是用量很大,每一个IP平均每秒钟可以发起上千次请求;二是对算法的要求很高。

周斌回忆,由于没有成熟的算法,他们不得不通过关键词来对QQ空间的虚假诈骗信息进行识别和拦截。但关键词的逻辑过于简单粗暴,甚至连“JAVA”这样的词汇都中了枪——原因竟是“JAVA”中间的两个字母刚好撞脸了某国知名的影视作品。

从那时开始,周斌明白了一个道理:算法对业务安全非常重要,如果不能建立成熟的算法,不仅不能够有效打击黑产,还会造成误杀,影响业务的正常运行。

于是他和同事们开始尝试将算法引入业务安全体系,用算法识别、拦截并解决腾讯各种业务场景下的安全问题,这在当时无疑是走在了技术革新的前列;包括几年后网络上热议的QQ开心农场反外挂系统,也出自周斌和他的同事之手,而被津津乐道的识别算法,更是由他亲自完成。

就这样,周斌从一个原本踌躇满志的开发高手,摇身一变成为了腾讯业务安全条线的青年翘楚,直到2013年,腾讯云的全面开放。

2013年9月,腾讯云面向全社会开放,与此同时,云安全正式上线。周斌所在的部门开始围绕公有云平台开展基础安全的工作。

一项新事物的产生,总会从理论、实践再到结果经历漫长的过程;而任何人对一个新兴事物的产生,都会在初期存在一定的顾虑,而这种顾虑,绝大多数时候都来源于“信任度”和“安全感”的缺失——云计算也不例外。

简单来说,中国自古是人情社会,我信得过你,就会全权托付你;我信不过你,我们之间就没法做生意。所以,“数据放在云上安不安全”、“攻击者会不会攻击”、“腾讯云自己能不能信得过”,这些问题对于腾讯云而言远比做好自身的安全要难得多。

周斌告诉我,他听过最多的一句话就是客户的质疑:我该如何相信你不会擅自动用我的数据?所有的数据暴露在外网,你又如何能够保证我的安全?

信任的建立是一个十分漫长的过程,很多时候你需要说服的并不是用户,而是自己——这件事到底对不对?应不应该坚持?有没有结果?

为了打消用户的顾虑,为用户建立对于腾讯云的“信任度”和“安全感”,周斌和他的团队做了两件事:一是从自身出发,资质认证,让腾讯云具备受用户认可的安全资质;二是立足用户,通过向用户同步信息,增强透明度,从而让用户相信腾讯云是“安全”的云,腾讯云可以让用户“安全”地上云。

幸运的是,腾讯云选择了在2013年这样一个最合适的时机全面开放,因为2013年正是中国云计算全面爆发的一年。数以万计的中小企业创业者在这一年乘上了第一班发往“云上”的列车,而第一批的上云用户,为日后越来越多传统企业和行业逐渐信任腾讯云迈出了第一步。

周斌说,虽然“信任”和“安全”依然是未来很长时间里腾讯云的核心命题,用户对于公有云的接受还需要经历十分漫长的过程。但总有一天,无数的企业都将会驾驭在这一片浩渺的云海之上,届时,云安全也会承载更大的使命和责任,他当仁不让。

随着腾讯云用户群体的增加,云上业务的开展也变得更加复杂和多元化。正如10年前肆虐QQ空间一样,黑灰产再一次将视线集中到了公有云的身上,而云上业务的安全就成了当前拷问腾讯云的一大命题。

从传统角度来说,业务安全有两个思路:一是串联思路,把安全系统放置在某个业务路径中的必经环节,让安全和业务共同服务于用户;二是并联思路,业务和安全分开处理,相对于前者会存在一定的延迟。

腾讯的产品线其实大家并不陌生,作为国内最大的生态体系之一,腾讯产品线几乎覆盖了各个行业的各种形态。但当云上业务开展以后,周斌才发现原来互联网公司的业务形态是如此的五彩斑斓,很多业务形态都是腾讯过去从未遇到甚至根本不会遇到的。

最重要的是,云上业务要求了信息的实时交互和处理,腾讯过去所采取的并联策略在云上业务面前是行不通的。想要解决云上业务的安全问题,就必须彻底改变过去的思维和形式,并且让业务安全的能力得到一次全面的进化和升级。

首先,极大地提升算法的反应速度,降低开销。他告诉我,某一位客户在调用云安全识别引擎的时候,要求总反应时间在20ms以内。为此,腾讯云重新对算法进行了长期的设计,使得处理机制既能够满足快速的反应需求,又不会对用户的业务造成影响。

其次,针对黑产和业务安全,制定更优的策略。周斌表示,云上业务常见的黑产类型其实和腾讯过往所接触的有所区别;尤其在电商类业务上,无论从黑产群体还是其惯用的手法来说,更是截然不同的。

他给我举了个例子:电商平台对于黑产群体的识别,通常围绕姓名、电话号码、地理位置等建立模型和画像,当大量的账号在这些信息上高度重合时,便由此判断其为某个黑产集团。

但是,如果这些账号的信息截然不同,但仍然归属某一个人或某一个团伙,那又该如何分辨?实际上,当前已经出现了线上线下结合的作案方式。黑产团伙会提前摸清快递的运输线路,假如其从A地大量购买某一物品,为了避免电商平台的反黑产识别,他们只需要将收货地址填写为任意必定经过转运站B的区域,并与转运站B的工作人员达成合作,但凡经过B的货物,全部送往该团伙的正确地址即可。

这样一来,传统的业务安全方式就无法取得理想的效果。因此,必须要建立完整的黑产情报体系,从而制定更优的策略,与黑产做对抗。

腾讯云上开放的业务安全是一套复杂的体系,需要情报、算法、运营等多个岗位的联动,为了更好地适用不同客户的需求,周斌和同事们共同搭建了一套“天御”业务安全系统,从感知、接入、对抗、运维等多个维度来为客户提供服务。

人们常说“道高一尺,魔高一丈”。他说,随着利益的越来越大,黑产群体涌入了越来越多高智商、高学历和高能力的人。此前就有一名毕业于华东某TOP级高校的博士生,凭借着自己搭建的16层神经网络模型,识别了全网各平台的验证码,且准确率高达95%。

为了更好地对抗黑产,“天御”团队也面向全行业广纳人才,既有国内外顶尖名校的博士,也有多次创业经验的互联网老鸟。周斌的观点是,业务安全是非常综合的问题,只有搭建了解客户、了解技术、了解安全,甚至是对于黑产有着清晰了解的团队,才能够帮助业务更好的运转,才能够更有效的对抗黑产。

而这场顶尖安全团队和顶尖黑产团体之间的较量,无疑将上演一场激烈的“火星撞地球”。

在云上业务安全这件事情上,周斌觉得腾讯云是具有先天优势的。一是基于腾讯长到可绕地球三圈的产品线,许多传统的业务场景早已了然于胸,现有的安全能力可以直接赋能到云上业务中;二是随着腾讯、腾讯云以及腾讯安全客户群体的扩大,日益丰富和复杂的场景便可以使业务安全的能力反哺完善。

围绕着不同类型的互联网企业,腾讯云安全分别针对电商、零售、直播、金融等业务场景下的不同安全需求进行了详细地划分,再通过红蓝对抗的机制定位每一个业务场景具体的风险点。最终针对不同的行业类型和业务场景,设计了不一样的业务安全解决方案。

因为在周斌看来,业务安全的解决方案和业务逻辑贴合得越紧密,效果才会越好。不仅如此,腾讯云安全还参与并促成了许多行业政策的制定,更好地规范业务安全的流程和方法;而在这个过程中,腾讯云安全还积累了大量的黑产情报、模型画像以及后端的工作方式等。大到“牛头羊头”,小到兑换码优惠券,都有了足量的收集。

周斌开玩笑着说:“自从做了业务安全,我知道的优惠券简直多到可以做啥都不花钱了。”

只不过,解决方案的完善终究只能意味着从腾讯云的角度来看,它能够为用户提供优秀的业务安全服务,它可以保证用户在开展云上业务时,可以享受安全防护的能力。但这终究只是单方面的,而事实上如果用户根本没有意识到业务安全的重要,那这似乎就变成了腾讯云一厢情愿的事情。

有一日,某客户向他询问:为什么平台每月支出的短信费那么多,高达数百万?通过溯源,周斌发现该平台的账号登录方式多以短信验证码为主,实际上用户每通过一次短信验证码登录,运营商就会向该平台收取一次短信费用。

由于前不久该平台举行了打折热卖活动,吸引了大批羊毛党的参与。羊毛党们通过不同的手机号码登录争抢优惠券,运营商在短时间内发送了大量的短信,自然就收取了该平台一笔高昂的短信费用。

最终,腾讯云安全通过在登录环节制定保护策略、拒绝异常登录的方式,帮该客户及时止住的损失。

再有一日,腾讯安全团队收到某饮料业客户的反馈:有黑产团伙通过向废品站大量回收该客户产品的瓶盖,通过“扫一扫”瓶盖内二维码领取红包的方式,在短时间牟利上千万。

在常人看来,一个瓶盖能够获得多大的利润?事实上,该产品的红包平均中奖金额为1毛到1块之间,100个瓶盖的回收成本也许才不过几毛钱,但凡中奖率超过5%,这笔买卖就能保证稳赚不赔,体量大了,收益自然也就超乎了想象。

最后,腾讯云安全团队通过对二维码的加密、分析、防篡改到扫码全流程的防护,帮助这位客户节省了原本可能要白白支付的3000万经费。

周斌感慨,云计算发展到今天,互联网业务早已贯穿社会的每个角落,遍布于各个企业的内部。可即便如此,还是有很多人依然将网络安全与防火墙、杀毒软件等简单地画上等号。当业务安全事件发生的时候,分不清和到底是安全的问题还是业务的问题;也从未想过自己的对立面,很有可能是一只顶尖水平拥有博士人才的黑产团队。

前不久,周斌参与了超级CSO研修班活动并成为了导师团的一员。他希望可以通过这样的方式告诉更多的人,安全在过去20多年的时间里早已得到了进化,已经变成了一个非常宽泛的概念,作为参与者的我们,都必须重新认识安全、重视安全。

疫情的发展催生了远程办公需求的增长,这种过去在国内不被认同且普及缓慢的办公方式,没想到却成了疫情当下众多企业奋力扑住的救命稻草。

所以在周斌看来,包括远程办公、会议和课堂在内的各种远程协作方式,都将会变成不可逆转的主流趋势,最终演变成一种常态化的办公形式。这样一来,网络安全又会迎来新一轮的需求增长。

一是身份认证:企业该如何保证加入远程会议的账号由本人登录,访问业务和数据的账号,会不会早已遭到竞争对手和不法分子的破解。

周斌说,过去几年在安全市场上对于身份认证和数据安全的重视程度是没有那么高的,但当远程协作办公开始普及,这便成为了当下最突出了两个问题。尤其当大量传统企业受疫情影响被迫开展线上业务,一定会遇到此前从未接触过的各类网络安全问题。

为了能够帮助企业尽快恢复业务的正常运行,腾讯云先是与腾讯安全、腾讯会议以及腾讯课堂展开合作,向用户提供免费的远程办公产品;而后又在产品当中直接集成腾讯安全的能力,让用户在业务正常开展的同时,免费享受基于账号、数据、内容等全方位的安全防护。

周斌坦言,黑产狂欢的时刻已经到来,大量的传统企业在网络安全底层建设尚未做好、员工安全意识还未得到普及的情况下仓促开展线上业务,这在专业的黑产团体的眼中,无疑是一个个待薅的羔羊。

周斌呼吁能有更多的企业和个人重视业务安全,而腾讯安全早已做好了和黑产对抗的准备,接下来,就让我们静待这场“火星撞地球”的发生吧。

从2007年“失足”踏进安全圈,周斌已经在腾讯做了整整13年的安全,再过不久,他也将迎来自己加入腾讯的第15个生日。

从“从未想过做安全”到如今的腾讯安全团队的业务安全总监,岁月也许已经冲淡了他后台开发的痕迹,却雕琢出安全这条路上的每一道斑驳。

所幸的是,业务安全就像是一场人与人之间的博弈,正所谓“与人斗其乐无穷”,而斗在一线的周斌更是一直乐在其中。