關(guān)注飛總聊IT,了解IT行業(yè)的方方面面。
作為程序員,你最慌的時(shí)候是什么樣的?
是凌晨三點(diǎn)告警響起,服務(wù)無(wú)聲無(wú)息地掛了?
是CI/CD剛點(diǎn)下去,心里已經(jīng)開(kāi)始打鼓準(zhǔn)備回滾?
是一次JSON字段多了個(gè)逗號(hào),整條鏈路瞬間一片紅?
是產(chǎn)品上線在即,壓測(cè)卻發(fā)現(xiàn)架構(gòu)設(shè)計(jì)存在致命缺陷?
是線上QPS突然飆升,你盯著Dashboad狂跳,卻不知道洪峰從哪進(jìn)來(lái)?
這些,都可能是曾經(jīng)、正在折磨每一位程序員的噩夢(mèng)。然而,這些匆匆忙忙、連滾帶爬的場(chǎng)景,大多數(shù)時(shí)候都還能挽回、還能補(bǔ)救、還能靠團(tuán)隊(duì)兜底。
但對(duì)搞安全的這群工程師來(lái)說(shuō),慌的尺度或許完全不可同日而語(yǔ)。
你的慌可能讓服務(wù)抖一下,他們的慌可能讓用戶資產(chǎn)清零;
你的 Bug 可能導(dǎo)致體驗(yàn)差一點(diǎn),他們的缺口可能被黑灰產(chǎn)盯上、撬開(kāi)整個(gè)系統(tǒng);
你的失誤會(huì)被同事吐槽幾句,他們的疏忽會(huì)變成攻擊鏈條里最昂貴的一環(huán);
你怕上線翻車,他們怕的是對(duì)面有人在盯著他們的每一次失手。
程序員可以在事故復(fù)盤里找到解決方案,安全工程師有時(shí)候連復(fù)盤的機(jī)會(huì)都沒(méi)有——因?yàn)橐坏┏鍪拢鸵呀?jīng)是不可逆的代價(jià)。
他們的世界,沒(méi)有掌聲,甚至沒(méi)有“謝謝”。他們的勝利,只有一種表現(xiàn):
今天,什么事都沒(méi)發(fā)生。
今天要給大家分享一個(gè),國(guó)內(nèi)頂尖的安全團(tuán)隊(duì)的故事。
玄武實(shí)驗(yàn)室:做別人做不到的事
很多人或許連聽(tīng)都沒(méi)聽(tīng)過(guò)這個(gè)實(shí)驗(yàn)室的名字,但我提兩個(gè)場(chǎng)景,你或許就知道了自己的日常生活原來(lái)跟玄武有這么緊密的交集。
玄武實(shí)驗(yàn)室在2017-18年的時(shí)候就開(kāi)始了對(duì)生物認(rèn)證安全的研究,發(fā)現(xiàn)當(dāng)時(shí)的屏下指紋技術(shù)存在嚴(yán)重的安全缺陷,僅需通過(guò)獲取玻璃表面指紋,進(jìn)行自動(dòng)化克隆復(fù)原,產(chǎn)生新指紋模型,便能通過(guò)多款指紋身份認(rèn)證設(shè)備的識(shí)別。玄武實(shí)驗(yàn)室推動(dòng)與屏下指紋行業(yè)一同解決了這個(gè)安全隱患,今天無(wú)論使用哪個(gè)品牌的手機(jī),只要有屏下指紋的功能,背后都有玄武實(shí)驗(yàn)室的工作成果。
如果你沒(méi)用過(guò)帶屏下指紋技術(shù)的手機(jī),那你也一定用過(guò)掃碼支付。最初的掃碼支付場(chǎng)景對(duì)惡意二維碼的防控非常薄弱,很容易被攻擊者通過(guò)惡意二維碼的解析所控制系統(tǒng)造成資損。玄武實(shí)驗(yàn)室與相關(guān)支付團(tuán)隊(duì)合作,花了幾年時(shí)間幫助中國(guó)各個(gè)掃碼設(shè)備廠商提升了產(chǎn)品安全性。
除了這些場(chǎng)景,玄武在技術(shù)上還是國(guó)內(nèi)乃至世界上少有的做到全棧安全的實(shí)驗(yàn)室,從軟硬件安全、操作系統(tǒng)安全、硬件安全、生物認(rèn)證安全到量子安全、大模型安全,都有廣泛的涉獵和世界級(jí)的研究成果。
這里面有些研究,可能兩三年之后才能成為行業(yè)標(biāo)準(zhǔn)。但正因?yàn)橛腥颂崆把芯俊⑻崆霸囧e(cuò)、提前探索,行業(yè)才能在真正出現(xiàn)威脅之前,做好準(zhǔn)備。
主動(dòng)安全的理念與落地
這里首先不得不提另一個(gè)實(shí)驗(yàn)室的名字——科恩實(shí)驗(yàn)室。
在中國(guó)乃至世界的網(wǎng)絡(luò)攻防大賽中,科恩實(shí)驗(yàn)室都是一個(gè)傳奇般的存在。2016-2017年科恩戰(zhàn)隊(duì)一共參加了四屆 pwn2own 比賽,共斬獲三座全球總冠軍獎(jiǎng)杯,是該項(xiàng)挑戰(zhàn)賽設(shè)立以來(lái)獲得全球總冠軍數(shù)最多的戰(zhàn)隊(duì)之一。
但更關(guān)鍵的是——科恩并不僅僅把“攻破系統(tǒng)”當(dāng)成一種技術(shù)炫技。他們的基因里本來(lái)就帶著一種更先進(jìn)也更具實(shí)操價(jià)值的安全觀念:
只有你比攻擊者更早一步、走得更深一層,你的防線才算真正站得住。
主動(dòng)安全,不是坐等告警響起后再補(bǔ)洞,而是把潛在風(fēng)險(xiǎn)提前建模、提前對(duì)抗、提前清理,讓風(fēng)險(xiǎn)永遠(yuǎn)停在威脅形成之前。
這個(gè)理念某種程度上也可以說(shuō)催生了騰訊從 C端的電腦管家/手機(jī)管家,到 B端的零信任iOA產(chǎn)品和威脅情報(bào)能力。
網(wǎng)絡(luò)攻防這個(gè)領(lǐng)域,說(shuō)白了其實(shí)就是看雙方誰(shuí)能夠?qū)⒓夹g(shù)手段運(yùn)用得更好。從目前形勢(shì)看,傳統(tǒng)的防御方式已經(jīng)完全跟不上時(shí)代的變化,我們現(xiàn)在走入了 AI 的時(shí)代,最領(lǐng)先的防御就是基于大模型的技術(shù)特性實(shí)現(xiàn)防御能力的大幅提升。
可以說(shuō)在這方面,他們都做得很不錯(cuò)。
技術(shù)得解決實(shí)際問(wèn)題
咱們搞技術(shù)的都喜歡說(shuō)“Talk is cheap,show me the code”。
放安全這個(gè)很多人并不太關(guān)注的領(lǐng)域,其實(shí)反而更為貼切,所有的技術(shù)價(jià)值,都體現(xiàn)在解決實(shí)際問(wèn)題上。
安全如果不能落地,就會(huì)淪為自我感動(dòng);能落地,才有真正的價(jià)值。
什么場(chǎng)景能落地安全技術(shù)的價(jià)值?
當(dāng)你在打游戲的時(shí)候,你不希望被外掛玩家惡心到崩潰。
在你看到公平對(duì)局的背后,騰訊游戲安全的反作弊系統(tǒng)把無(wú)數(shù)異常行為攔截在你看不到的地方,讓游戲世界至少還能維持規(guī)則的平等。
當(dāng)你在各類平臺(tái)搶票、搶熱門貨的時(shí)候,你的訂單不會(huì)被黃牛腳本搶走。
騰訊云天御構(gòu)建的那一套行為識(shí)別、設(shè)備風(fēng)控能力,都是為了讓在用戶注意不到的時(shí)候,而是為了讓資源流向真實(shí)用戶,讓每一個(gè)熱愛(ài)的人能有機(jī)會(huì)參與。
當(dāng)你接到一個(gè)像模像樣的客服電話時(shí),也許已經(jīng)走到電信詐騙的邊緣。
銀行的傳統(tǒng)反詐模型很難對(duì)付新技術(shù)快速迭代的不法分子。騰訊云天御構(gòu)建的 “掃黑+護(hù)白” 雙模體系,能夠提前預(yù)判涉詐賬戶風(fēng)險(xiǎn),一旦監(jiān)測(cè)到風(fēng)險(xiǎn)、立即通過(guò)風(fēng)控系統(tǒng)預(yù)警受害用戶狀態(tài),既顯著提升了銀行的詐騙攔截率、減少涉詐賬戶,也巧妙平衡了安全防控與便民服務(wù),幫助老百姓挽回巨額損失。
當(dāng)你隨手點(diǎn)開(kāi)一個(gè)小程序時(shí),你希望它是安全的、可信的,不跳轉(zhuǎn)、不誘導(dǎo)、不亂要權(quán)限。
騰訊云小程序安全要做的,就是把這些可能傷害用戶體驗(yàn)、侵犯隱私、制造風(fēng)險(xiǎn)的環(huán)節(jié)都提前擋在小程序環(huán)境之外,讓你在小程序里發(fā)生的任何交互,都能保持可控和放心。
這些看得見(jiàn)、摸得著的業(yè)務(wù)場(chǎng)景,就是安全技術(shù)真正的價(jià)值所在。
安全工程師或許是這個(gè)行業(yè)里“犯錯(cuò)”成本最高的職業(yè)之一。防守者100%的努力,也許換來(lái)的只是攻擊者成功率下降了1%。但只有這樣,才有底氣說(shuō),去守護(hù)黑與白的交界處。
讓世界「什么事都沒(méi)發(fā)生」,是很多安全工程師的工作成果。
你能看到光,是因?yàn)橛腥税押诎祿踉诹四憧床灰?jiàn)的地方。
這是安全工程師最真實(shí)的生活,也是他們的信念與堅(jiān)守。
我為這群搞安全的幕后英雄們,感到驕傲。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.