揭秘阿里“神盾局”

孫冰

阿里巴巴集團（BABA.N）中最低調、最神秘的部門，非阿里巴巴安全部莫屬，內部稱其為阿里“神盾局”。這個從事“神秘”業務的部門一直很低調，極少對外發聲。但是，它卻是保障全球最龐大電子商務生態系統安全的“網絡特工隊”，每天都服務著數億消費者和商家。

藏龍臥虎的“神盾局”

阿里巴巴集團移動安全部成立于2005年，主要職責包括保護知識產權，即打假；保護賬戶安全，主要防止虛假注冊和盜號；保護交易安全，主要防止交易欺詐、惡意差評、敲詐勒索；保護信息安全和禁限售排查；保護隱私，防止信息泄露；保護數據安全；大數據風控等。

在阿里巴巴內部，“神盾局”被視為是一個大神匯聚的存在，這里藏龍臥虎，磨鐵、蒸米、潘愛民……這些都是在網絡安全界響當當的名字，雖然對于大眾來說比較陌生。“他們特別像金庸小說里的掃地僧，是絕頂高手但江湖無名，一般人甚至連他們的真名都不知道。”一位“神盾局”的“小特工”告訴記者。

此外，“神盾局”中還有20多位原公檢法系統的刑偵、經偵專家和網安、網監精英，比如徐平，他曾從警16年，是國內著名的刑偵專家，他加入阿里后，已協助警方打擊處理千余名網絡犯罪嫌疑人；也有法律專家，有數十位之多；以及外語天才，他們“潛伏”在團隊里，保護著阿里巴巴在全球各地的交易安全。

安全不再分你我

“傳統的安全廠商主要是解決內網問題，但現在的安全問題已經沒有邊界了，沒有城墻可以守了。即使你的信息安全了，但若其他平臺出現泄密，黑客用這個數據去‘撞庫，一樣會使你的賬戶安全受到影響。這兩年大量的事件已經證明了這一點。比如某郵箱出現賬號密碼泄露，其他公司的安全問題都隨之上升。”阿里巴巴移動安全部負責人陳樹華說。

因為用戶在不同的平臺，信息和數據是有關聯性的，黑色產業鏈操作者只要攻破最弱的一個環節，就可以通過“撞庫”突破其他環節。比如很多用戶是使用同一組用戶名和密碼去注冊不同互聯網平臺的。而黑色產業鏈人員會先去攻擊那些安全防范相對薄弱的小網站，竊取賬戶信息和密碼之后，再用其去其他網站不停地嘗試登錄，這樣即使大公司的安全再嚴密，黑色產業鏈還是有機可乘。

再比如說，很多人以為自己不安裝、不使用支付寶，資金就安全了，其實不然。有些黑色產業鏈分子會通過手機木馬竊取你的手機驗證碼，然后幫你注冊一個支付寶，綁定你的銀行卡后，盜取你賬戶里的資金。當然，針對這種行為，支付寶已經有了應對方案。

但作為用戶，專家也提醒：一是務必安裝手機安全軟件，如果長時間收不到短信及電話，馬上檢修手機；二是不要輕易點擊來歷不明的鏈接，防止中木馬；三是不要透露短信驗證碼，轉賬前一定要電話確認，尤其是大額轉賬。

“這個和木桶原理類似，攻擊短板是現在黑色產業鏈的重要思路。所以，如果不能幫助整個行業提升安全能力，沒有人能真正保護自己。”陳樹華說，也正是基于此，安全不再分你我，2016年，阿里巴巴會對全行業開放和大規模輸出自己的安全能力。

抵制黑色產業鏈

據不完全統計，目前中國網絡黑色產業鏈的“從業者”已經超過了40萬人，依托其進行網絡詐騙的從業人數至少有160萬人，“年產值”超過1100億元。可以說，網絡黑色產業鏈的商業化已經非常成熟，組織也相當嚴密。

他們注冊虛假賬號，用來發布推廣信息，很多分類信息網站充斥著大量水軍發送的消息，將有價值的信息淹沒其中，甚至實施詐騙、銷售假貨；他們盜取賬戶，進行刷單、惡意差評、敲詐勒索。

但這些還不是全部。除了黑客攻擊、盜取賬號、釣魚網站等典型的網絡違法犯罪行為之外，還有一些游走在法律邊緣的灰色產業也正在大規模蔓延。陳樹華舉例說，很多黑色產業鏈從業者盜取用戶信息用來注冊垃圾賬號，只是用來刷榜或者散發推廣信息，龐大的“僵尸粉”產業鏈就是一例，但根本沒有法律能夠處罰他們，或者處罰力度很小。

有業內人士透露，互聯網黑色產業與灰色產業相互交織的特點相當明顯，“產業規模”保守估計過千億元，社會危害性巨大，亟待立法、執法、司法有效應對。“黑色產業鏈并不是一家或幾家公司就能夠對抗的，而是需要全行業、全社會共同努力。但至少要有人作為先行者，阿里希望做這個事情。”陳樹華說。

“由于強大的利益驅動，黑色產業鏈的反應速度非常快，對新技術手段的敏銳度非常高，一旦有了突破，就可能瞬間賺取大量的錢。因此，在與黑色產業鏈的斗爭中，傳統安全更多處于防守位置，都是黑色產業鏈有動作了，再進行快速反應。但現在借助大數據，我們能做前置化的預防工作了。”陳樹華說，在去年“雙11”之前，阿里巴巴就做了大量的模擬攻擊。

“移動元年”

隨著移動互聯網的普及，尤其是物聯網、智能化時代的到來，網絡安全正在進入全新的時代，安全專家與黑客之間“道高一尺、魔高一丈”的正邪較量也因此在不斷升級。

2015年年初，騰訊曾針對網絡黑色產業鏈進行了一次全面調研，并發布了首份《網絡黑色產業鏈年度報告》，該報告披露，在移動支付安全領域，目前已逐漸形成一條分工明確、作案手法專業的黑色產業鏈，犯罪團伙具有很強的區域聚集性，分布在二三線城市，主要為年齡介于15至25歲之間的無業年輕人，他們在移動互聯網領域里能夠很敏銳地察覺到斂財的機會，主要瞄準網上購物、網絡銀行、網絡游戲和聊天等用戶群體。

騰訊移動安全實驗室數據顯示，2015年上半年，手機支付木馬病毒新增29762個，感染用戶總數達到1145.5萬，最高峰6月平均每天有6.8萬名用戶中毒。

有中國“黑客教父”之稱的元老級黑客、IDF實驗室創始人萬濤表示，網絡黑色產業鏈經歷了十余年的發展后，在社交網絡、網絡存儲、電子支付和各種基于網絡而興起的全新商業模式中無孔不入。

“今天，百分之七八十的業務都已經移動化了，人們的購物、出行等生活方式也大部分通過移動端來解決，黑色產業鏈也從PC往移動端轉移。所以，我們也要提前布局。”陳樹華說，于是，2014年1月，阿里巴巴移動安全部把移動安全業務變成一個完整的部門，并開始按照體系化去做移動安全業務。

“因為整個產業都在移動化，而黑色產業鏈已經開始切換到移動端了。”陳樹華判斷，“2016年將成為黑色產業鏈的‘移動元年。”

而移動安全不僅僅針對智能手機，比如智能穿戴設備、智能家居甚至智能汽車，很多場景可能比手機更為復雜，而且很多時候安全往往也意味著繁復和打擾，不停地進行各種驗證。陳樹華認為，未來的安全會有更多的可能，可以做到無形和零打擾。“驗證碼就是為了識別操作手機的到底是不是機主，而未來進化到智能時代，完全可以通過聲音、使用習慣、走路的頻率和速度等來完成人機識別的過程。”陳樹華說。（資料來源：《中國經濟周刊》）