移動安全的業(yè)務(wù)價值導(dǎo)向

移動安全的業(yè)務(wù)價值導(dǎo)向

阿里聚安全高級安全業(yè)務(wù)拓展專家鮑 曼

互聯(lián)網(wǎng)時代的安全和傳統(tǒng)安全的不同在于，傳統(tǒng)安全重在建設(shè)封閉可控的環(huán)境，但當(dāng)互聯(lián)網(wǎng)新技術(shù)大量利用，包括智能手機廣泛普及的時候，由于互聯(lián)網(wǎng)無邊界、海量用戶、設(shè)備不可控等特點，使得傳統(tǒng)安全無法施展。

當(dāng)然，互聯(lián)網(wǎng)安全也會遇到很多新問題，阿里巴巴安全在不斷實踐中梳理出一些經(jīng)驗。互聯(lián)網(wǎng)上各種各樣的垃圾注冊信息、作弊信息、刷單信息等滿天飛。我們還可以看到互聯(lián)網(wǎng)上的安全問題基本上都是圍繞著業(yè)務(wù)發(fā)生，在移動端或者PC端都有漏洞、木馬、短信釣魚、仿冒應(yīng)用等安全問題，甚至在鏈路上也有盜鏈的問題存在。

漏洞增長在2015年完全是瘋狂式爆發(fā)增長。IOS的漏洞增長是1.28倍，安卓的漏洞增長是10倍。阿里巴巴安全針對TOP18行業(yè)應(yīng)用的分析發(fā)現(xiàn)，97%的APP可被利用，所以用戶為手機裝很多應(yīng)用的時候，安全問題就隱藏在其中。

手機病毒、木馬使18%的手機感染各種各樣的病毒。我們所耳熟能詳?shù)模^億萬級的應(yīng)用，基本上都會有各種各樣的仿冒，利用客戶端用戶和移動互聯(lián)來拓展業(yè)務(wù)。原本這是一個很好的拓展業(yè)務(wù)的思路方法，但如果安全能力不夠強大，最終會導(dǎo)致難以預(yù)料的安全隱患和損失。因此移動互聯(lián)所帶來新的安全問題是傳統(tǒng)安全廠商無法解決的。阿里巴巴因為擁有互聯(lián)網(wǎng)基因，基于電商平臺來做，并且有安全的大數(shù)據(jù)，因此阿里巴巴安全有效利用多種多樣的數(shù)據(jù)分析，結(jié)合數(shù)據(jù)分析技術(shù)，圍繞著互聯(lián)網(wǎng)業(yè)務(wù)研發(fā)解決方案。無論是軟件還是SASS服務(wù)，都是在利用阿里巴巴互聯(lián)網(wǎng)經(jīng)驗，作為互聯(lián)網(wǎng)的福利，開始為中小企業(yè)以及大型企業(yè)對外提供服務(wù)，這也是目前阿里聚安全作為集團對外輸出平臺的主要業(yè)務(wù)。

國家法律是可以定性量刑，但灰產(chǎn)在國內(nèi)還沒有辦法定性量刑。它的每個環(huán)節(jié)都是精工細(xì)做的，每一個人做的事情非常小，細(xì)分到圖片打碼平臺等。目前這方面還沒有明確可以量刑定罪的法律規(guī)定，而且作為從業(yè)者也不會覺得有罪惡感，認(rèn)為其所做的事情只是很小的一部分，上游產(chǎn)業(yè)的圖片打碼平臺、收集驗證碼平臺、社工庫、軟件、代理工具等，最終把黑產(chǎn)產(chǎn)業(yè)化，有的市場交易超過千億人民幣的收益。

對于企業(yè)來講，目前的網(wǎng)絡(luò)安全防護措施并不理想。黑工廠有精細(xì)的產(chǎn)業(yè)鏈，每個人負(fù)責(zé)很小的環(huán)節(jié)，但最后串成對企業(yè)攻擊的方案，產(chǎn)生嚴(yán)重的威脅結(jié)果。對于大中型企業(yè)，無論是移動人才，或者是互聯(lián)網(wǎng)安全人才的儲備，以及攻防技術(shù)等各個方面，都在與黑產(chǎn)做一場不公平的斗爭。這是信息不對稱的結(jié)果。而阿里巴巴安全總結(jié)多年積累的經(jīng)驗，一方面為企業(yè)提供獨到的互聯(lián)網(wǎng)安全福利，另一方面做到合理的性價比，來提供對外的服務(wù)。不會造成企業(yè)過大的安全支出成本負(fù)擔(dān)。

阿里聚安全重新定義互聯(lián)網(wǎng)業(yè)務(wù)安全，從傳統(tǒng)轉(zhuǎn)移到開放的環(huán)境，不可控的終端，以及海量的用戶，傳統(tǒng)的以安桌系統(tǒng)為平臺的安全防護模式，加強互聯(lián)網(wǎng)業(yè)務(wù)是以業(yè)務(wù)價值為中心。解決整個業(yè)務(wù)設(shè)計軟肋，圍繞這些業(yè)務(wù)價值為核心，形成多種多樣的安全防護價值解決方案。

其實作為集團從業(yè)者，阿里巴巴安全的地位比較被動，在阿里巴巴，安全團隊就是業(yè)務(wù)團隊，安全團隊的解決方案，絕對不能阻礙業(yè)務(wù)的發(fā)展。比如，業(yè)務(wù)提出各種各樣的促銷活動，或者是想做一些新的轉(zhuǎn)型業(yè)務(wù)模型，后面安全團隊絕對不能成為業(yè)務(wù)發(fā)展的軟肋。

簡單看一下互聯(lián)網(wǎng)業(yè)務(wù)的基本模型，因為大家現(xiàn)在基本都用手機工作，在整個模型環(huán)節(jié)可以看到兩個超過級大客戶，一個是手機淘寶，一個是支付寶，就是實現(xiàn)端與云之間的溝通。怎么實現(xiàn)端與云之間的溝通，或者是無縫的連接，就要依靠很多的技術(shù)支撐。首先，在互聯(lián)網(wǎng)的業(yè)務(wù)層次，共有8層，從運營的服務(wù)模型吧、視頻供應(yīng)商，還有互聯(lián)網(wǎng)金融應(yīng)用等，都是基于互聯(lián)網(wǎng)的業(yè)務(wù)模型，才能實現(xiàn)端到云之間的完美溝通。

阿里聚云也提出業(yè)務(wù)價值的安全，可以看到在硬件層面，有硬件的漏洞、協(xié)議漏洞、系統(tǒng)的漏洞等，以及加密的功能。在應(yīng)用層面還有漏洞掃描、防冒、監(jiān)測等，包括黃牛刷單，這些都有數(shù)據(jù)風(fēng)控的安全，整個安全模式保證端與云之間的溝通是安全的。

如果在手機APP里加載了阿里SDK，就會實現(xiàn)端到云之間的溝通是安全的。這項技術(shù)是無形技術(shù)芯片，保證APP與鏈路的溝通不可被攻破。基于這樣一個技術(shù)，阿里巴巴安全服務(wù)兩個超級大客戶，用戶超過4億多，每天能保證4億超級大客戶安全運維。

未來阿里SDK會涉及到更廣泛的領(lǐng)域。包括可穿戴設(shè)備、智能家居、智能醫(yī)療、智能汽車。在智能汽車方面的業(yè)務(wù)走得比較快，因為有阿里云OS，一個完全自主研發(fā)優(yōu)化的安卓系統(tǒng)。阿里云OS與上汽聯(lián)合研發(fā)的智能汽車在2016年末，或者是2017年就會推出，這其中包含移動端的安全技術(shù)保障，達(dá)到全鏈路的防護體系，最終為用戶提供落地扎實的解決方案。

移動安全解決防護技術(shù)可以在阿里巴巴.COM的開放平臺，感受一些免費的安全加固，如SDK，木馬查殺等。移動安全產(chǎn)品是阿里安全開發(fā)最多的，實現(xiàn)了三步：第一步是移動APP的檢測。第二步是解決發(fā)現(xiàn)的問題。有兩個核心的產(chǎn)品，一個是安全組件，以SDK形式為客戶接入，另一個是APP加固，由此形成完整的移動安全解決方案。第三步是運維兼顧。以企業(yè)大屏可視化進一步的延伸。實現(xiàn)企業(yè)移動應(yīng)用的一些可視化。這類APP接入非常簡單，基于安全分析再重新設(shè)計的APP業(yè)務(wù)邏輯。

數(shù)據(jù)風(fēng)控防護技術(shù)方面參與的電商類的企業(yè)比較多。核心的大數(shù)據(jù)和基于風(fēng)控二次驗證的很多技術(shù)，都是對客戶端用戶非常友好。數(shù)據(jù)風(fēng)控具有兩點，第一是數(shù)據(jù)風(fēng)控引擎。第二是對于客戶端很友好的軟件。阿里聚安全可以控制從帳號入口到資金操作入口的安全風(fēng)險，并且每一個入口都有專門的解決方案。 抽獎、秒殺、免單、交易、點贊等，都是互聯(lián)網(wǎng)發(fā)展生態(tài)里做任何活動都要面臨的問題，這些問題阿里聚安全都有相應(yīng)的解決方案。

實人認(rèn)證防護技術(shù)，保證機主的互聯(lián)網(wǎng)ID不會被遺失或盜用，阿里巴巴開戶電商已經(jīng)實現(xiàn)這方面技術(shù)的不斷完善，可以為企業(yè)用戶提供可靠的安全保障。另外還有實人認(rèn)證在互聯(lián)網(wǎng)里是非常重要的解決方案，也就是保證“對的人在用對的軟件”，實人技術(shù)在阿里巴巴已經(jīng)用了五年多時間，2015年支付寶也采用了這一技術(shù)，因此大家從中可以感受到這一技術(shù)應(yīng)用的效果。

到目前為止阿里聚安全已經(jīng)服務(wù)超過1千家，服務(wù)互聯(lián)網(wǎng)站點1萬多家，所服務(wù)的終端用戶接近于6億。