查看原文
其他

人物 | 阿里铁花:从淘宝到全链路风控,13年来“常行而不休”

走狗是狗哥 安在 2019-04-18


这世上最难的战争,

不是一网打尽。

而是杀尽所有的敌人,

还不误伤一个无辜者。



撰稿 | 走狗

编辑 | 图图


作为一个淘宝15年老用户,得知将要采访阿里一名安全技术大牛时,内心兴奋而又好奇。


他是谁?他是不是昼伏夜出的神秘人物,是不是不食人间烟火的方外高人,抑或如电影中无所不能的黑客,淡然地面对着满屏幕的神秘代码,好似上帝在编织着大千世界的程序,一个“Enter”键按下去,整个世界焕然一新。


很快笔者得知,他的代号是“铁花”——2006年入职阿里,2008年开始从事安全工作,淘宝最早SDL(Security Development Lifecycle,即安全开发生命周期)的建立及实施人、淘宝第一代web安全解决方案的开发者、安全静态代码扫描平台的创建者。All in无线曾负责来往事业部整体服务端团队及整体技术业务安全,内部IM即时通讯云平台主要设计者之一。


目前,铁花在安全部负责安全技术平台产品体系搭建及基础安全开发,正在着重进行的有安全技术平台产品的中台输出建设、基础架构霸下技术体系建设以及集团重大活动保障。


初见铁花,感觉其一脸憨厚之相,一直含笑不语,有着技术大拿独有的内敛与稳重。


一番寒暄,相谈甚欢,铁花也逐渐打开话匣。






最初纯粹是因为好玩


铁花深吸口气,满含深情地回忆起那策马飞扬的年少时光。


作为一名80后,铁花在1997年时就开始玩起了互联网。那时他刚上高中,对未来并无规划,纯粹觉得网络好玩。


1998年,QQ问世,用户渐多。铁花看到很多黑客都喜欢盗取QQ,他脑子一热,觉得这东西好玩,泡了一段时间黑客论坛,很快掌握了盗Q大法,成功获得了几个QQ的密码。但他只是为了验证自己的技术,并未篡改别人QQ密码。


早些年,黑客论坛是众多技术爱好者的乐土。还有黑客杂志,也是一个重要的学习途径。有些杂志比较激进,会刻录光碟,光碟里全是各种病毒木马,以及各种黑客工具。


铁花笑称:“97、98年的时候,互联网企业还比较罕见,国内所有互联网企业加起来,一张小卡片就可以写满。网络安全还没什么商业标准,甚至国内尚未出现网络安全这个概念。”

2000年,铁花考上大学,专业是计算机科学技术。


大学的世界远比高中更加开放与精彩,互联网迅猛发展,腾讯、阿里、百度等如今的BAT三巨头陆续出现,新浪、搜狐等四大门户网站也风生水起,以致于出现了严重的互联网泡沫。


刚入大学校园,学校不让大一新生买电脑,铁花只好去网吧。那时没有U盘概念,只有软盘和光盘。有时下载的软件工具容量太大,软盘装不下,铁花就带着光盘去网吧,找有光驱的主机。除了刻录光盘,就是到看雪论坛学习Crack相关的脱壳、加固等技术。


有趣的是,正如前文所说,光盘中常刻录病毒木马和黑客工具,最后搞得网吧电脑上全是病毒木马,网吧老板把铁花赶出了网吧,并将他列为黑名单。时间一长,学校周围网吧均将他拉黑。想去网吧玩网络和技术,自然行不通。


于是,铁花便将目光转向了学校机房。学校机房要钱,但他看到少数同学居然可以不花钱上网,他便开始研究机房电脑。


铁花发现,学校机房电脑用的都是类似于CMOS模式的密码,就给电脑装上黑客软件,做键盘的监听记录,把密码弄掉,便可不花钱上网。


从那以后,铁花开始捣腾起了各种技术。比如,要下载某个软件,但那些软件不是下载到本地就能用,需要license(通行证)。他就尝试修改软件代码,不断调试,经常把电脑搞到死机或系统崩溃。但这对他来说并非什么难事,大不了重装系统。


接下来,web安全开始流行,铁花也会尝试黑一些网站,去拿数据库、提取权限等。当时还没有《网络安全法》,大多数人也没网络安全意识,更没意识到这是违法行为。


铁花无奈笑道:“我当时就只觉得好玩,并没有任何谋取不当利益、祸害别人的想法,顶多搞点小恶作剧就完事。”


在那个年少不羁的年龄,铁花就靠着这些“玩”,技术愈发精进,兴趣更为浓厚。人生的一些不经意,却成为生命中最重要的东西。


加入阿里只因“是家好公司”


2004年,铁花大学毕业,阴差阳错去了西安工作。他家在杭州,“父母在,不远游”,没多久就想回家乡工作。


2006年,铁花归乡心切,就问同学杭州有什么好公司。同学说“阿里巴巴是家好公司”。他一拍脑袋,立马给阿里投简历,没想到竟顺利入职。


初来阿里,铁花依旧当成一种兴趣来做。但他后来参与的一项工作,让他开启了新的眼界与职业路径。


当时淘宝上售卖各种充值卡、游戏点卡,需要客服在后台服务。买家购买充值卡时,都要看卖家旺旺在不在线,若在线就先沟通再付款,卖家再把充值卡号发给买家。


但是,客服不可能一天二十四小时在线。很多人半夜手机欠费停机,或半夜打游戏,点卡没了,想要在淘宝上充值,却找不到客服。


就算在白天,客服也会因为忙碌,买家需要耐心等待,造成极差的购物体验。


于是,阿里做了一个自动发货项目。即商家提前把充值卡号、密码存储到系统里,买家下单后,系统会自动发货,或直接帮买家充值。


自动发货项目,引起了很大的轰动。那时淘宝每年都会评选出“十大网商”,其中有一家电商,就是用了自动发货功能,成为“十大网商”之一。


对此,铁花感触很深,他以前常从技术的角度看待问题,很少从业务的角度去看。自动发货项目,从技术角度去看比较简单,但却直接改变了人的一种生活方式,为整个社会提供了便利。


机缘之下转到安全工作


铁花接触阿里安全,也源自一份机缘。


2008年的某天,时任淘宝技术负责人的张三丰突然发问:在座各位有没有人关注网络安全?大多数人沉默不语,铁花的领导随口一句:铁花平时爱钻研这块。这样一句话,把铁花从一个测试工程师推到了安全位置上。


2013年,由于阿里巴巴ALL in无线的战略变化,铁花转到来往事业部,负责安全相关的事。现在名声大噪的钉钉,就是来往事业部孵化出来的。


铁花说,当时来往事业部开发了几十种不同的APP,多为社交类APP,不同种类的APP面向不同的用户。内部竞争很激烈,很多APP最终并未对外发布,就被内部竞争PK掉了。所以大家都比较拼,一个月大概只能休息一天。


那段期间,铁花从APP端一直到售后端,全部都参与过,虽然很累,但他觉得这是一个学习和经验积累的过程。并且,马云每周都会过来慰问他们,给他们打打气,说说方向,谈谈战略,让所有人都清晰公司要走的方向。


所以,包括铁花在内,所有人都满腔热血,鼓足干劲,努力向前奔跑。

在长久的历练中,铁花更加感受到了阿里的责任与价值。他说,阿里并不是什么业务赚钱就去做,而是一直站在一个使命的角度,包括做电商,从一开始马云提出的“让天下没有难做的生意”,每一步做的时候,都是围绕着这个目标。


此外,阿里还坚持做公益类的项目,比如马云倡议的“人人三小时,公益亿起来”,在一些大层面上,比如扶贫相关的事情,比如铁花主持设计开发的“团圆”项目,即与公安部合作的一个“打拐”系统,都是担负起了对国家、对社会、对公益的责任


为什么要做全链路风险防控


在前不久落幕的全球安全顶会RSA上,铁花代表阿里,在阿里展台上讲解全链路风险防控技术。


铁花坦言,专业表述大多人听不懂,他便用通俗语言,向大众讲述什么是全链路风险防控技术,阿里为何要做这项技术。


铁花说,阿里和其他大多安全公司面向的业务模式不同,他们往往针对某项安全技术的一个点,但阿里是一种生态,需要考虑整个生态的安全。比如阿里云,国内有接近一半的网站都在阿里云上,阿里不仅要保证自身安全,还得保障这些网站是否安全,是否合规,这些政府也有监管要求。


如今,黑灰产攻击,已不再局限于一个点,而是一整套攻击手段。


相应的,以前安全往往通过事件驱动,但现在绝不能站在某一点问题、某一类事件的角度去看。因此,阿里面对的是一个整体性的风险,由此才推出全链路风险防控技术。


铁花介绍道:“针对一个已知的风险,我们在整条链路里面,哪个点该做什么事。比如WAF这个点,我们需要做什么,再往后到端管云这一整套下来,端上做什么事,管上做什么事,云端做什么事,把整个从风险的角度,一层一层化解下来。甚至到最后,比方说搞供应链的时候,应该做哪些事。如果真实发生一些case,我们还可以借助法律法规,让法律法规更加健全完善。”


这种模式就是,以风险角度为核心,针对风险主要防范什么,将已知风险层层降解。


另外,全链路风控技术还有一块是面对未知风险。你不知道黑灰产的手法,因为他们天天在挖漏洞,也经常更新攻击手段。但只要清楚,己方要保护的东西是什么。


比如,从资产和稳定的角度出发,一层一层往上递推,每一层在遇到未知风险时,应该保障到哪种程度。这样就算未知风险来临时,也能有一个比较长的链路,而不仅是单点防御。如此便可以做到层层递减风险,把风险争取降到最低,甚至是零。



铁花感慨道,全链路风控技术的建立,不是一蹴而就,而是一个漫长的过程。从2008年开始,他们就开始一点一滴开始建立,去接触和解析各类风险,只有深入认知风险,才能更好地进行防范。


2018年双十一当天,霸下就成功拦截了超过16亿次恶意行为。阿里端上每年双十一都会出一个新版本,即双十一版本。在版本里面会加入很多新技术,去保护端上不会被破解,保证端上的逻辑不被绕过。


另外,在网关层面,也会做更多的特征分解,即通过有限的一些网络数据,就能甄别出大量的有害请求,也可以在这一层进行阻拦。


再往后,数据经过层层传输,流到业务方的时候,还会得到更多的样本数据。这些样本数据不仅仅针对网络上的一些特征,还有业务特征,此时便有了智能风控。


智能风控依赖于更多的业务数据,做出智能的评判,比如当前这一单是恶意的还是非恶意的。智能风控做完以后,它就会告诉系统应该怎么去响应。


如果过了智能风控这一层,还有遗漏风险,便会有一个离线消息。包括离线的计算和迹线的计算。在最快时间内算完以后,就可以告诉供应商和卖家,这笔交易是否恶意,是否需要防范。


除了线上的防范,一旦交易发生重大事件,比如会留下大量的痕迹,也可以帮助进行线下追踪,通过法律的手段追责。


安全行业的一些趋势展望


结合自身的安全实践经验,在众多安全厂商尚未大规模涉及的业务安全领域,铁花认为,以业务风险为核心、以低成本有效性及可靠性为核心、依托新技术创新为核心的业务安全也将是未来趋势。


此外,未来的网络安全,将会变成黑灰产AI与安全防御AI之间的最终对抗。


铁花说,如今黑灰产从技术研究、软件制作、运营销售到最终执行,已经形成一条完整的且不断完善的链路。以后,人工必然越来越少。因为人工需要休息,而AI可以全天24小时工作。所以,最终必然会变成黑灰产AI与安全防御AI之间的对抗。


铁花举例说,前段时间,有人利用AI实现了对影视剧人物的换脸,表情神态几乎达到了以假乱真的效果。甚至在网络上,还流传着将女明星的脸,替换到情色小视频中女演员的脸上。



若是有人利用AI技术去模拟一些真实人脸,进行智能门锁、智能手机、网络支付、身份认证等,从而绕过安全防护体系,必将引发灾难性的后果。


对此,阿里安全也早在AI防控中加入攻击对抗技术,提出安全AI概念,包含 AI 本身的安全性、用 AI 手段去解决安全问题和强对抗场景下诞生的新一代 AI,希望提升行业对这一领域的关注,并推动 AI 更好的发展。


13年,我的青春,我的梦想


采访最后,铁花回答了笔者,为何取名铁花。


在阿里文化中,有一种很特别的武侠文化。从阿里初创开始,但凡加入阿里的员工,都会取金庸江湖中的一个人物名作为自己的代号,比如马云代号“风清扬”,现任阿里CEO张勇代号“逍遥子”。


铁花来到阿里时,金庸江湖中人物名基本上已用完,他只好转向古龙江湖,即《楚留香传奇》中的胡铁花。


铁花敬慕胡铁花的侠肝义胆、古道热肠,以及有所不为、有所必为的率真性情。


笔者凝视铁花,问他是否是一名黑客。


铁花说,黑客并非是在网络上干坏事的人,它是一种精神与信仰。黑客的精神就是要去做,永不放弃,改变世界,而不是破坏世界。


在铁花眼中,埃隆·马斯克(太空探索技术公司(SpaceX)CEO兼CTO、特斯拉公司首席执行官)和乔布斯(美国苹果公司联合创始人)都是黑客。“他们是真正意义上的黑客,因为他们改变世界。”


笔者又问,在阿里十三年,如今成绩斐然,是否意味着事业有成。


铁花沉思片刻,引用美国励志电影《心灵捕手》中的一句话说:“成功的含义不在于得到什么,而是在于你从那个奋斗的起点走了多远。”


言罢,铁花意味深长地一笑。


笔者再问,从事安全工作,是天赋重要,还是努力重要。


铁花目光再度四十五度角上扬,幽幽道,《晏子春秋》中记载,齐国大夫梁丘据谓晏子曰:“吾至死不及夫子矣!”晏子曰:“婴闻之,为者常成,行者常至。婴非有异于人也,常为而不置,常行而不休而已矣。”


好一个精妙回答,笔者肃然起敬。先生之才学,之品性,之持恒,值得后辈追随学习。


十三年,说长不长,说短不短,却是一个人青春最美好的年华。阿里十三年,铁花对得起他的青春,也对得起曾经的梦想。


访毕,笔者起身,恭敬一揖。听君一席话,不枉此行尔!



「推荐阅读」





360°无死角泄露隐私是什么体验?






咳咳,安在君有个秘密




就是

我们

……





我们

……


hai~就是这里有个安在唯一的微信粉丝群,这个群里的个个是人才,福利超多,群煮贼好,我超喜欢的。真爱粉们加微信:anzersh(记得备注:粉丝)。安在君拉你进群一起……



人物 热点 互动 传播

NEWS






你怎么这么好看


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存