走近阿里安全团队:用创新技术构建世界级网络安全体系
知乎上曾经有一个人气很高的提问:黑客为什么不攻击淘宝?
“正确的提问应该是,黑客哪天没攻击淘宝?”阿里安全首席架构师钱磊这样说。
事实上,拥有7亿多国内活跃用户和上千万商家的淘宝,每时每刻都在遭受着攻击,只不过这些攻击都被拦截,才不被人感知。单拿2019年“双11”这天来讲,2684亿元交易额的背后,黑灰产进行了22亿次攻击。
面对天文数字般的网络攻击,是谁为亿万用户筑牢了安全堤坝?
答案,就是阿里技术团队中最神秘的队伍——阿里安全团队。
“我们致力于用创新技术解决安全问题。人们越感觉不到安全问题,就意味着这支团队越成功。”钱磊说。
1.日夜守护网络安全
每年的“双11”,阿里巴巴平台和商户都会为这场狂欢投入大量营销费用。这些资金投入,在数以万计的黑灰产人员眼中,就是肥美的“羔羊”。“每年这一天,安全团队都面临一场鏖战。”阿里安全研究员、流量安全技术负责人典扬说。
就拿2019年“双11”来说,天猫超市推出数万瓶原价1499元的飞天茅台,被消费者一秒抢光。然而,那一瞬间涌入的数十万笔订单中,“黄牛党”和真实消费者的比例约为3比1。
“结果是,99%的‘黄牛党’被阿里安全风控大脑拦截。”钱磊说,“让数百亿元补贴惠及真正的消费者,这正是安全团队的职责所在。”
典扬介绍,近年来,和“黄牛党”一样令平台商家厌烦的还有“羊毛党”。“羊毛党”原本是指那些在网购中享受精打细算乐趣的人。但自从以补贴代替广告,即直接向消费者让利来获客,成为一种常规的营销方法,部分“羊毛党”开始堕入“魔道”,衍生出一条“黑灰产业链”。
例如,有人以极低价格在平台上售卖某视频网站的会员月卡。其操作路径是,花15元买一张月卡,然后以2元价格批发给很多人共用。视频网站查到多人共用月卡,会进行封禁处理。这引发了低价购买者的投诉,说这个商家卖假货。
对此乱象,阿里平台治理部的团队经多轮商量,得出结论认为处罚不是终点,满足用户才是目的。他们最终拿出一套更人性化的解决方案:一旦用户搜索“某某会员”,就通过脱敏算法技术把该网站官方充值渠道优先推给用户,引导用户“走正道”。
“凡是能让客户受益的点,坏人都不会放过,我们称之为‘利益点’。平台上有诸多利益点,并且会不断推陈出新。”阿里高级安全专家林峻说,“安全团队的小伙伴们通力协作,守卫着这些初衷是发给消费者的利益点,日夜不敢放松。”
2.甘做隐姓埋名人
“最好的安全体系,就应该是最不出名的。”阿里安全资深技术专家、阿里安全防控端负责人铁花这样说。
在阿里,一直有一种武侠文化,每位员工入职后都会以武侠小说中的人物为自己起个花名。“铁花”就是其一,他说:“我敬慕《楚留香传奇》中胡铁花的侠肝义胆、古道热肠和率真性情,所以就用了‘铁花’这个名字。”
“阿里安全成立于2009年,但从2005年开始,阿里就已在安全业务上进行持续的投入,15年来,我们深知攻防不会停息,所以需要一边做好对抗、一边夯实防线,必须高度重视产品建设、能力建设、队伍建设。”钱磊介绍,阿里安全团队现在约有1500人,平均年龄只有32岁,硕士以上学历占65%。
“阿里安全部有很多技术大咖,他们一直默默守在幕后作战,构建了世界级的网络安全风险防御体系。”2015年进入阿里巴巴安全部工作的述安这样说。
终端安全高级工程师晨屹介绍,安全团队依托阿里信息基础设施独创了阿里安全风控大脑。从客户端到云端整个链路,通过人工智能(AI)等多种技术手段,对网络风险进行安全防控。这些技术能力目前已为手淘、天猫、支付宝、闲鱼、优酷等阿里旗下各业务板块提供安全技术支撑。
在安全团队工作了4年的90后尘安说,在长久的历练中,安全团队的小伙伴都感受到了肩头的责任与使命,“我们并不是什么业务赚钱就去做什么,而是一直站在一个使命的角度,担负起了对社会、对行业的责任。”
3.推出“打假黑科技”
9月7日,在阿里安全联合清华大学开启的“安全AI挑战者计划”第五期对抗赛上,“电子萝卜章”问题被攻破。此前四期对抗赛的主题分别是“人脸识别”“图像分类”“辱骂文本”以及“针对目标检测算法”,旨在通过实战环境解决困扰社会的网络安全问题。
要说困扰社会大众的最常见网购问题,莫过于制售假货了。一度,淘宝也因为假货问题被很多大牌和消费者诟病。
国家政策法规对电商平台上的假货是有明确规定的,那就是两步走:第一步,品牌方发起投诉——指出假货;第二步,电商平台下架这个商品。这是包括亚马逊在内的全球电商的通用规则。
但钱磊率领的安全团队在2017年接到的任务是:知识产权保护团队必须更快速发现假货,主动下架处理,简称“主控打假”。面对数以亿计的商品页面,安全团队小伙伴们都感到,这是一场恶战。
“挑战极限,靠人力肯定不行,得调动AI的力量。”钱磊的破题思路是,必须先网罗一批AI算法大牛。他说服技术大咖们加盟的撒手锏不是靠薪酬,而是给他们看假货的照片:“你看,阿里有全世界最难的人工智能应用场景‘假货识别’,你错过了这个村,可就没这个店儿啦!”
就这样,几十位AI算法大牛进入阿里安全,开启了AI打假和知识产权保护创新的时代。AI打假算法上线后,就像在漆黑的夜里突然亮起探照灯,疑似侵权链接被秒级清查。到了2018年年初,安全团队便已夺下打假之战的绝对优势,售假商家的活跃数据断崖式下降。
2019年2月28日,在阿里巴巴数字经济治理体系发布会上,打假核心技术“知识产权保护科技大脑”正式亮相。这是阿里巴巴为了联合社会各界共同治理假货而研发的12项专为打假而生、不断迭代的“打假黑科技”,已广泛应用于阿里巴巴电商平台、全球180多个品牌方、全国31个省区市的400多个执法机关,为线上线下打击制假售假、保护知识产权提供坚实有力的技术支持,获得了国内外一致好评。2019年12月,曾公开指责阿里打假不力的美国服装和鞋履协会还为阿里颁发了2020年“美国形象奖”。
4.构筑数字安全新基建
2020年3月,阿里巴巴发布了数字基建新一代安全架构。新架构整合阿里巴巴20年来的各项安全能力和运营经验,形成一套即插即用的标准化安全架构,可帮助社会各界在数字化进程中构建完整的安全基础设施。
将安全前置,从源头发现安全风险并予以预防,才是打造安全基建的核心要义。在与黑灰产的战争中,阿里安全团队所面临的敌人变化又快又多,带来的安全风险挑战早已超出传统网络安全攻防的维度。
入职阿里安全部5年的轩星清楚地记得,就在2017年“双11”之前两周,安全团队发现了一个异常的情况:一些长期活跃的黑灰产突然停止了进攻。他们究竟想干什么呢?
想了两天,安全团队恍然大悟——对手在悄悄利用规则,躲避与算法的对抗。
意识到这一点后,安全团队马上组织技术人员对算法做出调整,在“双11”那天,成功拦截了他们的袭击。
“要解决数字基建面临的新风险,需要转变网络空间安全思维。”钱磊表示,过去的网络安全关注的是造“城墙”本身,但是买来的“砖头”出现了问题和漏洞,“城墙”修得再好也没用,“从建设之初就要开始打造免疫力,真正让每一块搭建的‘砖头’都安全可溯源”。
“阿里发布的数字基建新一代安全架构不仅对阿里自身有效,对整个行业也具有极高的参考意义。”钱磊表示,阿里安全团队每天为全球超过8亿名消费者和千万商家提供全面的安全保障,期待用掌握的安全服务能力和安全标准输出,帮助更多企业进行安全能力建设。
“黑灰产丧心病狂,这更要求我们必须要保障新基建的安全。”钱磊说,“我不知道这场战役要打多久,但我知道,我们必须要赢。”
【名词解释】
黑灰产:
指的是电信诈骗、钓鱼网站、木马病毒、黑客勒索等利用网络开展违法犯罪活动的行为。稍有不同的是,黑产指的是直接触犯国家法律的网络犯罪,灰产则是游走在法律边缘,往往为黑产提供辅助的争议行为。
一般来说,黑灰产共有四种类型:虚假账号注册等源头性黑灰产;用于进行非法交易、交流的平台;木马植入、钓鱼网站、各类恶意软件等;大多以恶意注册、虚假认证、盗号等形式实现的网络黑账号。