阿里每天究竟要抵御多少攻击

知乎上曾经有一个很有趣的问题。

黑客为什么不攻击淘宝?

这个问题有趣就有趣在,这是典型的外行思维,看似很有道理,但其实问都问错了。

正确的问题是,黑客到底有哪天不在攻击淘宝?

答案是,0.

每时每刻,黑客都在攻击淘宝。

每年的双十一,阿里都在同时抵御最大的流量攻击以及各路黑产从各个角度发起的漏洞攻击。

那一整个月,整个线报群和黑产圈,都在沸腾,能从阿里手上咬到肉,是一种荣耀。

单拿2019年双十一来讲,2684亿交易额背后,是全天22亿次的黑产攻击。

你没看错,24小时,22亿次。

单就下午13点,推出的2万瓶茅台,瞬间的订单数是80万,其中至少三分之一是机刷羊毛党。

阿里很头疼,但不能退。

身后是商家和用户的利益,因为阿里就是互联网基础设施本身,无路可退。

此时此刻,非我莫属。

负重前进,砥砺前行。

这就是阿里的大安全体系,从来没有考虑过失败,因而也没有怎么显过名声。

因为最好的安全体系,是最不出名的。

 

1

做互联网企业是一件非常辛苦的事情。

不仅仅是所谓的产品设计,营收,利润,现金流;

也不只是所谓的用户运营,活动策划,市场更新;

更重要的是不能犯错。

辛辛苦苦一年下来,一旦出现漏洞或者业务风险,一整年下来等于白干。

白干都算好的,很多公司弄不好就直接完蛋了,因为风控漏洞直接被干掉的公司多不胜数。

存量年代比的不是谁吃的多,而是谁错的少。

而掌握了技术的羊毛党和黑客们,同样睁着血红的眼睛,等着从失误的企业手中抢下一块肉来吃。

每年的促销节,每一个活动,都是他们的狂欢。

当然,公司老板也不傻,也在重视风险管理,毕竟钱袋子的事情嘛。

实际上风险管理已经成为了各大公司的核心命门,这点从风控从业者水涨船高的待遇就可以看出来。

但很可惜的是,钱虽然可以解决大多数问题,但是不能解决所有问题。

而风险管理属于典型的花钱也没法速成的事情。

很多人认为招几个风控大牛就能解决问题,实际上是很难的,顶多做到改善。

为什么?

因为所谓的风控只是表象,背后是一整套的安全体系。

对于整体安全架构这座巨大的冰山来说,风控只是水面上露出的一个尖角。

这就像一家饭店想要生意做得好,应该是从蔬菜采购,成本控制,食材处理,厨师调味,上菜流转,乃至营销手段全面开花。

风控顶多算是炒菜技术,只是酒店管理体系的一小部分。

你单纯一个逆天的厨师,剩下所有人都拉胯,你开上天也就是一个网红苍蝇馆子。

数字时代真正重要的,是安全架构,是安全架构,是安全架构。

 

2

完整的数字安全架构,是什么?

在阿里巴巴,对于整个数字安全架构,划分了3层。

安全运营层,安全基建层,安全技术层。

目前业内大部分所谓的【风控】,其实本质上只是风控系统的使用者,落在了安全运营层。

不管是风控策略,还是执行,还是数据分析,做的都是影响业务。

合规也好,防羊毛也好,反欺诈也好,业务合规也好,都是在服务业务,本质上都是业务运营分范畴。

那问题来了,风控人员如何影响业务?

并不是靠嘴和报告的,而是需要具体的工具。

假如一个风控想要对某个大促活动中的特定人群进行限制,不让他们领券或者不给他们发货。

那就需要一个能够配置相关规则的开关,不管是手动点击也好,还是写代码也好,要让机器知道你想让他做什么。

这个与系统沟通的工具,就是决策引擎。

一个根植于业务流中的决策引擎,是安全运营层的核心。

决策引擎是怎么发挥作用的?

随便举个例子,数据瞎编的。

很简单,风控通过分析,发现注册年龄是18岁的,提交的身份证归属地为海南,男性用户,近期出现了大量的刷单行为。

那就在决策引擎中配置相关的策略集,其中一条规则为:

年龄=18,

身份证前六位=XXXXXX,

身份证倒数第二位为13579,

则,设置处置规则。

禁止领券/发货。

这要求业务的每一个节点,都要调用这个决策引擎,从而决定是否走下一步。

在安全运营层,风控分析师们,策略专家们,风险运营们,都是依靠大量的数据分析,来找到规律,然后把规律设计成一条一条的规则,配置规则集定义为策略包。

最终区分为获客策略,转化策略,发货策略,售后策略等等等等。

上面讲的只是最基础的规则。

举个日常会遇到的风险问题,羊毛党们也不傻,必然不会傻乎乎的就冲上来,实际上专业的羊毛党都是潜伏在正常的用户中。

甚至很多用户本身就是具有羊毛党和用户双重身份,正常情况是正常人,遇到便宜就是羊毛党或者协助兼职刷单。

那要怎么抓?乱抓等于误杀等于客诉,不抓等于用户和商家的双重损失。

阿里安全体系拦截都是看横纵双向的,横向是看同一个时间段一批人的特征比对,纵向是看一段时间内个体的行为变化,从而达到精准拦截的效果。

实际上双十一期间,99%的准确拦截率,就是力量的体现。

 

3

如果说运营层体现了企业业务的认知水平,那么是更硬核的,是安全技术层。

很多事情你意识到了,想到了,但是技术不够,你依然做不了。

技术,才是互联网最核心的竞争力。

这个年代公司之间最大的竞争,就是技术竞争。

而技术差,就是不公平的。

安全亦是如此,没有技术,没有安全。

当技术水准达到一定程度的时候,可以做出非常多的匪夷所思的操作。

所谓技术安全层,包含了算法,攻防能力,密码学,数据加密体系,技术效率。

这些统统都是硬实力。

算法层面,如何评估一个各方面都看似没有问题的人是不是有问题,如何抓出羊毛群体,这个准确率直接影响业务是否敢放胆补贴。

攻防层面,如何抵御黑产的饱和攻击?黑产总能在各种思维的死角来发动进攻,进攻总是比防守简单,这需要防守者比进攻者更懂进攻,甚至不停的在内部做攻防演练。

密码学和数据加密领域,如何防止信息被泄露?如何给信息加密乃至信息加盐导致黑产即使拿到也根本用不了?甚至可以依据数据泄露中的线索直接定位到进攻方?

技术效率,安全发展到最后,其实是一个效率问题,就是什么都能做,但是假如一整套安全模型走下来,需要10分钟,那么这个安全体系同样是垃圾。

为什么?因为客户不会等你10分钟。

想要的,立刻就要,所以效率是技术的命线。

这一切,归根究底要依靠什么来搭建?

算法需要足够的样本来训练,攻防需要足够多的进攻来磨练,密码学和数据加密需要足够大量的数据,技术效率更是需要强大的系统负荷需求。

所以,靠业务,靠业务规模。

这也是为什么阿里巴巴的数字安全能力如此强大,都是这20年一步步打出来的。

每年双十一全民剁手背后,阿里的安全体系都在迎来大考。

 

4

尽管每次大考,都能低调地拿到好的成绩,阿里安全却从未停止前进的脚步。

很多安全人都熟悉的《技术的本质》这本书。

书中有一个观点:技术的特征是组合和进化。

最近阿里安全正在拥抱变化,通过调整安全架构确定了新进化的方向。

仔细琢磨阿里安全发布的新一代安全架构,可以发现,安全基建是一个全新的概念。

如果说阿里新一代安全架构的三层体系是安全领域的皇冠的话,那么安全基建就是皇冠上的那颗明珠。

当所有人还在考虑明天是否再加盖一层土墙的时候,阿里不但造好了城墙,还开始琢磨为建城打造标准了。

在数字经济时代,如果我们将网络比作道路,将计算和存储系统比作土地,那么基于这些建立的App和网站这些数字经济实体,就可以类比为商业建筑。

每一个App的搭建过程和建筑工程其实很类似,会采购大量的原材料,也有很多阶段和工序,每个环节都有可能出问题。

所有的互联网安全从业人员,都会面临三个无法回避的事实:三方软件必然存在漏洞,升级成本高;攻击者关注的应用风险面增加、攻击手法更加多样;基于网络边界的防护必然会被突破。

数字基建的最大意义在于,为这些“建筑”的搭建过程建立标准化流程,确保建设之初就运行在较高安全基线上。

依照阿里安全首席架构师钱磊的说法是:

“过去的网络安全关注的是造城墙本身,但是买来的砖头出现了问题和漏洞,城墙盖的再好也没用。另外,城门被攻破后是否就一马平川,有没有瓮城做安全区隔也是设计者必须考虑的问题。

安全基建层的核心能力,是为“数字建筑”的生产建设标准和监理。

这意味着,从出生就要有基础的免疫力。

阿里新一代数字安全架构最大的亮点在于,通过供应链安全、研发生命周期、安全卡口和应用可信等企业标准的建立,形成天然的“免疫系统”,很多东西一开始就不该进入业务流中。

最差的防御,是事后补偿。

普通的防御,是事中拦截。

最好的防御,是事前拒绝准入。

这是免疫系统的极致。

其实,《技术的本质》还有一层意思,技术通过组合,可以产生颠覆性技术。

 

5

安全行业一直是有甲乙方到底谁更强的争论的。

甲方是企业,乙方是安全类三方公司。

前者更懂业务,后者更加通用。

从我的角度来看,其实不存在争议,一旦顶级甲方公司的安全架构标准对外输出,基本上就没有乙方公司的事情了。

因为安全这个东西,本质上吃的是什么?

吃你有多少数据可以用于训练模型。

吃你有多少业务场景可以帮助你验证模型有效性。

吃你有多少业务挑战可以帮你验证系统的抗压能力。

吃你有多少能力把所有资源体系化,用架构和阵法产生最大的结构之力。

一切安全说到底,都是要为业务服务的。

安全,只有在业务体系中,才有价值。

在和业务同生共长的基础之上,

安全,只有在合理的架构中,才有力量。

你做数字基础建设,做安全基础建设,都是基于业务的,就像大家用水电煤的目的根本不是水电煤,而是生火做饭娱乐填饱肚子。

不懂业务的安全,不能被称之为真正的安全。

就像一个经典笑话里说的,一个安全的房屋,把门堵得严严实实的,考虑到了甚至核弹攻击的场景并且做了充足的防御。

但是人家直接从窗户进来了。

从这个角度来看,显然只有真正的大甲方,才能理解公司的核心需求。

所以风险管理,表面上是技术,其实考校的数字安全架构。

而归根究底,还是对业务的理解能力。

业务和架构,就是一切。

【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo

立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK

本文为云栖社区原创内容,未经允许不得转载,如需转载请发送邮件至yqeditor@list.alibaba-inc.com;如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:yqgroup@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

原文链接
本文为云栖社区原创内容,未经允许不得转载。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/516490.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

征战多云时代,Nutanix这款Kubernetes多云PaaS新利器,你Get到了吗?

当前,全球企业上云步伐加快,企业都有相同的目标:尽快将业务迁移上云,从而减少基础架构成本,提高员工效率,缩短业务研发时间,提供性能可靠的IT系统。 当下,以容器、服务网格、微服务…

学习笔记之数据可视化(二)——页面布局(中)

续上一章 2.6 监控区域布局2.6.1 布局结构解析:2.6.2 样式描述:2.6.3 HTML结构及CSS样式代码2.6.3 ### 监控区域-效果2.6.7 点位区域(point)2.6 监控区域布局 监控区域 monitor盒子高度: 480px,布局划分及内部盒子类名如下: 2.6.1 布局结构解析: .tab样切换:tabs 标…

OFD文件、pdf文件相互转换、ofd文件在线预览

文章目录一、在线预览1. api使用2. 案例3. 效果二、ofd转odf2.1. api使用2.2. 参考案例三、odf转ofd3.1. api使用3.2. 参考案例3.3. 开源项目一、在线预览 1. api使用 ofd文件在线预览: 使用方式: 格式:/ofdViewer/viewer.html?file1.ofd相对路径 2.…

视频会议应用空间广阔 未来“上云”将成趋势

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 此次疫情推动云计算产业迎来加速发展期。此前,根据国务院发展研究中心发布的报告显示,2019年我国云计…

【开发者成长】Vue.js 中有哪些性能陷阱

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 我内心深处对游戏的热爱,让我一直渴望能自己制作一些电子游戏。几个月前我开始将这种梦想变为现实,并…

学习笔记之数据可视化(二)—— 页面布局(下)

续上一章 2.7 地图区域(.map)2.7.1 实现步骤:2.8 用户统计模块2.8.1 布局:2.8.2 柱状图2.9 订单模块2.9.1 订单区域布局2.9.2 订单区域(order)-交互效果(此部分后续补充)3.0 销售统计( sales )3.0.1 布局3.1 渠道分布、季度进度模块3.1.1渠道分布(channel)-雷达图3.1.2…

【职业生涯】这样的开发人员每个团队都想要

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 合作是你职业生涯中不会缺少的一个部分。 什么是团队?团队就为了共同目标而努力的一群人。一个团队实现目标的过…

elasticsearch-7.15.2 同时支持中文ik分词器和pinyin分词器

文章目录1. 自定义分词器2. 映射模型3. 效果图1. 自定义分词器 ES如何支持拼音和中文分词 ? 自定义分词器 支持拼音和中文分词 PUT /jd_goods {"settings": {"analysis": {"analyzer": {"ik_smart_pinyin": {"type&…

【数字康复治疗】自闭症市场能否走出供求困境

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 世界卫生组织将每年的4月2日设为“世界提高自闭症意识日”,旨在提高人们对自闭症和相关研究与诊断以及自闭症患者…

微软全球 AKS 女掌门人,这样击破云原生“怪圈”!

来源 | 程序人生作者 | 伍杏玲近年来,“云原生”成为IT界的热词,可什么是“云原生”?不少开发者表示“云里雾里”,更别提如何借助云原生更好地释放云价值。从云原生(CloudNative)一词中我们看到&#xff0c…

获取Access表字段类型的自定义函数

目录 1.函数(一)1.1 功能说明及代码1.2 自定义函数调用实例2函数(二)3 函数(三)3.1 功能说明及代码3.2 自定义函数调用4 ADO数据类型在Access、SQL Server、Oracle之间的对应关系1.函数(一) 1.1 功能说明及代码 场景:在需要对表中字段的类型进行识别判断时,当用Fie…

【数据库】一个 rm -rf 把公司整个数据库删没了

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 经历了两天不懈努力,终于恢复了一次误操作删除的生产服务器数据。 对本次事故过程和解决办法记录在此&#xff0c…

elasticsearch-7.15.2 集成pinyin分词器

文章目录1. 下载拼音分词器2. es集成pinyin3. 启动es4. pinyin分词5. 效果图6. 开源项目1. 下载拼音分词器 链接:https://github.com/medcl/elasticsearch-analysis-pinyin 2. es集成pinyin 方式任选其中一种即可 第一种:在线安装 ./bin/elasticsear…

【智能AI】准确率97%的开源肺炎检测模型

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 最近,一位澳大利亚的人工智能博士候选人在 LinkedIn 上发布了一篇关于 SARS-CoV-2 病毒的研究文章。由于极具话题…

豪气!华为放话:3年培养100万AI人才!网友神回应了

大家经常把BAT挂在嘴边,但是可能有些人还不知道,华为的体量早已超越了这三巨头,只是迟迟不肯上市。华为的创始人任正非曾说表:上不上市不重要,最重要的是要让中国华为的技术能够称霸全球!华为对技术的重视&…

elasticsearch-7.15.2 配置IK中文分词器+拼音分词

文章目录1. 下载分词器2. es集成pinyin3. 启动es4. 自定义分词5. 映射模型6. 初始化数据7. 查询索引8. 效果图9. 开源项目1. 下载分词器 ik中文分词器 中文分词器:https://github.com/medcl/elasticsearch-analysis-ik 拼音分词器 链接:https://github.…

JavaScript从入门到放弃 - ES6中的对象和类

重点讲解Tab栏切换、增、删、改 1. 面向过程与面向对象2.ES6 中的对象与类2.1 对象2.2 类2.2.1 创建类2.2.1.1 语法2.2.1.2 实例2.2.2 类创建添加属性和方法2.2.3 类的继承2.2.3.1 语法2.2.3.2 实例2.2.3.3 注意事项3. 面向对象案例3.1 面向对象版tab栏切换3.1.1 案例准备3.1.1…

Gartner 容器报告:阿里云与 AWS 并列第一,领先微软、谷歌

近日,国际知名调研机构 Gartner 发布 2020 年容器公有云竞争格局报告,阿里云再度成为国内唯一入选厂商。Gartner 报告显示,阿里云容器服务在中国市场表现强劲,产品形态丰富,在如 Serverless 容器、服务网格、安全沙箱容…

每个程序员都必须知道的8种通用数据结构

云栖号资讯:【点击查看更多行业资讯】 在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来! 数据结构是一种特殊的组织和存储数据的方式,可以使我们可以更高效地对存储的数据执行操作。数据结构在计算机科学…

ElasticSearch 从安装开始_01

文章目录1. windows 环境2. linux3. HEAD 插件安装4. 分布式安装5. Kibana 安装1. windows 环境 首先打开 Es 官网,找到 Elasticsearch: https://www.elastic.co/cn/downloads/elasticsearch 然后点击下载按钮,选择合适的版本直接下载即可。…