阿裡安全十餘年發展的關鍵詞：敬畏、努力

文 / 阿裡巴巴集團首席風險官 鄭俊芳

原标題為：《阿裡巴巴集團首席風險官鄭俊芳：安全是我們的生命線，将時刻保持敬畏心》

阿裡巴巴集團首席風險官 鄭俊芳

如果網際網路是可視化的，網購、社交、送餐、出行等諸多網際網路服務有不同的色彩線，那麼，我們能看到，五彩斑斓的網絡早已與生活的方方面面不可分割。在網際網路給生活帶來便捷的同時，就像是每條道路都需設定安全線一樣，網際網路自身也需建立強大的防護能力，以保障服務和所有使用者的安全。

在過去的19年裡，阿裡巴巴建構起包括新零售、雲計算、大文娛、智慧物流等在内的龐大而複雜的生态體系，為數以億計的使用者提供便捷服務，同時，對于安全的探索從未停止。

每天，在阿裡生态體系裡，數以萬計的黑客通過4千萬次的惡意通路以尋找安全漏洞，網絡黑灰産通過爬蟲發起17億次的惡意通路試圖竊取資料，僅在淘寶平台，每天會有近400萬次惡意嘗試登入。

這些攻擊，每天都在真實發生着。

面對如此巨量、複雜的攻擊，阿裡防住了。

捍衛安全生命線：10年進化數千人護航

過去的一年裡，阿裡巴巴集團共受到2015次DDOS攻擊，最大攻擊流量777Gbps。

這個數字意味着什麼？打個比方，整個杭州城的網民同時線上所使用的帶寬，都遠不及此。

實作這樣的有效對抗，阿裡安全走了10多年，從被動應對，到主動防禦，從人肉，到技術、算法。

2005年前後，“阿裡安全”還是集團技術團隊下設的一支幾個人組成的小隊，彼時，抵禦DDOS攻擊的手段還是靠人肉發現和攻防。曾經有過一個階段，A商家看到B商家銷量大好，會買通黑客對B發動DDOS攻擊。

DDOS攻擊的本質是消耗平台的帶寬和伺服器資源。阿裡技術和安全團隊發現伺服器運轉遲滞，不得不人肉排查。

那是個網際網路行業普遍未建立安全能力的時代，人才緊缺，安全技術攻防能力不足。

當時的解決方案是把受到攻擊的B店鋪采取屏蔽處理，讓攻擊者失去目标，以恢複伺服器正常運轉。

雖然危機解除，但教訓是慘痛的。沒有任何一個商家的利益該被犧牲。于是，2005年，阿裡正式設立安全部，如今，阿裡生态體系的網絡安全有數千人的專業團隊在守護。

在今天，對抗DDOS攻擊的任務早已交給了“無人值守”的自動化防控産品。阿裡也通過阿裡的雲計算平台将我們的DDOS防禦能力提供給了數十萬的雲上客戶，時刻包圍着這些雲上客戶的網站與服務的穩定安全。攻防的根本目的在于讓攻擊方成本上升而放棄攻擊，防控能力越高，黑客付出的成本就越高，舉個例子，過去，黑客發動一次攻擊要花費1元錢，如今，黑客打開一個保險箱的成本就要100元，而保險箱裡可能隻有50元，這樣“得不償失”的事，很多黑客放棄了。

力推安全聯合：開放能力賦能生态

就像是現實世界裡沒有絕對完美的面孔一樣，網絡世界的漏洞永遠存在。對于網際網路公司而言，建立提早發現并迅速止血的能力，遏斷黑客利用漏洞擷取使用者資料的企圖，是一條值得努力追求的路。

2012年起，阿裡安全的“聽風者”在着力建立另一套防禦體系：聯合阿裡體系外的白帽黑客，建立ASRC（阿裡安全應急響應中心）。

簡單說來，這是一個平台，能夠讓外部的白帽黑客在發現漏洞後第一時間通知阿裡。

這是國内最早的網際網路應急響應平台之一，從最早隻是設定一個通報漏洞郵箱，發展成今天國内上千名、國外數百名白帽黑客參與的真正意義的平台，阿裡集合各方之力，将建立的能力服務于整個生态，用安全生态的能力賦能生态安全。

2013年，阿裡釋出500萬元賞金計劃，舉辦網際網路安全沙龍，2017年雙十一購物狂歡節之前，阿裡巴巴ASRC聯合業内12家SRC，進行了一次面向電商生态的安全衆測，發現了大量有價值的安全漏洞并推動生态夥伴快速解決，有效拉升了整個生态的安全水位。2018年，阿裡發起的SRC營運工作讨論會，騰訊、百度、360、京東、滴滴等網際網路公司都在參與共創共享。

去年12月30日，阿裡正式加入First(事件應急響應與安全小組)國際組織，與85個國家的414個應急響應相關組織建立聯系，谷哥、微軟、亞馬遜等國際網際網路公司都在。

所做的這一切，都在于阿裡始終認為，安全領域不需競争，而必須聯合。

阿裡安全的能力開放心态正在顯露效果。

2014年，一名合作夥伴向阿裡緊急求助。一個網際網路黑灰産團夥，開始是故意跟這名合作夥伴套近乎，套出了合作夥伴的網絡出口IP位址，之後的故事像電影那樣，黑灰産團夥畫風大變，發來短信稱，打錢破财消災，否則會用DDOS實施攻擊，其嚣張程度令人氣急，直接發來了攻擊時間。

合作夥伴想到防禦，但根本無力抵禦巨量攻擊。随後阿裡介入，斬斷攻擊。

到了2017年，一家合作夥伴也被黑灰産團夥盯上，而這時，阿裡的安全能力早已覆寫生态夥伴，攻擊消息傳來時，阿裡安全的技術專家說，不用怕，讓他來吧。後來，對方得知阿裡在助力防護，索性放棄了攻擊。

保持敬畏之心：不辍探索持續進化

從害怕發現漏洞，到主動建立ASRC來找漏洞，解決安全問題于萌芽狀态的探索不止于此，2016年，阿裡籌建“紅藍攻防體系”以主動挖掘安全風險點。這在當時的阿裡内部存在争議。

攻擊來得毫無征兆，一天快到中午的時候，阿裡安全接到資訊，暗網在流傳阿裡的相關資料，資料做了加密處理，雖然暫時不會對業務産生影響，但釋出者同時釋出的勒索資訊說得明白，預定時間内不付錢，将公布這些資料。

負責處置的資料安全團隊到現在還清晰記得當時的場景，安全大于天，在幾分鐘内，參與處置的安全技術人員擠滿了項目室，一個多小時，資料“洩露”的源頭被排查出來，這時，他們才知道自己是被藍軍“搞了”。

在專門設立藍軍之前，阿裡安全已經反複對系統做過加強檢測，但不知道效果如何，這樣“有劇本”的“攻擊”給整個安全團隊提了醒，然後就是更加細緻入微的排查。

藍軍還在不斷“搞事兒”。一開始，這樣的攻防一周都要有一兩次，藍軍頻頻得手，後來，紅軍防線越來越緊，藍軍又朝着更高層次發動“攻擊”，但難度越來越高，現在，藍軍籌劃一次攻擊的時間可能是一個月甚至更長。

“紅藍對抗”，以及阿裡建立的圖靈、獵戶座、雙子座、潘多拉、米諾斯、歸零、錢盾和螞蟻金服光年等八大安全實驗室，都是在以技術構築安全防護牆。

智能資料模型也在無時無刻發揮安全防護的作用。在阿裡平台上，全網商品已超過10億量級，如何對這些商品資訊進行識别？如果用普通的A4紙把這些商品資訊列印成冊，假設一頁一個商品，現在，阿裡10分鐘内分析完成的商品手冊疊起來将有44000米高，相當于近5個珠穆朗瑪峰高度。

在阿裡平台上下單購物，就在你按下按鈕的一瞬，阿裡安全大資料風控系統已作了近百項安全檢測。

安全就是這樣，10餘年來，數千阿裡安全人一磚一瓦搭建起來安全的水位線。但我們深知，網際網路時代，安全始終是我們的生命線，這世上沒有絕對的安全。是以，每一天每一刻，阿裡安全人都在保持敬畏之心，讓自己更努力、讓技術更進步、讓模型更智能，隻有不斷探索世界級的風險控制體系，我們才能保護這個全球最大的電子商務平台，提供更可靠的服務，保護更多的消費者。