论文部分内容阅读
阿里巴巴集团(BABA.N)中最低调、最神秘的部门,非阿里巴巴安全部莫属,内部称其为阿里“神盾局”。这个从事“神秘”业务的部门一直很低调,极少对外发声。但是,它却是保障全球最庞大电子商务生态系统安全的“网络特工队”,每天都服务着数亿消费者和商家。
藏龙卧虎的“神盾局”
阿里巴巴集团移动安全部成立于2005年,主要职责包括保护知识产权,即打假;保护账户安全,主要防止虚假注册和盗号;保护交易安全,主要防止交易欺诈、恶意差评、敲诈勒索;保护信息安全和禁限售排查;保护隐私,防止信息泄露;保护数据安全;大数据风控等。
在阿里巴巴内部,“神盾局”被视为是一个大神汇聚的存在,这里藏龙卧虎,磨铁、蒸米、潘爱民……这些都是在网络安全界响当当的名字,虽然对于大众来说比较陌生。“他们特别像金庸小说里的扫地僧,是绝顶高手但江湖无名,一般人甚至连他们的真名都不知道。”一位“神盾局”的“小特工”告诉记者。
此外,“神盾局”中还有20多位原公检法系统的刑侦、经侦专家和网安、网监精英,比如徐平,他曾从警16年,是国内著名的刑侦专家,他加入阿里后,已协助警方打击处理千余名网络犯罪嫌疑人;也有法律专家,有数十位之多;以及外语天才,他们“潜伏”在团队里,保护著阿里巴巴在全球各地的交易安全。
安全不再分你我
“传统的安全厂商主要是解决内网问题,但现在的安全问题已经没有边界了,没有城墙可以守了。即使你的信息安全了,但若其他平台出现泄密,黑客用这个数据去‘撞库’,一样会使你的账户安全受到影响。这两年大量的事件已经证明了这一点。比如某邮箱出现账号密码泄露,其他公司的安全问题都随之上升。”阿里巴巴移动安全部负责人陈树华说。
因为用户在不同的平台,信息和数据是有关联性的,黑色产业链操作者只要攻破最弱的一个环节,就可以通过“撞库”突破其他环节。比如很多用户是使用同一组用户名和密码去注册不同互联网平台的。而黑色产业链人员会先去攻击那些安全防范相对薄弱的小网站,窃取账户信息和密码之后,再用其去其他网站不停地尝试登录,这样即使大公司的安全再严密,黑色产业链还是有机可乘。
再比如说,很多人以为自己不安装、不使用支付宝,资金就安全了,其实不然。有些黑色产业链分子会通过手机木马窃取你的手机验证码,然后帮你注册一个支付宝,绑定你的银行卡后,盗取你账户里的资金。当然,针对这种行为,支付宝已经有了应对方案。
但作为用户,专家也提醒:一是务必安装手机安全软件,如果长时间收不到短信及电话,马上检修手机;二是不要轻易点击来历不明的链接,防止中木马;三是不要透露短信验证码,转账前一定要电话确认,尤其是大额转账。
“这个和木桶原理类似,攻击短板是现在黑色产业链的重要思路。所以,如果不能帮助整个行业提升安全能力,没有人能真正保护自己。”陈树华说,也正是基于此,安全不再分你我,2016年,阿里巴巴会对全行业开放和大规模输出自己的安全能力。
抵制黑色产业链
据不完全统计,目前中国网络黑色产业链的“从业者”已经超过了40万人,依托其进行网络诈骗的从业人数至少有160万人,“年产值”超过1100亿元。可以说,网络黑色产业链的商业化已经非常成熟,组织也相当严密。
他们注册虚假账号,用来发布推广信息,很多分类信息网站充斥着大量水军发送的消息,将有价值的信息淹没其中,甚至实施诈骗、销售假货;他们盗取账户,进行刷单、恶意差评、敲诈勒索。
但这些还不是全部。除了黑客攻击、盗取账号、钓鱼网站等典型的网络违法犯罪行为之外,还有一些游走在法律边缘的灰色产业也正在大规模蔓延。陈树华举例说,很多黑色产业链从业者盗取用户信息用来注册垃圾账号,只是用来刷榜或者散发推广信息,庞大的“僵尸粉”产业链就是一例,但根本没有法律能够处罚他们,或者处罚力度很小。
有业内人士透露,互联网黑色产业与灰色产业相互交织的特点相当明显,“产业规模”保守估计过千亿元,社会危害性巨大,亟待立法、执法、司法有效应对。“黑色产业链并不是一家或几家公司就能够对抗的,而是需要全行业、全社会共同努力。但至少要有人作为先行者,阿里希望做这个事情。”陈树华说。
“由于强大的利益驱动,黑色产业链的反应速度非常快,对新技术手段的敏锐度非常高,一旦有了突破,就可能瞬间赚取大量的钱。因此,在与黑色产业链的斗争中,传统安全更多处于防守位置,都是黑色产业链有动作了,再进行快速反应。但现在借助大数据,我们能做前置化的预防工作了。”陈树华说,在去年“双11”之前,阿里巴巴就做了大量的模拟攻击。
“移动元年”
随着移动互联网的普及,尤其是物联网、智能化时代的到来,网络安全正在进入全新的时代,安全专家与黑客之间“道高一尺、魔高一丈”的正邪较量也因此在不断升级。
2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,并发布了首份《网络黑色产业链年度报告》,该报告披露,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链,犯罪团伙具有很强的区域聚集性,分布在二三线城市,主要为年龄介于15至25岁之间的无业年轻人,他们在移动互联网领域里能够很敏锐地察觉到敛财的机会,主要瞄准网上购物、网络银行、网络游戏和聊天等用户群体。
腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰6月平均每天有6.8万名用户中毒。
有中国“黑客教父”之称的元老级黑客、IDF实验室创始人万涛表示,网络黑色产业链经历了十余年的发展后,在社交网络、网络存储、电子支付和各种基于网络而兴起的全新商业模式中无孔不入。
“今天,百分之七八十的业务都已经移动化了,人们的购物、出行等生活方式也大部分通过移动端来解决,黑色产业链也从PC往移动端转移。所以,我们也要提前布局。”陈树华说,于是,2014年1月,阿里巴巴移动安全部把移动安全业务变成一个完整的部门,并开始按照体系化去做移动安全业务。
“因为整个产业都在移动化,而黑色产业链已经开始切换到移动端了。”陈树华判断,“2016年将成为黑色产业链的‘移动元年’。”
而移动安全不仅仅针对智能手机,比如智能穿戴设备、智能家居甚至智能汽车,很多场景可能比手机更为复杂,而且很多时候安全往往也意味着繁复和打扰,不停地进行各种验证。陈树华认为,未来的安全会有更多的可能,可以做到无形和零打扰。“验证码就是为了识别操作手机的到底是不是机主,而未来进化到智能时代,完全可以通过声音、使用习惯、走路的频率和速度等来完成人机识别的过程。”陈树华说。(资料来源:《中国经济周刊》)
藏龙卧虎的“神盾局”
阿里巴巴集团移动安全部成立于2005年,主要职责包括保护知识产权,即打假;保护账户安全,主要防止虚假注册和盗号;保护交易安全,主要防止交易欺诈、恶意差评、敲诈勒索;保护信息安全和禁限售排查;保护隐私,防止信息泄露;保护数据安全;大数据风控等。
在阿里巴巴内部,“神盾局”被视为是一个大神汇聚的存在,这里藏龙卧虎,磨铁、蒸米、潘爱民……这些都是在网络安全界响当当的名字,虽然对于大众来说比较陌生。“他们特别像金庸小说里的扫地僧,是绝顶高手但江湖无名,一般人甚至连他们的真名都不知道。”一位“神盾局”的“小特工”告诉记者。
此外,“神盾局”中还有20多位原公检法系统的刑侦、经侦专家和网安、网监精英,比如徐平,他曾从警16年,是国内著名的刑侦专家,他加入阿里后,已协助警方打击处理千余名网络犯罪嫌疑人;也有法律专家,有数十位之多;以及外语天才,他们“潜伏”在团队里,保护著阿里巴巴在全球各地的交易安全。
安全不再分你我
“传统的安全厂商主要是解决内网问题,但现在的安全问题已经没有边界了,没有城墙可以守了。即使你的信息安全了,但若其他平台出现泄密,黑客用这个数据去‘撞库’,一样会使你的账户安全受到影响。这两年大量的事件已经证明了这一点。比如某邮箱出现账号密码泄露,其他公司的安全问题都随之上升。”阿里巴巴移动安全部负责人陈树华说。
因为用户在不同的平台,信息和数据是有关联性的,黑色产业链操作者只要攻破最弱的一个环节,就可以通过“撞库”突破其他环节。比如很多用户是使用同一组用户名和密码去注册不同互联网平台的。而黑色产业链人员会先去攻击那些安全防范相对薄弱的小网站,窃取账户信息和密码之后,再用其去其他网站不停地尝试登录,这样即使大公司的安全再严密,黑色产业链还是有机可乘。
再比如说,很多人以为自己不安装、不使用支付宝,资金就安全了,其实不然。有些黑色产业链分子会通过手机木马窃取你的手机验证码,然后帮你注册一个支付宝,绑定你的银行卡后,盗取你账户里的资金。当然,针对这种行为,支付宝已经有了应对方案。
但作为用户,专家也提醒:一是务必安装手机安全软件,如果长时间收不到短信及电话,马上检修手机;二是不要轻易点击来历不明的链接,防止中木马;三是不要透露短信验证码,转账前一定要电话确认,尤其是大额转账。
“这个和木桶原理类似,攻击短板是现在黑色产业链的重要思路。所以,如果不能帮助整个行业提升安全能力,没有人能真正保护自己。”陈树华说,也正是基于此,安全不再分你我,2016年,阿里巴巴会对全行业开放和大规模输出自己的安全能力。
抵制黑色产业链
据不完全统计,目前中国网络黑色产业链的“从业者”已经超过了40万人,依托其进行网络诈骗的从业人数至少有160万人,“年产值”超过1100亿元。可以说,网络黑色产业链的商业化已经非常成熟,组织也相当严密。
他们注册虚假账号,用来发布推广信息,很多分类信息网站充斥着大量水军发送的消息,将有价值的信息淹没其中,甚至实施诈骗、销售假货;他们盗取账户,进行刷单、恶意差评、敲诈勒索。
但这些还不是全部。除了黑客攻击、盗取账号、钓鱼网站等典型的网络违法犯罪行为之外,还有一些游走在法律边缘的灰色产业也正在大规模蔓延。陈树华举例说,很多黑色产业链从业者盗取用户信息用来注册垃圾账号,只是用来刷榜或者散发推广信息,庞大的“僵尸粉”产业链就是一例,但根本没有法律能够处罚他们,或者处罚力度很小。
有业内人士透露,互联网黑色产业与灰色产业相互交织的特点相当明显,“产业规模”保守估计过千亿元,社会危害性巨大,亟待立法、执法、司法有效应对。“黑色产业链并不是一家或几家公司就能够对抗的,而是需要全行业、全社会共同努力。但至少要有人作为先行者,阿里希望做这个事情。”陈树华说。
“由于强大的利益驱动,黑色产业链的反应速度非常快,对新技术手段的敏锐度非常高,一旦有了突破,就可能瞬间赚取大量的钱。因此,在与黑色产业链的斗争中,传统安全更多处于防守位置,都是黑色产业链有动作了,再进行快速反应。但现在借助大数据,我们能做前置化的预防工作了。”陈树华说,在去年“双11”之前,阿里巴巴就做了大量的模拟攻击。
“移动元年”
随着移动互联网的普及,尤其是物联网、智能化时代的到来,网络安全正在进入全新的时代,安全专家与黑客之间“道高一尺、魔高一丈”的正邪较量也因此在不断升级。
2015年年初,腾讯曾针对网络黑色产业链进行了一次全面调研,并发布了首份《网络黑色产业链年度报告》,该报告披露,在移动支付安全领域,目前已逐渐形成一条分工明确、作案手法专业的黑色产业链,犯罪团伙具有很强的区域聚集性,分布在二三线城市,主要为年龄介于15至25岁之间的无业年轻人,他们在移动互联网领域里能够很敏锐地察觉到敛财的机会,主要瞄准网上购物、网络银行、网络游戏和聊天等用户群体。
腾讯移动安全实验室数据显示,2015年上半年,手机支付木马病毒新增29762个,感染用户总数达到1145.5万,最高峰6月平均每天有6.8万名用户中毒。
有中国“黑客教父”之称的元老级黑客、IDF实验室创始人万涛表示,网络黑色产业链经历了十余年的发展后,在社交网络、网络存储、电子支付和各种基于网络而兴起的全新商业模式中无孔不入。
“今天,百分之七八十的业务都已经移动化了,人们的购物、出行等生活方式也大部分通过移动端来解决,黑色产业链也从PC往移动端转移。所以,我们也要提前布局。”陈树华说,于是,2014年1月,阿里巴巴移动安全部把移动安全业务变成一个完整的部门,并开始按照体系化去做移动安全业务。
“因为整个产业都在移动化,而黑色产业链已经开始切换到移动端了。”陈树华判断,“2016年将成为黑色产业链的‘移动元年’。”
而移动安全不仅仅针对智能手机,比如智能穿戴设备、智能家居甚至智能汽车,很多场景可能比手机更为复杂,而且很多时候安全往往也意味着繁复和打扰,不停地进行各种验证。陈树华认为,未来的安全会有更多的可能,可以做到无形和零打扰。“验证码就是为了识别操作手机的到底是不是机主,而未来进化到智能时代,完全可以通过声音、使用习惯、走路的频率和速度等来完成人机识别的过程。”陈树华说。(资料来源:《中国经济周刊》)